S é rie de Compatibilidades Aplicativos (XP SP2 e W2k3 SP1) Parte 1 Rodrigo Vallim Products Expert Microsoft.
Post on 17-Apr-2015
105 Views
Preview:
Transcript
Série de Compatibilidades Aplicativos (XP SP2 e W2k3 SP1) Parte 1
Rodrigo Vallim
Products Expert
Microsoft
Agenda• Objetivos do Application Compatibility Toolkit• Desafios em Compatibilidade de Aplicações• ACT 4.0 em Detalhes
– Características– Abordagem em 3 fases
• Avalie os problemas de compatibilidade de aplicações• Corrija os problemas de compatibilidade• Implemente soluções para os problemas
– Arquitetura e Características• Áreas de Investimento Contínuo• Apêndice
– 7 Passos para Trabalhar com o ACT 4.0– 10 Principais Razões para Implementar o Microsoft Windows XP
SP2
Objetivos• Aumentar a adoção do Windows através da eliminação
dos problemas de compatibilidade• Fornecer um sistema unificado para endereçar problemas
de aplicações– Ferramentas para Avaliação– Ferramentas para Correção– Ferramentas para Implementação
• Ouvir, aprender e responder a problemas de compatibilidade de aplicações corporativas– Fornecer um serviço de reclamação web seguro e privado para
os clientes compartilharem problemas e soluções de aplicações com a Microsoft
Desafios (Windows XP)• Mudanças no código base do Microsoft Windows XP
– 9x foi mais “relaxado” no gerenciamento de pilhas– Alterações sutis nas API’s Win32– Alterações de valores no registro
• Alterações na localização de pastas– Documents & Settings– My Documents
• Aplicações com drivers específicos de plataforma– Comum em antivírus, backup e software de particionamento
• Aplicações hard-coded para trabalhar em versões específicas de SO
Desafios (Windows XP SP2)
• Microsoft Internet Explorer– Comportameno binário, travamento da zona local machine, mime
handling & sniffing, elevação de zona, restrições no Windows, bloqueio de download
• DCOM & RPC– Permissões de carregamento e ativação, acesso remoto anônimo
• Windows Firewall– Portas fechadas por padrão
• Data Execution Prevention (DEP) – Violações de acesso para aplicações que não trabalham com NX
Características – Visão Geral
Criado Sobre a Tecnologia da Versão 3.0Criado Sobre a Tecnologia da Versão 3.0
Ferramentas de Avaliação MelhoradasFerramentas de Avaliação Melhoradas
Ferramentas de Correção MelhoradasFerramentas de Correção Melhoradas
Ferramentas de Implementação MelhoradasFerramentas de Implementação Melhoradas
Interfaces Baseadas em TarefasInterfaces Baseadas em Tarefas
Abordagem em 3 Fases
AvaliaçãoAvaliação CorreçãoCorreção ImplementaçãoImplementação
AplicaçõesAplicaçõesde Inventáriode Inventário
Coleta ProblemasColeta Problemasde Aplicaçõesde Aplicações Soluções deSoluções de
PacotesPacotes
Soluções deSoluções deImplementaçãoImplementação
Cria e TestaCria e TestaSoluçõesSoluções
Vendas Suporte
ServidoresRH
Ambiente de Teste
Ambiente de Produção
Collector
DCOM
WindowsFirewall
IEIE
CollectorCollectorCollectorCollectorCollectorCollectorCollectorCollectorCollectorCollector
DCOMDCOMDCOMDCOM
WindowsWindowsFirewallFirewall
WindowsWindowsFirewallFirewall
Agentes de Avaliação de Compatibilidade
IEIE
Distribui agentes para Distribui agentes para Coleta inventário de aplicaçõesColeta inventário de aplicações Avalia versões de aplicaçõesAvalia versões de aplicações
Executa ferramenta de teste Executa ferramenta de teste do IEdo IE
Detect SP2 compatibility issuesDetect SP2 compatibility issues
Cliente
Distribui via Distribui via SMSSMS Log on scriptsLog on scripts
Configura agentes para Configura agentes para coletar dados específicoscoletar dados específicos Nome do departamentoNome do departamento Nome de usuário, Nome de Nome de usuário, Nome de Máquina, IPMáquina, IP
Fase de Avaliação - Arquitetura
Ambiente de Produção
NetworkShare
Avaliação de AplicaçãoFerramenta: Application Analyzer
Vendas Suporte
Servidores
RH
Collector
DCOM
WindowsFirewall
Collector
Collector
Collector
Collector
Collector
Collector
Collector
Collector
DCOM
DCOM
WindowsFirewall
WindowsFirewall
WindowsFirewall
Servidor
MSFTMSFTOnline DBOnline DB
SQLSQLServerServer
NetworkShare
NetworkShare
Web ServiceWeb Service
NetworkNetworkShareShare
ReportReportViewerViewer
(Analyzer)(Analyzer)
Cliente
Avaliação de Aplicação WebFerramenta: Internet Explorer Compatibility Evaluator
Visualize o Log Visualize o Log
de errosde erros
Altere as Configs.Altere as Configs.
