W 2020 roku firma Microsoft zakończyła zapewniać pomoc techniczną dla komputerów z systemem Windows 7. Od tego czasu komputery nie otrzymują już aktualizacji zabezpieczeń.
W przypadku osób prywatnych najczęściej zalecana jest przesiadka na urządzenia z systemem Windows 10 lub 11. Trzeba mieć jednak na uwadze, że Windows 10 również niedługo straci wsparcie (14 października 2025 r.), dlatego najlepszym rozwiązaniem jest przejście od razu na Windows 11.
Co w przypadku dużych firm, które działają na starym systemie Windows 7? Czy jest możliwość przedłużenia wsparcia i wykonania migracji na nowszy system w odpowiednim dla siebie czasie?
Tak, na szczęście firma Microsoft zapewniła takie rozwiązanie z myślą o dużych przedsiębiorstwach – jest nim ESU.
Co to jest ESU?
ESU (Extended Security Updates/ Rozszerzone Aktualizacje Zabezpieczeń) są to aktualizacje umożliwiające klientom otrzymywanie ważnych zabezpieczeń po zakończeniu oficjalnego wsparcia dla systemów Windows 7 Professional oraz Enterprise. Okres dodatkowego wsparcia trwa przez 3 lata i kończy się ostatecznie 10 stycznia 2023 r.
Po tym czasie systemy te będą dalej działać, ale nie otrzymają już wspomnianych aktualizacji, co wiąże się z dużą podatnością na wirusy i brakiem wsparcia wielu produktów, takich jak np. Internet Explorer.
Jak zakupić ESU i gdzie znaleźć klucz produktu Windows?
W celu zakupienia Windows 7 ESU wraz z nowym kluczem produktu, należy:
- Zalogować się na stronie Centrum usług licencjonowania zbiorowego przy pomocy poświadczeń swojej firmy.
- Wybrać w kolejności pozycje Licencje\ Podsumowanie relacji\ Identyfikator licencji\ Klucze produktu\ Filtruj według produktu i wybrać MAK Windows 7 Extended Security Year (obecnie year 3).
Aktualizacje ESU kupowane są co roku na okres 12 miesięcy i nie można ich nabywać cząstkowo. Jeżeli ktoś chce zakupić ESU tylko na trzeci rok, to musi również wykupić aktualizacje z dwóch poprzednich lat.
Koszt Windows 7 ESU oraz okresy ważności
| L.p. | Typ ESU | Termin rozpoczęcia | Termin zakończenia | Koszt za urządzenie dla Windows 7 Professional | Koszt za urządzenie dla Windows 7 Enterprise |
|---|---|---|---|---|---|
| 1 | Windows 7 ESU Year 1 | 14 stycznia 2020 | 12 stycznia 2021 | $50 | $25 |
| 2 | Windows 7 ESU Year 2 | 13 stycznia 2021 | 11 stycznia 2022 | $100 | $50 |
| 3 | Windows 7 ESU Year 3 | 12 stycznia 2022 | 10 stycznia 2023 | $200 | $100 |
Co jest potrzebne do wdrożenia Windows 7 ESU?
Aby poprawnie móc wdrożyć Windows 7 ESU, należy na komputerach zainstalować poniższe poprawki:
- 2019-03 Aktualizacja stosu obsługi Windows 7 (KB4490628),
- 2019-09 Aktualizacja zabezpieczeń dla systemu Windows (KB4474419),
- 2020-06 Aktualizacja stosu obsługi Windows (KB4562030),
- Pakiet przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU) 2020-05
dla systemu Windows 7 (KB4538483), - Pakiet przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU) 2020-07
dla systemu Windows 7 (KB4575903), - 2020-12 Aktualizacja stosu obsługi Windows 7 (KB4592510).
Dodatkowo, należy posiadać identyfikator aktywacji ESU przydzielony na dany rok.
| L.p. | Rok działania ESU | Identyfikator ESU dla Windows 7 |
|---|---|---|
| 1 | 2020 | 77db037b-95c3-48d7-a3ab-a9c6d41093e0 |
| 2 | 2021 | 0e00c25d-8795-4fb7-9572-3803d91b6880 |
| 3 | 2022 | 4220f546-f522-46df-8202-4d07afd26454 |
Instalowanie ESU oraz jego aktywacja
Istnieje kilka metod instalacji i aktywacji klucza licencyjnego ESU. Opiszę tutaj dwie najczęściej wykonywane, na przykładzie aktywacji ostatniego roku „Year 3 – 2022”.
