CENTRO UNIVERSITÁRIO CARIOCA ANALISE E DESENVOLVIMENTO DE SISTEMAS
WINDOWS SEVEN
Glauco R. Machado Gustavo C. Arau jo Luiz Alexandre F. Ferro Marcus Vinicius S. Ferreira Mauro S. Santana
TRABALHO PARA 2ª AVALIAÇÃO INF 136 – SISTEMAS OPERACIONAIS Turma 432
Rio de Janeiro – 2010 / 1
Glauco R. Machado Gustavo C. Arau jo Luiz Alexandre F. Ferro Marcus Vinicius S. Ferreira Mauro S. Santana
WINDOWS SEVEN
Trabalho de grupo para a Disciplina Sistemas Operacionais, do Curso de Analise e Desenvolvimento de Sistemas do Centro Universitário Carioca – Campus Jacarepaguá. Analise e Desenv. de Sistemas, Sistemas Operacionais. Turma 432.
Rio de Janeiro – 2010 / 1
SUMÁRIO INTRODUÇÃO – WINDOWS 7 ............................................ ................................................................... ................................. .......... 1 – NOVIDADES E ALTERAÇÕES ............................................ ................................................................... ........................... .... 1.1 - Novidades ............................................... ...................................................................... .............................................. ............................ ..... 1.1.1 - AppLocker ............................................... ...................................................................... .......................................... ................... 1.1.2 - Biometria ............................................... ...................................................................... ............................................ ..................... 1.1.3 - Certificados ............................................... ...................................................................... ......................................... .................. 1.1.4 - Ferramentas Ferrament as de Implantação Imp lantação .............................................................. .............................................................. 1.1.4.1 - Windows Win dows AIK A IK ........................................................ .......................................................................... .................. 1.1.4.2 - Serviços de Implantação do Windows Wi ndows ..................................... ..................................... 1.1.5 - Diretiva de d e Grupo ............................................. .................................................................... ................................. .......... 1.1.5.1 - Cmdlets do Windows PowerShell para Diretiva de Grupo ..... 1.1.5.2 - Preferências de Diretiva de Grupo ........................................... ........................................... 1.1.5.3 - Objetos de Diretiva de Grupo de Início ................................... 1.1.5.4 - Configurações de Modelo Administrativo ............................... 1.1.6 - Reconhecimento Reconh ecimento de Manuscrito ......................................................... ......................................................... 1.1.7 - IIS 7.5 ................................................. ........................................................................ .............................................. ........................... 1.1.8 - Rede ................................................. ........................................................................ .............................................. ........................... .... 1.1.9 - Gerenciamento de Energia para Dispositivos de Rede ...................... 1.1.10 - Gerenciamento Geren ciamento de Impressão ........................................................... ........................................................... 1.1.11 - Contas de Serviço ........................................... .................................................................. ................................. .......... 1.1.12 - Cartões Inteligentes .............................................. ..................................................................... ............................ ..... 1.1.13 - Controle Cont role de Conta Con ta de Usuário Usuá rio ...................................................... .......................................................... .... 1.1.14 - Discos Rígidos Virtuais ............................................................... ................................................................... .... 1.1.15 - Windows Defender ................................................................... .......................................................................... ....... 1.1.16 - Windows Deployment .................................................................. ..................................................................... ... 1.1.17 - Windows PowerShell ............................................................... ....................................................................... ........ 1.1.18 - Recursos de Pesquisa, Busca e Organização do Windows ............. 1.1.19 - Auditoria de Segurança do Windows .............................................. 1.2 – Alterações e Melhorias ............................................ ................................................................... ................................. .......... 1.2.1- Alterações Diversas no Windows 7 .................................................... 1.2.2 - Segurança Seguran ça do Windows Wi ndows 7 ................................................................ ................................................................... ... 1.2.3 - Capacidade de Gerenciamento do Windows 7 .................................. 2 – IMPLANTAÇÃO ............................................................... ...................................................................................... ................................. .......... 2.1 - Implantações Implan tações MUI para Windows 7 ....................................................... .......................................................... ... 2.2 - Estratégia de d e Implantação .................................................. ......................................................................... ......................... 2.2.1 - High-Touch High-Touc h com Retail Retai l Media .......................................................... .......................................................... 2.2.2 - High-Touch High-Touc h com Imagem Padrão ...................................................... ...................................................... 2.2.3 - Lite-Touch, Implantação Impla ntação de Alto-Volume Alto-Vol ume ......................................... ......................................... 2.2.4 - Zero-Touch, Implantação Impl antação de Alto-Volume Alto -Volume ........................................ ........................................ 3 - COMPATIBILIDADE DE APLICATIVOS ....................................................... ....................................................... 3.1 - Entendendo a Compatibilidade de Aplicativos ..................................... 3.2 - Compreendendo a compatibilidade de aplicativos no seu ambiente ....... 3.3 - Problemas de compatibilidade de aplicativos ............................................ 3.3.1- Coletando um inventário de aplicativos .............................................. 3.3.2 - Analisando os Dados de Compatibilidade de Aplicativos ................ 3.4 - Application Compatibility Toolkit (ACT) versão 5.5 ............................... 3.5 - Application Appli cation Compatibility Compatib ility Manager ............................................... .......................................................... ........... 3.6 - Caminhos de Atualização do Windows 7 ..................................................
1 3 3 4 6 7 8 9 10 16 18 21 23 24 26 27 28 32 33 35 37 38 43 44 46 49 53 57 67 67 72 79 103 103 105 106 110 116 119 121 121 126 129 130 132 135 137 143
3.7 - User State Migration Tool 4.0 ................................................................... 3.7.1 - Visão geral da USMT ........................................................................ 3.7.2 – Requisitos .......................................................................................... 3.7.3 - O que há de novo na USMT 4.0 ........................................................ 3.8 - Implantação da Área de Trabalho do Windows 7 ..................................... 4 - SEGURANÇA E PROTEÇÃO ........................................................................... 4.1 - Segurança do Cliente ................................................................................. 4.1.1 - Alterações no Serviço Instalador do ActiveX .................................... 4.1.2 - Alterações na Criptografia de Unidade de Disco BitLocker ............. 4.1.3 - Alterações no EFS .............................................................................. 4.1.4 - Alterações na Autenticação Kerberos ................................................ 5 – VERSÕES ........................................................................................................... RESUMO .................................................................................................................. REFERÊNCIAS ........................................................................................................
145 146 146 149 154 158 158 158 159 161 163 164 165 166
INTRODUÇÃO – WINDOWS 7 A Microsoft lançou recentemente o sistema operacional cliente mais recente, o Windows® 7. A maior parte das informações contidas neste trabalho se concentrará em como o Windows 7 facilitará as tarefas do dia-a-dia, com uma experiência de usuário aprimorada e cenários de produtividade para usuários finais, concentrando nas informações específicas de interesse dos profissionais de TI. A arquitetura central do Windows 7 permanece a mesma, uma vez que é construída sobre a mesma base do Windows Server® 2008 e do Windows Vista®. Isso garante que quase todos os PCs, aplicativos e dispositivos compatíveis com o Windows Vista continuarão compatíveis com o Windows 7. Na verdade, os investimentos feitos na adoção do Windows Vista (testes, pilotos, implantação) terão retorno com uma transição mais suave para o Windows 7. Ao projetar o Windows 7, a Microsoft concentrou-se no chamado de “conceitos básicos” — desempenho, compatibilidade de aplicativos, compatibilidade de dispositivos, confiabilidade, segurança e vida útil da bateria. Esse esforço foi auxiliado pelos dados de telemetria sobre como os PCs estão sendo usados e sobre problemas que resultaram em baixo desempenho ou interrupções. O mais importante para os profissionais de TI serão os aprimoramentos em capacidade de gerenciamento e segurança — e como esses aprimoramentos afetam nosso trabalho diário. O Windows 7 foi desenvolvido para tornar o gerenciamento de ambientes de PC mais automatizado, controlável e eficiente. Traz ferramentas e recursos de monitoramento que não estão disponíveis em um ambiente com o Windows XP. A geração de imagens do Windows 7 amplia os aprimoramentos básicos feitos no Windows Vista, adicionando recursos de enumeração e de gerenciamento de drivers. A migração de dados é mais rápida e flexível com o novo recurso de ‘Hardlink’, juntamente com o suporte à migração offline. Quando conversamos com os profissionais de TI, normalmente ouvimos sobre os problemas enfrentados ao manter uma configuração padrão e impedir que os usuários finais adicionem software e hardware não autorizados. Além disso, para computadores laptop remotos que passam a maior parte do tempo desconectados da rede corporativa, administrar patches e atualizações é desafiador e não confiável. A segurança é uma daquelas questões eternas do gerenciamento de TI, e a conformidade com normas está se tornando um desafio maior devido ao aumento do número de regulamentações em todo o mundo. Embora o Windows XP SP2 tenha apresentado avanços significativos na segurança de PCs, inovações abomináveis em malware e engenharia social significam que os PCs ainda estão propensos a ameaças de interrupção. Além disso, implementar uma diretiva de conformidade com normas — especialmente para proteger dados confidenciais em PCs móveis — é um desafio em particular. O Windows 7 aprimora ainda mais os avanços com um Controle de Conta de Usuário personalizável que permite que os profissionais de TI “ajustem” o recurso com 1
base em seus ambientes; para as instâncias onde mais flexibilidade é concedida aos usuários, menos solicitações de elevação serão exibidas. Ao contrário, em ambientes que exigem um maior controle sobre a infra-estrutura de TI, o UAC pode ser reforçado para minimizar as alterações que um usuário pode fazer. Para a proteção de dados, veremos o BitLocker ToGo™, estendendo a criptografia para unidades removíveis. Esse recurso oferece maior controle sobre as informações que saem da corporação, além de ajudar a proteger unidades USB perdidas ou roubadas. O Windows 7 também incorpora aprimoramentos aos perfis de firewall e permite que a área TI controle o acesso de usuários específicos a aplicativos específicos, mas falaremos sobre isso com mais detalhes em artigos futuros. A criação e a implantação de imagens foram aprimoradas com avanços como o provisionamento dinâmico de unidades, a ferramenta de gerenciamento e manutenção de imagens de implantação, a transferência de fluxos múltiplos de multicast e aprimoramentos na migração de estado do usuário. O Windows 7 promete avanços em capacidade de gerenciamento, segurança, implantação e produtividade do usuário final. E é nestas bases que seguem nosso trabalho.
2
1 – NOVIDADES E ALTERAÇÕES 1.1 – Novidades Os usuários estão ficando cada vez mais experientes em computação e, consequentemente, esperam mais da tecnologia que usam para trabalhar. Eles esperam poder trabalhar de casa, de filiais e quando estiverem viajando, sem redução na produtividade. Conforme as necessidades dos usuários se modificam, aumentam as exigências em relação aos profissionais de TI. Nos dias atuais, os profissionais de TI estão sendo solicitados a fornecer mais recursos e maior flexibilidade no suporte, e ao mesmo tempo, manter a redução de custos e de riscos à segurança. Com o Windows® 7, os profissionais de TI podem atender a essas diferentes necessidades dos usuários de forma mais fácil de gerenciar. As empresas podem permitir que os funcionários trabalhem de forma mais produtiva na mesa do escritório, em casa, viajando ou em uma filial. A segurança e o controle foram aprimorados, reduzindo o risco associado aos dados em computadores perdidos ou unidades externas de disco rígido. O gerenciamento de desktops foi otimizado, assim, há menos esforço para implantar o Windows 7 e mantê-lo em perfeito funcionamento. Como o Windows 7 tem o Windows Vista® como base, as empresas que já têm o Windows Vista instalado poderão perceber que o Windows 7 é altamente compatível com hardwares, softwares e ferramentas existentes. O Windows 7 contém muitos recursos novos e modificados interessantes para os profissionais de TI. A seguir estão algumas das principais tarefas de gerenciamento que podem ser melhoradas ou habilitadas com o Windows 7. a) O Windows 7 permite que os usuários finais sejam produtivos, não importa onde estejam ou onde residem os dados dos quais precisam. Eles podem trabalhar com mais rapidez e menos interrupções, pois o Windows 7 aumenta o desempenho e a confiabilidade. Eles não precisam procurar em vários lugares para encontrar as informações, pois uma única pesquisa pode examinar um site do SharePoint na intranet de uma empresa, bem como os arquivos de seus computadores. Com o DirectAccess, os usuários móveis poderão acessar com segurança e simplicidade os recursos corporativos quando estiverem fora do escritório. Os usuários nas filiais com conexões lentas também podem ser mais produtivos usando o BranchCache™ no Windows 7 para armazenar em cache os arquivos e as páginas da Web acessados com mais frequência. b) O Windows 7 tem como base a segurança do Windows Vista, oferecendo maior flexibilidade na proteção de computadores e dados. Além de proteger os discos rígidos internos, a Criptografia de Unidade de Disco BitLocker™ agora pode criptografar unidades USB e discos rígidos externos — e fornecer chaves de recuperação para que os dados possam ser acessados quando necessários. Para obter mais informações sobre BitLocker, consulte Visão geral executiva do BitLocker do Windows 7. Para empresas que demandam os níveis mais altos de conformidade, os profissionais de TI podem usar novas ferramentas de bloqueio de aplicativos para indicar quais aplicativos poderão ser executados nos computadores do usuário final, fornecendo ainda outra maneira para limitar o risco de software mal-intencionado. 3
c) Se os profissionais de TI gerenciam e implantam computadores desktop, computadores portáteis ou ambientes virtuais, o Windows 7 facilita o trabalho, permitindo que eles usem as mesmas ferramentas e habilidades que usam com o Windows Vista. As ferramentas avançadas de gerenciamento e implantação de imagens permitem que os profissionais de TI adicionem, removam e gerem relatórios sobre drivers, pacotes de idioma e atualizações — e implantem essas imagens de sistema nos computadores do usuário usando menos largura de banda da rede. Os novos recursos de script e automação baseados no Windows PowerShell™ 2.0 reduzem os custos de gerenciamento e solução de problemas de computadores. Para profissionais de TI que usam virtualização de cliente, o Windows 7 os ajuda a manter as imagens de máquinas virtuais de modo mais fácil e a proporcionar uma experiência mais rica ao usuário por conexões remotas. d) O Microsoft Desktop Optimization Pack, que é atualizado pelo menos uma vez ao ano, completa a experiência corporativa. Ao usar o Windows 7 e o Microsoft Desktop Optimization Pack juntos, as empresas podem otimizar a infraestrutura de desktop e obter a flexibilidade para solucionar suas necessidades comerciais exclusivas. As empresas podem preparar-se rapidamente para implantar o Windows 7 imediatamente o Windows Vista e o Microsoft Desktop Optimization Pack. Os clientes que já executam o Windows Vista perceberão que o Windows 7 oferece compatibilidade avançada com os softwares e dispositivos do Windows Vista e que o Windows 7 pode ser gerenciado com muitas ferramentas já utilizadas no gerenciamento do Windows Vista. As empresas que usam o Microsoft Desktop Optimization Pack terão ainda uma grande vantagem ao adotar o Windows 7, pois elas terão mais facilidade para migrar configurações e aplicativos.
1.1.1 - AppLocker O AppLocker™ é um novo recurso nos sistemas operacionais Windows® 7 e Windows Server® 2008 R2 que substitui o recurso Diretivas de Restrição de Software. O AppLocker contém novos recursos e extensões que reduzem a sobrecarga administrativa e ajudam administradores a controlar como os usuários podem acessar e usar arquivos, por exemplo, arquivos .exe, scripts, arquivos do Windows Installer (.msi e .msp) e DLLs. Com o AppLocker, é possível: •
Definir regras com base em atributos do arquivo derivados da assinatura digital, incluindo fornecedor, nome do produto, nome do arquivo e versão do arquivo. Por exemplo, você pode criar regras com base nos atributos de fornecedor e versão do arquivo que sejam persistentes durante as atualizações ou criar regras que se destinem a uma versão específica do arquivo. As regras do AppLocker especificam que arquivos estão autorizados a executar. Arquivos que não estejam incluídos nelas, não têm permissão para executar.
•
Atribuir uma função a um grupo de segurança ou a um usuário individual. 4
Você não pode atribuir as regras do AppLocker a zonas da Internet, computadores individuais ou caminhos do registro. •
•
•
Criar exceções para arquivos .exe. Por exemplo, você pode criar uma regra que permita a execução de todos os processos do Windows, exceto o Regedit.exe. Usar o modo Auditoria apenas para identificar arquivos que não possam ser executados enquanto a diretiva for válida. Importar e exportar regras. O AppLocker é útil para organizações que desejam:
•
•
•
Limitar a quantidade e os tipos de arquivos com permissão para executar, evitando a execução de software mal-intencionado e restringindo a instalação de controles ActiveX. Reduzir o custo total de propriedade assegurando a homogeneidade entre as estações de trabalho da empresa e a dos usuários que executam exclusivamente software e aplicativos aprovados pela empresa. Reduzir a possibilidade de vazamentos de informações em software não autorizado.
O AppLocker também pode ser de interesse para organizações que atualmente usam os Objetos de Diretiva de Grupo (GPOs) para gerenciar computadores com base no Windows ou ter instalações de aplicativos por usuário. •
•
•
•
•
•
Por padrão, as regras do AppLocker não permitem que usuários abram ou executem arquivos que não estejam especificamente autorizados. Os administradores devem manter uma lista atualizada dos aplicativos permitidos. Há uma degradação de desempenho mínima devido às verificações do tempo de execução. Como o AppLocker é similar ao mecanismo Diretiva de Grupo, os administradores devem saber como criar e implantar Diretivas de Grupo. As regras do AppLocker não podem ser usadas para gerenciar computadores que executem um sistema operacional anterior ao Windows 7. Se as regras do AppLocker forem definidas em um GPO, somente essas regras serão aplicadas. Para assegurar a interoperabilidade entre as regras das Diretivas de Restrição de Software e as do AppLocker, use GPOs diferentes ao definir regras para tais Diretivas e para o AppLocker. Uma regra do AppLocker não será aplicada se estiver definida como Auditoria apenas. Quando um usuário executar um aplicativo incluído nela, este abrirá e executará normalmente e suas informações serão adicionadas ao log de eventos do AppLocker.
5
O AppLocker está disponível em todas as edições do Windows Server 2008 R2 e em algumas edições do Windows 7.
1.1.2 – Biometria Para maior comodidade, o Windows® 7 permite que administradores e usuários usem dispositivos biométricos de impressão digital para fazer logon em computadores, conceder privilégios de elevação por meio do UAC (Controle de Conta de Usuário) e executar gerenciamento básico de dispositivos de impressão digital. Os administradores podem gerenciar dispositivos biométricos de impressão digital nas configurações da Diretiva de Grupo, permitindo, limitando ou bloqueando seu uso. Um número crescente de computadores, especialmente computadores portáteis, possuem leitores de impressão digital incorporados. Os leitores de impressão digital podem ser usados para identificação e autenticação de usuários no Windows. Até hoje, não há suporte padrão para dispositivos biométricos ou para aplicativos habilitados para biometria no Windows. Os fabricantes de computador têm que fornecer software para oferecer suporte a dispositivos biométricos em seus produtos. Isso torna mais difícil o uso desses dispositivos pelos usuários, bem como o gerenciamento pelos administradores. O Windows 7 inclui o Windows Biometric Framework, que expõe os leitores de impressão digital e outros dispositivos biométricos a aplicativos de nível mais elevado de uma maneira uniforme, além de oferecer uma experiência consistente ao usuário na detecção e inicialização de aplicativos de impressão digital. Isso acontece porque ele fornece os seguintes recursos: •
•
•
•
•
Um item do Painel de Controle de Dispositivos Biométricos que permite aos usuários controlar a disponibilidade de dispositivos biométricos e se eles podem ser usados para fazer logon em um computador local ou domínio. Suporte ao Gerenciador de Dispositivos para gerenciamento de drivers de dispositivos biométricos. Suporte ao provedor de credenciais para permitir e configurar o uso de dados biométricos para fazer logo em um computador local e executar a elevação UAC. Configurações da Diretiva de Grupo para habilitar, desabilitar ou limitar o uso de dados biométricos em um um domínio ou computador local. As configurações da Diretiva de Grupo também podem impedir a instalação de softwares de driver de dispositivos biométricos ou fazer com que esse tipo de software seja desinstalado. Software de driver de dispositivo biométrico disponível no Windows Update.
Os dispositivos biométricos de impressão digital oferecem um modo conveniente para os usuários fazerem logon em computadores e conceder elevação por meio do UAC. 6
Os novos recursos biométricos fornecem um modo consistente de implementar aplicativos habilitados para biometria de impressão digital e gerenciar dispositivos biométricos em computadores autônomos ou em uma rede. Com o Windows Biometric Framework, os usuários têm mais facilidade para usar os dispositivos biométricos e os administradores mais facilidade para configurá-los e controlá-los em um computador local ou em um domínio. A introdução do Windows Biometric Framework permite a integração de dispositivos biométricos de impressão digital no Windows. Ele oferece uma experiência consistente ao usuário para fazer logon no Windows e executar a elevação UAC. Além disso, ele fornece um conjunto comum de pontos de detecção e integração que permite uma experiência mais consistente ao usuário entre dispositivos e aplicativos. O Windows Biometric Framework também inclui funções de gerenciamento que permitem aos administradores controlar a implantação de dispositivos biométricos de impressão digital na empresa.
1.1.3 - Certificados •
•
Windows ® 7 introduz protocolos HTTP, que permitem a inscrição de registro de certificado baseado em políticas para além das fronteiras do Active Directory e através da Internet. Estas alterações permitem novo certificado de registro que permitem às organizações ampliar a acessibilidade das atuais infra-estruturas de chave pública (PKI) implantações e reduzir o número de autoridades de certificação (CAs). Melhorias na interface do usuário do certificado de seleção e a lógica de filtragem proporcionar uma experiência de usuário simplificada, quando um aplicativo apresenta vários certificados.
Empresas com um novo ou existente PKI podem usar HTTP inscrição nestes cenários de implantação de novo: •
•
Em múltiplos ambientes de rede, os computadores cliente podem se inscrever para os certificados de CAs em uma rede diferente. Em implantações de intranet, os trabalhadores móveis e parceiros de negócios podem pedir e renovar os certificados através da internet.
Os navegadores de internet e muitas outras aplicações utilizam a caixa de diálogo Seleção de Certificado para solicitar que os usuários a selecionem o certificado quando vários certificados estão disponíveis. A caixa de diálogo Seleção de Certificado apresenta uma lista de certificados para escolher, mas escolher o certificado correto pode ser uma tarefa confusa que muitas vezes resulta em chamadas de suporte e uma experiência de usuário novos. Organizações encontrando esses problemas podem beneficiar na melhoria da seleção de certificado. As organizações que têm múltiplos ambientes de redes e uma PKI por rede pode usar HTTP para permitir a inscrição de registro de certificado para além das fronteiras da rede e consolidar a sua PKI para usar CAs menos. 7
Organizações que emitem certificados para os trabalhadores móveis, parceiros de negócios, ou on-line os clientes podem usar HTTP para permitir a inscrição de registro de certificado através da Internet e simplificar o processo de inscrição para usuários remotos. Os protocolos HTTP são baseados em padrões abertos, serviços Web e podem ser implementados pelas organizações que pretendam fornecer serviços de certificação online e serviços de autoridade de registro. A experiência de seleção de certificado inclui melhorias na lógica de filtragem e interface do usuário. Melhoria da lógica de filtragem visa reduzir o número de certificados que são apresentados ao usuário, de preferência, resultando em um único certificado que não requer nenhuma ação do usuário. critérios de filtro pode ser especificado no pedido e incluir efeitos de certificado, período de validade, e caminho de certificação. Se mais de um certificado atende aos critérios de filtro, a caixa de diálogo Seleção de Certificado exibe detalhes de cada certificado como assunto, o emissor e prazo de validade, bem como um gráfico que faz a distinção entre certificados de cartões inteligentes e certificados que estão instalados no computador. A inscrição HTTP requer implantação do certificado de registro de serviços da Web incluído no Windows Server 2008 R2. Para obter mais informações. Administradores usar Group Policy para distribuir os locais dos serviços Web certificado de inscrição para os membros do domínio. Windows 7 também suporta Lightweight Directory Access Protocol (LDAP) de inscrição que é compatível com CAs existentes que executam o Windows Server 2003 ou Windows Server 2008. Os aplicativos que usam o CryptUIDlgSelectCertificate funcionam automaticamente usando a nova caixa de diálogo Seleção de Certificado e geralmente não requerem mudanças. A nova bandeira foi adicionado à API para que os aplicativos possam usar a caixa de diálogo Seleção de Certificado, no entanto, isso requer que o pedido seja modificado e distribuído para os usuários. Além disso, os parâmetros opcionais podem ser usados para especificar os critérios para a função CertSelectCertificateChains , que é usado para selecionar os certificados a serem exibidos pela função CryptUIDlgSelectCertificate.
1.1.4 - Ferramentas de Implantação As alterações principais do recurso possuem duas ferramentas de implantação: Windows AIK (Kit de Instalação Automatizada do Windows) e Serviços de Implantação do Windows. MTD (Microsoft Deployment Toolkit) é o processo e o conjunto de ferramentas recomendados para automatizar a implantação de servidor e área de trabalho.
1.1.4.1 - Windows AIK Você pode usar a ferramenta DISM (Gerenciamento e Manutenção de Imagens de Implantação) para personalizar as imagens do Windows de várias maneiras. Por exemplo, você pode: •
Adicionar ou remover drivers de dispositivo de 32 e 64 bits. 8
•
Adicionar ou remover pacotes de idiomas.
•
Habilitar ou desabilitar recursos do Windows.
•
Adicionar e configurar atualizações.
As novas ferramentas DISM substituem muitas das ferramentas de versões anteriores do Windows AIK, incluindo Gerenciador de Pacotes (Pkgmgr.exe), a Ferramenta de Definição de Configurações Internacionais (Intlcfg.exe) e a ferramenta de linha de comando do Windows PE (Ambiente de Pré-instalação do Windows) (PEimg.exe). A Ferramenta de Migração de Perfil do Usuário (USMT) 4.0 do Microsoft® Windows® está instalado como parte do Windows AIK. Você pode usar o USMT 4.0 para agilizar e simplificar a migração de perfil do usuário durante grandes implantações dos sistemas operacionais Windows Vista®, Windows® 7 e Windows Server® 2008 R2. O USMT captura contas de usuário, arquivos de usuário, configurações do sistema operacional e configurações do aplicativo. Ele os migra para uma nova instalação do Windows. Você pode usar o USMT para migrações lado a lado e de limpeza e carga. A instalação padrão do Windows inclui suporte para uma partição de sistema separada. Nas instalações padrão, a Instalação do Windows cria duas partições em um disco rígido. Você pode usar uma partição para as ferramentas de Recuperação, para habilitar Criptografia de Unidade de Disco Windows® BitLocker™ ou para outros recursos. Use a partição secundária para instalar o sistema operacional. A partição do sistema, que hospeda o gerenciador de inicialização e arquivos relacionados, não terá mais uma letra de unidade, por padrão. Você pode adicionar manualmente uma letra de unidade durante a instalação, utilizando as configurações \DiskConfiguration\Disk\ModifyPartitions\ModifyPartition\Letter de instalação do Microsoft Windows. Você pode reduzir o número de imagens mantidas no ambiente utilizando a ferramenta Upgrade de Imagem no DISM. Em vez de manter imagens do Windows separadas para cada edição do Windows que deseja implantar, você pode manter uma única imagem do Windows personalizada. Durante a implantação, você pode usar o DISM para fazer upgrade da imagem do Windows para uma edição do Windows posterior. Esse recurso permite a redução do número de imagens do Windows que você precisa manter na sua organização. Você pode usar o DISM com a nova opção /Apply-Profile para reduzir o conteúdo em uma imagem do Windows PE apenas para aqueles arquivos necessários para oferecer suporte a um determinado conjunto de aplicativos. Por exemplo, você pode usar a opção /Apply-Profile para implantar uma imagem do Windows PE em uma UFD (Unidade flash USB). No Windows® 7 e no Windows Server 2008 R2, um VHD (Disco rígido virtual) pode ser utilizado como o sistema operacional em execução no hardware designado sem nenhum outro sistema operacional pai, computador virtual ou hipervisor . Um hipervisor é uma camada de software abaixo do sistema operacional que executa as máquinas virtuais. As ferramentas de gerenciamento de disco, a ferramenta DiskPart e o MMC de 9
Gerenciamento de Disco podem ser usados para criar um arquivo de disco rígido virtual (.vhd) inicializável. Um arquivo de imagem generalizado (.wim) pode ser implantado no VHD, e o arquivo .vhd pode ser copiado para vários computadores. O gerenciador de inicialização pode ser configurado para inicializar o arquivo .wim a partir do VHD. A VAMT (Ferramenta de Gerenciamento de Ativação de Volume) permite que os administradores de rede e outros profissionais de TI automatizem e gerenciem centralmente o processo de ativação de volume do Windows para os computadores em suas organizações. A VAMT pode gerenciar a ativação de volume utilizando MAKs (Várias Chaves de Ativação) ou o KMS (Serviço de Gerenciamento de Chaves) do Windows. A tabela a seguir descreve algumas das nova e importantes definições configuráveis para Windows 7 e Windows Server 2008 R2. Essas configurações estão disponíveis na maioria das imagens do Windows e podem ser manipuladas no Windows SIM (Gerenciador de Imagens do Sistema).