de segurança dode segurança do
IEIE
Salve osSalve os
logslogs
Avalie problemas relacionados com:Avalie problemas relacionados com:
1.1. Bloqueio Automático de Downloads Bloqueio Automático de Downloads
2.2. Bloqueio de Certificados ActiveXBloqueio de Certificados ActiveX
3.3. Local Machine Zone Lockdown Local Machine Zone Lockdown (LMZL) (LMZL)
4.4. Restrições MIMERestrições MIME
5.5. Bloqueio de Protocolo MKBloqueio de Protocolo MK
6.6. Proteção de Cache de Objeto Proteção de Cache de Objeto
7.7. Bloqueio de Pop-upBloqueio de Pop-up
8.8. Restrições de Janelas Restrições de Janelas
9.9. Restrições de Elevação de Zonas Restrições de Elevação de Zonas
Windows XP SP2 Cliente (Máquina de Teste)Windows XP SP2 Cliente (Máquina de Teste)
Navegue na Internet ou Intranet com o
“logging enabled” do
Internet Explorer
Destaques da Avaliação• Agente de inventário de aplicação automatizado
– Ferramenta leve– Dados coletados sobre aplicações instaladas e configuração de
máquina• Avaliadores de compatibilidade do Windows XP SP2
– Checa se uma aplicação usa interfaces DCOM que serão bloqueadas pelo SP2
– Avalia e monitora portas do firewall e reporta o que o Windows Firewall não permitirá (por padrão)
– Detecta violações para as novas características de segurança do Internet Explorer
• Ferramenta para relatórios e análises muito rica– Filtro de dados mais rápido e fácil– Relatórios podem ser compartilhados– Aplicação gerenciada (requer .NET Framework 1.1)– Dados armazenados no SQL Server 2000– Criptografia segura de dados para o Microsoft online Web
services
Ambiente de TesteAmbiente de Teste
Ferramenta de linha de comando que pode gerar um único EXE
Fase de Correção - Arquitetura
Busca Arq. Busca Arq. .ADQ .ADQ
(Lista de Aplicações (Lista de Aplicações com DCOM e Firewall)com DCOM e Firewall)
Arquivo do Arquivo do Compatibility Compatibility AdministratorAdministrator
.SDB.SDB
(Base de dados com (Base de dados com correções Win32)correções Win32)
Ferramenta de criaçãoFerramenta de criação
da soluçãoda solução
Ambiente de TesteAmbiente de Teste
Um pacote de solução Um pacote de solução para aplicações para aplicações
Correção da Aplicação Ferramenta: Compatibility Administrator
Sem Correções de Compatibilidade: Mensagem de erro no Windows XPSem Correções de Compatibilidade: Mensagem de erro no Windows XP
Chama “GetVersion”
Retorna 5.1.2600
Chama “GetVersion”
Retorna 4.0.950setup.exe
setup.exe kernel32.dll
Correção de Correção de CompatibilidadeCompatibilidade
kernel32.dll
Com Correções de Compatibilidade: Setup Continua no Windows XPCom Correções de Compatibilidade: Setup Continua no Windows XP
Centenas de Correções: Conta de Usuário Limitada, Chaves do Registro, Centenas de Correções: Conta de Usuário Limitada, Chaves do Registro, Caminhos de Arquivos, TelaCaminhos de Arquivos, Tela