Metoda ręczna
Pierwsza z nich to instalacja „ręczna” z użyciem konsoli CMD, która sprawdza się w pojedynczych przypadkach oraz instalacja „zautomatyzowana” z użyciem MECM (SCCM).
- W celu zweryfikowania, w jakim stanie znajduje się licencja danego komputera, uruchamiamy konsolę CMD jako administrator.
- Wpisujemy w niej slmgr /dlv i wciskamy Enter.
- Pojawi się okno z ważnymi dla nas informacjami:
Pozycje zaznaczone na zielono potwierdzają nam obecny stan aktywacji oraz status licencji użytego w tym przypadku Windows 7.
Identyfikatory aktywacji pokrywają się z tymi podanymi przez Microsoft, tak więc można stwierdzić, że komputer w poprzednich dwóch latach miał prawidłowo wdrożone ESU i jest obecnie przygotowany do kolejnej licencji na ostatni rok.
- W kolejnym kroku wpisujemy komendę instalującą nowy klucz produktu:
slmgr /ipk <klucz ESU> i wciskamy Enter.
Po zakończeniu pojawi się poniższy komunikat:
- Następnie wpisujemy komendę slmgr /ato <Identyfikator aktywacji ESU> i wciskamy Enter.
Po chwili pojawi się okno z informacją o pomyślnym aktywowaniu produktu.
- Do zakończenia procesu wymagany jest restart stacji. Po jego wykonaniu ponownie uruchamiamy konsolę CMD jako administrator, wpisujemy komendę sprawdzającą stan licencji: slmgr /dlv i wciskamy Enter.
Po chwili pojawi się okno z poniższymi danymi potwierdzającymi prawidłowe wdrożenie nowego ESU na trzeci rok.
Metoda z użyciem MECM (SCCM)
Metoda z użyciem MECM (SCCM) dla większości osób korzystających z tej usługi może wydawać się łatwa. Patrząc na pierwszą metodę, można utworzyć krótki dwuwierszowy skrypt i rozdystrybuować go za pomocą MECM. Z doświadczenia wiem, że nie zawsze to zadziała i może sprawiać wielu osobom problemy. Dlatego opiszę dokładnie, jak wygląda cały proces wdrożenia nowego ESU.
- W celu zdalnego wdrożenia nowego ESU na wszystkie komputery, musimy najpierw stworzyć prosty skrypt.
Otwieramy Notatnik i wklejamy dwa poniższe wiersze, które tak jak w pierwszej metodzie:
- instalują nowy klucz Windows 7 przydzielony na trzeci rok,
- aktywują licencję ESU Year 3.
Prawidłowy skrypt powinien wyglądać następująco:
@echo off
cscript //B „%windir%\system32\slmgr.vbs” /ipk XXXXX- XXXXX – XXXXX – XXXXX – XXXXX
cscript //B „%windir%\system32\slmgr.vbs” /ato 4220f546-f522-46df-8202-4d07afd26454
Zapisujemy plik z własną nazwą, np.: esu_3 jako plik uruchomieniowy z rozszerzeniem .cmd.
- Utworzony skrypt zamieszczamy w Repozytorium MECM w celu dalszej dystrybucji.
- Po skopiowaniu skryptu do Repozytorium rozpoczynamy proces tworzenia paczki ze skryptem. W tym celu uruchamiamy konsolę MECM i przechodzimy do zakładki: Software Library/ Overview/ Application Management/ Packages
- Z górnego menu Home wybieramy pozycję Create Package i wypełniamy wymagane pozycje według poniższych zdjęć.
W polu Name podajemy swoją nazwę tworzonej paczki Windows 7 ESU Activation Year 3. Zaznaczamy pole z opisem This package contains source files i wskazujemy folder naszego Repozytorium. Następnie klikamy Next.
Wybieramy pozycję Do not create a program, ponieważ naszym programem jest już wcześniej stworzony skrypt. Paczka posłuży nam tylko do rozdystrybuowania go po sieci.
- Kolejnym krokiem po utworzeniu paczki jest jej dystrybucja w sieci. W tym celu klikamy na paczkę prawym przyciskiem myszy i wybieramy opcję Distribute Content.
Klikamy Next.