1.1.4.2 - Serviços de Implantação do Windows As alterações nos Serviços de Implantação do Windows também estão disponíveis no Windows Server 2008 R2: •
•
•
•
•
Provisionamento de driver dinâmico. A capacidade de implantar pacotes de driver em computadores cliente como parte de uma instalação, a capacidade de adicionar pacotes e drivers a imagens de inicialização antes de implantação. Para obter mais detalhes, consulte Provisionamento de pacote de drivers posteriormente neste tópico. Implantação de disco virtual. A capacidade de implantar imagens de disco rígido virtual (.vhd) como parte de uma instalação não monitorada. Para obter mais detalhes, consulte implantação de .vhd posteriormente neste tópico. Funcionalidade adicional de multicast. A capacidade de desconectar automaticamente clientes lentos e dividir transmissões em vários fluxos com base nas velocidades do cliente. Além disso, oferece suporte para multicasting em ambientes que usam o IPv6. Fornecedor de PXE para Servidor de Transporte. Inclui um fornecedor PXE quando você instala o serviço da função Servidor de Transporte. Você pode usar o Servidor de Transporte para inicialização de rede, dados multicast ou ambos como parte de uma configuração avançada. O Servidor de Transporte é um servidor autônomo. Isto é, quando você usa o Servidor de Transporte para inicialização de rede e multicast, o seu ambiente não precisa de AD DS (Serviços de Domínio Active Directory) ou DNS (Sistema de Nome de Domínio). Para obter instruções, consulte o tópico Configuração do Servidor de Transporte. Funcionalidade adicional de EFI. Suporta inicialização de rede de computadores x64 com EFI, incluindo a funcionalidade de adição automática,
10
referência de DHCP a clientes diretos a um servidor PXE específico, para implantar imagens de inicialização usando multicast. A tabela a seguir compara os recursos e as funcionalidades que estão incluídas em cada versão dos Serviços de Implantação do Windows: Recurso W. Server 2008 R2 Windows Server 2003 Windows Server 2008 Sistemas operacionais implantados
Modo herdado: Windows 2000, Windows XP, Windows Server 2003 Modo misto: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 Modo nativo: Windows 2000 Professional, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2
Windows 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2
Windows XP Windows Server 2003 Windows Vista com SP1 Windows Server 2008 Windows 7 Windows Server 2008 R2
Tipos de imagem implantadas
Modo herdado: RISETUP e RIPREP Modo misto: RISETUP, RIPREP, .wim Modo nativo: .wim
Para uma nova instalação, somente as imagens .wim são suportadas. Se você atualizar do Windows Server 2003, ´poderá converter qualquer imagem RIPREPP para o formato .wim depois da atualização. Porém, as imagens RISETUP não contam com suporte.
.wim As imagens .vhd do Windows Server 2008 R2 são suportadas como parte de uma instalação não monitorada (gerenciada usando somente a linha de comando).
Ambiente de inicialização
Modo herdado: OSChooser Modo misto: OSChooser e
Windows PE
Windows PE
11
Windows PE (Ambiente de Pré-instalação do Windows) Modo nativo: Windows PE Experiência de administração
Modo herdado: Conjunto de ferramentas RIS (Serviços de Instalação Remota) Modo misto: Conjunto de ferramentas RIS para gerenciar imagens RISETUP e RIPREP. Snapin MMC (Console de Gerenciamento Microsoft) e WDSUTIL para gerenciar imagens .wim. Modo nativo: Snap-in MMC e WDSUTIL
Snap-in MMC e WDSUTIL
Snap-in MMC e WDSUTIL
Multicast
Sem suporte.
Suportado para imagens de instalação. (O arquivo Boot.wim de ser do DVD do Windows Server 2008, Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.)
Suportado para imagens de instalação. (O arquivo Boot.wim de ser do DVD do Windows Server 2008, Windows Vista com SP1, Windows 7 ou Windows Server 2008 R2.) Suportado para imagens de inicialização para computadores com EFI (gerenciado usando somente a linha de comando). Oferece a capacidade de desconectar 12
automaticamente clientes lentos e dividir transmissões em vários fluxos com base nas velocidades do cliente (a imagem de inicialização deve ser Windows 7 ou Windows Server 2008 R2). Oferece suporte para multicasting em ambientes que usam IPv6 (a imagem de inicialização deve ser do Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2). Provisionamento Sem suporte. de driver
Sem suporte.
Oferece a capacidade de implantar pacotes de driver a computadores cliente com base em seu hardware como parte de uma instalação (a imagem de instalação de ser o Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008). Oferece a capacidade de adicionar pacotes de drivers a imagens de inicialização (somente imagens do Windows Server 2008 R2 e Windows 7).
Extensibilidade
Suporta transmissão de dados e imagens com o uso de multicasting em um servidor autônomo (Servidor de
Suporta transmissão de dados e imagens com o uso de multicasting em um servidor autônomo (Servidor de
Sem suporte.
13
EFI (Interface de Firmware Extensível)
Suporta inicialização de rede de computadores com base em Itanium com EFI.
Transporte). Porém, você deve desenvolver uma maneira de inicializar clientes.
Transporte). Inclui um fornecedor PXE para clientes de inicialização.
Suporta inicialização de rede de computadores com base em Itanium e x64 com EFI.
Suporta inicialização de rede de computadores com base em x64 com EFI. Inclui funcionalidade de adição automática. Inclui referência DHCP a clientes diretos em um servidor PXE específico. Oferece a capacidade de implantar imagens de inicialização usando multicasting.
Os grupos a seguir podem se interessar por essas alterações: •
•
Especialistas em implantação que são responsáveis pela implantação de sistemas operacionais do Windows Planejadores de TI, criadores ou analistas que estão avaliando o Windows 7 ou Windows Server 2008 R2
No Windows Server 2008 R2, você pode adicionar e configurar pacotes de drivers em um servidor que esteja executando os Serviços de Implantação do Windows. Depois que você tiver adicionado pacotes de drivers ao servidor, você poderá fazer o seguinte: •
•
Implantar pacotes de drivers a computadores clientes no hardware do cliente como parte de uma instalação. Essa funcionalidade está disponível somente quando você estiver instalando imagens dos seguintes sistemas operacionais: Windows Vista com SP1, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Adicionar pacotes de drivers (como drivers de adaptadores de rede, drivers de armazenamento em massa e drivers de barramento) a suas imagens de inicialização do Windows 7 e Windows Server 2008 R2. Essa nova funcionalidade oferece os seguintes benefícios:
•
Elimina a necessidade de adicionar pacotes de drivers manualmente usando as ferramentas do Kit de Instalação Automatizada do Windows. 14
Minimiza o tamanho das imagens de instalação.
•
Facilita a atualização e o gerenciamento de drivers, pois os drivers são armazenados fora das imagens.
•
Elimina a necessidade de manter várias imagens para diferentes configurações de hardware.
•
Elimina a necessidade de ferramentas adicionais para gerenciar drivers (por exemplo, o MDT ou Microsoft Deployment Toolkit ou soluções que não são Microsoft).
•
Elimina a necessidade de usar um arquivo de instalação sem monitoramento para adicionar drivers.
•
Seguem abaixo os pré-requisitos para provisionamento de pacote de drivers: Um servidor dos Serviços de Implantação do Windows configurado com o seguinte:
•
•
•
•
A imagem de inicialização do Windows 7 ou Windows Server 2008 R2 (em \Sources\Boot.wim no DVD de instalação). Instalar imagens para Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2. Pacotes de drivers para o hardware que deseja implantar. Observe que esses pacotes devem ser extraídos (isto é, o pacote não pode ser um arquivo .msi ou .exe).
Você pode implantar imagens .vhd do Windows Server 2008 R2 em computador físico (não uma máquina virtual) usando os Serviços de Implantação do Windows. Em geral, você implanta imagens .vhd da mesma maneira que implanta imagens .wim. Este cenário é destinado a usuários avançados que já têm imagens .vhd. Essa nova funcionalidade oferece os seguintes benefícios: •
•
•
Permite que você padronize o .vhd como seu formato de imagem comum. Antes, você tinha que gerenciar imagens de sistema operacional no formato .vhd para máquinas virtuais e no formato .wim para computadores físicos. Simplifica a implantação de imagem por meio da habilitação de computadores físicos para inicializar a partir de imagens .vhd. Permite que você provisione um servidor com várias imagens .vhd e alterne entre as imagens facilmente. Você pode criar várias imagens .vhd que são personalizadas para diferentes funções e as implante em um único servidor. Em seguida, se o equilíbrio das cargas de trabalho mudar no centro de dados (por exemplo, você quiser realocar um computador executando o Microsoft SQL Server para ser um servidor da Web), você poderá inicializar dentro do .vhd para essa função em vez de reinstalar o sistema operacional. 15
Permite que você reverta alterações quando usar discos diferenciais.
•
O uso do WDSUTIL na linha de comando é o único método suportado de adicionar e configurar as imagens. Além disso, a implantação deve fazer parte de uma instalação automatizada, de modo que você deve criar e configurar dois arquivos não monitorados para automatizar a instalação. Para implantar imagens .vhd, você precisa do seguinte: Um servidor dos Serviços de Implantação do Windows que seja configurado para pelo menos uma imagem de inicialização.
•
Familiaridade com a ferramenta de linha de comando WDSUTIL, pois essa é a única maneira de importar e configurar imagens .vhd.
•
Uma imagem .vhd com suporte. Os únicos sistemas operacionais suportados são Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate. Imagens .vhd fixas, dinâmicas e diferenciais são suportadas. Porém, observe que uma imagem suportada não pode conter o seguinte:
•
•
Mais de um sistema operacional.
•
Mais de uma partição.
•
Aplicativos ou dados (em vez de um sistema operacional).
•
Uma edição de 64 bits do Windows que é particionada com uma GPT (tabela de partição GUID).
Esses recursos estão disponíveis em todas as edições.
1.1.5 - Diretiva de Grupo As seguintes alterações estão disponíveis no Windows Server® 2008 R2 e no Windows® 7 com Ferramentas de Administração de Servidor Remoto (RSAT): •
Cmdlets do Windows PowerShell para Diretiva de Grupo: Capacidade de gerenciar a Diretiva de Grupo a partir da linha de comando do Windows PowerShell™ e executar scripts do PowerShell durante o logon e a inicialização
•
Preferências de Diretiva de Grupo: Tipos adicionais de itens de preferência
•
Objetos de Diretiva de Grupo de Início: Melhorias nos GPOs de Início
•
Configurações de Modelo Administrativo: Interface do usuário melhorada e configurações de diretiva adicionais
A Diretiva de Grupo fornece uma infraestrutura para gerenciamento de configuração centralizado do sistema operacional e dos aplicativos que são executados no sistema operacional. 16
Os seguintes grupos podem ter interesse em tais alterações: •
Profissionais de TI que precisam gerenciar usuários e computadores em um ambiente de domínio
•
Administradores de Diretiva de Grupo dedicados
•
Pessoal de TI em geral
•
Pessoal de apoio
É possível gerenciar a Diretiva de Grupo local e do domínio usando versões baseadas em domínio do Windows Server 2008 R2. Embora o GPMC (Console de Gerenciamento de Diretiva de Grupo) seja distribuído com o Windows Server 2008 R2, é preciso instalar o Gerenciamento de Diretiva de Grupo como um recurso por meio do Gerenciador de Servidores. Também é possível gerenciar a Diretiva de Grupo local e do domínio usando o Windows 7. Para gerenciar a Diretiva de Grupo local, o Editor de Objeto de Diretiva de Grupo foi substituído pelo Editor de Diretiva de Grupo Local. Para gerenciar a Diretiva de Grupo do domínio, é necessário instalar o GPMC. O GPMC é incluído com o RSAT, que está disponível para download: •
•
Ferramentas de Administração de Servidor Remoto do Windows Server 2008 R2 para Windows 7 Ferramentas de Administração de Servidor Remoto do Windows Server 2008 para Windows Vista com SP1
O RSAT permite que os administradores de TI gerenciem remotamente funções e recursos no Windows Server 2008 R2 a partir de um computador executando o Windows 7. O RSAT inclui suporte ao gerenciamento remoto de computadores que estão executando uma instalação Server Core ou a opção de instalação completa do Windows Server 2008 R2. A funcionalidade fornecida pelo RSAT é semelhante à do Pacote de Ferramentas de Administração do Windows Server 2003. A instalação do RSAT não instala automaticamente o GPMC. Para instalar o GPMC depois de instalar o RSAT, clique em Programas no Painel de Controle, clique em Ativar ou desativar recursos do Windows, expanda Ferramentas de Administração de Servidor Remoto, expanda Ferramentas de Administração de Recursos e marque as caixas de seleção Ferramentas de Administração de Recursos e Ferramentas de Gerenciamento de Diretiva de Grupo. A Diretiva de Grupo está disponível em todas as edições do Windows Server 2008 R2 e do Windows 7. A Diretiva de Grupo tanto local como baseada no domínio pode ser gerenciada usando qualquer versão do Windows Server 2008 R2 e qualquer versão do Windows 7 com suporte a RSAT. Sem RSAT, somente a Diretiva de Grupo local pode ser gerenciada usando o Windows 7. Com RSAT, a Diretiva de Grupo tanto local como baseada no domínio pode ser gerenciada usando qualquer edição do Windows 7 com suporte a RSAT. 17
A Diretiva de Grupo está disponível nas versões de 32 bits e de 64 bits do Windows Server 2008 R2. A opção pela versão de 32 bits ou de 64 bits não afeta a interoperabilidade, escalabilidade, segurança ou gerenciabilidade de Diretiva de Grupo.
1.1.5.1 - Cmdlets do Windows PowerShell para Diretiva de Grupo O Windows PowerShell é um shell de linha de comando e uma linguagem de scripts do Windows que você pode usar para automatizar muitas das tarefas que executa na interface do usuário usando o GPMC (Console de Gerenciamento de Diretiva de Grupo). Para ajudar a executar essas tarefas, a Diretiva de Grupo no Windows Server 2008 R2 fornece mais de 25 cmdlets. Cada cmdlet é uma linha de comando simples de função única. Você pode usar os cmdlets de Diretiva de Grupo para executar as seguintes tarefas de GPOs (objetos de Diretiva de Grupo) baseados no domínio: •
•
•
•
•
Fazendo a manutenção de GPOs: criação, remoção, backup e importação de GPOs. Associando GPOs com contêineres do Active Directory®: criação, atualização e remoção do link da Diretiva de Grupo. Definindo sinalizadores de herança e permissões nas unidades organizacionais e domínios do Active Directory. Configurando definições de diretivas baseadas no registro e definições do Registro de Preferências de Diretiva de Grupo: atualização, recuperação e remoção. Criando e editando GPOs de Início.
Para usar os cmdlets da Diretiva de Grupo do Windows PowerShell, você deve executar o Windows Server 2008 R2 em um controlador de domínio ou em um servidor-membro que tenha o GPMC instalado, ou o Windows 7 com as RSAT (Ferramentas de Administração do Servidor Remoto) instaladas. As RSAT inclui o GPMC e seus cmdlets. Você também deve usar o comando Import-Module grouppolicy para importar o módulo Diretiva de Grupo antes de usar os cmdlets no início de cada script que os utilizam e no início de cada sessão do Windows PowerShell. Você pode usar os cmdlets GPRegistryValue para alterar as configurações de diretiva baseadas no registro e os cmdlets GPPrefRegistryValue para alterar os itens de preferência do Registro. Para obter mais informações sobre os cmdlets de Diretiva de Grupo, você pode usar os cmdlets Get-Help
e GetHelp -detailed para exibir a Ajuda básica e detalhada. 18
As novas configurações de diretiva agora permitem que você especifique se os scripts do Windows PowerShell serão executados antes de scripts não relacionados ao Windows PowerShell durante a inicialização e o desligamento do computador do usuário, e logon e logoff do usuário. Por padrão, os scripts do Windows PowerShell são executados depois dos scripts não relacionados ao Windows PowerShell. Configurações de Diretiva de Grupo Nome da configuração
Local
Executar scripts do Windows PowerShell primeiro na inicialização, no desliga-mento do computador
Computer Configuration\ Policies\ Administrative Templates\ System\ Scripts\
Não Configurado (scripts do Windows PowerShell são executados depois dos scripts não relacionados ao Windows PowerShell)
Não Configurado, Habilitado, Desabilitado Essa configuração de diretiva determina a ordem em que os scripts de inicialização e desligamento do computador são executados em todos os GPOs aplicáveis. Você pode substituir essa configuração de diretiva para tipos específicos de script em um GPO específico, definindo as seguintes configurações de diretiva para o GPO: Computer Configuration\Policies\ Windows Settings\Scripts (Inicialização/ Desligamento)\ Inicialização e Computer Configuration\Policies\ Windows Settings\Scripts (Inicialização/ Desligamento)\ Desligamento.
Executar scripts do Windows PowerShell primeiro no logon, logoff do usuário
Computer Configuration\ Policies\ Administrative Templates\ System\ Scripts\
Não Configurado (scripts do Windows PowerShell são executados depois dos scripts não relacionados ao Windows PowerShell)
Não Configurado, Habilitado, Desabilitado Essa configuração de diretiva determina a ordem em que os scripts de logon e logoff do usuário são executados em todos os GPOs aplicáveis. Você pode substituir essa configuração de diretiva
Valor padrão
Valores possíveis
19
para tipos específicos de script em um GPO específico, definindo as seguintes configurações de diretiva para o GPO: User Configuration\Policies\ Windows Settings\Scripts (Logon/Logoff)\Logon e User Configuration \Policies\ Windows Settings\Scripts (Logon/Logoff)\Logoff . Executar scripts do Windows PowerShell primeiro no logon, logoff do usuário
User Configuration\ Policies\ Administrative Templates\ System\ Scripts\
Não Configurado (scripts do Windows PowerShell são executados depois dos scritps não relacionados ao Windows PowerShell)
Não Configurado, Habilitado, Desabilitado Essa configuração de diretiva determina a ordem em que os scripts de logon e logoff do usuário são executados em todos os GPOs aplicáveis. Você pode substituir essa configuração de diretiva para tipos específicos de script em um GPO específico, definindo as seguintes configurações de diretiva para o GPO: User Configuration\Policies\ Windows Settings\Scripts (Logon/Logoff)\Logon e User Configuration\Policies\ Windows Settings\Scripts (Logon/Logoff)\Logoff .
Inicialização (guia Scripts do PowerShell)
Computer Não Configurado Configuration\ Policies\ Windows Settings\ Scripts (Startup/ Shutdown)\
Não Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do Windows PowerShell por último
Desligamento (guia Scripts do PowerShell)
Computer Não Configurado Configuration\ Policies\ Windows
Não Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do 20
Settings\ Scripts (Startup/ Shutdown)\
Windows PowerShell por último
Logon (guia Scripts do PowerShell)
User Não Configurado Configuration\ Policies\ Windows Settings\ Scripts (Logon/ Logoff)\
Não Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do Windows PowerShell por último
Logoff (guia Scripts do PowerShell)
User Não Configurado Configuration\ Policies\ Windows Settings\ Scripts (Logon/ Logoff)\
Não Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do Windows PowerShell por último
1.1.5.2 - Preferências de Diretiva de Grupo Os novos tipos de itens de preferência a seguir podem ser gerenciados usando as plataformas Windows Server 2008 R2 e Windows 7 com as Ferramentas de Administração de Servidor Remoto (RSAT). As extensões no lado do cliente dos novos tipos de itens de preferência estão incluídas nos sistemas operacionais Windows Server 2008 R2 e Windows 7: I.
Itens de preferência de Plano de Energia (Windows Vista e posterior)
II.
Itens de preferência de Tarefa Agendada (Windows Vista e posterior)
III.
Itens de preferência de Tarefa Imediata (Windows Vista e posterior)
IV.
Itens de preferência do Internet Explorer 8
Elas permitem que você gerencie mapeamentos de unidade, configurações do registro, usuários e grupos locais, serviços, arquivos e pastas sem a necessidade de aprender uma nova linguagem de scripts. Você pode usar os itens de preferência para reduzir a quantidade necessária de scripts e imagens do sistema personalizadas, padronizar o gerenciamento e colaborar com a segurança nas redes. Com o direcionamento de nível de item de preferência, é possível simplificar o gerenciamento da área de trabalho, reduzindo a quantidade necessária de objetos de Diretiva de Grupo.
21
Os sistemas operacionais Windows Server 2008 R2 e Windows 7 com RSAT melhoram várias extensões de preferência com a adição dos novos tipos de itens de preferência, fornecendo suporte para os planos de energia e tarefas imediatas ou agendadas das plataformas Windows 7, Windows Server 2008 e Windows Vista, e para o Windows Internet Explorer 8.
I - Itens de preferência de Plano de Energia (Windows Vista e posterior) Os sistemas operacionais Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extensão de preferência Opções de Energia com a adição deste tipo de itens de preferência. Você pode usar esses itens para configurar as opções de exibição e de suspensão a fim de gerenciar e reduzir o consumo de energia dos computadores, colaborando com o meio ambiente. Com eles, você tem a opção de permitir que os usuários façam alterações nas opções padrão. Ainda que seja possível gerenciar as opções de energia usando configurações impostas por diretivas, algumas funções de usuário (por exemplo, usuários móveis) podem precisar da flexibilidade de alterar essas configurações por conta própria. A interface do usuário deste tipo de itens de preferência é parecida com a das configurações de energia avançadas das Opções de Energia no Painel de Controle. Essa semelhança simplifica o domínio da funcionalidade. Assim como para os demais tipos de itens de preferência, é possível usar o direcionamento de nível de item de preferência para restringir os computadores e usuários aos quais este tipo se aplica. Esses itens podem ser usados somente para o gerenciamento do consumo de energia de computadores que executem os sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista. Para computadores com o Windows XP ou Windows Server 2003, use os itens de preferência de Opções de Energia (Windows XP) e de Esquema de Energia (Windows XP).
II - Itens de preferência de Tarefa Agendada (Windows Vista e posterior) As plataformas Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extensão de preferência de Tarefas Agendadas com a adição de itens de preferência de Tarefa Agendada (Windows Vista e posterior). Você pode usar esses itens para criar, substituir, atualizar e excluir tarefas e propriedades associadas. Ainda que seja possível utilizá-los para gerenciar as tarefas dos sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista, este tipo de itens de preferência oferece uma interface semelhante à do Agendador de Tarefas nas plataformas Windows 7, Windows Server 2008 e Windows Vista, junto com as mesmas opções. Assim como para os demais tipos de itens de preferência, é possível usar o direcionamento de nível de item de preferência para restringir os computadores e usuários aos quais este tipo se aplica. Os itens de preferência de Tarefa Agendada (Windows Vista e posterior) podem ser usados somente para o gerenciamento de tarefas em computadores que executem os sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista. Para computadores com Windows XP ou Windows Server 2003, use os itens de preferência de Tarefa Agendada.
22
III - Itens de preferência de Tarefa Imediata (Windows Vista e posterior) As plataformas Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extensão de preferência de Tarefas Agendadas com a adição de itens de preferência de Tarefa Imediata (Windows Vista e posterior). Você pode usar esses itens para criar tarefas que sejam executadas imediatamente após a atualização da Diretiva de Grupo e sejam removidas logo em seguida. Antigamente, não havia suporte para este tipo de itens de preferência nos sistemas operacionais Windows Server 2008 e Windows Vista. Tais itens propiciam uma interface de usuário intuitiva semelhante à do Agendador de Tarefas nas plataformas Windows 7, Windows Server 2008 e Windows Vista, junto com as mesmas opções. Assim como para os demais tipos, é possível usar o direcionamento de nível de item de preferência para restringir os computadores e usuários aos quais este tipo se aplica. Os itens de preferência de Tarefa Imediata (Windows Vista e posterior) podem ser usados somente para gerenciamento de tarefas em computadores que executem os sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista. Para computadores com Windows XP ou Windows Server 2003, use os itens de preferência de Tarefa Imediata (Windows XP).
IV - Itens de preferência do Internet Explorer 8 As plataformas Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extensão de preferência Configurações da Internet com a adição de itens de preferência do Internet Explorer 8. Você pode usar esses itens para atualizar as opções da Internet do navegador Internet Explorer 8. Assim como para os demais tipos de itens de preferência, é possível usar o direcionamento de nível de item de preferência para restringir os computadores e usuários aos quais este tipo se aplica. Os navegadores Internet Explorer 8 e Internet Explorer 7 apresentam configurações padrão diferentes; o mesmo acontece com os tipos de itens de preferência correspondentes. Os itens de preferência do Internet Explorer 8 podem ser usados apenas para o gerenciamento das opções da Internet do Internet Explorer 8. Para gerenciar versões anteriores, use os itens de preferência do Internet Explorer 7 ou do Internet Explorer 5 e 6.
1.1.5.3 - Objetos de Diretiva de Grupo de Início Objetos de diretiva de grupo (GPOs) Iniciais do Sistema para os seguintes cenários estão disponíveis no Windows Server 2008 R2 e no Windows 7 com Ferramentas de Administração de Servidor Remoto (RSAT): •
Windows Vista Cliente Corporativo (EC)
•
Windows Vista Cliente SSLF (Specialized Security - Limited Functionality)
•
Windows XP Service Pack 2 (SP2) EC 23
•
Cliente SSLF Windows XP SP2
GPOs Iniciais do Sistema são GPOs de Início somente leitura que oferecem uma linha de base de configurações para um cenário específico. Como os GPOs de Início, os GPOs Iniciais do Sistema derivam de um GPO, permitem armazenar uma coleção de configurações de diretiva de modelo administrativo em um único objeto e podem ser importados. Os GPOs Iniciais do Sistema são incluídos como parte do Windows Server 2008 R2 e do Windows 7 com RSAT e não precisam ser baixados e instalados separadamente. Os GPOs Iniciais do Sistema incluídos com o Windows Server 2008 R2 e o Windows 7 com RSAT fornecem configurações de Diretiva de Grupo recomendadas para os seguintes cenários descritos no Guia de Segurança do Windows Vista ou no Guia de Segurança do Windows XP: •
•
•
•
As configurações de Diretiva de Grupo de computador e usuário recomendadas para o ambiente de cliente SSLF do Windows Vista estão contidas nos GPOs Iniciais do Sistema de Computador EC do Windows Vista e Usuário EC do Windows Vista. As configurações de Diretiva de Grupo de computador e usuário recomendadas para o ambiente de cliente SSLF do Windows Vista estão contidas nos GPOs Iniciais do Sistema de Computador EC do Windows Vista e Usuário EC do Windows Vista. As configurações de Diretiva de Grupo de computador e usuário recomendadas para o ambiente de cliente EC do Windows XP SP2 estão contidas nos GPOs Iniciais do Sistema de Computador EC do Windows XP SP2 e Usuário EC do Windows XP SP2. As configurações de Diretiva de Grupo de computador e usuário recomendadas para o ambiente de cliente SSLF do Windows XP SP2 estão contidas nos GPOs Iniciais do Sistema de Computador SSLF do Windows XP SP2 e Usuário SSLF do Windows XP SP2.
Não é mais necessário baixar esses GPOs Iniciais do Sistema, porque já estão incluídos no Windows Server 2008 R2 e no Windows 7 com RSAT.
1.1.5.4 - Configurações de Modelo Administrativo Modelos administrativos (arquivos .ADMX) são configurações de diretiva com base no Registro que aparecem no nó Modelos Administrativos dos nós de Configuração do Computador e do Usuário. Essa hierarquia é criada quando o Console de Gerenciamento de Diretiva de Grupo lê arquivos de modelo Administrativo baseados em XML.
24
Os modelos Administrativos agora fornecem uma interface do usuário aprimorada e suporte a tipos de Registro de valor de sequência de caracteres múltipla (REG_MULTI_SZ) e QWORD.
I - Interface do usuário aprimorada Nas versões anteriores do Windows, a caixa de diálogo de propriedades de uma configuração de diretiva de modelo Administrativo incluía três guias separadas: Configuração (para habilitar ou desabilitar uma configuração de diretiva e configurar opções adicionais), Explicar (para saber mais sobre uma configuração de diretiva) e Comentário (para inserir informações opcionais sobre a configuração de diretiva). No Windows Server 2008 R2, essas opções estão disponíveis em um único local na caixa de diálogo propriedades, em vez de em três guias separadas. Essa caixa de diálogo agora é redimensionável. Além disso, o campo Explicar, que fornece informações adicionais sobre uma configuração de diretiva, agora é chamado de Ajuda. Ao fornecer todas as opções necessárias para a definição das configurações de diretiva em um único local, a interface do usuário aprimorada dos modelos Administrativos reduz o tempo administrativo necessário para configurar e obter mais informações sobre as configurações de diretiva.
II - Suporte a tipos de valor de Registro de sequência de caracteres múltipla e QWORD Os modelos Administrativos agora fornecem suporte aos tipos de valor de Registro de sequência de caracteres múltipla (REG_MULTI_SZ) e QWORD. Essa alteração expande as opções de gerenciamento de Diretiva de Grupo ao permitir que as organizações usem configurações de diretiva de modelo Administrativo para gerenciar aplicativos que usam os tipos de valor de Registro REG_MULTI_SZ e QWORD. O suporte ao tipo de valor de Registro REG_MULTI_SZ permite executar as seguintes tarefas durante a configuração da diretiva de modelo Administrativo: •
• • •
Habilitar uma configuração de diretiva, digitar várias linhas de texto e classificar as entradas. Editar uma configuração existente e acrescentar novos itens de linha. Editar uma configuração existente e editar itens de linha individuais. Editar uma configuração existente, selecionar uma ou mais entradas e excluir as entradas selecionadas. As entradas não precisam ser adjacentes.
O suporte ao tipo de valor de Registro QWORD permite usar configurações de diretiva de modelo Administrativo para gerenciar aplicativos de 64 bits. Para a Diretiva de Grupo no Windows Server 2008 R2 e no Windows 7 com RSAT, mais de 300 configurações de diretiva de modelo Administrativo foram adicionadas. Para determinar se configurações de diretiva específicas das tecnologias documentadas neste guia foram adicionadas ou alteradas, consulte os tópicos apropriados sobre a tecnologia em questão.
