Série de Compatibilidades Aplicativos (XP SP2 e W2k3 SP1) Parte 1

Rodrigo Vallim

Products Expert

Microsoft

Agenda• Objetivos do Application Compatibility Toolkit• Desafios em Compatibilidade de Aplicações• ACT 4.0 em Detalhes

– Características– Abordagem em 3 fases

• Avalie os problemas de compatibilidade de aplicações• Corrija os problemas de compatibilidade• Implemente soluções para os problemas

– Arquitetura e Características• Áreas de Investimento Contínuo• Apêndice

– 7 Passos para Trabalhar com o ACT 4.0– 10 Principais Razões para Implementar o Microsoft Windows XP

SP2

Objetivos• Aumentar a adoção do Windows através da eliminação

dos problemas de compatibilidade• Fornecer um sistema unificado para endereçar problemas

de aplicações– Ferramentas para Avaliação– Ferramentas para Correção– Ferramentas para Implementação

• Ouvir, aprender e responder a problemas de compatibilidade de aplicações corporativas– Fornecer um serviço de reclamação web seguro e privado para

os clientes compartilharem problemas e soluções de aplicações com a Microsoft

Desafios (Windows XP)• Mudanças no código base do Microsoft Windows XP

– 9x foi mais “relaxado” no gerenciamento de pilhas– Alterações sutis nas API’s Win32– Alterações de valores no registro

• Alterações na localização de pastas– Documents & Settings– My Documents

• Aplicações com drivers específicos de plataforma– Comum em antivírus, backup e software de particionamento

• Aplicações hard-coded para trabalhar em versões específicas de SO

Desafios (Windows XP SP2)

• Microsoft Internet Explorer– Comportameno binário, travamento da zona local machine, mime

handling & sniffing, elevação de zona, restrições no Windows, bloqueio de download

• DCOM & RPC– Permissões de carregamento e ativação, acesso remoto anônimo

• Windows Firewall– Portas fechadas por padrão

• Data Execution Prevention (DEP) – Violações de acesso para aplicações que não trabalham com NX

Características – Visão Geral

Criado Sobre a Tecnologia da Versão 3.0Criado Sobre a Tecnologia da Versão 3.0

Ferramentas de Avaliação MelhoradasFerramentas de Avaliação Melhoradas

Ferramentas de Correção MelhoradasFerramentas de Correção Melhoradas

Ferramentas de Implementação MelhoradasFerramentas de Implementação Melhoradas

Interfaces Baseadas em TarefasInterfaces Baseadas em Tarefas

Abordagem em 3 Fases

AvaliaçãoAvaliação CorreçãoCorreção ImplementaçãoImplementação

AplicaçõesAplicaçõesde Inventáriode Inventário

Coleta ProblemasColeta Problemasde Aplicaçõesde Aplicações Soluções deSoluções de

PacotesPacotes

Soluções deSoluções deImplementaçãoImplementação

Cria e TestaCria e TestaSoluçõesSoluções

Vendas Suporte

ServidoresRH

Ambiente de Teste

Ambiente de Produção

Collector

DCOM

WindowsFirewall

IEIE

CollectorCollectorCollectorCollectorCollectorCollectorCollectorCollectorCollectorCollector

DCOMDCOMDCOMDCOM

WindowsWindowsFirewallFirewall

WindowsWindowsFirewallFirewall

Agentes de Avaliação de Compatibilidade

IEIE

Distribui agentes para Distribui agentes para Coleta inventário de aplicaçõesColeta inventário de aplicações Avalia versões de aplicaçõesAvalia versões de aplicações

Executa ferramenta de teste Executa ferramenta de teste do IEdo IE

Detect SP2 compatibility issuesDetect SP2 compatibility issues

Cliente

Distribui via Distribui via SMSSMS Log on scriptsLog on scripts

Configura agentes para Configura agentes para coletar dados específicoscoletar dados específicos Nome do departamentoNome do departamento Nome de usuário, Nome de Nome de usuário, Nome de Máquina, IPMáquina, IP