Klikamy Add i wybieramy pozycję Distribution Point.
Zatwierdzamy OK i przechodzimy przez kolejne okna.
Na końcu weryfikujemy status dystrybucji.
- Tworzenie Task Sequence z instalacją ESU
W celu utworzenia tasku instalacyjnego w konsoli MECM przechodzimy do zakładki Operating Systems/ Task Sequences i z górnego menu wybieramy opcję Create Task Sequence.
Pojawi się okno, na którym wybieramy opcję Create a new custom task sequence i klikamy w Next.
W kolejnym oknie wprowadzamy nazwę, np.: Activate Windows 7 ESU Year 3 i przechodzimy przez kolejne kroki.
Na pozycji nowego tasku klikamy prawym przyciskiem myszy i wybieramy opcję Edit.
Nasz task będzie składać się z siedmiu kroków, które pozwolą nam w prawidłowy sposób wdrożyć i aktywować nowe ESU.
W celu utworzenia poszczególnych pozycji w oknie edycji tasku wybieramy opcje
Add/ General /Run Command Line.
Utworzy to pustą pozycję z krokiem, który trzeba wyedytować w następujący sposób:
- Usuwanie konta z lokalnej grupy administracyjnej
W polu Name dodajemy krótki opis kroku, np.: Usuwanie konta z lokalnej grupy administracyjnej i w polu Command line dodajemy odpowiednią komendę.
Zmianę zatwierdzamy przez kliknięcie Apply.
cmd /c net localgroup „Administratorzy” „Domena\Konto_serwisowe” /DELETE
Krok ten ma za zadanie odświeżyć istniejące konto serwisowe, które wymagane jest do wdrożenia kolejnych kroków. Oczywiście nazwa konta oraz jego lokalizacja w folderach grup jest uzależniona od struktury w danej firmie, tutaj dla przykładu posługuję się typowymi nazwami.
- Dodawanie konta do lokalnej grupy administracyjnej
Dodajemy kolejny krok i edytujemy jak na zdjęciu poniżej. Krok ten dodaje poprzednio usunięte konto serwisowe przez zastosowanie komendy: cmd /c net localgroup „Administratorzy” „Domena\Konto_serwisowe” /ADD.
- Ustawienia proxy
W przypadku, gdy w naszej domenie ruch sieciowy przekierowywany jest przez serwer Proxy, należy skonfigurować z użyciem poniższej komendy:
netsh winhttp set proxy proxy.domena.pl:numer portu
Następnie odznaczamy pole Disable 64-Bit file system redirection i zaznaczamy pole Run this step as the following account. Uaktywni się wtedy pole wyboru, w którym należy wskazać nasze konto techniczne z uprawnieniami do tego rodzaju operacji.
- Usuwanie starej licencji ESU
Warto w kolejnym kroku usunąć poprzednio zainstalowaną licencję, tak aby w monicie licencji nie występowały zbędne pozycje. Do tego celu posłuży nam poniższa komenda, która zawiera identyfikator ESU Year 2:
cmd /c cscript //B „%windir%\system32\slmgr.vbs” /upk 0e00c25d-8795-4fb7-9572-3803d91b6880
Po wprowadzeniu komendy należy dodać nasze konto z prawidłowymi uprawnieniami.
- Dodanie i aktywowanie klucza ESU
Ten krok jest najważniejszy, przy użyciu poniższej komendy uruchamia skrypt wcześniej przez nas przygotowany i rozdystrybuowany w paczce. Do jego wykonania również jest niezbędny profil z podwyższonymi uprawnieniami.
cmd /c esu_3.cmd
- Reset Proxy
Krok ten konieczny jest do odświeżenia ustawień naszego proxy.
- Usuwanie konta z lokalnej grupy administracyjnej
Krok będzie wyglądać identycznie jak nasza pierwsza pozycja. Po zakończeniu wdrażania pozostałych, warto usunąć konto techniczne z grupy administracyjnej. Możemy wyedytować go w ten sam sposób lub sprytnie skopiować i wkleić na ostatnią pozycję, postępując według poniższych instrukcji.
Klikamy na pierwszym kroku prawym przyciskiem myszy i z menu wybieramy opcję Copy.
Następnie po kliknięciu ppm w białe pole z menu wybieramy opcję Paste.
Nowy krok pojawi się tuż pod pierwszym. W celu jego przesunięcia na właściwą ostatnią pozycję, należy użyć przycisku Move Down.