25
1.1.6 - Reconhecimento de Manuscrito O Windows® 7 fornece muitas melhorias no Tablet PC para reconhecimento de manuscrito, incluindo: •
• • •
Suporte para reconhecimento de manuscrito, personalização e previsão de texto em novos idiomas. Suporte para expressões de matemática manuscritas. Dicionários personalizados para reconhecimento de manuscrito. Novos recursos de integração para desenvolvedores de software.
No Windows Vista, o reconhecimento de manuscrito tem suporte para oito idiomas latinos: inglês (Estados Unidos e Reino Unido), alemão, francês, espanhol, italiano, holandês e português brasileiro, além de suporte para quatro idiomas do leste asiático: japonês, chinês (simplificado e tradicional) e coreano. No Windows 7, há suporte para 14 idiomas adicionais: norueguês (Bokmål e Nynorsk), sueco, finlandês, dinamarquês, polonês, português (Portugal), romeno, sérvio (cirílico e latino), catalão, russo, tcheco e croata. Os usuários do Windows 7 podem iniciar o TIP (Painel de Entrada do Tablet), escrever no idioma desejado para o qual há um reconhecedor disponível e inserir o texto convertido e reconhecido em aplicativos como o Microsoft Outlook® ou Word. No Windows Vista, a personalização para reconhecimento de manuscrito tem suporte apenas do inglês dos Estados Unidos e inglês do Reino Unido para os idiomas latinos. No Windows 7, seis idiomas latinos adicionais, para os quais organizadores de base foram lançados no Windows Vista, receberão os benefícios dos recursos de Personalização. Além disso, a personalização será incluída para todos os 14 novos idiomas no Windows 7. A personalização melhora a experiência de manuscrito de um usuário de modo significativo, pois o reconhecedor aprende como e o quê um usuário escreve. Ao usar o teclado virtual (na tela) do Windows 7, a Previsão de Texto ajuda você a inserir o texto de maneira mais eficiente. Depois de digitar algumas letras, será oferecida aos usuários uma lista de palavras correspondentes; Com base nas palavras que os usuários inserem com mais frequência e nas correções feitas, ao longo do tempo, o Windows 7 se tornará ainda melhor na previsão das palavras. Ao usar o teclado virtual, os idiomas com suporte do Windows 7 para Previsão de Texto são expandidos além do suporte do inglês dos Estados Unidos e inglês do Reino Unido no Windows Vista para incluir os seguintes idiomas: francês, alemão, italiano, coreano, chinês simplificado, chinês tradicional e japonês. Os novos idiomas com suporte para Previsão de Texto com entrada à caneta incluem chinês simplificado e chinês tradicional. A Previsão de Texto para chinês simplificado e chinês tradicional oferece preenchimento automático de palavras e previsão da próxima palavra. Os usuários se beneficiarão desse recurso, pois ele agiliza consideravelmente a entrada manuscrita para esses idiomas. O Windows 7 permite que os usuários que trabalham com expressões matemáticas usem o reconhecimento manuscrito para inserir expressões usando o Painel de Entrada de Expressões Matemáticas, um novo acessório. Esse painel reconhece expressões matemáticas manuscritas, fornece uma experiência de correção avançada e insere expressões matemáticas nos programas de destino. O Controle de Entrada de 26
Expressões Matemáticas, que oferece a mesma funcionalidade de reconhecimento e correção, permite aos desenvolvedores integrar diretamente o reconhecimento de expressões matemáticas manuscritas em programas para um grau mais alto de controle e personalização. No Windows Vista, a capacidade dos usuários de adicionar uma nova palavra aos dicionários internos é limitada. O Windows 7 permite que os usuários criem dicionários personalizados, de modo que eles possam substituir ou aumentar o vocabulário interno usando suas próprias listas de palavras especializadas. O Windows 7 expõe muitas melhorias do Tablet PC para acesso pelos desenvolvedores de software, de modo que eles possam tornar seus aplicativos mais úteis. Por exemplo, as APIs da Análise de Tinta no Windows 7 aprimoram e aceleram o desenvolvimento de aplicativos habilitados para tinta – e facilitam a integração de recursos básicos de reconhecimento de formas. Por meio desses recursos, os usuários se beneficiarão de mais opções em programas que podem usar os recursos exclusivos de um Tablet PC.
1.1.7 - IIS 7.5 Qualquer pessoa que deseje criar um site em um computador executando o Windows® 7, ou qualquer empresa ou organização que hospede ou desenvolva sites ou serviços do Windows Communication Foundation (WCF), pode se beneficiar dos aprimoramentos feitos no IIS 7.5. As seções a seguir descrevem os aprimoramentos para o IIS 7.5 no Windows 7. (Nem todos os recursos estão disponíveis em todas as edições do Windows 7.)
I - Extensões integradas Baseado na arquitetura extensível e modular apresentada no IIS 7, o IIS 7.5 integra e aprimora extensões existentes enquanto fornece extensibilidade e personalização adicionais. O módulo Filtragem de Solicitações, anteriormente disponível como uma extensão do IIS 7, ajuda a evitar que solicitações potencialmente prejudiciais cheguem ao servidor, permitindo que você restrinja ou bloqueie solicitações de HTTP específicas.
II - Aprimoramentos de gerenciamento O IIS 7.5 tem a mesma arquitetura de gerenciamento distribuída e delegada do IIS 7, mas o IIS 7.5 também oferece novas ferramentas de administração. O módulo do IIS no Windows PowerShell é um snap-in do Windows PowerShell que permite que você execute tarefas administrativas do IIS e gerencie dados de configuração e de tempo de execução do IIS. Além disso, uma coleção de cmdlets orientados a tarefa fornece uma maneira simples de gerenciar sites, aplicativos e servidores Web.
27
O Registro em log e rastreamento de configuração permite que você controle o acesso à configuração do IIS e acompanhe as modificações bem-sucedidas ou falhas habilitando novos logs que se tornam disponíveis no Visualizador de Eventos.
III - Aprimoramentos de hospedagem de aplicativo Oferecendo uma variedade de novos recursos que ajudam a aumentar a segurança e a aprimorar o diagnóstico, o IIS 7.5 é uma plataforma ainda mais flexível e gerenciável para muitos tipos de aplicativos da Web, tais como ASP.NET e PHP. Baseado no modelo de isolamento de pool de aplicativos do IIS 7 que aumentou a segurança e a confiabilidade, agora o pool de aplicativos do IIS 7.5 executa cada processo como uma identidade exclusiva e menos privilegiada. Os componentes do mecanismo da Web do IIS podem ser consumidos ou hospedados por outros aplicativos. Isso permite que os componentes sirvam solicitações de HTTP diretamente em um aplicativo. Isso é útil para habilitar recursos básicos do servidor Web em aplicativos personalizados ou aplicativos de depuração. No IIS 7.5, os desenvolvedores de PHP que usam o módulo FastCGI podem implementar chamadas de rastreamento do IIS dentro dos aplicativos. Os desenvolvedores podem solucionar erros de aplicativo usando o Rastreamento de Solicitação Falha do IIS para depurar o código durante o desenvolvimento.
1.1.8 - Rede Os sistemas operacionais Windows Server® 2008 R2 e Windows® 7 incluem melhorias de rede que facilitam a conexão e a permanência dos usuários independentemente de sua localização ou do tipo de rede. Essas melhorias também permitem que os profissionais de TI atendam às necessidades de suas empresas de maneira segura, confiável e flexível. Os novos recursos de rede são: I.
DirectAccess, que permite aos usuários acessar uma rede corporativa sem precisar iniciar uma conexão VPN (rede virtual privada).
II.
Reconexão VPN, que restabelece automaticamente uma conexão VPN assim que a conectividade com a Internet é restaurada, evitando que os usuários redigitem suas credenciais e recriem a conexão VPN.
III.
BranchCache™, que permite que o conteúdo atualizado de arquivo e servidores Web em uma WAN (rede de longa distância) seja armazenado em cache, em computadores de uma filial local, aumentando o tempo de resposta do aplicativo e reduzindo o tráfego da WAN.
28
IV.
QoS (Qualidade de Serviço) baseada em URL, que permite atribuir um nível de prioridade ao tráfego com base na URL da qual o tráfego se origina.
V.
Suporte ao dispositivo de banda larga móvel, que fornece um modelo baseado em driver para dispositivos que são usados para acessar uma rede de banda larga móvel.
VI.
Vários perfis de firewall ativos, que habilitam as regras de firewall mais apropriadas para cada adaptador de rede com base na rede em que está conectado.
I - DirectAccess Com o recurso DirectAccess introduzido no Windows Server 2008 R2, os computadores membros do domínio que executam o Windows 7 podem se conectar a recursos da rede corporativa sempre que se conectarem à Internet. Durante o acesso aos recursos da rede, um usuário conectado à Internet tem praticamente a mesma experiência que teria se estivesse conectado diretamente à LAN (rede local) da organização. Além disso, o DirectAccess permite que os profissionais de TI gerenciem computadores móveis fora do escritório. Sempre que um computador membro do domínio conecta-se à Internet, antes do logon do usuário, o DirectAccess estabelece uma conexão bidirecional que permite ao computador cliente manter-se atualizado com as diretivas da empresa e receber atualizações de software. Os recursos de segurança e desempenho do DirectAccess incluem autenticação, criptografia e controle de acesso. Os profissionais de TI podem configurar os recursos de rede aos quais o usuário poderá se conectar, concedendo acesso ilimitado ou restringindo o acesso a servidores ou redes específicos. O DirectAccess também oferece um recurso que envia apenas o tráfego destinado à rede corporativa através do servidor DirectAccess. Outros tipos de tráfego da Internet são roteados através do gateway de Internet usado pelo computador cliente. Esse recurso é opcional e o DirectAccess pode ser configurado para enviar todo o tráfego através da rede corporativa. O servidor do DirectAccess deve estar executando o Windows Server 2008 R2, deve ser um membro do domínio e ter dois adaptadores de rede físicos instalados. Dedique o servidor do DirectAccess somente ao DirectAccess e não hospede nele nenhuma outra função importante. Os clientes do DirectAccess devem ser membros do domínio que executam o Windows 7. Use o Assistente para Adicionar Recursos no Gerenciador de Servidor para instalar o console de Gerenciamento do DirectAccess, que permite configurar o servidor e monitorar as operações do DirectAccess após a instalação. As considerações sobre infraestrutura incluem: •
AD DS (Serviços de Domínio Active Directory). Pelo menos um domínio Active Directory® deve ser implantado. Não há suporte a grupos de trabalho.
29
•
•
•
•
•
Diretiva de Grupo. A Diretiva de Grupo é recomendada para implantação de configurações do cliente. Controlador de domínio. Pelo menos um controlador de domínio no domínio contendo contas de usuário deve executar o Windows Server 2008 ou posterior. PKI (infraestrutura de chave pública). Uma PKI é obrigatória para emissão de certificados. Certificados externos não são obrigatórios. Todos os certificados SSL devem ter um ponto de distribuição de CRL (lista de certificados revogados) acessível via FQDN (nome de domínio totalmente qualificado) que possa ser resolvido publicamente no local ou remotamente. Diretivas IPsec. O DirectAccess usa IPsec para fornecer autenticação e criptografia a comunicações pela Internet. É recomendável que os administradores se familiarizem com o IPsec. IPv6. O IPv6 fornece endereçamento de ponta a ponta, necessário para que os clientes mantenham conectividade contínua com a rede corporativa. As organizações que ainda não estiverem prontas para implantar o IPv6 poderão usar as tecnologias de transição do IPv6, como ISATAP (Protocolo de Endereçamento de Túnel Automático Intra-Site), Teredo e 6to4, a fim de se conectarem pela Internet IPv4 e acessarem os recursos do IPv4 na rede corporativa. O IPv6 ou as tecnologias de transição devem estar disponíveis no servidor do DirectAccess e ter permissão para passar pelo firewall de rede do perímetro.
II - Reconexão VPN A Reconexão VPN é um novo recurso do RRAS (Serviço de Roteamento e Acesso Remoto) que fornece aos usuários conectividade VPN consistente e contínua, restabelecendo automaticamente uma VPN quando os usuários perdem temporariamente a conexão com a Internet. Os usuários que se conectam usando banda larga móvel são os que mais se beneficiarão com esse recurso. Com a Reconexão VPN, o Windows 7 restabelece automaticamente as conexões VPN ativas quando a conectividade com a Internet é restabelecida. Embora a reconexão possa demorar um pouco, ela é transparente aos usuários. A Reconexão VPN usa o modo de encapsulamento IPsec com o IKEv2 (Internet Key Exchange version 2), que é descrito no RFC 4306, aproveitando especificamente a mobilidade e a MOBIKE (multihoming extension) do IKEv2, descritas no RFC 4555. A Reconexão VPN é implementada no serviço de função RRAS da função NPAS (Serviços de Acesso e Diretiva de Rede) de um computador que esteja executando o Windows Server 2008 R2. As considerações de infraestrutura são incluídas nas funções 30
NPAS e RRAS. Os computadores cliente devem estar executando o Windows 7 para aproveitar a Reconexão VPN.
III - BranchCache Com o BranchCache, o conteúdo da Web e dos servidores de arquivo na WAN corporativa é armazenado na rede da filial local, a fim de melhorar o tempo de resposta e reduzir o tráfego da WAN. Quando outro cliente na mesma filial solicita o mesmo conteúdo, o cliente pode acessá-lo diretamente da rede local, sem obter o arquivo inteiro pela WAN. O BranchCache pode ser configurado para operar em um modo de cache distribuído ou em um modo de cache hospedado . O modo de cache distribuído usa uma arquitetura ponto a ponto. O conteúdo é armazenado em cache na filial, no computador cliente que o solicitou primeiro. Subsequentemente, o computador cliente disponibiliza o conteúdo armazenado em cache a outros clientes locais. O modo de cache hospedado usa uma arquitetura cliente/servidor. O conteúdo solicitado por um cliente na filial é subsequentemente armazenado em cache em um servidor local (denominado servidor de cache hospedado), onde é disponibilizado para outros clientes locais. Em ambos os modos, antes que o cliente possa recuperar o conteúdo, o servidor em que o conteúdo é originado autoriza o acesso ao conteúdo, e este é verificado em termos de precisão e atualização usando um mecanismo de hash. O BranchCache oferece suporte aos protocolos HTTP, incluindo HTTPS, e SMB (Bloco de Mensagem de Servidor), incluindo SMB assinado. Os servidores de conteúdo e o servidor do cache hospedado deve executar o Windows Server 2008 R2, e os computadores cliente devem executar o Windows 7.
IV - QoS baseada em URL A QoS marca pacotes IP com um número DSCP (Ponto de Código de Serviços Diferenciados) que os roteadores examinam para determinar a prioridade do pacote. Se os pacotes forem enfileirados no roteador, os pacotes com prioridade mais alta serão enviados antes daqueles com prioridade mais baixa. Com a QoS baseada em URL, os profissionais de TI podem priorizar o tráfego de rede com base na URL de origem, além da priorização baseada no endereço IP e em portas. Isso proporciona aos profissionais de TI maior controle sobre o tráfego da rede, garantindo que o tráfego importante da Web seja processado antes do menos importante, mesmo quando o tráfego é originado no mesmo servidor. Isso pode melhorar o desempenho em redes ocupadas. Por exemplo, você pode atribuir ao tráfego da Web para sites internos essenciais uma prioridade mais alta do que para os sites externos. De modo semelhante, sites não relacionados ao trabalho, que podem consumir largura de banda da rede, podem ser atribuídos com um prioridade mais baixa, de modo que outro tráfego não seja afetado. V - Suporte ao dispositivo de banda larga móvel O sistema operacional Windows 7 fornece um modelo baseado em driver para dispositivos de banda larga móvel. As versões mais antigas do Windows exigem que os usuários de dispositivos de banda larga móvel instalem software de terceiros, o que dificulta o gerenciamento pelos profissionais de TI, pois cada dispositivo de banda larga móvel e cada fornecedor possuem um software diferente. Os usuários também precisam ser treinados para usar o software e devem ter acesso administrativo para instalá-lo, o que impede os usuários padrão de adicionar com facilidade um dispositivo de banda larga móvel. Agora, os usuários podem simplesmente se conectar a um dispositivo de banda larga móvel e começar a usá-lo imediatamente. A interface no Windows 7 é a 31
mesma, independentemente do provedor da banda larga móvel, reduzindo a necessidade de esforços de treinamento e gerenciamento.
VI - Vários perfis de firewall ativos As configurações do Firewall do Windows são determinadas pelo perfil que você está usando. Nas versões anteriores do Windows, somente um perfil de firewall pode estar ativo por vez. Portanto, mesmo que tenha vários adaptadores de rede conectados a diferentes tipos de rede, você continuará tendo apenas um perfil ativo — o perfil que fornece as regras mais restritivas. No Windows Server 2008 R2 e Windows 7, cada adaptador de rede aplica-se ao perfil de firewall que é mais adequado para o tipo de rede ao qual está conectado: Privado, Público ou Domínio. Isso significa que se você estiver em uma cafeteria com um ponto de acesso sem fio e se conectar a sua rede de domínio corporativo usando uma conexão VPN, o perfil Público continuará protegendo o tráfego da rede que não passa pelo encapsulamento, enquanto o perfil Domínio protegerá o tráfego da rede que passa pelo encapsulamento. Isso também soluciona o problema de um adaptador de rede que não esteja conectado a uma rede. No Windows 7 e Windows Server 2008 R2, será atribuída à rede não identificada o perfil Público, e outros adaptadores de rede no computador continuarão a usar o perfil que é adequado para a rede a qual estão conectados. 1.1.9 - Gerenciamento de Energia para Dispositivos de Rede Wake on LAN e Wake on LAN sem fio Padrões Wake refereren-se aos filtros de pacotes de rede que determinam se o tráfego de rede deve acordar o computador. O Wake on LAN padrão no Windows 7 foi concebido para garantir que o computador desperte quando acessado pela rede, minimizando acorda espúrias. Windows 7 não acorda em pacotes direcionados (como ping), que têm sido conhecidos por causar acorda freqüente e desnecessária. Além disso, a padrões mais acordar alvo, o Windows 7 adiciona suporte para Address Resolution Protocol (ARP) e Solicitação de Vizinho (NS) descarrega. ARP e protocolos NS mapa Internet Protocol (IP) para um endereço MAC. ARP e protocolos NS são comumente usados para verificar se o computador ainda está presente na rede, muitas vezes sem realmente precisar acessar o computador. Ao aliviar a ARP e respostas NS para o adaptador de rede, o computador já não é acordar apenas para manter a presença na rede. O apoio a essas descargas depende da placa de rede e driver NDIS (6.20) e podem não estar disponíveis em hardwares mais antigos.
Low Power no Windows Media Desconecte Baixo consumo de energia no Windows Media Disconnect é um novo recurso do Windows 7 que permite que o adaptador de rede para dormir quando ele não estiver em uso. Ao colocar o adaptador de rede no estado de baixa energia quando o cabo LAN está desligado eo computador está sendo executado, o computador economiza energia. Esse recurso só está disponível quando suportado pela placa de rede. Essas melhorias no Windows 7 a melhorar a capacidade do sistema operacional para ficar dormindo enquanto mantém uma presença rede. Isso ajuda a empresa e os computadores domésticos para economizar energia, entrando em modo de descanso quando não estiverem em uso. 32
Os cenários a seguir ilustram as novas capacidades de gerenciamento de energia para dispositivos de rede: •
•
•
•
•
Compartilhamento de conteúdo de mídia . Em casa, o computador baseado no Windows 7 que compartilha conteúdo de mídia por meio do Media Center posso ir dormir e ser acordado remotamente quando o conteúdo é acessado. Um dispositivo de mídia, tais como outros computadores Windows, Xbox ® um sistema de videogame, ou um Media Extender, desperta o computador para dormir, enviando um pacote Magia. Esse cenário funciona com qualquer placa de rede porque todos os adaptadores de rede moderna de apoio Wake on LAN e Magic Packet. Compartilhamento de arquivos e impressoras . Os usuários geralmente compartilhar arquivos e impressoras através da rede. Com o Windows 7, o computador pode ir dormir quando de poupança de energia ociosa. Quando outro computador da rede tenta imprimir ou acessar um arquivo, uma solicitação é enviada para despertar o computador. O computador acorda e aceita a conexão. Ligar a um computador remoto . Os usuários corporativos, muitas vezes se conectar remotamente ao seu computador do trabalho de casa para tarefas como a verificação de e-mail e arquivos de recuperação. A partir de casa, iniciam uma conexão Remote Desktop para o seu computador de trabalho na rede corporativa. O computador de trabalho ociosas dormir para poupar energia, mas quando o usuário inicia uma conexão Remote Desktop, o computador desperta de um sono de trabalho. O usuário então tem acesso aos recursos de trabalho. Atualizando os computadores em uma empresa. computadores em uma empresa vai acordar quando um administrador acessa o computador para administrar uma atualização. Após a atualização é concluída, o computador vai voltar a dormir novamente. Economia de energia sem usar o recurso dormir. Windows 7 também pode economizar energia usada pelo adaptador quando o sistema estiver acordado. Isto é feito colocando o adaptador de rede Ethernet em um estado de baixa energia quando o cabo de comunicação está desconectado.
1.1.10 - Gerenciamento de Impressão O Windows® 7 introduz melhorias para a impressão no Windows que oferecem desempenho melhorado e mais confiabilidade para os usuários de impressão. Para administradores de TI que gerenciam os recursos de impressão pela rede remotamente, essas melhoras garantem mais flexibilidade e melhor gerenciamento geral. Os profissionais de TI que gerenciam usuários, impressoras, drivers de impressora, filas de impressão e servidores de impressão em um ambiente de domínio que utiliza o snap-in do MMC (Console de Gerenciamento Microsoft) do Gerenciamento de Impressão e a ferramenta de linha de comando Printbrm.exe, desejarão utilizar o Gerenciamento de Impressão.
33
O Gerenciamento de Impressão fornece os seguintes recursos novos e alterados de impressão no Windows: • • • • • •
Melhorias de migração de impressão Isolamento do driver de impressora melhorias no snap-in do gerenciamento de impressora Melhorias no desempenho da Renderização do cliente (CSR) Melhorias do caminho de impressão do XPS (XML Paper Specification). Impressão com Reconhecimento de Local
Além disso, há melhorias na interface do usuário no Assistente de adicionar impressora O Assistente de migração de impressora (disponível no snap-in do Gerenciamento de impressão) e a ferramenta de linha de comando Printbrm.exe foram introduzidos no Windows Server® 2008 e no Windows Vista® para substituir o utilitário Migrador de impressão (Printmig). Isso permite que um administrador facilmente faça um backup, restaure e migre filas de impressão, preferências da impressora, portas da impressora e monitores de idioma. As melhorias ao Assistente de migração de impressora e o Printbrm.exe no Windows 7 fornecem maior flexibilidade e melhor tratamento e relato de erros - por exemplo, você pode agora restaurar informações de configuração para servidores de impressora e filas de impressão em um backup. Você pode também fazer um backup seletivo de processadores e monitores de idioma de impressão. Há também o suporte a migração de configuração de isolamento de drivers de impressão e uma opção de não restaurar as configurações de segurança para filas de impressão durante uma operação de restauração. Antes do Windows 7, a falha de componentes do driver da impressora era o maior problema no suporte a servidores de impressão - a falha de um driver de impressora carregado no processo de spooler da impressão causava uma falha, que levaria a uma pane em todo sistema de impressão. O impacto de uma falha no spooler em um servidor de impressão é particularmente significativo por causa do grande número de usuários e impressoras que são normalmente afetados. No Windows 7, agora você pode configurar os componentes do driver da impressora para serem executados em um processo isolado e separado do processo de spooler da impressora. Ao isolar o driver da impressora, você pode evitar que um driver de impressora defeituoso impeça todas as operações de impressão em um servidor de impressão, o que resulta em um aumento significativo na confiança do servidor. Além do benefício de melhorar a estabilidade do sistema de impressão em geral, esse novo recurso fornece um meio de isolar novos drivers para teste e depuração e para identificar quais drivers de impressora vêm causando falhas no spooler. As melhorias no snap-in do gerenciamento de impressão permitem que você gerencie melhor os servidores, as filas e os drivers de impressão. No Windows 7, o snap-in do gerenciamento de impressão inclui um suporte melhor ao gerenciamento de drivers e à capacidade de ver todos os drivers de impressão instalados na rede. Você 34
pode agora examinar as versões do driver, as informações do pacote do driver e gerenciar o isolamento do driver. No Windows 7, a frequência do cache de CSR aumentou. Subsequentemente, o número de solicitações do spooler da impressora que são feitas pelos aplicativos foi reduzido, o que melhor o desempenho geral do sistema de impressão e reduz a carga da rede. O XPS permite que os aplicativos do Windows produzam conteúdo rico que pode ser preservado por todo o sistema de impressão sem conversões custosas ou perda de dados. O XPS pode substituir a linguagem de apresentação de um documento (como RTF), um formato de spooler de impressão (como o WMF) e a linguagem de descrição de uma página (como o PostScript). Começando no Windows Vista, um caminho de impressão baseado em XPS foi introduzido para melhorar a fidelidade e o desempenho da impressão no Windows. No Windows 7, o uso do XPS no sistema de impressão foi estendido e melhorado em várias áreas: Impressão WYS/WYG (what you see is what you get), melhor fidelidade de impressão e suporte a cores, melhorias na visualizador de XPS, novos serviços de renderização e rasterização para drivers de impressora e desempenho de impressão significativamente melhorado. Além disso, essa função agora está disponível em uma camada API (interface de programação de aplicativo) para desenvolvedores de aplicativos. No Windows 7, a configuração de Impressora Padrão agora possui reconhecimento de local. Um usuário de PC móvel ou laptop pode definir uma impressora padrão diferente para cada rede a que se conectar. Eles podem ter uma impressora padrão definida para casa e uma impressora padrão diferente para utilizar no escritório. Seu laptop agora pode selecionar automaticamente a impressora padrão correta, dependendo de onde o usuário se conectar.
1.1.11 - Contas de Serviço Um dos desafios à segurança dos aplicativos de rede essenciais como o Exchange e o IIS é selecionar o tipo de conta apropriado a ser utilizado por eles. Em um computador local, um administrador pode configurar o aplicativo para executar como Serviço Local, Serviço de Rede ou Sistema Local. Essas contas de serviço são simples de configurar e usar, mas estão normalmente compartilhadas entre vários aplicativos e serviços, e não podem ser gerenciadas no nível de domínio. Se você configurar o aplicativo para usar uma conta de domínio, poderá isolar os privilégios do aplicativo, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para esse objetivo. Muitos aplicativos SQL Server e ISS usam essa estratégia para melhorar a segurança, com a consequência de mais administração e complexidade. Nessas implantações, os administradores de serviço gastam uma quantidade de tempo considerável em tarefas de manutenção (por exemplo, gerenciamento de senhas de serviço e de SPNs [nomes das entidades de usuário]) necessárias para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço. 35
Nos sistemas operacionais Windows Server® 2008 R2 e Windows® 7, há dois novos tipos disponíveis: conta de serviço gerenciada e conta virtual. A conta de serviço gerenciada destina-se a prover aos aplicativos essenciais, por exemplo, SQL Server e IIS, isolamento das suas próprias contas de domínio, enquanto elimina a necessidade da administração manual do SPN e das credenciais para essas contas. As contas virtuais no Windows Server 2008 R2 e Windows 7 são “contas locais gerenciadas” que podem usar as credenciais de um computador para acessar os recursos da rede. Os administradores se interessarão em usar as contas de serviço gerenciadas para aumentar a segurança enquanto simplificam ou eliminam o gerenciamento de senhas e SPN. As contas virtuais simplificam a administração do serviço eliminando o gerenciamento de senhas e permitindo que os serviços acessem a rede com credenciais de conta de computadores em um ambiente de domínio. Além da segurança avançada fornecida pelas contas individuais para os serviços essenciais, há quatro benefícios administrativos importantes associados às contas de serviço gerenciadas: •
•
•
•
Elas permitem que os administradores criem contas de classe de domínio que podem ser usadas para gerenciar e administrar serviços em computadores locais. Diferentemente de contas de domínio normais em que os administradores precisam redefinir as senhas manualmente, as senhas de rede para essas contas serão redefinidas automaticamente. Ao contrário do que ocorre com as contas locais normais de usuário e computador, o administrador não precisa executar tarefas complexas de gerenciamento de SPN para usar as contas de serviço gerenciadas. As tarefas administrativas das contas de serviço gerenciadas podem ser delegadas a não administradores.
As contas de serviço gerenciadas podem reduzir a quantidade de gerenciamento de conta necessária para serviços e aplicativos essenciais. Para usar as contas virtuais e contas de serviço gerenciadas, o computador cliente em que o aplicativo ou serviço está instalado deve estar executando o Windows Server 2008 R2 ou Windows 7. No Windows Server 2008 R2 e Windows 7, uma conta de serviço gerenciada pode ser usada para serviços em um único computador. Contas de serviço gerenciadas não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidores nos quais um serviço seja replicado para vários nós de cluster. Os domínios do Windows Server 2008 R2 apresentam suporte su porte nativo nati vo para o gerenciamento automático de senha e de SPN. Se o domínio estiver em execução no modo Windows Server 2003 ou Windows Server 2008, serão necessárias etapas de configuração adicionais para dar suporte às contas de serviço gerenciadas. Isso significa que:
36
•
•
Se o controlador de domínio estiver executando o Windows Server 2008 R2 e o esquema tiver sido atualizado para dar suporte às contas de serviço gerenciadas, ambos os gerenciamentos automáticos de senha e de SPN estarão disponíveis. Se o controlador de domínio estiver em um computador que está executando o sistema operacional Windows Server 2008 ou Windows Server 2003, e o esquema do Active Directory tiver sido atualizado para dar suporte a esse recurso, as contas de serviço gerenciadas poderão ser usadas e as senhas das contas de serviço automaticamente gerenciadas. No entanto, o administrador do domínio que estiver usando esses sistemas operacionais de servidor ainda precisará configurar manualmente os dados SPN dessas contas.