Fase de Avaliação - Arquitetura

Ambiente de Produção

NetworkShare

Avaliação de AplicaçãoFerramenta: Application Analyzer

Vendas Suporte

Servidores

RH

Collector

DCOM

WindowsFirewall

Collector

Collector

Collector

Collector

Collector

Collector

Collector

Collector

DCOM

DCOM

WindowsFirewall

WindowsFirewall

WindowsFirewall

Servidor

MSFTMSFTOnline DBOnline DB

SQLSQLServerServer

NetworkShare

NetworkShare

Web ServiceWeb Service

NetworkNetworkShareShare

ReportReportViewerViewer

(Analyzer)(Analyzer)

Cliente

Avaliação de Aplicação WebFerramenta: Internet Explorer Compatibility Evaluator

Visualize o Log Visualize o Log

de errosde erros

Altere as Configs.Altere as Configs.

de segurança dode segurança do

IEIE

Salve osSalve os

logslogs

Avalie problemas relacionados com:Avalie problemas relacionados com:

1.1. Bloqueio Automático de Downloads Bloqueio Automático de Downloads

2.2. Bloqueio de Certificados ActiveXBloqueio de Certificados ActiveX

3.3. Local Machine Zone Lockdown Local Machine Zone Lockdown (LMZL) (LMZL)

4.4. Restrições MIMERestrições MIME

5.5. Bloqueio de Protocolo MKBloqueio de Protocolo MK

6.6. Proteção de Cache de Objeto Proteção de Cache de Objeto

7.7. Bloqueio de Pop-upBloqueio de Pop-up

8.8. Restrições de Janelas Restrições de Janelas

9.9. Restrições de Elevação de Zonas Restrições de Elevação de Zonas

Windows XP SP2 Cliente (Máquina de Teste)Windows XP SP2 Cliente (Máquina de Teste)

Navegue na Internet ou Intranet com o

“logging enabled” do

Internet Explorer

Destaques da Avaliação• Agente de inventário de aplicação automatizado

– Ferramenta leve– Dados coletados sobre aplicações instaladas e configuração de

máquina• Avaliadores de compatibilidade do Windows XP SP2

– Checa se uma aplicação usa interfaces DCOM que serão bloqueadas pelo SP2

– Avalia e monitora portas do firewall e reporta o que o Windows Firewall não permitirá (por padrão)

– Detecta violações para as novas características de segurança do Internet Explorer

• Ferramenta para relatórios e análises muito rica– Filtro de dados mais rápido e fácil– Relatórios podem ser compartilhados– Aplicação gerenciada (requer .NET Framework 1.1)– Dados armazenados no SQL Server 2000– Criptografia segura de dados para o Microsoft online Web

services

Ambiente de TesteAmbiente de Teste

Ferramenta de linha de comando que pode gerar um único EXE

Fase de Correção - Arquitetura

Busca Arq. Busca Arq. .ADQ .ADQ

(Lista de Aplicações (Lista de Aplicações com DCOM e Firewall)com DCOM e Firewall)

Arquivo do Arquivo do Compatibility Compatibility AdministratorAdministrator

.SDB.SDB

(Base de dados com (Base de dados com correções Win32)correções Win32)

Ferramenta de criaçãoFerramenta de criação

da soluçãoda solução

Ambiente de TesteAmbiente de Teste

Um pacote de solução Um pacote de solução para aplicações para aplicações

Correção da Aplicação Ferramenta: Compatibility Administrator

Sem Correções de Compatibilidade: Mensagem de erro no Windows XPSem Correções de Compatibilidade: Mensagem de erro no Windows XP

Chama “GetVersion”

Retorna 5.1.2600

Chama “GetVersion”

Retorna 4.0.950setup.exe

setup.exe kernel32.dll

Correção de Correção de CompatibilidadeCompatibilidade

kernel32.dll

Com Correções de Compatibilidade: Setup Continua no Windows XPCom Correções de Compatibilidade: Setup Continua no Windows XP