Wszystkie kroki w prawidłowej kolejności powinny wyglądać jak na zdjęciu poniżej.
Po zweryfikowaniu kroków zatwierdzamy Task przez wciśnięcie przycisku Apply i Ok. Nasz Task jest gotowy.
Wdrożenie Task Sequence ESU
Utworzony przez nas Task należy teraz wdrożyć na komputery z Windows 7. W tym celu należy wykonać poniższe kroki.
- Na pozycji tasku otwieramy Menu i wybieramy z niego pozycję Deploy.
- Wybieramy kolekcję urządzeń, na którą chcemy wdrożyć nasz Task i klikamy Next.
- W kolejnym kroku w polu Purpose wybieramy pozycję Required i w zależności od naszej konfiguracji sieci zaznaczamy pole Allow clients on metered Internet…, następnie klikamy Next.
- Z pola New wybieramy pozycję As soon as possible i klikamy Next.
- Zaznaczamy pozycje Show Task Sequence Progress w przypadku, gdy chcemy aby proces był widoczny dla użytkownika oraz Software installation, następnie Next.
- Wybieramy Next.
- W kolejnym etapie wybieramy z pozycji Deployment options: pozycję Download content locally when needed by the running task sequence i zaznaczamy pola Allow Client to use…, które umożliwią instalację tasku w podsieciach.
- Klikamy Next.
- Zatwierdzamy OK.
To wszystko. Cały proces rozpocznie się, jak tylko client SCCM zainstalowany na stacjach odbierze informację o wdrożonym tasku.
Obserwacja wdrożenia tasku
Monitoring wdrożeń
W przypadku, gdy chcemy mieć podgląd na to, co się dzieje z wdrożeniem naszego tasku, warto skorzystać z pomocy Monitoringu SCCM.
W tym celu w konsoli SCCM otwieramy zakładki Monitoring/ OverView/ Deployments i w polu wyszukiwania podajemy nazwę swojego Tasku.
Po wyświetleniu pozycji z taskiem, klikamy na niej i z menu wybieramy pozycję View Status.
Otworzy się okno Deployment Status, w którym możemy zweryfikować obecny stan wdrożenia, liczbę komputerów, na których instalacja udała się oraz zakładki przeznaczone do weryfikacji błędów i analizy pozostałych procesów.
Raporty SCCM
Dodatkową opcją są raporty SCCM, które pomogą nam indywidualnie zweryfikować proces wdrożenia tasku na danym komputerze.
Dobrym przykładem są raporty o nazwie:
– Status of a specific task sequence deployment for a specific computer ,
– History of a task sequence deployment on a computer.
Pierwszy raport przedstawia podsumowanie stanu określonego wdrożenia sekwencji zadań na określonym komputerze.
Drugi wyświetla stan każdego kroku wdrożenia określonej sekwencji zadań na określonym komputerze docelowym.
W celu ich wygenerowania należy przejść do zakładki Monitoring/ Overview/ Reporting / Reports i w polu wyszukiwania podać ich nazwę.
Następnie, po wygenerowaniu każdego z nich, w odpowiednich w polach podajemy nazwę swojego tasku oraz nazwę komputera, który chcemy zweryfikować.
Zawartość raportów można bez problemów wyeksportować do plików Excel lub PDF, co na pewno ułatwi ich późniejszą analizę lub edycję.
Poniżej opis kolumn zwartych w każdym z przykładowych raportów:
Podsumowanie
Zakończenie wsparcia dla Windows 7 zmusza firmy do posiadania przemyślanej strategii dotyczącej migracji na nowsze oprogramowanie. Cały proces nie jest łatwy i wymaga od biznesu oraz wsparcia IT w firmie przyszłościowego podejścia do sprawy.
Na szczęście firma Microsoft bardzo dokładnie przewidziała możliwe scenariusze. Udostępnione obecnie narzędzia na pewno ułatwią cały proces w szczególności, gdy firmy nie mogą sobie pozwolić na tak szybkie zmiany oprogramowania, jakie wymusza rozwój technologii.
Wiem, że poradnik może trochę przerażać ilością danych, ale uwierzcie mi, trudno znaleźć w sieci tak dokładne i sprawdzone informacje jak tutaj.
Źródło informacji:
- TechCommunity Microsoft
- Codzienna praca w środowisku SCCM
Zostaw komentarz