Correção de Aplicação WebFerramenta: Internet Explorer Compatibility Evaluator
Pacote do registroPacote do registro
(.REG)(.REG)
Para o Internet Para o Internet ExplorerExplorer
Visualize LogsVisualize Logs
de errosde erros
Altere as Altere as Configs. de Configs. de
segurança do segurança do IEIE
Windows XP SP2 Cliente (Máquina de Teste)Windows XP SP2 Cliente (Máquina de Teste)
Navegue na Internet ou Intranet com o
“logging enabled” do
Internet Explorer
Destaques da Correção
• Possibilita soluções específicas por aplicação minimizando o impacto no ambiente de segurança
• Um único pacote de solução para aplicações – Para correções de DCOM e Firewall
• Aplicações são adicionadas à lista de exceções– Para correções de compatibilidade Win32
• Base de dados instaladas na máquina destino– Opção de desinstalação disponível
• Pacote de registro para o Internet Explorer • Pode ser implementado via log on script ou SMS
– Alterações no registro também podem ser feitas via GPO
Arquitetura de Implementação
Ambiente de Produção
Vendas Suporte
ServidoresRHServidor
Opção 1. Log on Scripts Distribui agentes de avaliação ou pacotes de correção
Opção 2. Systems Management Server Distribui agentes de avaliação ou pacotes de correção
NetworkShare
NetworkShare
Log On ScriptsLog On Scripts
System Management
Server
Cliente
Pacote de Pacote de CorreçãoCorreção
Pacote dePacote de
AvaliaçãoAvaliação
Destaques de Implementação• Fácil para distribuir e instalar
– Executável de auto-instalação– Pode ser implementado via logon scripts ou SMS
• Integração SMS– Estende as capacidades existentes do SMS
• Implementação de agentes de avaliação• Implementação de pacotes de correção
• Consolidação de soluções de correção– Um pacote de correção por aplicação, incluindo todas as
soluções– Correções no registro para o Internet Explorer
Característica ACT 3.0 ACT 4.0Lista de Tarefas de Implementação Agente de Inventário de Aplicação Detecção de probl. DCOM e Firewall Ferram. de teste de compat. do IE Ferram. de cliente relatórios e análises Ferramenta para criação de soluções Ferram. para soluções de pacotes Integração com SMS Documentação
Novas Características do ACT 4.0
Áreas de Investimento ContínuoTroca de InformaçõesArquitetura Estensível
Interf. Baseadas em TarefasMais Ferramentas e Guias
Apêndices
• 7 Passos Para Iniciar o ACT 4.0
• 10 Razões para instalar o Windows XP SP2
Passo 1: Familiarize-se com o ACT 4.0• Efetue o download
– http://www.microsoft.com/windows/appcompatibility/act4.mspx
• Instale o ACT 4.0– Sistemas Operacionais recomendados:
• Microsoft Windows XP Professional• Microsoft Windows Server 2003
Nota: Alguns componentes são suportados dependendo do SO.