Centenas de Correções: Conta de Usuário Limitada, Chaves do Registro, Centenas de Correções: Conta de Usuário Limitada, Chaves do Registro, Caminhos de Arquivos, TelaCaminhos de Arquivos, Tela

Correção de Aplicação WebFerramenta: Internet Explorer Compatibility Evaluator

Pacote do registroPacote do registro

(.REG)(.REG)

Para o Internet Para o Internet ExplorerExplorer

Visualize LogsVisualize Logs

de errosde erros

Altere as Altere as Configs. de Configs. de

segurança do segurança do IEIE

Windows XP SP2 Cliente (Máquina de Teste)Windows XP SP2 Cliente (Máquina de Teste)

Navegue na Internet ou Intranet com o

“logging enabled” do

Internet Explorer

Destaques da Correção

• Possibilita soluções específicas por aplicação minimizando o impacto no ambiente de segurança

• Um único pacote de solução para aplicações – Para correções de DCOM e Firewall

• Aplicações são adicionadas à lista de exceções– Para correções de compatibilidade Win32

• Base de dados instaladas na máquina destino– Opção de desinstalação disponível

• Pacote de registro para o Internet Explorer • Pode ser implementado via log on script ou SMS

– Alterações no registro também podem ser feitas via GPO

Arquitetura de Implementação

Ambiente de Produção

Vendas Suporte

ServidoresRHServidor

Opção 1. Log on Scripts Distribui agentes de avaliação ou pacotes de correção

Opção 2. Systems Management Server Distribui agentes de avaliação ou pacotes de correção

NetworkShare

NetworkShare

Log On ScriptsLog On Scripts

System Management

Server

Cliente

Pacote de Pacote de CorreçãoCorreção

Pacote dePacote de

AvaliaçãoAvaliação

Destaques de Implementação• Fácil para distribuir e instalar

– Executável de auto-instalação– Pode ser implementado via logon scripts ou SMS

• Integração SMS– Estende as capacidades existentes do SMS

• Implementação de agentes de avaliação• Implementação de pacotes de correção

• Consolidação de soluções de correção– Um pacote de correção por aplicação, incluindo todas as

soluções– Correções no registro para o Internet Explorer

Característica ACT 3.0 ACT 4.0Lista de Tarefas de Implementação Agente de Inventário de Aplicação Detecção de probl. DCOM e Firewall Ferram. de teste de compat. do IE Ferram. de cliente relatórios e análises Ferramenta para criação de soluções Ferram. para soluções de pacotes Integração com SMS Documentação

Novas Características do ACT 4.0

Áreas de Investimento ContínuoTroca de InformaçõesArquitetura Estensível

Interf. Baseadas em TarefasMais Ferramentas e Guias

Apêndices

• 7 Passos Para Iniciar o ACT 4.0

• 10 Razões para instalar o Windows XP SP2

Passo 1: Familiarize-se com o ACT 4.0• Efetue o download

– http://www.microsoft.com/windows/appcompatibility/act4.mspx

• Instale o ACT 4.0– Sistemas Operacionais recomendados:

• Microsoft Windows XP Professional• Microsoft Windows Server 2003

Nota: Alguns componentes são suportados dependendo do SO.

Componente Descrição SO RecomendadoApplication Compatibility Toolkit (Framework)

Arquivos de ajuda e lista de tarefas de implementação Microsoft Windows

XP Pro

Microsoft Windows Server 2003

Application Analyzer Ferramenta cliente para relatórios e analises

Application Compatibility Administrator

Ferramenta cliente para aplicação de correções de compatibilidade

Internet Explorer Compatibility Evaluator

Ferramenta cliente para testar aplicações e sites web no XPSP2

Windows XP Pro SP2

Collect.exeColeta inventário de aplicações em um determinado conjunto de computadores

Microsoft Windows 98, ME, Microsoft NT4

Microsoft Windows2000 Pro

Microsoft Windows2000 Server

Windows XP

Microsoft Windows Server 2003

WFCE.exe

DCOMCE.ExeIdentifica problemas potenciais de aplicações para DCOM e Windows Firewall