Para usar contas de serviço gerenciadas nas plataformas Windows Server 2008, Windows Server 2003 ou em ambientes de domínio de modo misto, as seguintes alterações devem ser aplicadas ao esquema: •
•
•
Execute adprep /forestprep no nível da floresta. Execute adprep /domainprep em cada domínio que deseja criar e usar contas de serviço gerenciadas. Implante um controlador de domínio que execute o Windows Server 2008 R2 no domínio para gerenciar contas de serviço gerenciadas usando cmdlets do Windows PowerShell.
1.1.12 - Cartões Inteligentes O Windows® 7 inclui novos recursos que facilitam o uso e implantação de cartões inteligentes, e permitem que eles sejam utilizados para executar uma variedade maior de tarefas. Os novos recursos estão disponíveis em todas as versões do Windows 7. Os recursos do Windows 7 ampliaram o suporte à funcionalidade Plug and Play e ao padrão PIV (verificação de identidade pessoal) do National Institute of Standards and Technology (NIST) no que se refere a cartões inteligentes. Isso significa que os usuários do Windows 7 poderão usar os cartões inteligentes dos fornecedores que publicarem seus drivers pelo Windows Update sem precisar de um middleware específico. Esses drivers são baixados do mesmo modo que os drivers dos outros dispositivos do Windows. Quando um cartão inteligente compatível com PIV é inserido no leitor, o Windows tenta baixar o driver usando o Windows Update. Se o driver apropriado não estiver disponível, ele recorrerá a um minidriver compatível com PIV, incluído no Windows 7. 37
Administradores de rede que queiram aumentar a segurança dos computadores em sua organização, principalmente dos portáteis (utilizados por usuários remotos), se interessarão pela implantação simplificada e os cenários de uso viabilizados pelo suporte PIV a Plug and Play do cartão inteligente. Os usuários se interessarão pela capacidade de usar cartões inteligentes para executar com segurança as tarefas comerciais essenciais. As novas opções do suporte a cartão inteligente no Windows 7 incluem: •
•
•
•
Criptografando unidades com a Criptografia de Unidade de Disco BitLocker. Nos sistemas operacionais Windows 7 Enterprise e Windows 7 Ultimate, os usuários podem optar por criptografar sua mídia removível ativando o BitLocker e escolhendo a opção de cartão inteligente para desbloqueá-la. No tempo de execução, o Windows recuperará o minidriver correto para o cartão inteligente e permitirá que a operação seja executada. Logon em domínio com cartão inteligente usando o protocolo PKINIT. No Windows 7, o minidriver mi nidriver correto co rreto para um cartão inteligente específico é recuperado automaticamente, permitindo que um novo cartão seja autenticado no domínio sem a necessidade de que o usuário instale ou configure middleware adicional. Assinatura de documento e e-mail. Os usuários do Windows 7 podem ter a certeza de que, no tempo de execução, o Windows recuperará o minidriver correto para um cartão inteligente no momento da assinatura de um e-mail ou documento. Além disso, os documentos XPS (XML Paper Specification) podem ser assinados sem a necessidade de software adicional. Uso com aplicativos de linha de negócios. No Windows 7, qualquer aplicativo que use CNG (Cryptography Next Generation) ou CryptoAPI para habilitar o uso de certificados pode ter a certeza de que, no tempo de execução, o Windows recuperará o minidriver correto para um cartão inteligente, sem a necessidade de nenhum middleware adicional.
A utilização de cartões inteligentes está se expandindo rapidamente. A fim de encorajar mais organizações e usuários a adotarem cartões inteligentes e aumentarem a segurança, o processo de fornecimento e uso dos novos cartões inteligentes é simplificado e admite um número maior de cenários de usuário final.
1.1.13 - Controle de Conta de Usuário Antes da introdução do UAC (Controle de conta de Usuário), quando um usuário era conectado como um administrador, esse usuário recebia automaticamente acesso completo a todos os recursos do sistema. Embora a execução como administrador permita que um usuário instale softwares legítimos, ele também pode instalar, intencionalmente ou não, um programa mal-intencionado. Um programa malintencionado instalado por um administrador pode comprometer totalmente o computador e afetar todos os usuários. 38
Com a introdução do UAC, o modelo de controle de acesso foi alterado para ajudar a atenuar o impacto de um programa mal-intencionado. Quando um usuário tenta iniciar uma tarefa ou um serviço do administrador, a caixa de diálogo Controle de Conta de Usuário solicita que o usuário clique em Sim ou Não antes que o token de acesso completo de administrador do usuário possa ser usado. Se o usuário não for um administrador, ele precisará fornecer as credenciais de um administrador para executar o programa. Como o UAC exige que um administrador aprove instalações de aplicativos, não é possível instalar aplicativos não autorizados automaticamente ou sem o consentimento explícito de um administrador. No Windows® 7 e Windows Server® 2008 R2, a funcionalidade UAC foi aprimorada para: •
•
•
•
Aumentar o número de tarefas que o usuário padrão pode realizar que não solicitam a aprovação do administrador. Permitir que um usuário com privilégios de administrador configure a experiência UAC no Painel de Controle. Fornecer diretivas de segurança local adicionais que permitam a um administrador local alterar o comportamento das mensagens UAC para administradores locais no Modo de Aprovação de Administrador. Fornecer diretivas de segurança local adicionais que permitam a um administrador local alterar o comportamento das mensagens UAC para usuários padrão.
O UAC ajuda os administradores e usuários padrão a protegerem seus computadores, impedindo a execução de programas que possam ser mal-intencionados. A experiência aprimorada do usuário facilita para os usuários realizar tarefas diárias, ao mesmo tempo em que protegem os computadores. A ajuda também a administradores corporativos a protegerem a rede impedindo que usuários executem software malintencionado. Por padrão, os administradores e usuários padrão acessam recursos e executam aplicativos no contexto de segurança de usuários padrão. Quando um usuário faz logon em um computador, o sistema cria um token de acesso para ele. O token de acesso contém informações sobre o nível de acesso que é concedido ao usuário, incluindo os SIDs (identificadores de segurança) e privilégios do Windows específicos. Quando um administrador faz logon, dois tokens de acesso distintos são criados para o usuário: um token de acesso de usuário padrão e um token de acesso de administrador. O token de acesso do usuário padrão contém as mesmas informações específicas de usuário do token de acesso de administrador, porém os privilégios administrativos do Windows e os SIDs foram removidos. O token de acesso de usuário padrão é usado para iniciar aplicativos que não desempenham tarefas administrativas (aplicativos de usuário padrão). Quando o usuário executa aplicativos que realizam tarefas administrativas (aplicativos de administrador), é solicitado que o usuário altere ou "eleve" o contexto de segurança de um usuário padrão para um administrador, chamado Modo de Aprovação de Administrador. Nesse modo, o administrador deve fornecer aprovação para que aplicativos sejam executados na área de trabalho protegida com privilégios administrativos. As melhorias do UAC no Windows 7 e Windows Server 2008 R2 39
resultam em uma experiência aprimorada ao usuário ao configurar o computador e solucionar seus problemas. O Windows 7 e Windows Server 2008 R2 reduzem o número de prompts UAC aos quais os administradores locais e usuários padrão devem atender. Para reduzir o número de prompts aos quais o administrador local deve responder: • •
•
Os prompts de operação de arquivo foram mesclados. Os prompts do Internet Explorer para executar instaladores de aplicativo foram mesclados. Os prompts do Internet Explorer para instalar controles ActiveX® foram mesclados.
A configuração padrão UAC permite que um usuário padrão realize as tarefas a seguir sem receber um prompt UAC: • •
•
• •
Instalar atualizações do Windows Update. Instalar drivers que são baixados do Windows Update ou incluídos no sistema operacional. Exibir as configurações do Windows. (No entanto, é solicitado a um usuário padrão os privilégios elevados quando ele altera as configurações do Windows.) Unir dispositivos Bluetooth para o computador. Redefinir o adaptador de rede e realizar outras tarefas de reparação e diagnóstico de rede.
O Windows Vista® oferece dois níveis de proteção UAC ao usuário: ligado ou desligado. O Windows 7 e o Windows Server 2008 R2 apresentam níveis de prompt adicionais que são semelhantes ao modelo de zona de segurança do Internet Explorer. Se você tiver feito logon como um administrador local, é possível habilitar ou desabilitar prompts UAC, ou escolher quando ser notificado sobre alterações no computador. Existem quatro opções de nível de notificação: •
•
•
Nunca me notificar. Você não será notificado de nenhuma alteração feita nas configurações do Windows ou quando o software for instalado. Notificar-me apenas quando programas tentarem fazer alterações no meu computador. Você não será notificado quando fizer alterações nas configurações do Windows, mas sim quando um programa tentar fazer alterações no computador. Notificar-me sempre. Você será notificado quando fizer alterações nas configurações do Windows e quando os programas tentarem fazer alterações no computador.
40
•
Notificar-me sempre e aguardar minha resposta. Você será solicitado para todas as tarefas de administrador na área de trabalho protegida. Essa opção é semelhante ao comportamento atual do Windows Vista.
A tabela a seguir compara o número de prompts UAC para ações de usuário no Windows 7 e Windows Server 2008 R2 com o número de prompts UAC no Windows Vista Service Pack 1. Notificar-me apenas quando programas Ações tentarem fazer Notificar-me sempre alterações no meu computador Alterar configurações Sem prompts de personalização
Menos prompts
Gerenciar sua área de Sem prompts trabalho
Menos prompts
Configurar e Sem prompts solucionar problema de rede
Menos prompts
Usar Transferência Menos prompts Fácil do Windows
Mesmo número de prompts
Instalar controles Menos prompts ActiveX por meio do Internet Explorer
Menos prompts
Conectar dispositivos Sem prompts
Nenhum prompt se os drivers estiverem no Windows Update ou número semelhante de prompts se os drivers não estiverem no Windows Update.
Usar o Update
Sem prompts
Windows Sem prompts
Configurar backups
Sem prompts
Instalar ou remover Sem prompts software
Mesmo número de prompts Menos prompts
Se você tiver feito logon como um administrador local, é possível alterar o comportamento de prompts UAC nas diretivas de segurança locais para administradores locais no Modo de Aprovação de Administrador. •
Elevar sem aviso. Os aplicativos que são marcados como aplicativos de administrador e aplicativos que são detectados como aplicativos de instalação são executados automaticamente com o token de acesso completo de 41
administrador. Todos os outros aplicativos são automaticamente executados com o token de usuário padrão. •
•
•
•
•
Solicitar credenciais na área de trabalho protegida. A caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho protegida. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usuário deve inserir credenciais administrativas. Esta configuração dá suporte à conformidade com Critérios Comuns ou diretivas corporativas. Solicitar consentimento na área de trabalho protegida. A caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho protegida. Para permitir que um arquivo seja executado com o token de acesso completo de administrador, o usuário deve clicar em Sim ou Não na caixa de diálogo Controle de Conta de Usuário. Se o usuário não for um membro do grupo Administradores locais, as credenciais administrativas serão solicitadas. Esta configuração dá suporte à conformidade com Critérios Comuns ou diretivas corporativas. Pedir credenciais. Essa configuração é semelhante a Solicitar credenciais na área de trabalho protegida, mas a caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho. Pedir consentimento. Essa configuração é semelhante a Solicitar consentimento na área de trabalho protegida, mas a caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho. Solicitação de consentimento para binários que não são do Windows. A caixa de diálogo Controle de Usuário de Conta é exibida na área de trabalho para todos os arquivos que não forem assinados digitalmente com o certificado digital do Windows.
Se você tiver feito logon como um administrador local, é possível alterar o comportamento de prompts UAC nas diretivas de segurança locais para usuários padrão. •
Negar automaticamente solicitações de elevação. Os aplicativos de administrador não podem ser executados. O usuário receberá uma mensagem de erro que informará que a diretiva está impedindo o aplicativo de ser executado. 42
•
•
Pedir credenciais. Esta é a configuração-padrão. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usuário deverá inserir credenciais administrativas na caixa de diálogo Controle de Conta de Usuário que é exibida na área de trabalho. Solicitar credenciais na área de trabalho protegida. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usuário deverá inserir credenciais administrativas na caixa de diálogo Controle de Conta de Usuário que é exibida na área de trabalho protegida.
Em resposta a solicitações do cliente, o UAC aprimorado permite que os usuários realizem tarefas diárias com menos prompts e fornece aos administradores mais controle sobre o modo como o UAC faz solicitações aos usuários.
1.1.14 - Discos Rígidos Virtuais O formato de arquivo VHD (disco rígido virtual) da Microsoft® especifica um disco rígido virtual, que é encapsulado em um arquivo único e capaz de hospedar sistemas de arquivos nativos e suportar operações padrão de disco. No Windows® 7, um VHD pode ser usado como o sistema operacional em execução no hardware designado sem qualquer outro sistema operacional pai, máquina virtual ou hypervisor. Você pode usar as ferramentas de gerenciamento de disco do Windows 7 (a ferramenta de linha de comando DiskPart e o snap-in MMC do Gerenciamento de Disco) para criar um arquivo VHD. Você pode implantar uma imagem do Windows 7 (no formato .wim) no VHD, e pode copiar o arquivo VHD a vários sistemas. Você pode configurar o gerenciador de inicialização do Windows 7 para uma inicialização nativa ou física da imagem do Windows que está contida no VHD. Além disso, você pode conectar o arquivo VHD a uma máquina virtual para uso com a função Hyper-V no Windows Server 2008 R2. Os arquivos VHD de inicialização nativa não são projetados, nem devem ser usados, para substituir a implantação completa de uma imagem em todos os sistemas clientes ou servidores. As versões anteriores do Windows não oferecem suporte à inicialização a partir de um VHD e exigem um hypervisor e uma máquina virtual para a inicialização a partir de um arquivo VHD. Os ambientes corporativos que já gerenciam e usam arquivos VHD para implantação de máquinas virtuais serão mais beneficiados com os novos recursos desta versão. Embora os ambientes corporativos estejam movendo um número crescente de aplicativos para máquinas virtuais, eles ainda usam computadores físicos para operar uma parte significativa do data center. Por esse motivo, os administradores de TI devem manter dois conjuntos de imagens: um conjunto com base no formato .wim para computadores físicos e outro no formato VHD para máquinas virtuais. O formato VHD suporta computadores físicos e máquinas virtuais, e oferece flexibilidade na implantação de imagem e simplifica o gerenciamento de imagens.
43
Um formato de imagem que pode ser executado em máquinas tanto virtuais como físicas, também é benéfico para desenvolvedores e testadores. Isso porque eles usam máquinas virtuais para testar novos sistemas e softwares de aplicativos, mas algumas vezes precisam executar testes em computadores físicos para acessar um dispositivo de hardware específico, como placa gráfica, ou para obter um perfil de desempenho preciso. Além disso, os VHDs de inicialização nativa permitem que desenvolvedores e testadores façam inicialização dentro da imagem do Windows 7, sem criar uma partição separada no computador físico para instalação do Windows. O suporte nativo a VHDs simplifica o gerenciamento de imagens e reduz o número de imagens que precisam ser catalogadas e mantidas. Para criar um VHD no Windows Server 2008, você deve instalar a função de servidor Hyper-V, criar um arquivo VHD e iniciar a máquina virtual para instalar o Windows a partir do CD ou DVD em uma partição do VHD. No Windows 7, os VHDs de inicialização nativa permitem que você crie e modifique arquivos de VHD, sem instalar a função de servidor do Hyper-V. Você pode anexar os arquivos VHD usando ferramentas de gerenciamento de disco, e pode utilizar a imagem do Windows dentro do VHD. Você pode usar as ferramentas de implantação do Windows AIK (Kit de Instalação Automatizada do Windows) para aplicar uma imagem do Windows ao VHD e para aplicar atualizações à imagem do sistema no arquivo VHD. As etapas da implantação de uma imagem do Windows 7 ou Windows Server 2008 R2 em um arquivo VHD dependem das ferramentas de implantação do Windows. Por exemplo, o Imagex.exe é uma das ferramentas do Windows AIK. Você pode usar o Imagex.exe para capturar uma partição do sistema operacional Windows em um formato de arquivo Imagem do Windows (.wim) e para aplicar um arquivo .wim a uma partição do sistema de arquivos, que pode residir em um arquivo VHD. Você deve instalar a versão mais recente do Windows AIK no Kit de Instalação Automatizada do Windows para o Windows 7. O download do Windows AIK é uma imagem ISO que deve ser gravada em um DVD e, em seguida, instalada no seu sistema. Depois da instalação do Windows AIK, o ImageX.exe fica localizado no diretório das Ferramentas do Windows AIK\PE. O cenário de inicialização nativa também requer o ambiente de inicialização do Windows 7. O ambiente de inicialização do Windows 7 é inicializado durante uma instalação completa do sistema operacional e inclui o Gerenciador de Inicialização do Windows e os BCD (Dados de Configuração da Inicialização), bem como outros arquivos de suporte.
1.1.15 - Windows Defender O Windows Defender ajuda a proteger o seu computador contra pop-ups, baixo desempenho e ameaças à segurança causadas por spywares e outros softwares indesejados, detectando e removendo spyware conhecido do seu computador. O Windows Defender está disponível em todas as edições do Windows® 7.
44
Os recursos do Windows Defender incluem: •
•
•
•
•
•
•
•
•
•
Um sistema de monitoramento que recomenda ações contra spyware onde o spyware for detectado. Opções de verificação que permitem que você agende verificações regularmente e escolha níveis de alerta e ações que deseja tomar quando possíveis spywares forem detectados durante uma verificação. O monitoramento do processo tem base no ETW (Rastreamento de Eventos para Windows) para iniciar, carregando driver e .dll e gerando notificações de spywares possíveis ou conhecidos e outros softwares indesejados para o serviço. A integração com a interface IOfficeAntiVirus ajuda a proteger seu computador contra software malicioso de download (malware) de Internet e anexos de emails, mesmo se a interface do Windows Defender não estiver sendo executada. Um processo automático que verifica quando o serviços iniciam ou quando a assinatura está atualizada ajuda a capturar ameaças esquecidas. As ameaças classificadas como grave ou alta podem ser removidas do sistema automaticamente mesmo se a interface do Windows Defender não estiver sendo executada. Você pode ingressar ao Microsoft SpyNet, uma comunidade online que ajuda você a escolher como responder a possíveis ameaças de spyware. Isso também ajuda a interromper a propagação de novas infecções de spyware, dando a você acesso às informações sobre assinaturas criadas para programas enviados por outros usuários. A nova página Opções enumera as diferentes categorias de configurações e elimina a barra de rolagem para facilitar o uso. A exibição aprimorada da detecção em tempo real permite que os usuários visualizem detalhes das ameaças e escolha ações perante ameaças. As opções de ação atualizadas são mais fáceis de entender. A verificação de assinatura aprimorada fornece um melhor comentário do progresso de verificação e notifica o usuário durante o processo, se possíveis ameaças forem localizadas, antes de esperar a verificação ser concluída. 45
•
•
•
•
•
•
•
O cache de arquivo do sistema é usado na verificação para evitar arquivos de sistema de verificação. A identificação de ameaça exclusiva é atribuída a cada arquivo desconhecido e mantida no cache. Isso ajuda a evitar uma verificação com desempenho intenso para ameaças desconhecidas. Um tamanho de cache máximo é mantido. As ameaças que não existem mais são removidas do cache. Para ser menos invasivo para o usuário, o agendamento de verificação tem base na notificação de tempo de inatividade do Agendador de Tarefas. Agora, o Windows Defender é integrado à Central de Ações do Windows para consolidar notificações de integridade do sistema e para reduzir o número de ícones na área de notificação. Todas as notificações do Windows Defender, como alertas críticos que exigem ação imediata, são encaminhadas para a Central de Ações do Windows para uma experiência exclusiva do usuário. As configurações adicionais de Diretiva de Grupo fornece um gerenciamento do Windows defender melhor. A nova opção de privacidade é integrada ao UAC (Controle de Conta de Usuário) e restringe quem pode exibir os itens do histórico, apresentando o prompt de UAC. Os usuários padrão precisam fornecer credenciais administrativas para exibir o histórico.
1.1.16 - Windows Deployment Novas versões do Windows Deployment Services, o Windows ® Automated Installation Kit (Windows AIK) e o Microsoft Deployment Toolkit (MDT) estão disponíveis para auxiliar na implantação do Windows ® 7 e do Windows Server ® 2008 R2. Cada uma destas ferramentas inclui novos recursos que melhoram o processo de implantação do Windows. A lista a seguir descreve as diferentes tecnologias de implantação do Windows e as principais mudanças para a implantação desta versão:
46
•
Microsoft Deployment Toolkit
O Microsoft Deployment Toolkit (MDT) é um acelerador de solução que reúne várias tecnologias de implantação do Microsoft juntos em um único meio de automatizar instalações. Usando o MDT, você pode automatizar instalações do sistema operacional Windows usando Zero Touch Installation (ZTI) ou Lite Touch Installation (LTI) processos. A implantação do Windows pode ser totalmente automatizado, usando o método ZTI, ou exigir um mínimo de interação com o computador de destino usando o método LTI. ZTI usa o Microsoft System Center Configuration Manager 2007 ou o Microsoft Systems Management Server 2003 com o Operating System Deployment Feature Pack. •
Windows Deployment Services
Windows Deployment Services é uma função de servidor que foi incluído no Windows Server ® 2008, ele foi atualizado para Windows Server 2008 R2. Esta versão contém recursos novos e multicast driver de provisionamento funcionalidade. Com provisionamento de driver, você pode implantar pacotes de driver (juntamente com uma imagem do Windows) para computadores cliente baseado no hardware do cliente, e adicionar pacotes de driver de imagens de boot. Esta versão também permite que você implante o disco rígido virtual (VHD) por imagens usando uma instalação autônoma. •
Windows Automated Installation Kit
Kit de Instalação do Windows Automated (Windows AIK) é uma coleção de ferramentas e documentação que lhe permitem personalizar o seu ambiente de implantação próprio Windows. Esta coleção de ferramentas inclui todas as opções de configuração de instalação do Windows, ferramentas de imagem, o ambiente préinstalação do Windows personalizações e processos e orientação. O Windows AIK é ideal para implantação de ambientes altamente personalizado e fornece um amplo controle e flexibilidade. Os seguintes grupos podem se interessar por essas alterações: • • •
Generalistas de TI Especialistas em TI Qualquer pessoa responsável pela implantação do Windows 7 sistemas operacionais
As principais mudanças no Windows Automated Installation Kit (Windows AIK): 1. Deployment Image Servicing and Management (DISM) é uma ferramenta de linha de comando usado para serviço de imagens do Windows. Você pode usá-lo para instalar, desinstalar, configurar e atualizar os recursos do Windows, pacotes, drivers e configurações internacionais. DISM comandos também podem ser usados para manutenção de um sistema operacional em execução. Você pode usar DISM para: • •
Adicionar ou remover de 32 bits e drivers de dispositivo de 64 bits. Adicionar ou remover pacotes de idioma. 47
• •
Ativar ou desativar recursos do Windows. Adicionar e configurar as atualizações.
DISM substitui muitas das ferramentas em versões anteriores do Windows AIK, incluindo Package Manager (Pkgmgr.exe), o International Settings Configuration Tool (Intlcfg.exe), eo Windows PE ferramenta de linha de comando (Peimg.exe). DISM fornece a mesma funcionalidade que o Package Manager fornecido e inclui funcionalidades adicionais quando usado com o Windows 7 e Windows Server 2008 R2. É instalado com o Windows 7 e Windows Server 2008 R2. Ele pode ser usado para o serviço Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista ® com Service Pack 1 (SP1), ou as imagens pré-instalação ambiente Windows. O DISM consolida muitas ferramentas que foram incluídos em versões anteriores do Windows AIK, scripts ou outros instrumentos que fazem chamadas para o Gerenciador de Pacotes deve ser atualizado para fazer chamadas para DISM vez. As seguintes ferramentas são depreciados nesta versão do Windows AIK. Se você tem um ambiente existente automatizado que usa essas ferramentas, você precisará modificar o ambiente para uso DISM para implantar o Windows 7 ou Windows Server 2008 R2. Algumas destas ferramentas não estão disponíveis com esta versão do Windows AIK. Se você pretende implantar versões anteriores do Windows que requerem essas ferramentas, você deve usar a versão do Windows AIK, que incluiu essas ferramentas. •
•
•
•
•
Intlcfg.exe. Internacional Configurações Tool (Intlcfg.exe) é usado para alterar o idioma e localidade, fontes e configurações de entrada de uma imagem do Windows. No Windows 7 e Windows Server 2008 R2, a funcionalidade desta ferramenta é incluído como parte das ferramentas DISM. Esta versão do Windows AIK inclui a ferramenta Intlcfg.exe para permitir a configuração do Windows Vista e Windows Server 2008 instalações só. O Peimg.exe. Esta linha de ferramentas de comando é usado para criar e modificar imagens do Windows PE. A funcionalidade desta ferramenta é incluído como parte das ferramentas DISM. Esta ferramenta não está disponível nesta versão do Windows AIK. Pkgmgr.exe. Package Manager é usado para instalar, remover ou atualizar pacotes em uma imagem offline do Windows. A funcionalidade desta ferramenta é incluído como parte das ferramentas DISM. Package Manager está incluído em todas as instalações do Windows, e você pode continuar a utilizar scripts existentes que chamar o Gerenciador de Pacotes. No entanto, recomendamos a todos as instalações do Windows 7 que você atualizar seu ambiente para suportar DISM. PostReflect.exe. PostReflect.exe é usada para refletir todos os drivers de dispositivo crítico-boot fora da loja driver em uma imagem offline. A funcionalidade desta ferramenta está integrada na Sysprep ferramenta. Esta ferramenta não está disponível nesta versão do Windows AIK. Vsp1cln.exe. O Windows Vista SP1 Files Removal Tool (Vsp1cln.exe) é usado para remover os arquivos que são arquivados após o Windows Vista SP1 é 48
aplicado a uma imagem Vista RTM do Windows. Esta ferramenta não é mais necessário e não está disponível nesta versão do Windows AIK. 2. O Windows User State Migration Tool 4.0 (USMT) já está instalado como parte do Windows AIK. Você pode usar o USMT 4.0 para agilizar e simplificar a migração de perfil do usuário durante grandes implantações do Windows Vista, Windows 7, e os sistemas operacionais Windows Server 2008 R2. USMT captura contas de usuários, arquivos de usuários, configurações do sistema operacional, aplicativos e configurações, e depois migra-los para uma nova instalação do Windows. Você pode usar o USMT para ambos os lado a lado e migrações wipe-and-carga. A característica mais significativa da USMT 4.0 é a loja de migração hard-link. A loja migração hard-link é para uso em cenários de atualização do computador apenas. A loja migração hard-link permite que você realize uma migração no local onde todo o estado do usuário é mantido no computador enquanto o sistema operacional antigo é removido eo novo sistema operacional está instalado. Esse cenário melhora drasticamente a performance de migração, reduz significativamente a utilização do disco rígido, e reduz os custos de implantação. A instalação padrão do Windows agora inclui suporte para uma partição de sistema em separado. Em instalações padrão, a Instalação do Windows cria duas partições no disco rígido. Você pode usar uma partição para ferramentas de recuperação, para habilitar o BitLocker ™ Drive Encryption, ou para outras funções. Você pode usar a segunda partição para instalar o sistema operacional. A partição do sistema, que hospeda o gerenciador de inicialização e os arquivos relacionados, deixarão de ter uma letra de unidade por padrão. Você pode adicionar manualmente uma letra de unidade durante a instalação usando o Microsoft-WindowsSetup \ DiskConfiguration Disk \ ModifyPartitions \ ModifyPartition \ Carta configuração. No Windows 7 e Windows Server 2008 R2, um disco rígido virtual (VHD) pode ser usado como o sistema operacional rodando em hardware designado, sem qualquer outro sistema operacional pai, computador virtual, ou hypervisor. Um hypervisor é uma camada de software abaixo o sistema operacional que roda as máquinas virtuais. ferramentas de gerenciamento de disco, a ferramenta DiskPart, eo Gerenciamento de disco Microsoft Management Console (MMC), pode ser usado para criar um de arranque. vhd. Um arquivo de imagem generalizada (. Wim) pode ser implantado para o VHD, eo arquivo. Vhd pode ser copiado em vários computadores. O gerenciador de inicialização pode ser configurado para arrancar com o wim. Partir do VHD.
1.1.17 - Windows PowerShell O Windows PowerShell™ é um novo shell de linha de comando e linguagem de scripts desenvolvido especialmente para administração de sistemas. Incluído no Microsoft .NET Framework, o Windows PowerShell é útil para profissionais de TI responsáveis pelo controle e automação da administração de sistemas operacionais Windows e dos aplicativos que executam em tais plataformas. Com as ferramentas de comando simples no Windows PowerShell, conhecidas como cmdlets , é possível usar a linha de comandos para gerenciar os computadores da 49
empresa. Os provedores do Windows PowerShell permitem que você acesse repositórios de dados, por exemplo, o Registro e o repositório de certificados, com a mesma facilidade com que acessa o sistema de arquivos. Além disso, o Windows PowerShell apresenta suporte total a todas as classes WMI (Instrumentação de Gerenciamento do Windows). O Windows PowerShell é totalmente extensível. Você pode compor seus próprios cmdlets, provedores, funções e scripts, e compactá-los em módulos para compartilhamento com outros usuários. O Windows® 7 inclui o Windows PowerShell 2.0. Inclui também outros cmdlets, provedores e ferramentas que podem ser adicionados ao Windows PowerShell para que você use e gerencie outras tecnologias do Windows, por exemplo, os Serviços de Domínio do Active Directory®, a Criptografia de Unidade de Disco Windows® BitLocker™, o serviço do Servidor DHCP, a Diretiva de Grupo, os Serviços de Área de Trabalho Remota e o Backup do Windows Server. As seguintes alterações estão disponíveis no Windows PowerShell, no Windows 7: •
•
•
•
Novos cmdlets. O Windows PowerShell inclui mais de 100 novos cmdlets, inclusive Get-Hotfix, Send-MailMessage, Get-ComputerRestorePoint, NewWebServiceProxy, Debug-Process, Add-Computer, Rename-Computer, ResetComputerMachinePassword e Get-Random. Gerenciamento remoto. Você pode executar comandos em um ou em centenas de computadores com um único comando. É possível estabelecer uma sessão interativa com um único computador. Há a possibilidade também de estabelecer uma sessão que receba comandos remotos de vários computadores. Windows PowerShell ISE (Integrated Scripting Environment). O Windows PowerShell ISE é a interface gráfica do usuário do Windows PowerShell e permite que você execute comandos e elabore, edite, execute, teste e depure scripts na mesma janela. Apresenta até oito ambientes de execução independentes e inclui um depurador interno, edição multilinha, execução seletiva, cores de sintaxe, números de linhas e colunas, e Ajuda contextual. Trabalhos em segundo plano. Com os trabalhos em segundo plano do Windows PowerShell, é possível executar comandos de forma assíncrona e "em segundo plano", de modo que você possa continuar a trabalhar na sua sessão. É possível executar trabalhos em segundo plano e armazenar resultados em um computador local ou remoto.
50
•
•
•
•
•
•
•
Depurador. O depurador do Windows PowerShell é útil para limpar funções e scripts. Você pode definir e remover pontos de interrupção, avançar sequencialmente pelo código, verificar os valores das variáveis e exibir um rastreamento de pilhas de chamadas. Módulos. Os módulos do Windows PowerShell permitem que você organize os scripts e funções do Windows PowerShell em unidades independentes e autossuficientes. Você pode compactar cmdlets, provedores, scripts, funções e outros arquivos em módulos que possam ser distribuídos a outros usuários. É mais fácil para os usuários instalar e usar os módulos do que os snap-ins do Windows PowerShell. Os módulos podem incluir qualquer tipo de arquivo, inclusive arquivos de áudio, imagens, ajuda e ícones. Eles são executados em uma sessão separada para evitar conflitos de nomes. Transações. O Windows PowerShell fornece suporte agora às transações, o que permite que você gerencie um conjunto de comandos como uma unidade lógica. Uma transação pode ser confirmada ou completamente desfeita de modo que os dados afetados não sejam alterados. Eventos. O Windows PowerShell inclui uma nova infraestrutura de eventos que permite que você crie eventos, inscreva-se nos eventos do sistema e dos aplicativos, além de permitir a escuta, o encaminhamento e a execução de ações (síncronas ou assíncronas) neles. Funções avançadas. As funções avançadas se comportam exatamente como cmdlets, mas são compostas na linguagem de scripts do Windows PowerShell em vez de em C#. Internacionalização do script. Os scripts e funções podem exibir aos usuários mensagens e texto da Ajuda em vários idiomas. Ajuda on-line. Além da Ajuda na linha de comando, o cmdlet Get-Help tem um novo parâmetro On-line que abre uma versão completa e atualizada de cada tópico da Ajuda no Microsoft TechNet.
Os seguintes grupos podem ter interesse em tais alterações: •
Profissionais de TI que gerenciem o Windows na linha de comando e sejam responsáveis pela automação de tarefas administrativas. 51
•
•
Desenvolvedores que desejem usar a linguagem de scripts abrangente do Windows PowerShell para desenvolver aplicativos do .NET Framework e estender o Windows PowerShell. Todos os usuários que queiram conhecer o Windows PowerShell para fins de gerenciamento do sistema, composição de scripts de automação de tarefas e criação de novas ferramentas sem que seja necessário aprender uma linguagem de programação.
Entre os muitos recursos do Windows PowerShell, estão os que seguem:
1- Gerenciamento Remoto O gerenciamento remoto do Windows PowerShell permite que usuários usem todos os seus computadores para se conectar ao Windows PowerShell e executar comandos. Profissionais de TI podem usá-lo para monitorar e gerenciar computadores, distribuir atualizações, executar scripts e trabalhos em segundo plano, coletar dados, e fazer alterações otimizadas e uniformes em um ou em centenas de computadores. 2- Windows PowerShell ISE Com o Windows PowerShell ISE, o uso do Windows PowerShell fica mais fácil e eficaz. Os iniciantes apreciarão as cores da sintaxe e a Ajuda contextual. A edição de multilinha facilita a execução dos exemplos copiados dos tópicos da Ajuda e de outras origens. Os usuários avançados apreciarão a disponibilidade dos diversos ambientes de execução, do depurador interno e da extensibilidade do modelo de objetos do Windows PowerShell ISE. 3- Módulos Os módulos do Windows PowerShell permitem que os autores de cmdlets e provedores a tarefa organizem e distribuam ferramentas e soluções com mais facilidade. Além disso, eles permitem que os usuários instalem e incluam ferramentas nas sessões do Windows PowerShell de maneira mais simplificada. Os profissionais de TI podem usar módulos para distribuir soluções testadas e aprovadas no âmbito da empresa e compartilhá-las com outros profissionais na comunidade. 4- Transações As transações do Windows PowerShell permitem que o Windows PowerShell seja usado para fazer alterações que possam ser revertidas ou confirmadas como uma unidade, tais como atualizações no banco de dados e alterações no Registro. O Windows PowerShell apresenta os seguintes requisitos de sistema e de recursos: •
•
•
Windows PowerShell requer o Microsoft .NET Framework 2.0. Windows PowerShell ISE, o programa de interface gráfica do usuário do Windows PowerShell, requer o Microsoft .NET Framework 3.5 com Service Pack 1. cmdlet Out-GridView requer o Microsoft .NET Framework 3.5 com Service Pack 1. 52
•
•
•
•
cmdlet Get-WinEvent requer o Windows Vista, ou versões posteriores do Windows,e o Microsoft .NET Framework 3.5. cmdlet Export-Counter pode ser executado apenas no Windows 7 e em versões posteriores do Windows. Os recursos remotos baseados em WMI do Windows PowerShell não requerem nenhuma configuração e podem ser executados em todas as versões do Windows que ofereçam suporte para Windows PowerShell. Os recursos remotos baseados em WS-Management requerem que os computadores locais ou remotos executem o Windows Vista ou uma versão posterior do Windows. Além disso, é necessário habilitar e configurar o WS-Management em todos os computadores participantes. Para obter mais informações, consulte About_Remote. Vários cmdlets só funcionam quando o usuário atual é membro do grupo Administradores no computador ou apresenta as credenciais de membro de tal grupo. Esse requisito é explicado nos tópicos da Ajuda dos cmdlets afetados.
1.1.18 - Recursos de Pesquisa, Busca e Organização do Windows O Windows 7 apresenta diversos de novos recursos e aprimoramentos que podem ajudar profissionais de TI a implantar e manter a funcionalidade pesquisa, busca e organização da área de trabalho: •
Aprimoramentos no desempenho e estabilidade do indexador.
•
Aprimoramentos no desempenho e relevância da experiência de pesquisa.
•
A introdução da pesquisa federada e dos conectores de pesquisa.
•
•
•
•
•
•
•
A introdução de agregações e visualizações para organizar melhor os resultados da pesquisa. A introdução de bibliotecas para ajudar na organização. Aprimoramentos no desempenho e na interface do usuário do Windows Explorer. Configurações adicionais de Diretivas de Grupo, disponíveis em todos os sistemas operacionais com suporte. Impacto reduzido no servidor que executa o Microsoft Exchange Server durante a indexação de e-mail sem cache (clássico, online). A capacidade de indexar caixas de correio delegadas. Suporte para indexação de documentos criptografados dos sistemas de arquivos locais. 53
•
•
Suporte para indexação de e-mail assinado digitalmente de clientes de e-mail ativados por MAPI, como o Microsoft Outlook®. A capacidade expandida de realizar consultas remotas rápidas de compartilhamentos de arquivos, inclusive nos sistemas operacionais Windows Vista®, Windows Server® 2008, Windows® XP com o Windows Search 4.0 instalado, e nas versões anteriores.
O Serviço Windows Search permite que você realize pesquisas rápidas de arquivo em um servidor a partir de computadores que estejam executando os sistemas operacionais Windows® 7 ou Windows Server® 2008 R2, ou que apresentem uma instalação do WDS (Windows Desktop Search) em conjunto com as plataformas Windows Vista, Windows Server 2008, Windows XP, Windows Server® 2003 R2 ou Windows Server® 2003. A indexação de e-mail sem cache também é conhecida como e-mail clássico, online. No Windows® 7, a indexação do e-mail sem cache causa um impacto menor sobre o Microsoft Exchange Server. Diferente do e-mail sem cache, o e-mail com cache usa um arquivo de Pastas Offline (.ost) para manter uma cópia local da caixa de correio do Exchange Server no seu computador, o que permite a indexação local do e-mail. Este recurso destina-se a profissionais de TI. Os aprimoramentos na pesquisa também são relevantes para usuários de computadores domésticos. Antes de implantar os recursos de Pesquisa, Busca e Organização do Windows no Windows 7, os administradores devem considerar vários fatores, inclusive: •
•
•
A função de pesquisa de área de trabalho dentro da estratégia de pesquisa da empresa. Que repositórios de dados deseja publicar para o acesso direto do cliente no Windows Explorer usando o padrão OpenSearch. As práticas atuais de armazenamento de documentos e como elas se relacionam com as bibliotecas.
•
A importância da criptografia do armazenamento na sua organização.
•
A importância da criptografia e assinatura de e-mails para sua organização.
A tabela a seguir apresenta uma visão geral breve da maioria dos recursos e funções novos dos recursos de Pesquisa, Busca e Organização do Windows no Windows 7.
Recurso Aprimoramentos no desempenho e na
Novo no Windows 7 A navegação está melhor organizada e mais intuitiva, as tarefas diárias estão mais acessíveis e há inúmeros 54
interface do usuário do Windows Explorer
aprimoramentos na apresentação do conteúdo para o usuário final.
A introdução de bibliotecas para ajudar na organização
As bibliotecas facilitam e agilizam a localização de arquivos. Com base no êxito da experiência dos Meus Documentos, as bibliotecas trabalham como pastas, mas não têm funcionalidade adicional. Além de procurar arquivos usando a estrutura hierárquica de pastas, você pode procurar metadados como data, tipo, autor e marcas. Os usuários podem incluir arquivos de vários locais de armazenamento nas bibliotecas sem ter de movê-los ou copiá-los dos locais de armazenamento originais.
Aprimoramentos na experiência de pesquisa
A experiência de pesquisa está integrada com as tarefas diárias por meio do Windows Explorer, do menu Iniciar e da introdução de novas bibliotecas. Os resultados da pesquisa levam em conta a relevância, o que agiliza a localização das informações procuradas. Outros aprimoramentos na experiência incluem a introdução de correspondências em realce no documento pesquisado, um construtor de pesquisa para criação de consultas avançadas e modos de exibição. Os modos de exibição permitem que você articule os resultados da pesquisa, listam as pesquisas mais recentes e fornecem um escopo mais amplo para o menu Iniciar, incluindo tarefas do Painel de Controle.
A introdução da pesquisa federada e dos conectores de pesquisa
O Windows 7 permite a pesquisa de conteúdo em índices remotos. A integração da pesquisa federada no Windows proporciona aos usuários os benefícios de usar ferramentas e fluxos de trabalho familiares ao pesquisar dados remotos. Essa integração avançada fornece como benefício adicional correspondências realçadas dentro do documento pesquisado. O Windows 7 oferece suporte à pesquisa federada por meio do padrão público OpenSearch. Outros aprimoramentos são a interface do usuário consistente para os resultados da pesquisa remota dentro do Windows Explorer e a capacidade de arrastar e soltar arquivos nos resultados da pesquisa entre locais diferentes.
Antes que os usuários possam pesquisar e-mails, o serviço de indexação do Windows precisa indexar o repositório de e-mails, o que envolve a coleta das propriedade e do conteúdo dos itens dentro de tal Indexação de e-mail sem repositório. Mais tarde, a indexação inicial é seguida por cache (clássico, online) uma incremental, menor - à medida que os e-mails são recebidos, lidos e excluídos, assim por diante - para manter o índice atualizado. O Windows 7 minimiza o impacto no servidor que está executando o Exchange Server por reduzir o número de RPC (chamadas de 55
procedimentos remotos) necessárias para indexar as mensagens de e-mail e anexos. Como as mensagens são indexadas nos formatos nativos (HTML, RTF e texto), não há carga para o servidor na conversão dos tipos de email. O Windows indexará pastas públicas somente quando elas estiverem armazenadas no cache local.
Consulta remota
O Windows 7 estende a capacidade de pesquisa entre áreas de trabalho remotas. O Windows 7 ou Windows Search 4.0 (disponíveis nas plataformas Windows Vista e Windows XP) permitem que os usuários façam consultas em computadores remotos que estejam executando sistemas operacionais com suporte; o Windows Vista permite apenas a pesquisa em computadores que estejam executando o mesmo sistema operacional, ou seja, o Windows Vista.
Suporte para indexação de arquivos criptografados
O Windows 7 oferece suporte total para indexação de arquivos criptografados nos sistemas de arquivo locais, permitindo que usuários indexem e pesquisem as propriedades e conteúdos de tais arquivos. Os usuários podem configurar manualmente o Windows para incluir esses arquivos na indexação, ou isso pode ser definido nas Diretivas de Grupo pelos administradores. O Windows 7 permite que você pesquise conteúdo em emails assinados digitalmente. Isso inclui o corpo da mensagem e todos os anexos. Um computador que esteja executando as funções do Windows Vista Service Pack 1 (SP1) e Windows Search 4.0, como segue: Os usuários podem pesquisar todas as mensagens de e-mail assinadas digitalmente que eles enviaram. Essa pesquisa inclui todo o conteúdo da mensagem.
•
Suporte para indexação de e-mail assinado digitalmente
Os usuários podem pesquisar todas as mensagens de e-mail assinadas digitalmente que eles receberam. No entanto, essas pesquisas estão limitadas a determinadas propriedades, como assunto, remetente ou destinatários. Os usuários não podem pesquisar o corpo da mensagem ou o conteúdo dos anexos.
•
56
O Windows 7 apresenta aprimoramentos consideráveis no modo de utilização dos recursos de Pesquisa, Busca e Organização do Windows: •
Integração mais próxima com os fluxos de trabalho diários.
•
Resultados de pesquisa mais relevantes.
•
Termos da pesquisa realçados, facilitando a identificação dos resultados.
•
Um construtor integrado e avançado de consultas.
No Windows 7, há uma nova ênfase em organização, com a introdução de bibliotecas e vários aprimoramentos nos modos de exibição e na visualização dos dados. O Windows 7 não oferece suporte para a indexação do conteúdo de mensagens de e-mail criptografadas ou de quaisquer confirmações S/MIME recebidas nas mensagens assinadas por S/MIME que você enviar.
1.1.19 - Auditoria de Segurança do Windows Há um número de aprimoramentos de auditoria no Windows Server® 2008 R2 e Windows® 7 que aumentam o nível de detalhes em logs de auditoria de segurança e simplificam a implantação e o gerenciamento de diretivas de auditoria, esses aprimoramentos incluem: •
•
•
Auditoria de Acesso a Objetos Globais No Windows Server 2008 R2 e Windows 7, os administradores podem definir as SACLs (listas de controle de acesso do sistema) de todo o computador para o registro ou sistema de arquivos. A SACL específica é aplicada, automaticamente, a cada objeto desse tipo. Isso pode ser útil para verificar se todos os arquivos críticos, as pastas e as configurações do registro em um computador estão protegidos, e para identificar a ocorrência de uma problema com um recurso do sistema. Relatório "Razão do acesso". A lista de ACEs (entradas de controle de acesso) fornece os privilégios, nos quais a decisão para permitir ou negar acesso ao objeto foi baseada. Isso pode ser útil para documentar as permissões, como associados a um grupo, que permite ou evita a ocorrência de um evento de auditoria particular. Configurações de diretiva de auditoria avançadas. As 53 novas configurações podem ser usadas no lugar de nove configurações básicas de auditoria, em Diretivas Locais\Diretiva de Auditoria, para permitir que os 57
administradores direcionem, de forma específica, os tipos de atividades que eles querem fazer auditoria e eliminem as atividades de auditoria desnecessárias que podem tornar os logs de auditoria mais difíceis de gerenciar e decifrar. No Windows XP, os administradores possuem nove categorias de eventos de auditoria de segurança que podem ser monitorados para êxito, falha ou êxito e falha. Esses eventos estão completamente corretos no escopo e podem ser disparados por uma variedade de ações similares, muitas delas podem gerar um grande número de entradas de log de eventos. No Windows Vista® e Windows Server 2008, o número de eventos de auditoria aumentou de nove para 53, permitindo que um administrador seja mais seletivo no número e nos tipos de eventos para fazer auditoria. No entanto, diferentemente dos nove eventos básicos do Windows XP, esses novos eventos de auditoria não são integrados à Diretiva de Grupo e só podem ser implantados por meio de scripts de logon gerados com a ferramenta de linha de comando Auditpol.exe. No Windows 7, todas as funcionalidades de auditoria foram integradas com a Diretiva de Grupo. Isso permite que os administradores configurem, implantem e gerenciem essas configurações no GPMC (Console de Gerenciamento de Diretiva de Grupo) ou no snap-in Diretiva de Segurança Local para um site de domínio ou uma OU (unidade organizacional). O Windows Server 2008 R2 e Windows 7 fazem com que os profissionais de TI acompanhem, de maneira mais fácil, as atividades significantes, definidas precisamente, que ocorrem na rede. Os aprimoramentos de diretiva de auditoria no Windows Server 2008 R2 e Windows 7 permitem que os administradores conectem regras de negócios e diretivas de auditoria. Por exemplo, a aplicação de configurações de diretiva de auditoria, por um domínio ou uma OU, permitirá que os administradores documentem a conformidade com as regras, como: •
•
•
Acompanhar toda a atividade do administrador de grupos em servidores com informações financeiras. Acompanhar todos os arquivos acessados por grupos definidos de funcionários. Confirmar que a SACL correta foi aplicada a cada arquivo, pasta e chave de registro quando eles foram acessados.
Os aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7 suportam as necessidades de profissionais de TI responsáveis pela implementação, manutenção e monitoramento da segurança contínua de ativos físicos e de informação de uma organização. Essas configurações podem ajudar os administradores a responder os seguintes tipos de questões: • •
Quem está acessando os nossos ativos? Quais ativos estão sendo acessados? 58
• •
Quando e onde eles foram acessados? Como eles obtiveram acesso?
A percepção de segurança e o desejo de ter uma pista forense são motivos significantes por trás dessas questões. A qualidade dessa informação é exigida e avaliada por auditores em um número crescente de organizações. Um número de considerações especiais é aplicado a várias tarefas associadas aos aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7: •
•
•
•
Criando uma diretiva de auditoria: Para criar uma diretiva de auditoria de segurança avançada do Windows, é preciso usar o GPMC ou o snap-in Diretiva de Segurança Local em um computador executando o Windows Server 2008 R2 ou Windows 7. (Você pode usar o GPMC em um computador executando Windows 7, após instalar as Ferramentas de Administração do Servidor Remoto). Aplicando configurações de diretiva de auditoria. Se você estiver usando a Diretiva de Grupo para aplicar as configurações de diretiva de auditoria avançadas e as configurações de acesso a objetos, os computadores clientes precisarão executar o Windows Server 2008 R2 ou Windows 7. Além disso, apenas computadores executando o Windows Server 2008 R2 ou Windows 7 podem fornecer os dados do relatório "razão do acesso", Desenvolvendo um modelo de diretiva de auditoria. Para planejar configurações de auditoria de segurança avançadas e configurações de acesso a objetos globais, é preciso usar o GPMC que direciona um controlador de domínio executando o Windows Server 2008 R2. Distribuindo a diretiva de auditoria. Após desenvolver um GPO (objeto de Diretiva de Grupo) que inclui configurações de auditoria de segurança avançadas, ele poderá ser distribuído por meio de controladores de domínio executando qualquer sistema operacional de servidor do Windows. No entanto, se você não puder colocar computadores clientes executando o Windows 7 em uma OU separada, use o filtro de WMI (Instrumentação de Gerenciamento do Windows) para verificar se as configurações de diretiva avançadas foram aplicadas somente a computadores clientes executando o Windows 7.
As configurações de diretiva de auditoria avançadas também podem ser aplicadas a computadores clientes executando o Windows Vista. No entanto, as diretivas de 59
auditoria para esses computadores clientes precisam ser criadas e aplicadas, separadamente, por meio dos scripts de logon Auditpol.exe. A utilização das configurações de diretiva de auditoria básicas em Diretivas Locais/Diretiva de Auditoria e das configurações avançadas em Configuração de Diretiva de Auditoria Avançada pode causar resultados inesperados. Portanto, os dois conjuntos de configurações de diretiva de auditoria não devem ser combinados. Se usar as configurações Configuração de Diretiva de Auditoria Avançada, habilite a configuração de diretiva Auditoria: Forçar as configurações da subcategoria de diretiva de auditoria (Windows Vista ou posterior) a substituir as configurações da categoria de diretiva de auditoria, em Diretivas Locais\Opções de Segurança. Isso evitará conflitos entre configurações parecidas, fazendo com que a auditoria de segurança básica seja ignorada. Além disso, para planejar e implantar diretivas de auditoria de evento de segurança, os administradores precisam direcionar um número de questões estratégicas e operacionais, inclusive: • • •
•
Por que precisamos de uma diretiva de auditoria? Quais atividades e eventos são mais importantes para a nossa organização? Quais tipos de eventos de auditoria nós podemos omitir da estratégia de auditoria? Quantos recursos de rede e quanto tempo do administrador nós queremos dedicar para gerar, coletar e armazenar eventos e analisar dados?
Todas as versões do Windows Server 2008 R2 e Windows 7, que podem processar Diretivas de Grupo, podem ser configuradas para usar esses aprimoramentos de auditoria de segurança. As versões do Windows Server 2008 R2 e Windows 7, que não podem ingressar a um domínio, não tem acesso a esses recursos. Não há diferença no suporte de auditoria de segurança entre as versões de 32 bits e 64 bits do Windows 7. Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs de computadores por tipo de objeto para o registro ou sistema de arquivo. A SACL específica é aplicada, automaticamente, a cada objeto desse tipo. Os auditores poderão provar que todos os recursos do sistema estão protegidos por uma diretiva de auditoria, apenas exibindo os conteúdos da configuração da diretiva Auditoria de Acesso a Objetos Globais. Por exemplo, a configuração da diretiva "acompanhar todas as alterações feitas pelos administradores do grupo" será o suficiente para mostrar que essa diretiva está em vigor. As SACLs de recurso também são úteis para cenários de diagnóstico. Por exemplo, configurando uma diretiva Auditoria de Acesso a Objetos Globais, para registrar todas as atividades de um usuário específico, e habilitando as diretivas de auditoria Falhas de Acesso em um recurso (registro e sistema de arquivo) ajudará os
60
administradores a identificar rapidamente qual objeto, em um sistema, está negando acesso ao usuário. Se uma diretiva Auditoria de Acesso a Objetos Globais e uma SACL de arquivo ou pasta (ou uma única SACL de configuração de registro ou uma diretiva Auditoria de Acesso a Objetos Globais) forem configuradas em um computador, a SACL eficaz será derivada da combinação entre a diretiva Auditoria de Acesso a Objetos Globais e a SACL de arquivo ou pasta. Isso significa que um evento de auditoria será gerado se uma atividade corresponder à diretiva Auditoria de Acesso a Objetos Globais ou à SACL de arquivo ou pasta. Há vários eventos no Windows para auditar sempre uma operação com ou sem êxito. Os eventos normalmente incluem o usuário, o objeto e a operação, mas não incluem o porquê da operação ser permitida ou negada. As análises forenses e os cenários de suporte melhoraram no Windows Server 2008 R2 e Windows 7, registrando o motivo, com base em permissões, pelo qual alguém teve acesso a recursos corporativos. No Windows Server 2008 R2 e Windows 7, as diretivas de auditoria aprimoradas podem ser configuradas e implantadas por meio da Diretiva de Grupo, que reduz o custo e as despesas de gerenciamento e aumenta significativamente a flexibilidade e a eficácia da auditoria de segurança. As seções a seguir descrevem os novos eventos e categorias de eventos disponíveis no nó Configuração de Diretiva de Auditoria Avançada da Diretiva de Grupo. Os eventos dessa categoria ajudam o domínio do documento em tentativas de autenticação dos dados da conta, tanto para um controlador de domínio como para um SAM (Gerenciador de Contas de Segurança). Diferentemente de eventos de logon e logoff, que acompanham tentativas de acesso a um computador particular, os eventos dessa categoria são relatados no banco de dados que está sendo usado.
Configuração
Descrição
Validação de credenciais
Eventos de auditoria gerados por testes de validação em credenciais de logon da conta do usuário.
Operações de tíquete de serviço Kerberos
Eventos de auditoria gerados por solicitações de tíquete de serviço Kerberos.
Outros eventos de logon da conta
Eventos de auditoria gerados por respostas a solicitações de credenciais, enviadas por um logon da conta de usuário ,que não são validação de credenciais ou tíquetes Kerberos.
Serviço de autenticação Kerberos
Eventos de auditoria gerados por solicitações de TGT (tíquete de concessão de tíquete) de autenticação Kerberos.
61
As configurações dessa categoria podem ser usadas para monitorar alterações em grupos e contas de computadores e usuários.
Configuração Gerenciamento de contas do usuário
Descrição Alterações de auditoria em contas do usuário
Gerenciamento de contas do computador
Eventos de auditoria gerados por alterações em contas do computador, como quando uma conta do computador é criada, alterada ou excluída.
Gerenciamento de grupos de segurança
Eventos de auditoria gerados por alterações em grupos de segurança.
Gerenciamento de grupos de distribuição
Eventos de auditoria gerados por alterações em grupos de distribuição. Os eventos dessa subcategoria são registrados somente em controladores de domínio.
Gerenciamento de grupos de aplicativo
Eventos de auditoria gerados por alterações em grupos de aplicativo.
Outros eventos de gerenciamento da conta
Eventos de auditoria gerados por outras alterações em contas do usuário que não foram abordadas nessa categoria.
Os eventos de acompanhamento detalhados podem ser usados para monitorar as atividades de aplicativos individuais para entender como um computador está sendo usado e as atividades de usuários nesse computador.
Configuração Criação de processos Término de processos
Descrição Eventos de auditoria gerados quando um processo for criado ou iniciado. O nome do aplicativo ou usuário que criou o processo também sofre auditoria. Eventos de auditoria gerados no fim do processo.
Atividade DPAPI
Eventos de auditoria gerados quando são feitas solicitações de criptografia ou descriptografia à DPAPI (interface do aplicativo de Proteção de Dados). A DPAPI é usada para proteger informações secretas, como senha armazenada ou informação de chave. Para obter mais informações sobre DPAPI, consulte Proteção de Dados do Windows.
Eventos de RPC
Conexões de RPC (chamada de procedimento remoto) de entrada de auditoria. 62
Os eventos de acesso de DS fornecem uma pista de auditoria de nível baixo de tentativas de acesso e modificação de objetos nos AD DS (Serviços de Domínio Active Directory®). Esses eventos são registrado somente em controladores de domínio.
Configuração
Descrição
Eventos de auditoria gerados quando um objeto de AD DS é acessado. Apenas os objetos de AD DS que correspondem à SACL são Acesso ao Serviço de registrados Diretório Os eventos dessa subcategoria são parecidos com os eventos de Acesso ao Serviço de Diretório disponíveis nas versões anteriores do Windows. Alterações no Serviço de Diretório
Eventos de auditoria gerados por alterações em objetos AD DS. Os eventos são registrados quando um objeto é criado, excluído, modificado, movido ou sua exclusão for desfeita.
Replicação do Serviço de Diretório
Replicação de auditoria entre dois controladores de domínio AD DS.
Replicação Eventos de auditoria gerados por replicação detalhada de AD Detalhada do Serviço DS entre controladores de domínio. de Diretório Os eventos de logon e logoff permitem que você acompanhe tentativas de logon em um computador de forma interativa ou em uma rede. Esses eventos são especialmente úteis para acompanhar atividades do usuário e identificar possíveis ataques em recursos da rede.
Configuração
Descrição
Logon
Eventos de auditoria gerados por tentativas de logon na conta do usuário em um computador.
Logoff
Eventos de auditoria gerados pelo encerramento de uma sessão de logon. Esses eventos ocorrem no computador que foi acessado. Para um logon interativo, o evento de auditoria de segurança é gerado no computador em que foi feito o logon na conta do usuário.
Bloqueio da conta
Eventos de auditoria gerados por uma falha na tentativa de logon em uma conta bloqueada.
Modo Principal IPsec
Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Principal. 63
Modo Rápido IPsec
Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Rápido.
Modo Estendido IPsec
Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Estendido.
Logon especial
Eventos de auditoria gerados por logons especiais
Outros eventos de logon/logoff
Outros eventos de auditoria relacionados ao logon e logoff que não estão concluídos na categoria Logon/Logoff.