Componente Descrição SO RecomendadoApplication Compatibility Toolkit (Framework)
Arquivos de ajuda e lista de tarefas de implementação Microsoft Windows
XP Pro
Microsoft Windows Server 2003
Application Analyzer Ferramenta cliente para relatórios e analises
Application Compatibility Administrator
Ferramenta cliente para aplicação de correções de compatibilidade
Internet Explorer Compatibility Evaluator
Ferramenta cliente para testar aplicações e sites web no XPSP2
Windows XP Pro SP2
Collect.exeColeta inventário de aplicações em um determinado conjunto de computadores
Microsoft Windows 98, ME, Microsoft NT4
Microsoft Windows2000 Pro
Microsoft Windows2000 Server
Windows XP
Microsoft Windows Server 2003
WFCE.exe
DCOMCE.ExeIdentifica problemas potenciais de aplicações para DCOM e Windows Firewall
Windows XP Pro
Windows Server 2003
Passo 1: Familiarize-se com o ACT 4.0
• Revise o guia de uso do ACT– Tarefas passo a passo divididos em 3
fases
• Rastreie seu progresso de implementação na lista de tarefas
• Documentação de ajuda no contexto
Passo 1: Familiarize-se com o ACT 4.0
Passo 2: Configure o Application Analyzer
• Carregue o Application Analyzer
• Vá até a tela de configuração• Configure o Analyzer SQL DB
– Especifique o nome do servidor SQLe clique em “Refresh”
– Digite o nome da nova base de dados para criar e clique em “Create New”
(NOTA: você precisa ser um membro do SQL Server admin)
• Configure o Collector– Configure os compartilhamentos
para coletar dados• Dados de aplicação serão
coletados com Collect.exe• Os dados de problemas de
aplicação serão coletados com DCOMCE.exe e WFCE.exe
– Adicione os caminhos dos logs para a lista
• Configure o Merger Service– No Service Control Manager
encontre o serviço “merger”– Configure-o para logar com uma
conta de usuário que tenha privilégios na Analyzer SQL DB.
Passo 2: Configure o Application Analyzer
• Configure as Permissões do Merger no Analyzer SQL DB– No SQL Enterprise Manager expanda o Analyzer SQL DB e clique
em “Users”.– Encontre o usuário que você adicionou para o serviço de Merger e
atribua a ele o papel de db_AnalyzerMerger
Passo 2: Configure o Application Analyzer
• Configure as Permissões do Solution Builder no Analyzer SQL DB– No SQL Enterprise Manager expanda o Analyzer SQL DB e clique em
“Users”.
– Identifique o usuário que você usurá para criar soluções (pacote de correção) e adicione-o ao papel de db_SolutionBuilder
Passo 2: Configure o Application Analyzer
Passo 3: Colete Dados de Aplicações e Problemas• Inventário de Aplicações
– Execute Collect.exe• Localizado em C:\Program Files\Microsoft
Application Compatibility Toolkit 4\Application Analyzer
• Opções de linha de comando comuns– Exemplo: collect.exe /o c:\TestLogs– /o define o caminho de saída para os logs– O nome padrão de arquivo é o nome da máquina
• Colete Problemas de Compatibilidade do DCOM e Windows Firewall– Rode DCOMCE.exe
• Localizado em C:\Program Files\Microsoft Application Compatibility Toolkit\Application Analyzer\CEAgents
• Opções de linha de comando– Examplo: DCOMCE.exe /o c:\TestLogs– /o define o caminho de saída para os logs– O nome padrão do arquivo é MachineName.Issue.GUID
– Rode WFCE.exe• Localizado em C:\Program Files\Microsoft Application Compatibility
Toolkit\Application Analyzer\CEAgents• Copiado para um diretório onde usuários comuns não tem acesso de
escrita (Ex. c:\Windows\System32)• Opções de linha de comando
– Examplo: WFCE.exe /o c:\TestLogs– /o define um caminho de saída– O nome padrão de arquivo é MachineName.Issue.GUID