Windows XP Pro

Windows Server 2003

Passo 1: Familiarize-se com o ACT 4.0

• Revise o guia de uso do ACT– Tarefas passo a passo divididos em 3

fases

• Rastreie seu progresso de implementação na lista de tarefas

• Documentação de ajuda no contexto

Passo 1: Familiarize-se com o ACT 4.0

Passo 2: Configure o Application Analyzer

• Carregue o Application Analyzer

• Vá até a tela de configuração• Configure o Analyzer SQL DB

– Especifique o nome do servidor SQLe clique em “Refresh”

– Digite o nome da nova base de dados para criar e clique em “Create New”

(NOTA: você precisa ser um membro do SQL Server admin)

• Configure o Collector– Configure os compartilhamentos

para coletar dados• Dados de aplicação serão

coletados com Collect.exe• Os dados de problemas de

aplicação serão coletados com DCOMCE.exe e WFCE.exe

– Adicione os caminhos dos logs para a lista

• Configure o Merger Service– No Service Control Manager

encontre o serviço “merger”– Configure-o para logar com uma

conta de usuário que tenha privilégios na Analyzer SQL DB.

Passo 2: Configure o Application Analyzer

• Configure as Permissões do Merger no Analyzer SQL DB– No SQL Enterprise Manager expanda o Analyzer SQL DB e clique

em “Users”.– Encontre o usuário que você adicionou para o serviço de Merger e

atribua a ele o papel de db_AnalyzerMerger

Passo 2: Configure o Application Analyzer

• Configure as Permissões do Solution Builder no Analyzer SQL DB– No SQL Enterprise Manager expanda o Analyzer SQL DB e clique em

“Users”.

– Identifique o usuário que você usurá para criar soluções (pacote de correção) e adicione-o ao papel de db_SolutionBuilder

Passo 2: Configure o Application Analyzer

Passo 3: Colete Dados de Aplicações e Problemas• Inventário de Aplicações

– Execute Collect.exe• Localizado em C:\Program Files\Microsoft

Application Compatibility Toolkit 4\Application Analyzer

• Opções de linha de comando comuns– Exemplo: collect.exe /o c:\TestLogs– /o define o caminho de saída para os logs– O nome padrão de arquivo é o nome da máquina

• Colete Problemas de Compatibilidade do DCOM e Windows Firewall– Rode DCOMCE.exe

• Localizado em C:\Program Files\Microsoft Application Compatibility Toolkit\Application Analyzer\CEAgents

• Opções de linha de comando– Examplo: DCOMCE.exe /o c:\TestLogs– /o define o caminho de saída para os logs– O nome padrão do arquivo é MachineName.Issue.GUID

– Rode WFCE.exe• Localizado em C:\Program Files\Microsoft Application Compatibility

Toolkit\Application Analyzer\CEAgents• Copiado para um diretório onde usuários comuns não tem acesso de

escrita (Ex. c:\Windows\System32)• Opções de linha de comando

– Examplo: WFCE.exe /o c:\TestLogs– /o define um caminho de saída– O nome padrão de arquivo é MachineName.Issue.GUID

Passo 3: Colete Dados de Aplicações e Problemas

• Collector e o Compatibility Evaluator Agents podem ser distribuídos via o SMS Deployment Wizard

Passo 3: Colete Dados de Aplicações e Problemas

• Colete os problemas de compatibilidade do IE– Rode o Internet Explorer Compatibility Evaluator (IECE)– Atualize o IE com o test logging infrastructure– Rode os testes nas aplicações de web críticas sobre o Windows

XP SP2

Passo 3: Colete Dados de Aplicações e Problemas

Passo 4: Processe os Dados

• Mescle os dados coletados para o Analyzer SQL DB– Carregue Application

Analyzer– Vá para a tela de

informação– Clique em “Log

Processing”– Clique em “Start Log

Processing”

• Pegue os últimos dados de problemas a partir da Microsoft– Conecte via conexão segura

Passo 4: Processe os Dados

Passo 5: Analise os Dados• Analize os dados de problema de compatibilidade de

aplicação– Carregue o Application Analyzer– Vá para Reports– Três possibilidades de visualização de dados: Aplicações,

Máquinas ou Problemas

• Clique para ver os detalhes de uma aplicação específica

Passo 5: Analise os Dados

• Clique para ver os detalhes de um problema

Passo 5: Analise os Dados

• Analise os dados de problemas de compatibilidade de aplicações Web– Visualize os logs dos problemas relatados– Clique sobre o problema para descobrir mais sobre,

incluindo possíveis soluções

Passo 5: Analise os Dados

Passo 6: Correção de Problemas de Compatibilidade

• Corrija problemas de compatibilidade de aplicações legadas– Rode o Compatibility Administrator– Aplique “Layers” e “Fixes” como apropriado

• Camadas de compatibilidade são desenhadas para “enganar” Win32 APIs e emular comportamentos anteriores

• Exemplos– Caminhos hard-coding para pastas especiais “CorrectFilePaths”– Número de Versão de SO Correção de Compatibilidade de Versão

– Gere uma base de dados personalizada de correções (chamado de custom SDB)

– Instale o custom SDB para aplicá-lo

• Corria Problemas de Compatibilidade do Internet Explorer– Opção 1 - Exporte a

correção do IECE para um arquivo .REG (Binary Behaviors, Pop-up Blocking , Windows Restrictions)

– Opção 2 – Altere as configurações de segurança globais do IE

– Opção 3 - Altere o problema diretamente no código

Passo 6: Correção de Problemas de Compatibilidade

• Corrija os problemas de compatibilidade do DCOM e Windows Firewall (WF)– Carregue o Application Analyzer– Filtre o relatório para exibir os problemas de DCOM e WF que você quer corrigir– Salve o relatório como um arquivo ADQ– Copie os arquivos FixPack.Exe, FixInst.Exe, dbapi.dll, mtadq.dll e sdbproxy.dll

para o local onde o arquivo ADQ foi salvo– Rode o Solution Builder para gerar um pacote executável das correções do DCOM

e WF

Passo 6: Correção de Problemas de Compatibilidade

Passo 7: Implementação

• Um pacote EXE para facilitar a implementação– Correções DCOM e Firewall– Correções de compatibilidade Win 32

• Um pacote de registro para correções do Internet Explorer– Pode também ser configurado via Group

Policies

IntroduçãoService Packs• Atualizações de Produto• Melhorias de Confiabilidade• Melhorias de Compatibilidade• Melhorias de Segurança

support.microsoft.com/sp

Computação ConfiávelComputação Confiável

SegurançaSegurança PrivacidadePrivacidade ConfiabilidadeConfiabilidade IntegridadeIntegridade

A maioria dos A maioria dos ataques ataques acontece acontece

aquiaqui

Produto Produto LançadoLançado

VulnerabilidadeVulnerabilidadedescobertadescoberta

Fix Fix disponívdisponív

elel

Fix instalado Fix instalado pelo clientepelo cliente

IntroduçãoQuando as ameaças ocorrem?

Produto Produto LançadoLançado

VulnerabilidadeVulnerabilidadedescobertadescoberta

Fix Fix disponíveldisponível

Fix instalado Fix instalado pelo clientepelo cliente

O tempo (em dias) entre a disponibilização da

correção e a invasão tem diminuído, portanto a

aplicação de “patches” não pode ser a única defesa em grandes empresas

Invasão

151151180180

331331

BlasterBlasterWelchia/ Welchia/ NachiNachi

NimdaNimda

2525

SQL SQL SlammerSlammer

1414

SasserSasser

IntroduçãoTempo para a invasão diminuindo

XP SP2 e Server 2003 SP1 Metas de Segurança

Melhorias de Segurança no Sistema – SP1Post Setup Security Updates (PSSU)

• Proteção do servidor entre a instalação do sistema operacional e a instalação das últimas atualizações

• Windows Firewall é habilitado se não for explicitamente configurado durante a instalação

Melhorias de Segurança no Sistema – SP1Post Setup Security Updates (PSSU)

• Invocado após:• Atualização do Windows NT4 para o Windows

Server 2003 SP1• Instalação combinada do Windows Server 2003 e

SP1

• Não invocado após:• Atualização do Windows 2000 para o Windows

Server 2003 SP1• Atualização do Windows Server 2003 para SP1

Melhorias de Segurança no Sistema Security Configuration Wizard• Identifica portas abertas

• O assistente deve ser executado com as aplicações e serviços requeridos rodando

• Seleciona os papéis do servidor na base de dados de configuração

• Configura os serviços requeridos• Configura portas para o Windows Firewall• Configura segurança para LDAP e SMB• Configura uma política de auditoria• Configura detalhes específicos ao papel executado

pelo servidor

Windows Server 2003 SP1 e Exchange Considerações

• O mecanismo preferencial para aumentar a segurança em servidores Exchange é seguindo as recomendações do Exchange Hardening Guide

• SCW foi testado pela equipe do Exchange

• O Exchange Hardening Guide possui informações mais detalhadas e específicas para o Exchange

• SCW faz uso de templates do Hardening Guide

Windows Server 2003 SP1 e Exchange Considerações

• As diretivas do SCW assumem que todas as aplicações (serviços) estejam instaladas nos seus diretórios padrões de instalação.

• Se o Exchange não é instalado no %ProgramFiles%\Exchsrvr, existe uma grande chance de surgirem problemas

• Na parte “Network Security” do SCW é habilitado o Windows Firewall e definidas as exceções

Windows Server 2003 SP1 e Exchange Considerações

• Segurança de Rede irá alertar de que determinado serviço não foi encontrado no seu diretório padrão de instalação

• Resolva o problema, ou o Windows Firewall vai acabar bloqueando uma aplicação / serviço valido

Windows Server 2003 SP1 e Exchange Considerações

• Se os alertas do SCW são ignorados, os serviços vão levantar, mas alguns clientes não vão conseguir se conectar

• Para corrigir:– Faça o Roll-back da política de segurança aplicada

usando o SCW– Edite manualmente a política de exceção do Windows

Firewall

Windows Server 2003 SP1 e Exchange Itens a serem lembrados…

• Windows Firewall é um FIREWALL – Após adicionar um serviço, execute novamente o SCW e edite a

lista de exceções do Windows Firewall!

• SCW permite a política em múltiplos servidores– Se a política do SCW que você criou num servidor Exchange

Server 2003 é importada num outro servidor Exchange Server 2003 e cujo diretório de instalação é diferente do que gerou a política, sérios problemas poderão ocorrer

Razões para Implementar Windows XP SP21. Ajudar a proteger seu PC contra anexos.

2. Aumentar sua privacidade na Web

3. Evitar downloads não seguros

4. Reduzir pop-ups inconvenientes

5. Permitir proteção de firewall da inicialização ao desligamento

6. Tomar controle das suas configurações de segurança

7. Pegar as últimas atualizações facilmente

8. Ajudar a proteger se endereço de e-mail

9. Tomar ações contra add-ons que causam problemas no browser

10. Usar wireless sem problemas

Mais Informações• Download ACT 4.0

– http://www.microsoft.com/windows/appcompatibility/act4.msp

• Site do Technet Brasil– http://www.technetbrasil.com.br

• Exchange Server 2003 Security Hardening Guide– http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exs

ecure.mspx

• SCW Deployment Guide e SCW Troubleshooting Guide.– http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9e

b9-4a45-aa00-3f2f20fd6171&displaylang=en

Mais Informações• Windows Server: http://www.microsoft.com/windowsserver2003/default.mspx• Visão Geral do SP1:

http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/overview.mspx• Detalhes do SP1:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx• Download do SP1: http://www.microsoft.com/downloads/details.aspx?amp;displaylang

=en&familyid=22CFC239-337C-4D81-8354-72593B1C1F43&displaylang=en

Seu potencial. Nossa inspiração.