Servidor de diretivas de rede
Eventos de auditoria gerados por solicitação de acesso ao usuário de RADIUS (IAS) e NAP (Proteção de Acesso à Rede). Essas solicitações podem ser Conceder, Negar, Descartar, Quarentena, Bloquear, Desbloquear.
Os eventos de acesso a objetos permitem que você acompanhe tentativas de acesso a objetos específicos ou tipos de objetos em uma rede ou computador. Para auditar um arquivo, diretório, chave de registro ou qualquer outro objeto, você precisa habilitar a categoria Acesso a Objetos para eventos de êxito e falha. Por exemplo, a subcategoria Sistema de Arquivos precisa ser habilitada para fazer auditoria em operações de arquivo, e a subcategoria Registro precisa ser habilitada para fazer auditoria no acesso de registro. É difícil provar que essa diretiva está em vigor para um auditor externo. Não há uma maneira fácil de verificar se as SACLs apropriadas foram definidas em todos os objetos herdados.
Configuração
Descrição
Sistema de arquivos
Auditoria de tentativas do usuário de acessar objetos do sistema do arquivo. Um evento de auditoria de segurança é gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Gravar, Ler ou Modificar, e se a conta que está fazendo a solicitação correspondente às configurações na SACL.
Registro
Auditoria tentativas de acessar objetos de registro. Um evento de auditoria de segurança é gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Ler, Gravar ou Modificar, e se a conta que está fazendo a solicitação correspondente às configurações na SACL.
Objeto Kernel
Auditoria de tentativas de acesso ao kernel do sistema, que inclui mutexes e sinais. Apenas objetos kernel com uma SACL correspondente geram eventos de auditoria de segurança. 64
A configuração de auditoria Auditoria: Auditoria de acesso de objetos de sistema global controla a SACL padrão de objetos kernel. SAM
Eventos de auditoria gerados por tentativas de acesso aos objetos de SAM (Gerenciador de Contas de Segurança).
Serviços de certificação
Auditoria de operações de AD CS (Serviços de Certificados do Active Directory)
Aplicativo gerado
Aplicativos de auditoria que geram eventos por meio das APIs (interfaces de programação de aplicativo) de auditoria do Windows. Os aplicativos criados para usar a API de auditoria do Windows usam essa subcategoria para registrar eventos de auditoria relacionados à sua função.
Manipulação do identificador
Eventos de auditoria gerados quando um identificador de um objeto é aberto ou fechado. Apenas objetos com uma SACL correspondente geram eventos de auditoria de segurança.
Auditoria de tentativas de acesso a uma pasta compartilhada. Compartilhamento de No entanto, nenhum evento de auditoria de segurança foi arquivos gerado quando uma pasta foi criada, excluída ou suas permissões de compartilhamento foram alteradas. Auditoria de tentativas de acesso a arquivos e pastas em uma pasta compartilhada. A configuração Compartilhamento de arquivos detalhado registra um evento todas as vezes que um arquivo ou pasta foi acessado, enquanto a configuração Compartilhamento de Compartilhamento de arquivos registra somente um evento arquivos detalhado para qualquer conexão estabelecida entre um cliente e um compartilhamento de arquivos. Os eventos de auditoria Compartilhamento de Arquivos Detalhado inclui informações detalhadas sobre permissões ou outros critérios usados para conceder ou negar acesso. Descarte de pacote da Pacotes de auditoria descartados pela WFP (Plataforma para plataforma para Filtros do Windows). filtros Conexão da plataforma para filtros
Conexões de auditoria permitidas ou bloqueadas pela WFP.
Outros eventos de acesso a objetos
Eventos de auditoria gerados pelo gerenciamento de trabalhos de Agendador de Tarefas ou objetos de COM+.
Os eventos de alteração de diretivas permitem que você acompanhe alterações de diretivas de segurança importantes em uma rede ou sistema local. Como essas diretivas são normalmente estabelecidas por administradores, para ajudar a proteger recursos da rede, qualquer alteração ou tentativa de alterar essas políticas pode ser um aspecto importante do gerenciamento de segurança de uma rede. 65
Configuração
Descrição
Alteração de diretiva Alterações de auditoria nas configurações de diretiva de de auditoria auditoria de segurança. Alteração de diretiva Eventos de auditoria gerados por alterações em diretivas de de autenticação autenticação. Alteração de diretiva Eventos de auditoria gerados por alterações em diretivas de de autorização autorização. Alteração de diretiva Eventos de auditoria gerados por alterações nas regras de de nível de regra auditoria usadas pelo Firewall do Windows. MPSSVC Alteração na diretiva Eventos de auditoria gerados por alterações em WFP. da plataforma de filtragem Outros eventos de alteração de diretiva
Eventos de auditoria gerados por outras alterações em diretivas de segurança que não foram auditadas na categoria Alteração de Diretiva.
Os privilégios em uma rede são concedidos para usuários ou computadores para tarefas definidas concluídas. Os eventos de uso de privilégios permitem que você acompanhe o uso de certos privilégios em um ou mais computadores.
Configuração
Descrição
Uso de privilégio confidencial
Eventos de auditoria gerados pelo uso de privilégios confidenciais (direitos do usuário), como ação como parte do sistema operacional, backup de arquivos e diretórios, representação do computador cliente ou a geração de auditorias de segurança.
Uso de privilégio não confidencial
Eventos de auditoria gerados pelo uso de privilégios não confidenciais (direitos do usuário), como logon local ou com a conexão de uma área de trabalho remota, alteração do tempo do sistema ou remoção do computador de uma base de encaixe.
Outros eventos de uso de privilégio
Não usado.
66
Os eventos do sistema permitem que você acompanhe alterações de alto nível para um computador que não está incluído em outras categorias e que possui possíveis implicações de segurança.
Configuração
Descrição
Alteração do estado de segurança
Eventos de auditoria gerados por alterações no estado de segurança do computador.
Extensão do sistema de segurança
Eventos de auditoria relacionados a extensões ou serviços do sistema de segurança
Integridade do sistema
Eventos de auditoria que violam a integridade do subsistema de segurança.
Driver IPsec
Eventos de auditoria gerados pelo driver de filtro do IPsec. Auditoria de qualquer um dos eventos a seguir: •
Outros eventos de sistema
Inicialização e desligamento do Firewall do Windows.
Processamento da diretiva de segurança pelo Firewall do Windows.
•
•
Arquivo de chave de criptografia e operações de migração.
1.2 – Alterações e Melhorias 1.2.1 - Alterações Diversas no Windows 7 I - Serviço de Transferência Inteligente de Plano de Fundo O Serviço de Transferência Inteligente de Plano de Fundo (BITS) 4.0 aproveita a infraestrutura do BranchCache para fornecer funcionalidade de transferência de arquivos ponto a ponto. Ele não interopera com a solução de cache ponto a ponto do BITS 3.0 que estava incluída no Windows Vista e no Windows Server® 2008. Como resultado dessa alteração, qualquer aplicativo ou serviço corporativo (como os Serviços de Atualização do Windows Server) que use o cache ponto a ponto do BITS 3.0 deve baixar os arquivos diretamente do servidor de origem em vez de recuperá-los de um computador ponto a ponto. Para evitar ou corrigir esse problema, use um computador Windows Server 2008 R2 que tenha BranchCache instalado.
II - AppLocker O AppLocker é a última geração do recurso Diretivas de Restrição de Software, que fornece controle de acesso para aplicativos. Para obter mais informações, consulte O que é AppLocker?. 67
Os aprimoramentos do AppLocker incluem: •
•
Cmdlets do PowerShell para AppLocker. Esses cmdlets são usados junto com a interface de usuário do AppLocker como blocos de construção para ajudar a criar, testar, manter e solucionar problemas de diretiva do AppLocker. Para obter mais informações, consulte Cmdlets do PowerShell para AppLocker. Modo de aplicação Auditar somente. Essa configuração ajuda a determinar quais aplicativos são usados em uma organização e a testar as regras criadas antes de implantá-las. Quando a diretiva do AppLocker para uma coleção de regra é definida como Auditar somente, as regras para a coleção de regras não são aplicadas. As regras podem ser importadas para o AppLocker e testadas antes de serem implantadas usando o modo de aplicação Auditar somente. Para obter mais informações, consulte o "Cenário 2: usando a auditoria para rastrear que aplicativos são usados" no AppLocker Step-by-Step Guide.
III - Windows PowerShell 2.0. O Windows PowerShell 2.0 é compatível com o Windows PowerShell 1.0; entretanto, os scripts e os aplicativos existentes precisam ser atualizados para acomodar as seguintes alterações: •
•
•
•
•
•
•
valor da entrada do Registro do PowerShellVersion HKLM\SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine alterado para “2.0”.
em foi
Novos cmdlets e variáveis foram adicionados e eles podem entrar em conflito com variáveis e funções nos perfis e nos scripts. operador -ieq executa uma comparação de caracteres que não diferenciam maiúsculas de minúsculas. cmdlet Get-Command obtém as funções por padrão, além dos cmdlets. Os comandos nativos que geram uma interface de usuário não podem ser salvos no Out-Host cmdlet. As novas palavras-chave de linguagem Begin, Process, End e Dynamic Param podem entrar em conflito com palavras semelhantes que são usadas em scripts e funções. Erros de análise poderão ocorrer se essas palavras forem interpretadas como palavras-chave de linguagem. A resolução do nome do cmdlet foi alterada. O Windows PowerShell 1.0 gerou um erro de tempo de execução quando os snap-ins do Windows 68
PowerShell exportaram cmdlets com o mesmo nome. No Windows PowerShell 2.0, o último cmdlet adicionado à sessão é executado quando você digite o nome do comando. Para executar um comando que não é executado por padrão, qualifique o nome do cmdlet com o nome do snapin ou do módulo do que ele se origina. •
•
•
Um nome de função seguido por -? obtém o tópico de Ajuda para a função, se um tópico estiver incluído na função. A resolução do parâmetro para métodos do Microsoft .NET Framework foi alterada. No Windows PowerShell 1.0, se você chamar um método .NET sobrecarregado com mais de uma sintaxe adequada, nenhum erro será reportado. No Windows PowerShell 2.0, um erro de ambiguidade é reportado. Além disso, no Windows PowerShell 2.0, o algoritmo para escolher o método adequado foi revisado significativamente para reduzir o número de ambiguidades. Se você usar Import-Module para carregar comandos que usam verbos não aprovados ou caracteres restritos no nome do comando, receberá um aviso. Use o comando Get-Verb para ver uma lista de verbos aprovados. Não use nenhum dos seguintes caracteres nos nomes de comandos: [#,(){}[]&-/\$^;:"'<>|?@`*~%+=
•
Se você estiver enumerando uma coleção no pipeline e tentar modificá-la, o Windows PowerShell 2.0 emitirá uma exceção. Por exemplo, os comandos a seguir funcionam no Windows PowerShell 1.0, mas falharão depois da primeira iteração do pipeline no Windows PowerShell 2.0:
Windows PowerShell $h = @{Name="Hello"; Value="Test"} $h.keys | foreach-object {$h.remove($_)} •
Para evitar esse erro, crie uma subexpressão para o enumerador usando os caracteres $() como se segue:
Windows PowerShell $($h.keys) | foreach-object {$h.remove($_)}
IV - Diretiva de Grupo No Windows 7, a Diretiva de Grupo foi aprimorada das seguintes formas: •
Novos cmdlets do Windows PowerShell. Esse recurso se aplica ao Windows 7 Enterprise, ao Windows 7 Professional e ao Windows 7 Ultimate. Antes do Windows 7, o gerenciamento e a automação da Diretiva de Grupo era feita pelo Console de Gerenciamento de Diretiva de 69
Grupo (GPMC) ou com scripts criadas nas interfaces COM do GPMC. O Windows 7 apresenta um conjunto de 25 novos cmdlets, que permitem aos administradores de TI gerenciar e automatizar a Diretiva de Grupo por meio do Windows PowerShell. Com esses cmdlets, um administrador de TI pode fazer backup, restaurar, reportar e configurar (por meio das configurações de registro) objetos Diretiva de Grupo. Essa funcionalidade é adicionada quando o GPMC é instalado. •
•
•
Suporte ADMX para Reg_QWORD & Reg_MultiSZ. Antes do Windows 7, uma chave do Registro que era do tipo QWORD ou MultiSZ não podia ser configurada por meio dos Modelos Administradores de Diretiva de Grupo (ADMX). O esquema ADMX foi atualizado para fornecer suporte aos tipos de Registro QWORD e MultiSZ. Aprimoramentos para o editor ADMX. Esse recurso se aplica ao Windows 7 Enterprise, ao Windows 7 Professional e ao Windows 7 Ultimate. Antes do Windows 7, o editor ADMX era exibido como uma caixa de diálogo não redimensionável, com guias. O texto de UI era normalmente cortado e o conteúdo da Ajuda era difícil de encontrar. O novo editor ADMX é exibido em uma janela redimensionável que impede o corte de texto. As informações sobre configurações, incluindo Ajuda e comentários, estão mais fáceis de encontrar. Aprimoramentos para Preferências de Diretiva de Grupo: Esse recurso se aplica ao Windows 7 Enterprise, ao Windows 7 Professional e ao Windows 7 Ultimate. Novos recursos foram adicionados às Preferência da Diretiva de Grupo para permitir a configura do Internet Explorer 8. Existe também uma nova funcionalidade disponível emTarefas Agendadas e Planos de Energia para o Windows 7. Os profissionais de TI podem usar Preferências de Diretiva de Grupo para configurar centralmente o Internet Explorer 8, Tarefas Agendadas e Planos de Energia. Essa funcionalidade é adicionada quando o GPMC é instalado. Além disso, as extensões do lado do cliente de Preferência de Diretiva de Grupo estão incluídas no Windows 7, para que os administradores de TI não precisem implantar as extensões por meio do Windows Update ou do Centro de Download.
V - Windows Update Standalone Installer 70
O Windows Update Standalone Installer (Wusa.exe) fornece os seguintes aprimoramentos no Windows 7: •
Suporte para desinstalação. Antes do Windows 7, o wusa.exe incluía apenas suporte para instalação. No Windows 7, o wusa.exe inclui suporte para desinstalação para que os administradores possam desinstalar atualizações a partir da linha de comando. Os usuários podem desinstalar uma atualização fornecendo o caminho para o arquivo .msu ou fornecendo o número do pacote (na Base de Dados de Conhecimento da Microsoft) da atualização a ser desinstalada. Use o seguinte comando para desinstalar uma atualização especificando o caminho completo para a atualização: wusa.exe /uninstall
•
•
Use o seguinte comando para desinstalar uma atualização especificando o número do pacote de atualização da Base de Dados de Conhecimento da Microsoft: wusa.exe /uninstall /kb:
Parâmetros adicionais da linha de comando. Novos parâmetros estão disponíveis no Windows 7 para habilitar o registro em log, extrair conteúdo de um arquivo .msu e controlar o comportamento de reinicialização quando uma atualização é instalada no modo silencioso.
Parâmetro de linha de comando
Windows Vista
Windows 7
/log
Não disponível. O registro em O novo parâmetro habilita o log pode ser habilitado somente registro em log por meio da por meio de ferramentas de ferramenta Wusa.exe. rastreamento.
/extract
Não disponível. O conteúdo dos arquivos .msu podem ser extraídos usando somente a ferramenta expand.exe.
/quiet
Fornece suporte apenas à opção Estendido para fornecer suporte /norestart. às opções /forcerestart, /warnrestart e /promptrestart. •
O novo parâmetro permite que os arquivos .msu sejam extraídos por meio da ferramenta Wusa.exe.
Informações estendidas sobre o erro. A ferramenta Wusa.exe fornece informações estendidas em cenários de erro para melhor diagnóstico.
71
Código de erro no Windows Vista Código de erro no Windows 7
Erro
A atualização já 1 (S_FALSE) está instalada.
0x240006 (WU_S_ALREADY_INSTALLED)
A atualização não 1 (S_FALSE) é aplicável.
0x80240017 (WU_E_NOT_APPLICABLE)
VI - Pesquisa, Navegação e Organização do Windows O Windows 7 apresenta muitos recursos e aprimoramentos para ajudar os profissionais de TI a implantar e manter a funcionalidade de pesquisa, navegação e organização da área de trabalho. Os principais aprimoramentos para Pesquisa, Navegação e Organização do Windows incluem: • • •
•
Integração mais próxima com os fluxos de trabalho diários. Aprimoramentos no desempenho e relevância da experiência de pesquisa. Apresentação de agregação e de visualizações para melhorar a organização. Apresentação de pesquisa federada para índices remotos.
VII - Assistente do .NET Framework e Windows Presentation Foundation Plug-in para Firefox O Assistente do .NET Framework e o Windows Presentation Foundation (WPF) Plug-in para Firefox não estão incluídos no Windows 7. Esses componentes foram fornecidos com o .NET Framework 3.5 Service Pack 1 e estão desatualizados. Consequentemente, quando você tenta exibir um aplicativo no navegador XAML (XBAP) ou iniciar um aplicativo ClickOnce no Firefox, o navegador tenta baixar e salvar o arquivo em vez de iniciá-lo. O WPF Plug-in para Firefox possui um modelo semelhante.
VIII - Codificador e Decodificador de Voz do Windows Media Audio Os DirectX Media Objects (DMOs) para Codificador de Voz do Windows Media Audio (wmspdmoe.dll) e Decodificador de Voz do Windows Media Audio (wmspdmod.dll) foram atualizados no Windows 7. Agora eles geram um erro quando existe uma tentativa de usá-los fora do conjunto de taxas de amostragem com suporte, que são de 8 kHz, 16 kHz, 11,25 kHz e 22,5 kHz.
1.2.2 - Segurança do Windows 7 O Windows 7 foi desenvolvido com base na poderosa linhagem de segurança do Windows Vista e retém todos os processos de desenvolvimento e as tecnologias que fizeram do Windows Vista a versão mais segura do Windows que os clientes encontraram. Os recursos fundamentais de segurança, como Proteção de Patch de Kernel, Sistema de Proteção de Serviços, Prevenção de Execução de Dados, Address Space Layout Randomization e Níveis de Integridade de Credenciais, continuam a 72
forneces proteção aprimorada contra malware e ataques. O Windows 7 é, novamente, projetado e desenvolvido usando o SDL da Microsoft e é criado para suportar requisitos de Critérios Comuns para alcançar a certificação de nível 4 de Segurança de Avaliação e corresponde ao Federal Information Processing Standard 140-2. A partir de fundamentos de segurança sólidos do Windows Vista, o Windows 7 faz aprimoramentos significantes às tecnologias de segurança principais de auditoria de eventos e de Controle de Conta de Usuário. O Windows 7 fornece recursos aprimorados de auditoria que torna mais fácil para as organizações cumprir os requisitos de regularidade e conformidade dos negócios. Os aprimoramentos de auditoria começam com uma abordagem de gerenciamento aprimorado para configurações de auditoria e termina fornecendo uma visibilidade ainda maior do que ocorre na organização. Por exemplo, o Windows 7 fornece uma percepção em compreender exatamente o motivo de alguém ter acesso a informações especificas, o motivo de alguém ter negado acesso a informações especificas e todas as mudanças feitas por pessoas ou grupos específicos. O UAC (Controle de Conta de Usuário) foi apresentado no Windows Vista para ajudar a aumentar a segurança e melhorar o custo total de propriedade, habilitando o sistema operacional para ser implantados sem privilégios administrativos. O Windows 7 continua com o investimento em UAC com alterações específicas para aprimorar a experiência do usuário: reduzindo o número de aplicativos e tarefas do sistema operacional que exigem privilégios administrativos para um comportamento de prompt de consentimento flexível que continua a ser executado com privilégios administrativos. O resultado, usuários padrão poderão fazer muito mais do que antes e todos os usuários verão menos prompts.
Figura 1: Controle de acesso de usuário
73
O Windows 7 simplifica o processo de conexão de dispositivos de segurança ao seu PC, tornando o gerenciamento de dispositivos mais fácil e ajudando você a acessar mais facilmente as tarefas relacionadas a dispositivos comuns. A partir da instalação inicial até o uso diário, os dispositivos de segurança nunca foram tão fáceis de usar em seu ambiente. O uso predominante de unidades flash USB e outros dispositivos de armazenamento pessoais aumentou as preocupações do usuário sobre a segurança das informações nesses dispositivos. No entanto, alguns usuários não exigem da criptografia completa de dados do BitLocker To Go™. O Windows 7 fornece suporte para proteção de senha e de autenticação com base em certificados para dispositivos de armazenamento compatíveis com IEEE 1667. Os usuários podem utilizar a proteção de senha de dispositivos de armazenamento IEEE 1667 para manter os dados confidenciais em caso de divulgação casual. Os verificadores de impressão digital tornaram-se mais e mais comuns em configurações padrão de laptos, e o Windows 7 garante que eles trabalham bem. É fácil de instalar e começar a usar um leitor de impressão digital, e fazer logon no Windows usando uma impressão digital é mais confiável em fornecedores de hardware diferentes. As configurações do leitor de impressão digital são fáceis de modificar, de modo que você pode controlar como fazer logon no Windows 7 e gerenciar os dados de impressão digital armazenados no computador. A autenticação com base em senhas tem limitações de segurança bem compreensíveis. No entanto, a implantação de tecnologias de autenticação fortes continua sendo um desafio para muitas organizações. Criado com base em avanços da infraestrutura de cartão inteligente feitos no Windows Vista, o Windows 7 facilita implantação de cartão inteligente por meio do suporte de Plug and Play. Os drivers exigidos para suportar cartões inteligentes e leitores de cartão inteligente são instalados automaticamente, sem a necessidade de permissões administrativas ou interação do usuário, facilitando a implantação de autenticação forte e de dois fatores na empresa. Além disso, o Windows 7 aumentou o suporte da plataforma de PKINIT (RFC 5349) para incluir cartões inteligentes com base em ECC, permitindo o uso de certificados com apoio de curva elíptica em cartões inteligentes para logon no Windows. O Windows 7 fornece os controles apropriados de segurança, de modo que os usuários podem acessar a informação necessária para serem produtivos, sempre que quiserem, estando no escritório ou não. Além do suporte completo para tecnologias existentes, como Proteção de Acesso à Rede, o Windows 7 fornece um firewall mais flexível, suporte de segurança a DNS e um modelo totalmente novo no acesso remoto. O DNS (Sistema de Nome de Domínio) é um protocolo essencial que suporta, todos os dias, muitas atividades da Internet, inclusive fornecimento de email, navegação na Web e mensagens instantâneas. No entanto, o sistema DNS foi projetado a mais de três décadas atrás, sem as preocupações com a segurança que temos hoje em dia. As DNSSEC (Extensões de Segurança de DNS) são um conjunto de extensões para DNS que fornecem serviços de segurança exigidos para a Internet de hoje. O Windows 7 suporta DNSSEC, como especificado nos RFCs 4033, 4034 e 4035, fornecendo às organizações a confiança de que os registros de nome de domínio não estão sendo adquiridos e as ajudando na proteção contra atividades maliciosas.
74
No Windows Vista, a diretiva de firewall é baseada no "tipo" de conexão de rede estabelecida—como Doméstica, Corporativa, Pública ou de Domínio (que é o quarto tipo oculto). No entanto, ela pode apresentar obstáculos de segurança para profissionais de TI quando, por exemplo, um usuário conectado por meio da rede "Doméstica" usa uma rede virtual privada para acessar a rede corporativa. Nesse caso, como o tipo de rede (e, dessa forma, as configurações de firewall) já foi definido com base na primeira rede à qual o usuário se conectou, as configurações de firewall apropriadas para acessar a rede corporativa não podem ser aplicadas. O Windows 7 suaviza esse problema para profissionais de TI, por meio de diretivas de firewall de atividades múltiplas, permitindo que os PCs de usuário obtenham e apliquem informações de perfil do firewall de domínio independentemente de outras redes que possam estar ativas no PC. Por meio desses recursos, que estão entre os recursos principais solicitados por clientes de empresas, os profissionais de TI podem simplificar a conectividade e as diretivas de segurança, mantendo uma único conjunto de regras para clientes remotos e clientes fisicamente conectados à rede corporativa.
Figura 2: Firewall do Windows
Com o Windows 7, trabalhar fora do escritório é mais simples. O DirectAccess permite que usuários remotos acessem a rede corporativa sempre que tiverem uma conexão à Internet, sem a etapa extra de iniciar uma conexão de VPN—e, dessa forma, aumentar a sua produtividade quando estiverem fora do escritório. Para profissionais de TI, o DirectAccess fornece uma infraestrutura de rede corporativa mais segura e flexível para gerenciar e atualizar remotamente PCs de usuário. O DurectAccess simplifica o gerenciamento de TI, fornecendo uma infraestrutura "sempre gerenciada", na qual os 75
computadores dentro e fora da rede podem permanecer íntegros, gerenciados e atualizados. Com o DirectAccess, os profissionais de TI mantém um controle refinado em que os usuários de recursos de rede podem ter acesso. Por exemplo, as configurações de Diretiva de Grupo podem ser usadas para gerenciar acesso de usuário remoto a aplicativos da empresa. O DirectAccess também separa o tráfego da Internet do acesso a recursos internos de rede, de modo que os usuários podem acessar sites públicos sem gerar tráfego de comunicações adicional na rede corporativa. O melhor de tudo é que o DirectAccess é criado com base em padrões da indústria, como o IPv6 e o IPsec, para garantir que as suas comunicações da empresa permaneçam salvas e seguras. O Windows 7 fornece proteção flexível de segurança contra malware e intrusões, de modo que os usuários podem alcançar seu equilíbrio desejado entre segurança, controle e produtividade. O AppLocker™ e Internet Explorer® 8 são dois exemplos importantes de investimento de tecnologia que aumentou a barra de proteção em sistemas operacionais contra intrusão de malware no Windows 7. O Windows 7 revigora as diretivas de controle de aplicativos com o AppLocker: um mecanismo flexível e fácil de administrar que permite à TI especificar exatamente o que é permitido executar na infraestrutura da área de trabalho e fornece aos usuários a capacidade de executar aplicativos, programas de instalação e scripts exigidos para a produção. Como resultado, a TI pode reforçar a padronização de aplicativos em sua organização enquanto fornece benefícios operacionais, de segurança e de conformidade.
Figura 3: AppLocker 76
O AppLocker fornece estruturas de regras simples e potentes e apresenta as regras do editor: regras com base em assinaturas digitais de aplicativo. As regras do editor tornam possível criar regras que sobrevivam a atualizações de aplicativo, podem especificar atributos, assim como a versão de um aplicativo. Por exemplo, uma organização pode criar uma regra "permitir que todas as versões maiores que a 9.0 do programa Acrobat Reader sejam executadas se forem assinadas pelo editor do software Adobe". Agora, quando o Adobe atualizar o Acrobat, você pode implantar com segurança a atualização do aplicativos sem ter que criar outra regra para a nova versão desse aplicativo. O Internet Explorer 8 fornece uma proteção aprimorada contra ameaças à segurança e à privacidade, inclusive a capacidade para ajudar a identificar sites maliciosos e bloquear o download de softwares maliciosos. A privacidade foi aprimorada por meio da capacidade de navegar na Web sem deixar rastros em um PC compartilhado e através de escolhas e controles maiores sobre como sites podem rastrear ações de usuários. O Internet Explorer também ajuda a transmitir confiança e segurança por meio de restrições melhores para os controles do ActiveX®, gerenciamento com complemento aprimorado, confiabilidade mais alta (inclusive recuperação automática de falhas e restauração de guias) e suporte aprimorados para padrões de acessibilidade. Todo ano, centenas de milhares de computadores sem proteção apropriada são roubados, perdidos ou retirados de serviço. No entanto, o vazamento de dados não é apenas problema físico do computador A presença em todos os lugares das Unidades Flash USB, comunicações por email, documentações que vazaram, etc. fornece outros caminhos potentes para que os dados caiam em mãos erradas. O Windows 7 retém as tecnologias de proteção de dados disponíveis no Windows Vista, como o EFS (Sistema de Arquivos com Criptografia) incorporado à tecnologia Active Directory® Rights Management Services, e os controles de porta USB granulares. Além das atualizações incrementais nessas tecnologias, o Windows 7 fornece várias melhorias significantes à popular tecnologia Criptografia de Unidade de Disco BitLocker. O Windows 7 direciona o tratamento contínuo de vazamento de dados com atualizações de implantação e gerenciamento para a Criptografia de Unidade de Disco BitLocker e a apresentação do BitLocker To Go: proteção de dados aprimorada contra roubo e exposição de dados, aumentando o suporte do BitLocker para dispositivos de armazenamento removíveis. Aumentando o suporte do Bitlocker para volumes de dados FAT, uma gama mais abrangente de dispositivos e formatos de disco pode ser suportada, inclusive Unidades Flash USB e unidades de disco portáteis. Isso permitirá que os usuários implantem o BitLockes em uma gama mais abrangente de necessidades de proteção de dados. Se estiver viajando com seu laptop, compartilhando grandes arquivos com seu parceiro de confiança ou levando trabalho para casa, os dispositivos protegidos do BitLocker e BitLocker To Go ajudarão a garantir que somente usuários autorizados possam ler os dados, mesmo se a mídia for perdia, roubada ou mal-usada. O melhor de tudo é que a proteção do BitLocker é fácil de implantar e intuitiva para usuários finais, levando a uma segurança de dados e conformidade aprimoradas.
77
O BitLocker To Go também fornece aos administradores controle sobre como os dispositivos de armazenamento removíveis podem ser utilizados em seus ambientes e a força da proteção que eles exigem. Os administradores podem exigir proteção de dados para qualquer dispositivo de armazenamento removível em que os usuários queiram gravar; enquanto ainda permitem que dispositivos de armazenamento não protegidos sejam utilizados em um modo somente leitura. As diretivas também estão disponíveis para exigir senhas apropriadas, cartão inteligente ou credenciais de usuário de domínio para utilizar um dispositivo de armazenamento removível. Por fim, o BitLocker To Go fornece suporte somente leitura configurável para dispositivos removíveis em versões mais antigas do Windows, permitindo que você compartilhe arquivos de forma mais segura com usuários que ainda estão executando o Windows Vista ou Windows XP.
Figura 4: Criptografia de unidade de disco BitLocker
Desenvolvido em fundamentos de segurança do Windows Vista, o Windows 7 apresenta os aprimoramentos de segurança corretos para oferecer aos funcionários a confiança de que a Microsoft está ajudando a mantê-los protegidos. Os negócios serão beneficiados dos aprimoramentos que ajudam a proteger informações confidenciais da companhia, que fornecem proteções mais fortes contra malware e que ajudam no acesso seguro, em qualquer lugar, a dados e recursos corporativos. Os clientes podem aproveitar os benefícios do conhecimento de Internet e computadores de que o Windows 7 é o melhor para ajudar a proteger sua privacidade e suas informações pessoais. Por fim, todos os usuários se beneficiarão das opções de configuração flexíveis e detectáveis da segurança do Windows 7, que ajudam todos a alcançar o equilíbrio correto entre segurança e utilidade das suas únicas situações.
78
1.2.3 - Capacidade de Gerenciamento do Windows 7 Freqüentemente, profissionais de TI são responsáveis por tarefas repetitivas e demoradas. Os recursos abrangentes de geração de scripts do Windows 7 aumentam a produtividade desses profissionais automatizando tais tarefas, o que reduz os erros ao mesmo tempo que melhora a eficiência administrativa: •
•
O Microsoft® Windows PowerShell™ 2.0 permite que profissionais de TI criem e executem scripts facilmente em um PC local ou em PCs remotos (pela rede). Tarefas complexas ou tarefas repetitivas de gerenciamento e solução de problemas são automatizadas. Os scripts da Diretiva de Grupo permitem que profissionais de TI gerenciem Objetos da Diretiva de Grupo (GPOs) e configurações baseadas no registro de modo automatizado melhorando, portanto, a eficácia e precisão do gerenciamento de GPOs.
Além dos recursos avançados de geração de scripts, o Windows 7 inclui diversas outras características que melhoram a produtividade do usuário e reduzem custos: •
•
•
•
Os Pacotes de Solução de Problemas do Windows incorporados permitem que usuários finais resolvam muitos problemas por conta própria e que profissionais de TI criem Pacotes de Solução de Problemas personalizados, estendendo esse recurso aos aplicativos internos. Os aprimoramentos na ferramenta Restauração do Sistema informam os usuários dos aplicativos que eles poderão ser afetados se o Windows retornar para um estado anterior. O novo Gravador de Passos para Reprodução de Problemas permite que usuários gravem capturas de telas, clique a clique, e reproduzam um problema de modo que o TI possa descobrir soluções. Os aprimoramentos no Monitor de Recursos e no Monitor de Confiabilidade permitem que profissionais de TI diagnostiquem mais rapidamente problemas de desempenho, compatibilidade e limitação de recursos
Para que os departamentos de TI tratem das necessidades de segurança cada vez mais crescentes e atendam aos requisitos de conformidade, o Windows 7 oferece suporte também aos seguintes recursos:
79
•
•
•
•
•
O AppLocker™ concede aos profissionais de TI maior flexibilidade na definição de diretivas que possam ser executadas ou instaladas pelos usuários dos aplicativos e scripts, por meio de uma área de trabalho mais gerenciável e segura. Os aprimoramentos da auditoria permitem que profissionais de TI usem a Diretiva de Grupo para configurar auditorias mais abrangentes para arquivos e acessos ao registro. Com uma Diretiva de Grupo, os administradores podem exigir que os usuários usem o BitLocker To Go™ para criptografar dispositivos de armazenamento removíveis. As Preferências da Diretiva de Grupo definem a configuração padrão, que pode ser alterada pelos usuários, e fornecem gerenciamento centralizado das unidades de rede mapeadas, das tarefas agendadas e dos outros componentes do Windows não cientes da Diretiva de Grupo. O DirectAccess conecta computadores móveis diretamente à rede interna, permitindo que profissionais de TI os gerenciem caso o usuário tenha uma conexão com a Internet
No geral, os aprimoramentos introduzidos pelo Windows 7 podem reduzir o tempo que os profissionais de TI gastam em gerenciamento e solução de problemas, aumentam a produtividade dos usuários e permitem que os departamentos de TI satisfaçam melhor os requisitos de conformidade. Uma das melhores maneiras para aumentar a eficiência dos profissionais de TI é pela automação. Com ela, tarefas que antigamente exigiam horas do tempo de um profissional TI podem ser executadas em segundos. Com a detecção de problemas e a execução automática de ações corretivas, um processo que antes envolvia trabalho manual pode ser inteiramente automatizado. Um beneficio adicional é que a automação também reduz a possibilidade de erro humano. Os scripts são a ferramenta de automação mais sofisticada e flexível para profissionais de TI, e o Windows 7 inclui uma versão aprimorada do ambiente de scripts do Windows: Windows PowerShell 2.0. Diferentemente das linguagens de programação tradicionais projetadas por desenvolvedores de tempo integral, o PowerShell é uma linguagem de scripts que se destina a administradores de sistemas e não requer conhecimento de linguagens de desenvolvimento complexas como o Microsoft Visual Basic®, Visual C++® ou C#. Como o PowerShell tem acesso ao WMI (Windows Management Interface), os scripts podem executar praticamente qualquer tarefa de gerenciamento que o profissional de TI deseje automatizar. No PowerShell, você pode chamar ferramentas de 80
linha de comando e ativar o controle total sobre qualquer aspecto do sistema que tenha suporte para gerenciamento. Ele permite, inclusive, a utilização do .NET Framework fornecendo acesso a milhares de objetos avançados. Para desenvolver ou executar um script do PowerShell, ele deve estar instalado no computador. O PowerShell 2.0 está disponível como um download para os sistemas operacionais Windows XP, Windows Server® 2003 e Windows Vista e acompanha o Windows Server 2008. No Windows 7, o PowerShell 2.0 está incorporado ao sistema operacional, assim os profissionais de TI podem criar, distribuir e executar scripts do PowerShell nos computadores usando o Windows 7 sem terem de implantar sofware adicional nem fazerem nenhum tipo de configuração nos PCs da organização. Entre as tarefas nas quais os administradores usam o PowerShell com o Windows 7 estão: •
•
•
•
•
Criação remota de um ponto de Restauração do Sistema antes de uma operação de solução de problemas Restauração remota de um computador para um ponto de Restauração do Sistema para solucionar um problema que não pode ser facilmente corrigido Consulta remota às atualizações instaladas Edição do registro usando transações, o que assegura a implantação de um grupo de alterações Análise remota dos dados de estabilidade do sistema contidos no banco de dados de confiabilidade
Os scripts do PowerShell são arquivos de texto padrão. No Windows Vista e nas versões anteriores do Windows, o editor interno era o Bloco de Notas. Ao passo que o Bloco de Notas é perfeito para editar rapidamente arquivos de texto e suficiente para a composição de scripts, com um editor mais robusto, os profissionais de TI podem aprender, criar e depurar scripts de modo mais eficiente. O Windows 7 inclui o PowerShell Integrated Scripting Environment (ISE), um ambiente de desenvolvimento gráfico com recursos de depuração e console interativo, conforme mostrado na Figura 1.
81
Figura 1: O Windows PowerShell ISE
O editor fornece vários recursos para simplificação do desenvolvimento de scripts: •
•
•
•
•
•
Ambiente integrado. Uma loja completa para todas as tarefas de shell interativas e para edição, execução e depuração de scripts. Cores de sintaxe. Palavras-chave, objetos, propriedades, cmdlets, variáveis, cadeias de caracteres e outros tokens aparecem em cores diferentes para melhorar a legibilidade e reduzir os erros. Suporte a Unicode. Diferente da linha de comando, o ISE tem suporte total para Unicode, scripts complexos e idiomas escritos da direita para esquerda. Chamada seletiva. O usuário pode selecionar qualquer parte do script do PowerShell, executá-la e ver os resultados no painel de Saída. Várias sessões. No ISE, o usuário pode iniciar até oito sessões independentes (guias do PowerShell). Isso permite que profissionais de TI gerenciem vários servidores, cada qual no seu próprio ambiente, dentro do mesmo aplicativo. Editor de scripts. O editor de scripts possui os recursos autocompletar na tecla TAB, recuo automático, números de linhas, pesquisar e substituir, ir para linha, entre outros.
82
•
•
•
Depuração. O depurador visual integrado de scripts permite que o usuário defina pontos de interrupção, avance pelo script (depuração total, parcial e circular), verifique a pilha de chamadas e focalize variáveis para verificação de valor. Modelo de objeto. O ISE vem com um modelo de objeto completo permitindo que os usuários componham scripts do PowerShell e manuseiem o próprio ISE. Capacidade de personalização. O ISE é completamente personalizável, do tamanho e posicionamento dos painéis até o tamanho do texto e as cores de fundo.
Esses recursos facilitam o aprendizado de como gerar scripts e fornecem um ambiente de desenvolvimento mais robuto, pronto para uso. Os cmdlets (pronuncia-se command-lets) são um dos recursos mais sofisticados do PowerShell. Um comandlet é um comando orientado a tarefa utilizado no ambiente do Windows PowerShell. Este inclui, por exemplo, cmdlets que: • • • •
Acrescentam texto a um arquivo Leem e gravam arquivos XML Gerenciam serviços Gerenciam arquivos e pastas
O PowerShell 2.0 oferece suporte para mais de 500 novos cmdlets para gerenciamento de computadores cliente e servidores, edição do registro e sistema de arquivos, execução de chamadas WMI e conexão ao ambiente de desenvolvimento avançado do .NET Framework. Também é possível estendê-lo criando cmdlets personalizados ou usando as extensões desenvolvidas pela comunidade. No passado, para gerenciar um computador remoto, você precisava da Área de Trabalho Remota para se conectar. Isso complicava os gerenciamentos em grande escala (ou automatizados). O PowerShell 2.0 apresenta o PowerShell Remoting para que você execute os comandos de gerenciamento remoto (interativo ou automatizado). Hoje, administradores eficientes fazem a maioria do gerenciamento de computadores pela rede. Com o Windows 7 e o PowerShell 2.0, você pode executar cmdlets em computadores remotos usando o protocolo de gerenciamento padrão WS-Management (WS-MAN). Isso permite a criação de scripts que executem em um ou mais computadores remotos, assumam o controle de uma sessão remota do PowerShell e executem comandos diretamente no computador. As utilizações incluem: •
•
A criação de um ponto de Restauração do Sistema durante uma chamada de assistência técnica de modo que seja possível restaurar o computador para o estado atual, se necessário A alteração das regras do firewall para proteger computadores contra uma vulnerabilidade recém-descoberta 83
Outra opção para executar os scripts do PowerShell em computadores remotos com a plataforma Windows 7 é usar os scripts de logon, inicialização e desligamento definidos nos GPOs. As versões anteriores do Windows ofereciam suporte apenas para a especificação de arquivos de comandos para esses scripts. O PowerShell oferece muito mais flexibilidade e capacidade em relação ao que está disponível nos arquivos de comandos Muitos aplicativos oferecem suporte para notificações imediatas de ações ou eventos importantes. Esses são apresentados, normalmente, como eventos WMI ou eventos em um objeto .NET. Além disso, o próprio Windows apresenta notificações úteis sobre a atividade de arquivos, serviços, processos, entre outros. Esses eventos formam a base de muitas tarefas de diagnóstico e gerenciamento do sistema. No Windows 7, o PowerShell 2.0 oferece suporte para isso escutando, reagindo e encaminhando eventos do sistema e de gerenciamento. Os profissionais de TI podem criar scripts do PowerShell que respondam aos eventos do sistema de forma síncrona (imediatamente após o evento ser adicionado) ou assíncrona (em um momento posterior) . Se você se registrar em um evento usando o PowerShell Remoting, poderá até mesmo ter essas notificações encaminhadas automaticamente para uma máquina centralizada. Com o PowerShell, a flexibilidade é ilimitada. Por exemplo, você pode criar um script que execute gerenciamento de diretórios se arquivos forem adicionados ou removidos de determinado local. É possível criar um script que execute uma tarefa de gerenciamento apenas se determinado evento for incluído várias vezes ou se diferentes eventos ocorrerem em um intervalo de tempo específico. Também é possível criar scripts que respondam aos eventos gerados pelos aplicativos internos e executem tarefas de gerenciamento específicas às necessidades da organização. Além desses recursos, o gerenciamento de eventos do PowerShell oferece suporte a eventos WMI e .NET Framework que envolvem notificações mais detalhadas do que as disponíveis nos logs de eventos padrão. Por exemplo, o PowerShell pode acessar eventos relativos à inicialização e encerramento de serviços, inicialização de processos, alteração de arquivos, entre outros. Os profissionais de TI de organizações de médio e grande porte frequentemente precisam criar vários GPOs para definição das configurações do computador, desde a área de trabalho até os tempos limite da proteção de tela. A Microsoft apresenta o Editor de Objeto de Diretiva de Grupo e o Console de Gerenciamento de Diretiva de Grupo (GPMC) para permitir que administradores criem e atualizem GPOs. No entanto, como há milhares de definições possíveis, a atualização de diversas GPOs pode ser uma tarefa demorada, repetitiva e propensa a erros. Antes do Windows 7, a automação de GPOs se resumia ao gerenciamento dos próprios GPOs. Por exemplo, profissionais de TI podiam criar ou vincular GPOs, mas não podiam alterar as definições de configuração neles. O acesso às APIs do GPMC também exigia o grau de conhecimento de um desenvolvedor de aplicativos. Depois da instalação das RSAT (Ferramentas de Administração do Servidor Remoto) do Windows Server 2008 R2 (uma ferramenta do microsoft.com que inclui o GPMC para Windows 7), é possível usar o PowerShell para automatizar o gerenciamento de GPOs e a configuração das definições om base em registro 84
(disponíveis por meio dos modelos administrativos ADM ou ADMX). Essa funcionalidade permite que profissionais de TI assumam controle total sobre GPOs usando estes cmdlets: Cmdlets de GPO Backup-GPO
Block-GPInheritance
Copy-GPO
Get-GPO
GetGPOReport
GetGPPermissions
GetGPPrefRegistryValue
Get-GPRegistryValue
GetGPResultantSetOfPolicy
GetGPStarterGPO
Import-GPO
New-GPLink
New-GPO
New-GPStarterGPO
RemoveGPLink
Remove-GPO
RemoveGPPrefRegistryValue
RemoveGPRegistryValue
Rename-GPO
Restore-GPO
Set-GPLink
Set-GPPermissions
SetGPPrefRegistryValue
Set-GPRegistryValue
GetGPInheritance
Talvez sua organização precise criar GPOs diferentes para várias unidades de negócios e cada um deles varie entre duas configurações diferentes: o atraso antes do início da proteção de tela e se uma senha será necessária para desbloqueá-la. Em uma organização com seis unidades de negócio, cada qual com suas necessidades específicas, os administradores normalmente teriam de criar os GPOs e definir as configurações de cada organização usando a interface do usuário, o que poderia levar um tempo considerável. Com o Windows 7 e o PowerShell, um administrador pode compor um script do PowerShell que use uma matriz com os nomes das unidades de negócios e as configurações exclusivas dos GPOs. O script, por sua vez, pode repetir a matriz e criar cada GPO em alguns segundos. Quando a Diretiva de Grupo foi distribuída com o Windows 2000, ela permitiu que os administradores executassem scripts com base em arquivos em lote no logon e logoff dos usuários, e na inicialização e desligamento do computadores. Com isso, os administradores puderam configurar partes do ambiente ou executar programas adicionais em tais momentos. O Windows 7 apresenta o suporte para a execução dos scripts do PowerShell e oferece aos administradores ferramentas mais abrangentes para configuração em tempo real durante os eventos do sistema. Para a maioria das pessoas, os computadores são uma parte integral do dia de trabalho. Quando eles apresentam problemas, elas se tornam improdutivas muito rapidamente. Evidentemente, o TI tem de ser ágil em resolver os problemas quando eles ocorrem; no entanto, o custo do envolvimento desse departamento na solução de problemas também precisa ser racionalizado. O Windows 7 apresenta muitas ferramentas novas e aprimoradas que podem ser úteis para usuários e profissionais de TI voltarem a ser produtivos ao mesmo tempo em que reduzem os custos. Os usuários podem resolver muitos problemas por conta própria, sem solicitar assistência técnica; quando esta se faz necessária, os profissionais de TI conseguem diagnosticar e resolver problemas rapidamente. Ao mesmo tempo que os usuários recorrem à solução avançada de problemas para resolver facilmente os erros mais comuns, o TI ou os desenvolvedores podem criar pacotes personalizados de solução de problemas que tratem das falhas comuns de um 85
ambiente. Normalmente, os profissionais de TI gastam muito tempo com os usuários tentando compreender as condições que causaram os problemas. Com o novo Gravador de Passos para Reprodução de Problemas do Windows 7, os usuários gravam as ações que fizeram a fim de reproduzir o problema, o que é incomparavelmente mais eficiente. As versões aprimoradas da Restauração do Sistema e a instalação automática do Windows RE podem reduzir o tempo necessário para resolver problemas de inicialização e do sistema. Para os profissionais de TI, as versões avançadas do Monitor de Recursos e do Monitor de Confiabilidade reduzem o tempo necessário para diagnosticar problemas. Um objetivo básico de qualquer organização de TI é reduzir os custos e assegurar, ao mesmo tempo, o aumento da produtividade dos usuários. Um modo para se obter esse objetivo é resolver problemas rapidamente, com o mínimo de intervenção possível. A Plataforma de Solução de Problemas do Windows, nova no Windows 7, é sofisticada e extensível e pode ser personalizada pelos departamentos de TI, desenvolvedores de software e terceiros com a ajuda do PowerShell. Ela contém dois componentes principais: os Pacotes de Solução de Problemas do Windows e o Construtor de Pacotes de Solução de Problemas do Windows. São uma coleção de scripts do PowerShell que tentam diagnosticar um problema e, se possível, resolvê-lo com a aprovação do usuário. Esses pacotes também podem executar a manutenção contínua de um recurso específico. O Windows 7 inclui 20 Pacotes de Solução de Problemas internos que abordam mais de 100 das principais causas. A Microsoft os desenvolveu para fazer a correlação das 10 categorias principais de chamadas de suporte da Microsoft, incluindo Eficiência de Consumo de Energia, Compatibilidade de Aplicativos, Rede e Som. Como mostrado na Figura 2, os Pacotes de Solução de Problemas podem diagnosticar problemas complexos, inclusive os que têm diversas causas, e apresentar ao usuário dicas sobre como resolver cada um deles. Logo após a figura, há uma lista dos pacotes que acompanham o Windows 7.
Figura 2: Um Pacote de Solução de Problemas do Windows diagnosticando um erro 86
Pacotes de Solução de Problemas do Windows 7 Soluciona problemas que impedem a exibição de Aero animações e efeitos do Aero. Reprodução de Som
Soluciona problemas que impedem o computador de reproduzir som.
Gravação de Som
Soluciona problemas que impedem o computador de gravar som.
Impressora
Soluciona problemas que impedem o uso da impressora
desempenho
Ajusta as configurações no Windows que podem melhorar a velocidade e o desempenho geral
Manutenção
Limpa arquivos e atalhos não utilizados e executa outras tarefas de manutenção
Energia
Ajusta as configurações de energia para melhorar a autonomia da bateria e reduzir o consumo de energia
Rede do Grupo Doméstico
Soluciona Problemas que impedem a visualização de computadores ou arquivos compartilhados em um grupo doméstico
Hardware e Dispositivo
Soluciona problemas de hardware e dispositivos
Navegação na Web
Soluciona problemas que impedem a navegação pela Web com o Internet Explorer
Navegação segura na Web
Ajusta as configurações para aumentar a segurança do navegador no Internet Explorer
Soluciona problemas que impedem que músicas e Biblioteca do Windows Media filmes sejam exibidos na Biblioteca do Windows Player Media Player Configuração do Windows Media Player
Redefine o Windows Media Player para as configurações padrão
Reproduz um DVD no Windows Media Player
Soluciona problemas que impedem a reprodução de DVD no Windows Media Player
Conecta-se a um local de trabalho usando o DirectAccess
Conecta-se à rede do seu local de trabalho pela Internet
Conecta-se a uma pasta compartilhada
Acessa arquivos e pastas compartilhados em outros computadores
Conexões de entrada para este Permite que outros computadores se conectem ao computador seu computador
87
Adaptador de rede
Soluciona problemas de adaptadores Ethernet, sem fio e outros adaptadores
Conexões com a Internet
Conecta-se à Internet ou a um site específico
Solução de Problemas de Soluciona problemas de um programa que não Compatibilidade de Programas funciona na versão atual do Windows Construtor de Pacotes de Solução de Problemas do Windows Este componente (mostrado na Figura 3) é um kit de desenvolvimento, incluído com o Windows Software Development Kit (SDK), que contém uma ferramenta gráfica para os profissionais de TI e desenvolvedores criarem Pacotes de Solução de Problemas do Windows. Esse kit simplifica a adição de metadados ao Pacote de Solução de Problemas e se vincula ao PowerShell Integrated Scripting Environment (abordado anteriormente neste documento) para autoria de scripts de detecção, resolução e verificação. Devido à sofisticação do PowerShell, é possível examinar e configurar praticamente qualquer elemento do Windows e do ambiente de aplicativo. Você pode implantar pacotes de solução de problemas usando as Preferências da Diretiva de Grupo (abordadas anteriormente) para copiá-los para a unidade de disco local ou armazená-los em um servidor central de arquivos.
Figura 3: Construtor de Pacotes de Solução de Problemas, parte do Kit de Ferramentas de Solução de Problemas do Windows
A solução de problemas pode ser iniciada manualmente pelos usuários no Centro de Ajuda e Suporte ou no Centro de Ações, conforme mostrado na Figura 4. Também é possível iniciá-la a partir de aplicativos, o que permite que organizações desenvolvam ferramentas de diagnóstico do Windows 7 como um recurso dos seus aplicativos da linha de negócio. Os profissionais de TI podem executar Pacotes de Solução de Problemas remotamente e usar as configurações da Diretiva de Grupo para limitar os usuários ao diagnóstico, mas não à correção, de problemas. 88
Figura 4: Centro de Ações do Windows
Profissionais de TI também podem executar os Pacotes de Solução de Problemas de forma agendada para automatizar a manutenção. Por exemplo, você pode usar esses pacotes para remover arquivos temporários, procurar erros em um disco rígido ou verificar o horário do sistema. A Microsoft hospeda o Serviço de Solução de Problemas Online do Windows que oferece aos usuários do Windows 7 novos Pacotes de Solução de Problemas, além de atualizar os que foram enviados junto com o produto, a fim de diagnosticar os problemas recentemente descobertos. Os administradores podem desativar essa função por meio da Diretiva de Grupo. Como os aplicativos, os Pacotes de Solução de Problemas podem ser assinados por um certificado emitido por uma Autoridade de Certificação (CA) confiável. Os administradores podem usar as configurações da Diretiva de Grupo para executar apenas pacotes de fornecedores confiáveis. Os pacotes podem ser distribuídos para computadores locais, publicados em um site da intranet ou armazenados em uma pasta compartilhada. Além de simplificar a solução de problemas para os usuários finais, os administradores podem usar os Pacotes de Solução de Problemas para agilizar procedimentos complexos de diagnóstico e teste, executando-os de modo interativo a partir de um prompt de comandos ou silenciosamente usando um arquivo de resposta. Em tais casos, os administradores podem executar os pacotes quer efetuando logon no computador local, quer remotamente (pela rede). Normalmente, o aspecto mais complicado da solução de problemas é reproduzir as condições que demonstram o erro, principalmente quando o usuário afetado trabalha remotamente ou se comunica por telefone. Quando o TI não consegue reproduzir o problema do usuário, não é fácil diagnosticar sua origem. 89
A solução do Windows 7 para esse impasse é o Gravador de Passos para Reprodução de Problemas, mostrado na Figura 5. Os usuários simplesmente executam o gravador para registrar os passos dados até a ocorrência de um problema reproduzível. Eles clicam em Iniciar Gravação, reproduzem o problema, inserem comentários (quando apropriado), clicam em Parar Gravação e enviam o registro por e-mail ou o compartilham com o profissional de TI.
Figura 5: O Gravador de Passos para Reprodução de Problemas
Cada vez que o usuário clica ou digita, uma captura de tela da ação é registrada, junto com os respectivos logs e dados de configuração do software. Os comentários em texto dos usuários para descrever algo que está acontecendo mas que não está sendo registrado (por exemplo, capacidade de resposta precária ou paginação excessiva) também são capturados. O gravador cria um arquivo .MHT (um tipo de documento HTML que inclui as imagens em um único arquivo) compactado em um arquivo zip. O profissional de TI pode abrir esse arquivo, como exibido na Figura 6, para exibir as capturas de tela e obter uma descrição exata das ações do usuário.
Figura 6: Passos para Reprodução de Problemas Gravados
O Gravador de Passos para Reprodução de Problemas pode economizar uma quantidade de tempo significativa para o profissional de TI. Além disso, ele é útil para superar barreiras linguísticas, permitindo que os profissionais de TI diagnostiquem problemas independentemente das diferenças de idiomas 90
Ocasionalmente, um usuário pode enfrentar problemas de confiabilidade. Por exemplo, uma instalação pode atualizar um driver com uma versão menos confiável ou um aplicativo pode sobrescrever arquivos com versões incompatíveis. Em alguns casos, desinstalar uma atualização ou aplicativo não reverterá todas as alterações feitas. O Windows Vista incluiu a Restauração do Sistema do Windows para armazenar "instantâneos" do sistema na unidade de disco local, em intervalos regulares ou antes que atualizações do sistema ou instalações de aplicativos/drivers de dispositivo sejam baixadas. Ao reverter todas as alterações desde o ponto de restauração, as versões anteriores também revertiam aquelas que não se relacionavam com o problema: • •
Aplicativos e drivers instalados depois do ponto de restauração eram removidos Aplicativos e drivers removidos depois desse ponto eram restaurados
Essas versões anteriores do Windows dificultavam para os usuários ou profissionais de TI determinar quais componentes seriam afetados pela restauração. Os usuários ficavam previsivelmente frustados quando descobriam que alguns dos seus aplicativos não estavam mais disponíveis. Frequentemente, eles solicitavam ajuda do centro de suporte, mais uma vez consumindo tempo do profissional de TI. Com o Windows 7, o usuário ou profissional de TI pode exibir uma lista de alterações de software (com base nos aplicativos listados em Adicionar/Remover Programas) antes de reverter o Windows 7 para um estado anterior, como exibido na Figura 7. Por oferecer uma explicação mais completa sobre o resultado da Restauração, por exemplo, a remoção de um aplicativo que deve ser preservado, um profissional de TI pode escolher um ponto de restauração diferente ou se conscientizar de que tem que reinstalá-lo depois.
Figura 7: Descrição da Restauração do Sistema dos aplicativos que serão afetados 91
No Windows 7, pontos de restauração também estarão disponíveis nas imagens do sistema criadas pelos usuários finais (similares aos backups do Complete PC no Windows Vista), permitindo que o procedimento seja revertido para um ponto anterior no tempo em relação ao armazenamento da Restauração do Sistema. Em outras palavras, backups para discos rígidos externos podem ser usados também para os pontos de restauração. Como muitos outros aspectos do Windows 7, a Restauração do Sistema permite que profissionais de TI sejam mais eficientes e produtivos usando o PowerShell. O PowerShell pode criar um ponto de restauração ou restaurar um computador para um ponto especifico, mesmo remotamente. Assim, durante uma chamada de suporte, os profissionais de TI podem se conectar a um computador pela rede e criar um ponto de Restauração do Sistema antes de fazerem quaisquer alterações que possam afetar negativamente a estabilidade do computador. Scripts que executam tarefas de solução de problemas ou configuração podem criar automaticamente um ponto de Restauração do Sistema permitindo que as alterações sejam facilmente restauradas. Finalmente, um profissional de TI pode usar um script do PowerShell (mesmo remotamente) para restaurar um computador para um ponto anterior. Um computador que não inicia é um dos cenários mais desafiadores para profissionais de TI e mais frustantes para os usuários, especialmente para os usuários móveis que estão distantes da equipe de suporte. Quando os usuários não podem iniciar o Windows, eles não têm acesso às ferramentas de diagnóstico e resolução de problemas. Mais importante, eles não podem fazer aquela apresentação de venda ou criar aquele orçamento. Para ajudá-los a resolver problemas de inicialização com facilidade, o Windows Vista introduziu duas ferramentas: o Ambiente de Recuperação do Windows e a ferramenta Reparo de Inicialização. Usuários ou profissionais de TI podem iniciar o Windows RE reinicializando um computador a partir do DVD do Windows Vista. As ferramentas incluídas no Windows RE frequentemente corrigem problemas de inicialização, sem precisar do diagnóstico de um profissional de TI. Embora o Windows RE possa reduzir o tempo necessário para corrigir uma instância corrompida do Windows Vista, muitos usuários não possuem o DVD de instalação disponível ou não instalaram o Windows RE em uma partição separada do disco rígido do PC. Além disso, o Windows Vista não incluia um modo direto para instalar o Windows RE. Quando usuários remotos chamavam o centro de suporte porque o Windows não tinha iniciado em seu computador móvel, isso era um problema extremamente difícil de resolver para os profissionais de TI. Com o planejamento apropriado, os profissionais de TI conseguiam instalar o Windows RE em uma partição do disco rígido do computador, para que ele ficasse disponível sem o DVD do Windows Vista. A exemplo do Vista, o Windows 7 engloba o Windows RE, incluindo as versões aprimoradas das ferramentas de recuperação do sistema, conforme exibido na Figura 8. A melhoria mais significativa é que o RE é instalado automaticamente no disco rígido local como parte da configuração do Windows 7, o que garante a disponibilidade das ferramentas mesmo sem o DVD de instalação. Agora, independentemente de como o Windows 7 está instalado, os usuários podem estar seguros de que o Windows RE e 92
ferramentas como Reparo de Inicialização estarão sempre disponíveis. Naturalmente, se o disco rígido não estiver funcionando, os profissionais de TI ainda podem iniciar o Windows RE a partir do DVD do Windows 7.
Figura 8: Opções de Recuperação do Sistema, iniciadas a partir do Windows RE
Com o Windows 7, se um usuário remoto não consegue iniciar o Windows, o profissional de TI pode conversar com ele sobre o processo de inicialização do Windows RE usando o disco rígido do computador. Nesses casos, as ferramentas de recuperação do sistema geralmente resolvem o problema sem a necessidade de nenhuma solução manual. Em minutos, o usuário será capaz de iniciar o Windows 7. Essas ferramentas também permitem que os usuários iniciem o Windows RE usando o Painel de Recuperação de Controle ao restaurarem o sistema a partir de um backup de imagem ou para uma condição original de fábrica. Esse painel conduz os usuários pelos processos de backup dos arquivos do usuário local, reinicialização do computador para o Windows RE e inicialização do aplicativo de recuperação apropriado. (Veja a Figura 9.) O Painel de Recuperação de Controle está disponível no Centro de Ações, assim, os profissionais de TI e suporte podem facilmente conduzir por telefone os usuários remotos pelo processo de restauração do computador.
93
Figura 9: A tela Painel de Recuperação de Controle, que fornece aos usuários as opções de restauração do sistema
Para resolver melhor problemas de recursos, os profissionais de TI precisam de uma visão mais aprofundada sobre os trabalhos internos do computador. Quanto mais complexo o problema, mais detalhadas as informações devem ser para resolvê-lo. Ao passo que o Gerenciador de Tarefas é suficiente para identificar qual processo está utilizando a maior parte do tempo do processador, os profissionais de TI frequentemente precisam de uma ferramenta mais sofisticada para identificar que processo está gerando a maior quantidade da E/S do disco ou rede visando resolver o problema de imediato. O Windows 7 inclui uma versão avançada do Monitor de Recursos que fornece, processo a processo, esse tipo de informação detalhada sobre alocação de recursos. Como exibido na Figura 10, esses dados são exibidos em um formato que permite acesso rápido a uma grande quantidade de informações que podem ser facilmente usadas para uma busca dos detalhes específicos do processo.
Figura 10: Monitor de Recursos 94
Em poucos segundos, você pode usar o Monitor de Recursos para exibir: • • •
• • • •
•
Que processos estão consumindo tempo e memória do processador Que serviços estão hospedados dentro de um processo SvcHost.exe Que identificadores (incluindo dispositivos, chaves de registro e arquivos) um processo está acessando Que módulos (incluindo DLLs) estão sendo acessados pelo processo Que processos estão lendo e gravando a maioria dos dados no disco Quantos dados cada processo está enviando e recebendo Que processos estão escutando conexões de entrada da rede ou têm conexões de rede abertas Quanta memória é consumida por cada processo
Além disso, é possível encerrar processos e fazer uma pesquisa online para obter informações sobre determinado processo. Com o Monitor de Recursos, os profissionais de TI podem rapidamente identificar a origem dos problemas de desempenho e utilização de recursos, reduzindo o tempo necessário para resolver problemas complexos. O Windows Vista introduziu o Monitor de Confiabilidade, uma ferramenta que fornece uma linha de tempo dos eventos do sistema correlacionados com a estabilidade geral do PC. Esses eventos incluem a instalação ou remoção de software e drivers de dispositivo, falhas de aplicativos e desligamentos com erros. Este componente provou ser valioso para profissionais de TI porque, com ele, é possível rastrear rapidamente a origem dos problemas de modo retroativo às alterações no sistema que os causaram. Como o Windows 7, o Monitor de Confiabilidade está agora integrado aos Relatórios de Problemas e Soluções para estabelecer uma melhor correlação entre alterações do sistema, eventos e resoluções potenciais. Na Figura 11, o Monitor de Confiabilidade é mostrado fornecendo detalhes sobre eventos de um dia específico, incluindo uma instalação de aplicativo com falha e atualizações de segurança.
Figura 11: Monitor de Confiabilidade 95
O Windows 7 também aprimora este monitor apresentando os dados de confiabilidade no Windows Management Interface. Com o WMI, você pode reunir esses dados de confiabilidade remotamente e processá-los usando os scripts do PowerShell e os cmdlets relacionados ao WMI. Agora, profissionais de TI podem agregar valor ao WMI para coletar informações ou inspecionar centralmente a confiabilidade dos computadores com Windows 7 pela rede, de modo proativo ou durante uma chamada de suporte. Outras ferramentas de gerenciamento, como o Microsoft System Center Operations Manager, podem monitorar centralmente os dados de confiabilidade de todos os computadores com o Windows 7. Como alternativa, você pode criar seus próprios scripts do PowerShell para monitorar a confiabilidade e tomar a ação apropriada. Com o monitoramento centralizado dos dados de confiabilidade, é possível identificar os computadores não confiáveis que estão afetando a produtividade do usuário, mesmo se este não se preocupar em chamar o centro de suporte. Quer imposta pelas leis do país, quer pelos contratos de nível de serviço do cliente ou pelos requisitos internos de segurança, muitas organizações têm uma demanda por conformidade e precisam definir e impor centralmente as opções de configuração de toda a organização. O Windows 7 inclui recursos aprimorados e novas tecnologias que ajudam profissionais de TI a satisfazerem com mais eficácia os requisitos de conformidade: •
•
•
O AppLocker simplifica o controle sobre que aplicativos os usuários podem executar por meio de regras de fornecedor flexíveis. A auditoria aprimorada permite que profissionais de TI usem a Diretiva de Grupo para configurar que arquivos e valores do registro serão inspecionados. As melhorias no BitLocker oferecem a imposição da criptografia de dados, inclusive para dispositivos de armazenamento removíveis.
As Preferências da Diretiva de Grupo também estendem o alcance da Diretiva de Grupo aos aplicativos e componentes do Windows normalmente não gerenciados por essa diretiva, por exemplo: unidades de disco mapeadas; associação de grupo e senhas de contas de usuário local; tarefas agendadas e configurações do registro. Finalmente, com a proliferação de trabalhadores remotos, é essencial para os profissionais de TI impor opções de configuração aos PCs móveis quando eles não estiverem diretamente conectados à rede corporativa. O DirectAccess mantém os PCs móveis conectados à rede interna, permitindo que profissionais de TI façam download de atualizações de software, apliquem configurações da Diretiva de Grupo e forneçam gerenciamento remoto. Juntos, esses aprimoramentos concedem a esses profissionais a flexibilidade de que necessitam para tratar a maioria dos problemas atuais de gerenciamento de configuração. Quando os usuários executam software não autorizado, seus computadores ficam menos seguros e gerenciáveis. Eles ficam lentos, o que reduz a produtividade dos usuários e gera mais chamadas ao centro de suporte. E, o mais importante, eles violam as regras de conformidade ao executarem esse software.
96
Com o AppLocker no Windows 7, os administradores têm maior flexibilidade para especificar que aplicativos e scripts os usuários podem executar. Eles podem conceder aos usuários o direito de instalar certos aplicativos e limitar a instalação de outros. Com isso, o TI consegue construir e manter ambientes de área de trabalho mais padronizados. O AppLocker inclui uma quantidade de regras. As Regras do Fornecedor concedem acesso a um aplicativo com base na sua assinatura digital; isso permite que uma única regra autorize a execução de várias versões de um aplicativo (mesmo as futuras que ainda não foram liberadas). Como mostrado na Figura 12, você pode criar uma regra autorizando os usuários a executar as versões 3.5 ou superior de um aplicativo se elas estiverem assinadas com determinado certificado. As Regras do Fornecedor do AppLocker melhoram a produtividade permitindo que o TI implante novas versões de um aplicativo sem a necessidade de atualização de regras.
Figura 12: Uma regra do AppLocker
O Windows 7 oferece auditoria detalhada para conceder aos profissionais de TI uma visão sobre quem pode acessar as informações, por que o acesso de um usuário foi negado e quem alterou um objeto. Nas versões anteriores do Windows, a auditoria detalhada podia ser configurada apenas por meio de scripts. Com o Windows 7 e as configurações da Diretiva de Grupo, você pode ativar a auditoria de subcategorias, como exibido na Figura 13. Essa auditoria destina-se a ajudar organizações a estarem em dia com os requisitos legais e do negócio.
97
Figura 13: Configurando auditoria por meio da Diretiva de Grupo
Os profissionais de TI também podem usar as configurações da Diretiva de Grupo para determinar que arquivos, chaves de registro e outros objetos serão inspecionados. Com as versões anteriores do Windows, eles tinham de configurar a auditoria de recursos manualmente ou compor scripts e, depois, executá-los em cada computador. Os administradores podem usar as configurações da Diretiva de Grupo para configurar centralmente o BitLocker e BitLocker To Go para criptografia de armazenamento removível. Algumas opções de configuração são: •
•
•
•
• •
Determinar requisitos específicos para volumes do sistema, volumes que não são do sistema e armazenamentos removíveis Exigir senhas fortes, cartão inteligente ou credenciais de usuário de domínio para proteger dispositivos de armazenamento removíveis Definir um comprimento mínimo do PIN para reinicialização de volume do sistema Especificar a complexidade e comprimento da senha para volumes que não são do sistema Configurar como os volumes que não são do sistema podem ser recuperados Exigir a criptografia do BitLocker para dispositivos de armazenamento removíveis, conforme exibido na Figura 14, permitindo, ao mesmo tempo, que dispositivos não criptografados sejam abertos no modo somente leitura
Figura 14: Exigindo a criptografia do BitLocker para uma unidade removível
98
Os profissionais de TI usam as definições da Diretiva de Grupo para configurar computadores de modo central e consistente. Como os usuários não têm permissão para alterar as configurações da Diretiva de Grupo, elas são perfeitas para impor definições. Contudo, a organização pode determinar que nem todos os elementos da configuração de um computador sejam controlados. Geralmente, os departamentos de TI querem simplesmente configurar as opções padrão e permitir que os usuários as alterem de acordo com suas próprias preferências. Por exemplo, o TI poderá configurar os computadores móveis para entrar no modo de espera quando suas tampas forem fechadas. No entanto, como é uma questão de preferência, alguns usuários talvez queiram alterar isso. Normalmente, os profissionais de TI especificam os padrões nas imagens do sistema operacional antes da implantação. Muitas vezes, eles têm de configurar diversas imagens de sistemas operacionais diferentes para prover configurações padrão específicas a determinados grupos de usuários. Como alternativa, os profissionais de TI podem criar scripts que mapeiem unidades de rede, criem tarefas agendadas ou definam opções do registro. Qualquer que seja o método utilizado, será muito enfadonho gerenciar todas essas preferências. Com o Windows 7, você pode usar as Preferências da Diretiva de Grupo e configurar padrões para os componentes do Windows que não estão cientes da diretiva, incluindo: • • • • • • • • • • • • •
Unidades de rede mapeadas Tarefas agendadas Atalhos Variáveis de ambiente Opções de energia Impressoras Opções regionais Opções de pasta Fontes de dados Open Database Connectivity (ODBC) Configurações do registro Configurações do menu Iniciar Configurações da Internet Usuários e grupos locais
Diferentemente das opções tradicionais da Diretiva de Grupo, as Preferências da Diretiva de Grupo designam os padrões que podem ser alterados pelos usuários. O TI pode utilizá-las para reduzir o número de imagens necessário para a implantação, uma vez que é possível definir Preferências da Diretiva de Grupo para especificar as configurações padrão, em vez de criar imagens do Windows separadas para cada configuração. Além de definir as preferências, você pode criar, substituir, atualizar e excluir arquivos, grupo de arquivos e pastas. A interface do usuário simples, mostrada na Figura 15, permite que você sincronize arquivos pela rede com o destino que especificar. Por exemplo, é possível usar essa interface para copiar um dicionário personalizado para a pasta %AppData% em cada perfil do usuário. Com a interface da 99
pasta, você pode excluir regularmente o conteúdo de uma pasta, o que é útil ao limpar arquivos temporários.
Figura 15: Definindo as configurações da Diretiva de Grupo com uma interface gráfica do usuário
As Preferências da Diretiva de Grupo podem ser designadas a diferentes grupos de usuários ou computadores dentro do GPO sem que seja necessário usar os filtros da WMI. Por exemplo, um administrador pode configurar uma preferência que se aplique apenas a computadores móveis. Muitas Preferências da Diretiva de Grupo são configuradas usando a mesma interface que os usuários acessam para configurar um aplicativo. Por exemplo, você pode recorrer às Preferências da Diretiva de Grupo para configurar as opções do Internet Explorer usando uma interface gráfica do usuário similar à fornecida pelo Internet Explorer, mostrada na Figura 16. Do mesmo modo, é possível especificar dispositivos usando um navegador similar ao Gerenciador de Dispositivos.
Figura 16: Configurando as Preferências da Diretiva de Grupo 100
No entanto, há várias diferenças importantes entre as Preferências e as configurações da Diretiva de Grupo. Comparação entre as Preferências e as Configurações da Diretiva de Grupo Preferências da Configurações da Diretiva de Grupo Diretiva de Grupo Imposição
As preferências não são As configurações são impostas; a interface impostas; os usuários do usuário para alteração fica desativada podem alterar suas opções
Flexibilidade
Facilidade de importação ou criação de preferências para opções do registro e arquivos
Público-alvo
As preferências Os usuários de destino precisam compor individuais podem ser consultas WMI destinadas a usuários e grupos específicos
Interface do usuário
Fornece uma interface Fornece uma interface do usuário familiar, fácil de usar, alternativa para a maioria das para a maioria das configurações preferências
A inclusão de configurações requer suporte por parte do aplicativo e a criação de modelos administrativos; os usuários não podem criar configurações para gerenciamento de arquivos ou pastas
Os computadores móveis são um desafio para os departamentos de TI porque eles podem ser gerenciados somente quando estão conectados na rede interna. Usuários que trabalham fora do escritório principal ou que viajam por longos períodos de tempo podem ficar semanas ou meses sem se conectarem à rede interna. Como resultado, esses computadores móveis não baixam as configurações atualizadas da Diretiva de Grupo, nem as atualizações críticas nem as definições antimalwares. Tradicionalmente, usuários remotos se conectam aos recursos da rede interna usando uma Rede Privada Virtual (VPN). Contudo, usar uma VPN pode ser enfadonho para eles devido às várias etapas e aos muitos segundos (ou até minutos) necessários para autenticação. O Windows 7, junto com o Windows Server 2008 R2, apresenta o DirectAccess (consulte a Figura 17), uma nova solução para que os usuários vivenciem lá fora a mesma experiência que teriam trabalhando internamente. Com uso de tecnologias como IPv6 e IPSec, o DirectAccess fornece aos computadores remotos acesso direto e automático à rede interna, por meio da Internet, sem a conexão a uma VPN, ao mesmo tempo em que proporciona uma infraestrutura segura e flexível para as empresas.
101
Figura 17: DirectAccess no Windows 7
Por exemplo, se um usuário remoto se conectar a um ponto de acesso sem fio em um café, o DirectAccess detectará que uma conexão com a Internet está disponível e automaticamente estabelecerá uma conexão ao servidor DirectAccess na borda da rede interna. O usuário poderá acessar os recursos internos aos quais os administradores concederam acesso remoto, por exemplo, compartilhamentos internos, sites e aplicativos. O Departamento de TI pode gerenciar o computador móvel atualizando as configurações da Diretiva de Grupo e distribuindo atualizações de software assim que a conexão for estabelecida, mesmo antes de o usuário efetuar logon. Essa flexibilidade oferece à equipe de TI a oportunidade de fazer manutenção nas máquinas remotas regularmente e garantir que os usuários móveis permaneçam atualizados com as diretivas da empresa. Os dados do usuário normalmente armazenados em um servidor (via Redirecionamento de Pasta) e em cache localmente (via Arquivos e Pastas Offline) também tirarão proveito da sincronização automática (backup) de cada arquivo com o servidor devido à conexão permanente com a rede. Os usuários apreciarão o DirectAccess porque ele os manterá conectados automaticamente aos recursos internos. Os profissionais de TI gostarão do DirectAccess devido ao grande aumento na capacidade de gerenciamento dos computadores móveis por conectá-los à rede interna sempre que usuário estabelecer uma conexão com a Internet. Os computadores móveis permanecerão conectados, gerenciados e atualizados.
102
2 - IMPLANTAÇÃO
2.1 - Implantações MUI para Windows 7 Para implantar as configurações de idioma apropriadas do Windows 7 e configurar o suporte de país/região com base na infraestrutura geográfica e de TI atual de sua organização, você precisa determinar os requisitos de idioma e país/região, bem como seus requisitos e limitações de hardware. Você também precisará: Avaliar os requisitos de hardware para suporte multilíngue. Determinar as necessidades de usuários móveis em sua organização. Determinar se sua organização precisará implantar uma imagem global simples ou compilações de país/região específicas para diferentes escritórios em sua organização. • • •
Se você faz negócios em diversos idiomas ou possui ambientes de escritório em diversos idiomas, você precisa saber quais idiomas ou dialetos sua organização deve suportar e se esses idiomas exigem editores de método de entrada (IMEs) ou teclados alternativos ou dispositivos de entrada. Se você faz negócios internacionalmente, você precisa saber quais países/regiões sua organização deve suportar e quais idiomas ou dialetos são usados em cada um deles. Você deve determiar se a moeda, fuso horário ou formatos de calendário variam entre diferentes países/regiões. Além disso, voce deve determinar em quais aplicativos de linha de negócios você deve acomodar essas diferenças de país/região. Uma tabela de planejamento de quatro colunas pode ajudar você a determinar suas necessidades de idioma e país/região. Você opde organizar as tabelas como segue: • •
•
•
Na coluna um, liste seus escritórios ou divisões. Na coluna dois, liste os idiomas ou dialetos usados nesses escritórios ou nessas divisões. Na coluna três, observe as coleções de idiomas e locais correspondentes do Windows 7 que suportam esses idiomas ou dialetos. Para tabelas que listam pacotes e configurações de idiomas do Windows 7, consulte Pacotes de Idiomas Suportados e Configurações Padrão. Na coluna quatro, observe os padrões especiais e configurações de formatos, suporte a idioma de entrada, ou idiomas padrão para programas não Uni-code necessários para seus escritórios ou divisões.
Você pode usar a planilha resultante para planejar sua implantação física e concluir a seção país/região dos seus arquivos de resposta. 103
Oferecer suporte em diversos idiomas pode afetar os requisitos de hardware em duas áreas: •
•
Espaço de disco rígido. Alguns idiomas exigem mais espaço de armazenamento de disco rígido do que outros. Quanto mais idiomas instalados em um computador, mais espaço do disco rígido será consumido. Dispositivos de hardware especializados. Alguns idiomas ou usuários exigem teclados especiais, IMEs, ou dispositivos de entrada alternativos.
Observação Instalar a coleção de idiomas permite que você visualize texto nesses idiomas em documentos, em uma página da Web e assim por diante. No entanto, para inserir texto em um determinado idioma, você tambpem deve adicionar esse idioma como um idioma de entrada. Se você possui muitos usuários móveis que precisam fazer logon de diferentes locais e editar documentos em diversos idiomas, você precisa garantir que os arquivos de idiomas apropriados estão instalados ou são instaláveis conforme necessário nos computadores desses usuários. Você pode instalar os Serviços de Área de Trabalho Remota para que os usuários possam se registrar em sessões únicas de Serviços de Área de Trabalho Remota em diferentes idiomas. Se seus usuários móveis precisam fazer logon de diferentes locais em sua versão de interface de usuário no idioma nativo do sistema operacional, você deve instalar os pacotes de idioma apropriados. O sistema operacional do Windows 7 permite que um departamento de TI da organização global implante e mantenha uma imagem de área de trabalho global simples. Dessa maneira, sua empresa pode criar uma compilação simples que inclua suporte ao idioma de interface do usuário para todos os idiomas em que você faz negócios. A compilação também pode incluir aplicativos globais como o Office 2007. Por exemplo, se sua empresa suporta inteerfaces de usuário em inglês, francês, italiano, espanhol, japonês, chinês simplificado e chinês tradicional, você pode criar uma imagem global simples que inclui suporte à inteerface do usuário para esses idiomas. Você pode suportar instalação sob demanda de idiomas adicionais depois da implantação usando os pacotes do instalador do Windows.
Observação Implantar e manter uma imagem global simples pode melhorar significantemente a eficiência da TI e ajudar a diminuir os custos. Permite a implantação e teste de aplicativo com base em código simples, simplifica o lançamento de hotfixes e patches de serviços e reduz as chamadas de suporte de usuário final. Você pode personalizar ainda mais a implantação do Windows 7 criando compilações de país/região personalizadas para as necessidades internacionais e multilíngues de cada escritório. Para cada escritório ou local, você pode criar uma 104
compilação de país/região que especifica a versão do idioma apropriada do sistema operacional, o idioma de entrada padrão e os padrões e formatos apropriados para aquele país/aquela região. Você também pode incluir as versões de idioma licalizadas apropriadas de aplicativos de terceiros, como utilitários de verificação de vírus, bem como outros drivers e aplicativos especializados exigidos pelo escritório. Por exemplo, você deve criar as seguintes quatro compilações exclusivas de país/região para América do Norte: •
•
•
Duas compilações canadenses para escritórios de Vancouver, B.C. e Montreal para implantar a versão em inglês internacional do Windows 7, com inglês e francês (Canadá) definido como os idiomas de entrada padrão e Canadá definido como padrão para formatos e padrões. (Inglês é o idioma de entrada padrão em Vancouver e francês é o idioma de entrada padrão em Montreal). Uma compilação inglês dos EUA para que os usuários em Seattle e outros locais dos EUA possam instalar a versão em Inglês Internacional do Windows 7, com inglês (EUA) definifo como o idioma de entrada padrão e suporte opcional para a coleção de Idiomas do Leste Asiático, que inclui arquivos de fonte, vinculação de fonte e configurações de registro necessárias para suporte ao chinês simplificado e tradicional, japonês e coreano. Uma compilação de Boston que instala a compilação de inglês dos EUA junto com suporte opcional para a Coleção de Idiomas do Leste Asiático.
A compilação de país/regiao para o escritório de Tókio, pelo contrário, deve instalar a versão de idioma localizado japonesa do Windows 7, bem como as versões de idioma localizado japonês de verificação de vírus e aplicativos de conta. Usando o Windows 7, as organizações globais pode ter uma abordagem híbrida. Elas podem combinar uma imagem central global simples, que contém o sistema operacional básico e aplicativos, com imagens principais de país/região que incluem aplicativos de idiomas localizados, configurações e assim por diante. O departamento de TI global desenvolve e mantém o núcleo global e países/regiões individuais são responsáveis pode compilar e manter seus próprios núcelos de país/região. Escritórios locais também podem adicionar uma imagem de núcleo de personalização de camada para modelos ou estacionários de personalização, drivers de impressoras e assim por diante.
2.2 - Estratégia de Implantação A Microsoft® recomenda algumas estratégias-alvo para implantar o sistema operacional do Windows® 7. Essas estratégias variam da configuração manual do software do Windows 7 em poucos computadores ao uso de ferramentas de automatização e tecnologias para implantar o software em milhares do computadores. A seguir, alguns detalhes sobre as estratégias de implantação recomendadas. Depois que escolher uma estratégia, você pode ler as informações detalhadas sobre isso mais adiante nesse documento. 105
•
•
•
•
High Touch com Retail Media. Uma implantação prática e manual em que você instala o sistema operacional do Windows em cada computador cliente usando o DVD de instalação e configura manualmente cada computador. Essa estratégia pode economizar tempo e dinheiro da organização ajudando você a automatizar porções no processo de instalação. Recomendamos essa estratégia se sua organização não possui equipe de TI dedicada e se possuir uma rede pequena e não gerenciada com menos de 100 computadores clientes. High Touch com Imagem Padrão. Essa estratégia é semelhante à anterior, mas ela usa uma imagem de sistema operacional que inclcui suas personalizações e configurações do aplicativo. Recomendamos essa estratégia se sua organização possui pelo menos um profissional de TI (com ou sem experiência em implantação) na equipe e uma rede pequena ou distribuída com 100-200 computadores clientes. Lite-Touch, Implantação de Alto-Volume. Essa estratégia exige interação limitada durante a implantação. A interação ocorre no começo da instalação, mas o restante do processo é automatizado. Recomendamos essa estratégia se sua organização possui uma equipe de TI dedicada e possui uma rede gerenciada com 200-500 computadores clientes. Apesar de a experiência em implantação não ser necessária, ela é benéfica para usar essa estratégia. Zero-Touch, Implantação de Alto-Volume. Essa estratégia não exige interação durante a implantação. O processo é totalmente automatizado no Gerenciador de Configurações 2007 R2. Recomendamos essa estratégia se sua organização de TI possui expecialistas em implantação, rede e produtos do Gerenciador de Configurações 2007 R2 e se possui uma rede gerenciada com 500 ou mais computadores clientes.
2.2.1 – High Touch com Retail Media O High Touch com a estratégia de Retail Media é para pequenas organizações que não possuem equipe de tecnologia da Informação (TI) ou possuem membros da equipe de TI sem experiência de implantação. Eles possuem menos de 100 computadores clientes e redes pequenas e não gerenciadas com locais distribuídos. Normalmente, pequenas organizações instalam manualmente o software do Windows de retail media, instalam manualmente aplicativos de suas mídias e depois configuram manualmente o computador cliente para se adequar a suas necessidades. Investir em uma solução de implantação totalmente automatizada geralmente está além dos meios de pequenas organizações por causa do conhecimento técnico e do 106
investimento em tempo que seria exigido ela equipe de TI. Automatizar instalações do Windows de retail media pode ajudar a simplificar e criar um processo de instalação mais reproduzível. Essa estratégia funciona bem em pequenas organizações, pois não exige um investimento significante para suportar uma tarefa que não é frequente, o que permite que o tempo dos proprietários dos negócios seja concentrado em satisfazer os clientes em vez de em instalar um sistema operacional. Quando pequenas organizações solicitam novos computadores clientes, seus fabricantes originais do equipamento (OEMs) e parceiros (empresas que ajudam as organizações a adotar e usar a tecnologia) geralmente constroem esses computadores para solicitar. A organização recebe os novos computadores com o sistema operacional já instalado. Portanto, implantar um software em novos computadores não é um processo que muitas pequenas empresas precisam realizar, elas simplesmente desembalam o computador, ligam e o conectam a uma rede. Muitas pequenas empresas não querem comprar novos computadores, mas gostariam de descobrir os benefícios do sistema operacional do Windows 7. Por exemplo, nesse cenário, pequenas organizações podem atualizar ou fazer o upgrade facilmente os computadores atuais para o Windows 7. (Atualizar envolve instalar uma cópia limpa do sistema operacional sem manter os aplicativos ou configurações, enquanto fazer o upgrade mantém os aplicativos e configurações). Para atualizar ou fazer o upgrade de um sistema operacional, elas geralmente executam o programa Setup do retail media e atendem a cada solicitação. Esse processo é repetitivo em pequenos escritórios, cyber cafés e ao desenvolver e testar um software. Se esse for seu processo atual, você pode economizar tempo e esforço e fornecer uma saída mais reproduzível usando um arquivo Unattend.xml com a Instalação do Windows para automatizar a instalação. O programa de Instalação do Windows ajuda você na automatização do processo de instalação da seguinte maneira: •
•
•
•
Particionando o disco rígido. Você pode criar e formatar uma partição ou usar um modelo padrão. Instalando drivers de dispositivos. Você pode adicionar drivers de dispositivos durante a instalação. Isso garante que os computadores estarão prontos para usar logo após a instalação do sistema operacional do Windows. Instalando aplicativos. Adicionar aplicativos durante a instalação é simples e uma instalação silenciosa ajuda a criar um processo de implantação fácil e reproduzível. Aplicando atualizações. Algumas atualizações devem ser instaladas durante a implantação para garantir que os computadores iniciam no nível mais alto de segurança.
107
•
•
•
Configurando definições. Você pode personalizar centenas de configurações durante a implantação, tudo, desde o nome do computador até a página inicial do Windows Internet Explorer®. Ativando ou desativando recursos. Você pode adicionar ou remover fácil e rapidamente recursos do Windows para criar uma instalação completamente personalizada. Suprimindo a interface do usuário da Instalação. Suprimir a interface do usuário ajuda a limitar a interação de usuários com o programa de Instalação, minimiza erros de usuários e permite que as organizações usem menos recursos que exigem habilidade para instalar o sistema operacional.
O arquivo de resposta é o componente que permite que pequenas organizações realizar scripts do Windows 7. Arquivos de resposta são arquivos XML que contêm definições que configuram o Windows 7 durante a instalação. As definições incluem o nome do computador, o nome da organização, o fuso horário, nome do grupo de trabalho, etc. Você usa o Gerenciador de Imagem de Sistema do Windows (Windows SIM) para criar arquivo de resposta, que normalmente possuem o nome de arquivo Unattend.xml . