Série de Compatibilidades
Aplicativos (XP SP2 e W2k3
SP1) Parte 1
Rodrigo Vallim
Products Expert
Microsoft
Agenda
• Objetivos do Application Compatibility Toolkit
• Desafios em Compatibilidade de Aplicações
• ACT 4.0 em Detalhes
– Características
– Abordagem em 3 fases
• Avalie os problemas de compatibilidade de aplicações
• Corrija os problemas de compatibilidade
• Implemente soluções para os problemas
– Arquitetura e Características
• Áreas de Investimento Contínuo
• Apêndice
– 7 Passos para Trabalhar com o ACT 4.0
– 10 Principais Razões para Implementar o Microsoft Windows XP
SP2
Objetivos
• Aumentar a adoção do Windows através da eliminação
dos problemas de compatibilidade
• Fornecer um sistema unificado para endereçar problemas
de aplicações
– Ferramentas para Avaliação
– Ferramentas para Correção
– Ferramentas para Implementação
• Ouvir, aprender e responder a problemas de
compatibilidade de aplicações corporativas
– Fornecer um serviço de reclamação web seguro e privado para os
clientes compartilharem problemas e soluções de aplicações com
a Microsoft
Desafios (Windows XP)
• Mudanças no código base do Microsoft Windows XP
– 9x foi mais “relaxado” no gerenciamento de pilhas
– Alterações sutis nas API’s Win32
– Alterações de valores no registro
• Alterações na localização de pastas
– Documents & Settings
– My Documents
• Aplicações com drivers específicos de plataforma
– Comum em antivírus, backup e software de particionamento
• Aplicações hard-coded para trabalhar em versões
específicas de SO
Desafios (Windows XP SP2)
• Microsoft Internet Explorer
– Comportameno binário, travamento da zona local machine, mime
handling & sniffing, elevação de zona, restrições no Windows,
bloqueio de download
• DCOM & RPC
– Permissões de carregamento e ativação, acesso remoto anônimo
• Windows Firewall
– Portas fechadas por padrão
• Data Execution Prevention (DEP)
– Violações de acesso para aplicações que não trabalham com NX
Características – Visão Geral
Criado Sobre a Tecnologia da Versão 3.0
Ferramentas de Avaliação Melhoradas
Ferramentas de Correção Melhoradas
Ferramentas de Implementação Melhoradas
Interfaces Baseadas em Tarefas
Abordagem em 3 Fases
Avaliação
Correção
Implementação
Aplicações
de Inventário
Cria e Testa
Soluções
Soluções de
Implementação
Coleta Problemas
de Aplicações
Soluções de
Pacotes
Fase de Avaliação - Arquitetura
Agentes de Avaliação de
Compatibilidade
Distribui agentes para
Collector
Collector
 Coleta inventário de aplicações
 Avalia versões de aplicações
DCOM
DCOM
Windows
Windows
Firewall
Firewall
Configura agentes para
coletar dados específicos
Suporte
 Nome do departamento
 Nome de usuário, Nome de
Máquina, IP
Distribui via
 SMS
IE
Vendas
 Log on scripts
RH
Servidores
Ambiente de Produção
Executa ferramenta de teste
do IE
 Detect SP2 compatibility issues
Cliente
Ambiente de Teste
Avaliação de Aplicação
Ferramenta: Application Analyzer
Collector
Collector
Collector
Collector
DCOM
Collector
Collector
DCOM
Windows
Report
Viewer
(Analyzer)
Network
Network
Network
Share
Share
Share
Firewall
Collector
Windows
Firewall
Vendas
Suporte
DCOM
Collector
Windows
Firewall
SQL
Server
Cliente
Servidor
RH
Windows
Firewall
Web Service
Collector
Servidores
MSFT
Online DB
Ambiente de Produção
Avaliação de Aplicação Web
Ferramenta: Internet Explorer Compatibility
Evaluator Windows XP SP2 Cliente (Máquina de Teste)
Visualize o Log
Salve os
de erros
logs
Navegue na Internet
ou Intranet com o
“logging enabled”
do
Internet Explorer
Altere as Configs.
de segurança do
IE
Avalie problemas relacionados com:
1. Bloqueio Automático de Downloads
2. Bloqueio de Certificados ActiveX
3. Local Machine Zone Lockdown
(LMZL)
4. Restrições MIME
5. Bloqueio de Protocolo MK
6. Proteção de Cache de Objeto
7. Bloqueio de Pop-up
8. Restrições de Janelas
9. Restrições de Elevação de Zonas
Destaques da Avaliação
• Agente de inventário de aplicação automatizado
– Ferramenta leve
– Dados coletados sobre aplicações instaladas e configuração de
máquina
• Avaliadores de compatibilidade do Windows XP SP2
– Checa se uma aplicação usa interfaces DCOM que serão
bloqueadas pelo SP2
– Avalia e monitora portas do firewall e reporta o que o Windows
Firewall não permitirá (por padrão)
– Detecta violações para as novas características de segurança do
Internet Explorer
• Ferramenta para relatórios e análises muito rica
–
–
–
–
–
Filtro de dados mais rápido e fácil
Relatórios podem ser compartilhados
Aplicação gerenciada (requer .NET Framework 1.1)
Dados armazenados no SQL Server 2000
Criptografia segura de dados para o Microsoft online Web
services
Fase de Correção - Arquitetura
Busca Arq.  .ADQ
(Lista de Aplicações
com DCOM e Firewall)
Ambiente de Teste
Ferramenta de criação
da solução
Arquivo do
Compatibility
Administrator
 .SDB
Um pacote de solução
para aplicações
(Base de dados com
correções Win32)
Ambiente de Teste
Ferramenta de linha de comando que pode gerar um único EXE
Correção da Aplicação
Ferramenta: Compatibility Administrator
Sem Correções de Compatibilidade: Mensagem de erro no Windows XP
Chama “GetVersion”
setup.exe
kernel32.dll
Retorna 5.1.2600
Com Correções de Compatibilidade: Setup Continua no Windows XP
Chama “GetVersion”
setup.exe
Retorna 4.0.950
Correção de
Compatibilidade
kernel32.dll
Centenas de Correções: Conta de Usuário Limitada, Chaves do Registro,
Caminhos de Arquivos, Tela
Correção de Aplicação Web
Ferramenta: Internet Explorer Compatibility
Evaluator
Windows XP SP2 Cliente (Máquina de Teste)
Pacote do registro
Visualize Logs
(.REG)
de erros
Para o Internet
Explorer
Navegue na Internet
ou Intranet com o
“logging enabled”
do
Internet Explorer
Altere as
Configs. de
segurança do
IE
Destaques da Correção
• Possibilita soluções específicas por aplicação
minimizando o impacto no ambiente de segurança
• Um único pacote de solução para aplicações
– Para correções de DCOM e Firewall
• Aplicações são adicionadas à lista de exceções
– Para correções de compatibilidade Win32
• Base de dados instaladas na máquina destino
– Opção de desinstalação disponível
• Pacote de registro para o Internet Explorer
• Pode ser implementado via log on script ou SMS
– Alterações no registro também podem ser feitas via GPO
Arquitetura de Implementação
Pacote de
Log OnNetwork
Scripts
Share
Avaliação
Vendas
Pacote de
Correção
Cliente
Suporte
System
Management
Server
Servidor
RH
Servidores
Ambiente de Produção
Opção 1. Log on Scripts
Distribui agentes de avaliação ou pacotes de correção
Opção 2. Systems Management Server
Distribui agentes de avaliação ou pacotes de correção
Destaques de Implementação
• Fácil para distribuir e instalar
– Executável de auto-instalação
– Pode ser implementado via logon scripts ou SMS
• Integração SMS
– Estende as capacidades existentes do SMS
• Implementação de agentes de avaliação
• Implementação de pacotes de correção
• Consolidação de soluções de correção
– Um pacote de correção por aplicação, incluindo todas
as soluções
– Correções no registro para o Internet Explorer
Novas Características do ACT 4.0
Característica
ACT 3.0
Lista de Tarefas de Implementação
Agente de Inventário de Aplicação

Detecção de probl. DCOM e Firewall
Ferram. de teste de compat. do IE
Ferram. de cliente relatórios e análises
Ferramenta para criação de soluções


Ferram. para soluções de pacotes
Integração com SMS
Documentação

ACT 4.0









Áreas de Investimento Contínuo
Arquitetura Estensível
Troca de Informações
Mais Ferramentas e Guias
Interf. Baseadas em Tarefas
Apêndices
• 7 Passos Para Iniciar o ACT 4.0
• 10 Razões para instalar o Windows XP
SP2
Passo 1: Familiarize-se com o
ACT 4.0
• Efetue o download
– http://www.microsoft.com/windows/appcompati
bility/act4.mspx
• Instale o ACT 4.0
– Sistemas Operacionais recomendados:
• Microsoft Windows XP Professional
• Microsoft Windows Server 2003
Nota: Alguns componentes são suportados
dependendo do SO.
Passo 1: Familiarize-se com o
ACT 4.0
Componente
Descrição
SO Recomendado
Application Compatibility Toolkit
(Framework)
Arquivos de ajuda e lista de tarefas de
implementação
Application Analyzer
Ferramenta cliente para relatórios e analises
Application Compatibility
Administrator
Ferramenta cliente para aplicação de correções
de compatibilidade
Internet Explorer Compatibility
Evaluator
Ferramenta cliente para testar aplicações e
sites web no XPSP2
Windows XP Pro SP2
Collect.exe
Coleta inventário de aplicações em um
determinado conjunto de computadores
Microsoft Windows 98, ME,
Microsoft NT4
Microsoft Windows
2000 Pro
Microsoft Windows
2000 Server
Windows XP
Microsoft Windows Server
2003
WFCE.exe
DCOMCE.Exe
Identifica problemas potenciais de aplicações
para DCOM e Windows Firewall
Windows XP Pro
Windows Server 2003
Microsoft Windows
XP Pro
Microsoft Windows Server
2003
Passo 1: Familiarize-se com o
ACT 4.0
• Revise o guia de uso do ACT
– Tarefas passo a passo divididos em 3
fases
• Rastreie seu progresso de
implementação na lista de tarefas
• Documentação de ajuda no contexto
Passo 2: Configure o Application
Analyzer
• Carregue o Application
Analyzer
• Vá até a tela de configuração
• Configure o Analyzer SQL DB
– Especifique o nome do servidor
SQLe clique em “Refresh”
– Digite o nome da nova base de
dados para criar e clique em
“Create New”
(NOTA: você precisa ser um
membro do SQL Server admin)
Passo 2: Configure o Application
Analyzer
• Configure o Collector
– Configure os compartilhamentos
para coletar dados
• Dados de aplicação serão
coletados com Collect.exe
• Os dados de problemas de
aplicação serão coletados com
DCOMCE.exe e WFCE.exe
– Adicione os caminhos dos logs
para a lista
• Configure o Merger Service
– No Service Control Manager
encontre o serviço “merger”
– Configure-o para logar com uma
conta de usuário que tenha
privilégios na Analyzer SQL DB.
Passo 2: Configure o Application
Analyzer
• Configure as Permissões do Merger no Analyzer SQL DB
– No SQL Enterprise Manager expanda o Analyzer SQL DB e clique
em “Users”.
– Encontre o usuário que você adicionou para o serviço de Merger e
atribua a ele o papel de db_AnalyzerMerger
Passo 2: Configure o Application
Analyzer
• Configure as Permissões do Solution Builder no Analyzer SQL DB
– No SQL Enterprise Manager expanda o Analyzer SQL DB e clique em
“Users”.
– Identifique o usuário que você usurá para criar soluções (pacote de
correção) e adicione-o ao papel de db_SolutionBuilder
Passo 3: Colete Dados de
Aplicações e Problemas
• Inventário de Aplicações
– Execute Collect.exe
• Localizado em C:\Program Files\Microsoft
Application Compatibility Toolkit 4\Application
Analyzer
• Opções de linha de comando comuns
– Exemplo: collect.exe /o c:\TestLogs
– /o define o caminho de saída para os logs
– O nome padrão de arquivo é o nome da máquina
Passo 3: Colete Dados de
Aplicações e Problemas
• Colete Problemas de Compatibilidade do DCOM e
Windows Firewall
– Rode DCOMCE.exe
• Localizado em C:\Program Files\Microsoft Application Compatibility
Toolkit\Application Analyzer\CEAgents
• Opções de linha de comando
– Examplo: DCOMCE.exe /o c:\TestLogs
– /o define o caminho de saída para os logs
– O nome padrão do arquivo é MachineName.Issue.GUID
– Rode WFCE.exe
• Localizado em C:\Program Files\Microsoft Application Compatibility
Toolkit\Application Analyzer\CEAgents
• Copiado para um diretório onde usuários comuns não tem acesso de
escrita (Ex. c:\Windows\System32)
• Opções de linha de comando
– Examplo: WFCE.exe /o c:\TestLogs
– /o define um caminho de saída
– O nome padrão de arquivo é MachineName.Issue.GUID
Passo 3: Colete Dados de
Aplicações e Problemas
• Collector e o Compatibility Evaluator Agents
podem ser distribuídos via o SMS Deployment
Wizard
Passo 3: Colete Dados de
Aplicações e Problemas
• Colete os problemas de compatibilidade do IE
– Rode o Internet Explorer Compatibility Evaluator (IECE)
– Atualize o IE com o test logging infrastructure
– Rode os testes nas aplicações de web críticas sobre o Windows
XP SP2
Passo 4: Processe os Dados
• Mescle os dados
coletados para o
Analyzer SQL DB
– Carregue Application
Analyzer
– Vá para a tela de
informação
– Clique em “Log
Processing”
– Clique em “Start Log
Processing”
Passo 4: Processe os Dados
• Pegue os últimos dados de problemas a
partir da Microsoft
– Conecte via conexão segura
Passo 5: Analise os Dados
• Analize os dados de problema de compatibilidade de
aplicação
– Carregue o Application Analyzer
– Vá para Reports
– Três possibilidades de visualização de dados: Aplicações,
Máquinas ou Problemas
Passo 5: Analise os Dados
• Clique para ver os detalhes de uma
aplicação específica
Passo 5: Analise os Dados
• Clique para ver os detalhes de um
problema
Passo 5: Analise os Dados
• Analise os dados de problemas de
compatibilidade de aplicações Web
– Visualize os logs dos problemas relatados
– Clique sobre o problema para descobrir mais sobre,
incluindo possíveis soluções
Passo 6: Correção de Problemas
de Compatibilidade
• Corrija problemas de compatibilidade de aplicações legadas
– Rode o Compatibility Administrator
– Aplique “Layers” e “Fixes” como apropriado
• Camadas de compatibilidade são desenhadas para “enganar” Win32 APIs e
emular comportamentos anteriores
• Exemplos
– Caminhos hard-coding para pastas especiais  “CorrectFilePaths”
– Número de Versão de SO  Correção de Compatibilidade de Versão
– Gere uma base de dados personalizada de correções (chamado de
custom SDB)
– Instale o custom SDB para aplicá-lo
Passo 6: Correção de Problemas
de Compatibilidade
• Corria Problemas de
Compatibilidade do
Internet Explorer
– Opção 1 - Exporte a
correção do IECE para um
arquivo .REG (Binary
Behaviors, Pop-up
Blocking , Windows
Restrictions)
– Opção 2 – Altere as
configurações de
segurança globais do IE
– Opção 3 - Altere o
problema diretamente no
código
Passo 6: Correção de Problemas
de Compatibilidade
•
Corrija os problemas de compatibilidade do DCOM e Windows Firewall (WF)
–
–
–
–
Carregue o Application Analyzer
Filtre o relatório para exibir os problemas de DCOM e WF que você quer corrigir
Salve o relatório como um arquivo ADQ
Copie os arquivos FixPack.Exe, FixInst.Exe, dbapi.dll, mtadq.dll e sdbproxy.dll
para o local onde o arquivo ADQ foi salvo
– Rode o Solution Builder para gerar um pacote executável das correções do DCOM
e WF
Passo 7: Implementação
• Um pacote EXE para facilitar a
implementação
– Correções DCOM e Firewall
– Correções de compatibilidade Win 32
• Um pacote de registro para correções do
Internet Explorer
– Pode também ser configurado via Group
Policies
Introdução
Service Packs
•
•
•
•
Atualizações de Produto
Melhorias de Confiabilidade
Melhorias de Compatibilidade
Melhorias de Segurança
support.microsoft.com/sp
Computação Confiável
Segurança
Privacidade
Confiabilidade
Integridade
Introdução
Quando as ameaças ocorrem?
A maioria dos
ataques
acontece aqui
Produto
Lançado
Vulnerabilidade
Fix
descoberta disponível
Fix instalado
pelo cliente
Introdução
Tempo para a invasão diminuindo
Invasão
331
180
Produto
Lançado
Nimda
SQL
Slammer
O tempo (em dias) entre
151
a disponibilização da
Vulnerabilidade
Fix
Fix instalado
correção
tem
descoberta
disponível e a invasão
pelo cliente
diminuído, portanto a
25
14
aplicação de “patches”
não pode ser a única
Welchia/ Blaster
Sasser
Nachi
defesa em grandes
empresas
XP SP2 e Server 2003 SP1
Metas de Segurança
Melhorias de Segurança no Sistema – SP1
Post Setup Security Updates (PSSU)
• Proteção do servidor entre a instalação do
sistema operacional e a instalação das últimas
atualizações
• Windows Firewall é habilitado se não for
explicitamente configurado durante a instalação
Melhorias de Segurança no Sistema – SP1
Post Setup Security Updates (PSSU)
• Invocado após:
• Atualização do Windows NT4 para o Windows
Server 2003 SP1
• Instalação combinada do Windows Server 2003 e
SP1
• Não invocado após:
• Atualização do Windows 2000 para o Windows
Server 2003 SP1
• Atualização do Windows Server 2003 para SP1
Melhorias de Segurança no Sistema
Security Configuration Wizard
• Identifica portas abertas
• O assistente deve ser executado com as aplicações e
serviços requeridos rodando
• Seleciona os papéis do servidor na base de dados de
configuração
• Configura os serviços requeridos
• Configura portas para o Windows Firewall
• Configura segurança para LDAP e SMB
• Configura uma política de auditoria
• Configura detalhes específicos ao papel executado
pelo servidor
Windows Server 2003 SP1 e Exchange
Considerações
• O mecanismo preferencial para aumentar a segurança
em servidores Exchange é seguindo as recomendações
do Exchange Hardening Guide
• SCW foi testado pela equipe do Exchange
• O Exchange Hardening Guide possui informações mais
detalhadas e específicas para o Exchange
• SCW faz uso de templates do Hardening Guide
Windows Server 2003 SP1 e Exchange
Considerações
• As diretivas do SCW assumem que todas as aplicações
(serviços) estejam instaladas nos seus diretórios padrões
de instalação.
• Se o Exchange não é instalado no
%ProgramFiles%\Exchsrvr, existe uma grande chance de
surgirem problemas
• Na parte “Network Security” do SCW é habilitado o
Windows Firewall e definidas as exceções
Windows Server 2003 SP1 e Exchange
Considerações
• Segurança de Rede irá alertar de que determinado
serviço não foi encontrado no seu diretório padrão de
instalação
• Resolva o problema, ou o Windows Firewall vai acabar
bloqueando uma aplicação / serviço valido
Windows Server 2003 SP1 e Exchange
Considerações
• Se os alertas do SCW são ignorados, os serviços
vão levantar, mas alguns clientes não vão
conseguir se conectar
• Para corrigir:
– Faça o Roll-back da política de segurança aplicada
usando o SCW
– Edite manualmente a política de exceção do Windows
Firewall
Windows Server 2003 SP1 e Exchange
Itens a serem lembrados…
• Windows Firewall é um FIREWALL 
– Após adicionar um serviço, execute novamente o SCW e edite a
lista de exceções do Windows Firewall!
• SCW permite a política em múltiplos servidores
– Se a política do SCW que você criou num servidor Exchange
Server 2003 é importada num outro servidor Exchange Server
2003 e cujo diretório de instalação é diferente do que gerou a
política, sérios problemas poderão ocorrer
Razões para Implementar
Windows XP SP2
1.
2.
3.
4.
5.
6.
7.
8.
9.
Ajudar a proteger seu PC contra anexos.
Aumentar sua privacidade na Web
Evitar downloads não seguros
Reduzir pop-ups inconvenientes
Permitir proteção de firewall da inicialização ao desligamento
Tomar controle das suas configurações de segurança
Pegar as últimas atualizações facilmente
Ajudar a proteger se endereço de e-mail
Tomar ações contra add-ons que causam problemas no
browser
10. Usar wireless sem problemas
Mais Informações
• Download ACT 4.0
– http://www.microsoft.com/windows/appcompatibility/act4.msp
• Site do Technet Brasil
– http://www.technetbrasil.com.br
• Exchange Server 2003 Security Hardening Guide
– http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exs
ecure.mspx
• SCW Deployment Guide e SCW Troubleshooting Guide.
– http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd4969eb9-4a45-aa00-3f2f20fd6171&displaylang=en
Mais Informações
• Windows Server:
http://www.microsoft.com/windowsserver2003/default.mspx
• Visão Geral do SP1:
http://www.microsoft.com/windowsserver2003/downloads/serv
icepacks/sp1/overview.mspx
• Detalhes do SP1:
http://www.microsoft.com/technet/prodtechnol/windowsserver
2003/servicepack/default.mspx
• Download do SP1:
http://www.microsoft.com/downloads/details.aspx?amp;displa
ylang=en&familyid=22CFC239-337C-4D81-835472593B1C1F43&displaylang=en
Seu potencial. Nossa inspiração.