Passo 3: Colete Dados de Aplicações e Problemas
• Collector e o Compatibility Evaluator Agents podem ser distribuídos via o SMS Deployment Wizard
Passo 3: Colete Dados de Aplicações e Problemas
• Colete os problemas de compatibilidade do IE– Rode o Internet Explorer Compatibility Evaluator (IECE)– Atualize o IE com o test logging infrastructure– Rode os testes nas aplicações de web críticas sobre o Windows
XP SP2
Passo 3: Colete Dados de Aplicações e Problemas
Passo 4: Processe os Dados
• Mescle os dados coletados para o Analyzer SQL DB– Carregue Application
Analyzer– Vá para a tela de
informação– Clique em “Log
Processing”– Clique em “Start Log
Processing”
• Pegue os últimos dados de problemas a partir da Microsoft– Conecte via conexão segura
Passo 4: Processe os Dados
Passo 5: Analise os Dados• Analize os dados de problema de compatibilidade de
aplicação– Carregue o Application Analyzer– Vá para Reports– Três possibilidades de visualização de dados: Aplicações,
Máquinas ou Problemas
• Clique para ver os detalhes de uma aplicação específica
Passo 5: Analise os Dados
• Clique para ver os detalhes de um problema
Passo 5: Analise os Dados
• Analise os dados de problemas de compatibilidade de aplicações Web– Visualize os logs dos problemas relatados– Clique sobre o problema para descobrir mais sobre,
incluindo possíveis soluções
Passo 5: Analise os Dados
Passo 6: Correção de Problemas de Compatibilidade
• Corrija problemas de compatibilidade de aplicações legadas– Rode o Compatibility Administrator– Aplique “Layers” e “Fixes” como apropriado
• Camadas de compatibilidade são desenhadas para “enganar” Win32 APIs e emular comportamentos anteriores
• Exemplos– Caminhos hard-coding para pastas especiais “CorrectFilePaths”– Número de Versão de SO Correção de Compatibilidade de Versão
– Gere uma base de dados personalizada de correções (chamado de custom SDB)
– Instale o custom SDB para aplicá-lo
• Corria Problemas de Compatibilidade do Internet Explorer– Opção 1 - Exporte a
correção do IECE para um arquivo .REG (Binary Behaviors, Pop-up Blocking , Windows Restrictions)
– Opção 2 – Altere as configurações de segurança globais do IE
– Opção 3 - Altere o problema diretamente no código
Passo 6: Correção de Problemas de Compatibilidade
• Corrija os problemas de compatibilidade do DCOM e Windows Firewall (WF)– Carregue o Application Analyzer– Filtre o relatório para exibir os problemas de DCOM e WF que você quer corrigir– Salve o relatório como um arquivo ADQ– Copie os arquivos FixPack.Exe, FixInst.Exe, dbapi.dll, mtadq.dll e sdbproxy.dll
para o local onde o arquivo ADQ foi salvo– Rode o Solution Builder para gerar um pacote executável das correções do DCOM
e WF
Passo 6: Correção de Problemas de Compatibilidade
Passo 7: Implementação
• Um pacote EXE para facilitar a implementação– Correções DCOM e Firewall– Correções de compatibilidade Win 32
• Um pacote de registro para correções do Internet Explorer– Pode também ser configurado via Group
Policies
IntroduçãoService Packs• Atualizações de Produto• Melhorias de Confiabilidade• Melhorias de Compatibilidade• Melhorias de Segurança
support.microsoft.com/sp
Computação ConfiávelComputação Confiável
SegurançaSegurança PrivacidadePrivacidade ConfiabilidadeConfiabilidade IntegridadeIntegridade
A maioria dos A maioria dos ataques ataques acontece acontece
aquiaqui
Produto Produto LançadoLançado
VulnerabilidadeVulnerabilidadedescobertadescoberta
Fix Fix disponívdisponív
elel
Fix instalado Fix instalado pelo clientepelo cliente
IntroduçãoQuando as ameaças ocorrem?
Produto Produto LançadoLançado
VulnerabilidadeVulnerabilidadedescobertadescoberta
Fix Fix disponíveldisponível
Fix instalado Fix instalado pelo clientepelo cliente
O tempo (em dias) entre a disponibilização da
correção e a invasão tem diminuído, portanto a
aplicação de “patches” não pode ser a única defesa em grandes empresas
Invasão
151151180180
331331
BlasterBlasterWelchia/ Welchia/ NachiNachi
NimdaNimda
2525
SQL SQL SlammerSlammer
1414
SasserSasser
IntroduçãoTempo para a invasão diminuindo
XP SP2 e Server 2003 SP1 Metas de Segurança
Melhorias de Segurança no Sistema – SP1Post Setup Security Updates (PSSU)
• Proteção do servidor entre a instalação do sistema operacional e a instalação das últimas atualizações
• Windows Firewall é habilitado se não for explicitamente configurado durante a instalação
Melhorias de Segurança no Sistema – SP1Post Setup Security Updates (PSSU)
• Invocado após:• Atualização do Windows NT4 para o Windows
Server 2003 SP1• Instalação combinada do Windows Server 2003 e
SP1
• Não invocado após:• Atualização do Windows 2000 para o Windows
Server 2003 SP1• Atualização do Windows Server 2003 para SP1
Melhorias de Segurança no Sistema Security Configuration Wizard• Identifica portas abertas
• O assistente deve ser executado com as aplicações e serviços requeridos rodando
• Seleciona os papéis do servidor na base de dados de configuração
• Configura os serviços requeridos• Configura portas para o Windows Firewall• Configura segurança para LDAP e SMB• Configura uma política de auditoria• Configura detalhes específicos ao papel executado
pelo servidor
Windows Server 2003 SP1 e Exchange Considerações
• O mecanismo preferencial para aumentar a segurança em servidores Exchange é seguindo as recomendações do Exchange Hardening Guide
• SCW foi testado pela equipe do Exchange
• O Exchange Hardening Guide possui informações mais detalhadas e específicas para o Exchange
• SCW faz uso de templates do Hardening Guide
Windows Server 2003 SP1 e Exchange Considerações
• As diretivas do SCW assumem que todas as aplicações (serviços) estejam instaladas nos seus diretórios padrões de instalação.
• Se o Exchange não é instalado no %ProgramFiles%\Exchsrvr, existe uma grande chance de surgirem problemas
• Na parte “Network Security” do SCW é habilitado o Windows Firewall e definidas as exceções
Windows Server 2003 SP1 e Exchange Considerações
• Segurança de Rede irá alertar de que determinado serviço não foi encontrado no seu diretório padrão de instalação
• Resolva o problema, ou o Windows Firewall vai acabar bloqueando uma aplicação / serviço valido
Windows Server 2003 SP1 e Exchange Considerações
• Se os alertas do SCW são ignorados, os serviços vão levantar, mas alguns clientes não vão conseguir se conectar
• Para corrigir:– Faça o Roll-back da política de segurança aplicada
usando o SCW– Edite manualmente a política de exceção do Windows
Firewall
Windows Server 2003 SP1 e Exchange Itens a serem lembrados…
• Windows Firewall é um FIREWALL – Após adicionar um serviço, execute novamente o SCW e edite a
lista de exceções do Windows Firewall!
• SCW permite a política em múltiplos servidores– Se a política do SCW que você criou num servidor Exchange
Server 2003 é importada num outro servidor Exchange Server 2003 e cujo diretório de instalação é diferente do que gerou a política, sérios problemas poderão ocorrer
Razões para Implementar Windows XP SP21. Ajudar a proteger seu PC contra anexos.
2. Aumentar sua privacidade na Web
3. Evitar downloads não seguros
4. Reduzir pop-ups inconvenientes
5. Permitir proteção de firewall da inicialização ao desligamento
6. Tomar controle das suas configurações de segurança
7. Pegar as últimas atualizações facilmente
8. Ajudar a proteger se endereço de e-mail
9. Tomar ações contra add-ons que causam problemas no browser
10. Usar wireless sem problemas
Mais Informações• Download ACT 4.0
– http://www.microsoft.com/windows/appcompatibility/act4.msp
• Site do Technet Brasil– http://www.technetbrasil.com.br
• Exchange Server 2003 Security Hardening Guide– http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exs
ecure.mspx
• SCW Deployment Guide e SCW Troubleshooting Guide.– http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9e
b9-4a45-aa00-3f2f20fd6171&displaylang=en
Mais Informações• Windows Server: http://www.microsoft.com/windowsserver2003/default.mspx• Visão Geral do SP1:
http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/overview.mspx• Detalhes do SP1:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx• Download do SP1: http://www.microsoft.com/downloads/details.aspx?amp;displaylang
=en&familyid=22CFC239-337C-4D81-8354-72593B1C1F43&displaylang=en
Seu potencial. Nossa inspiração.
top related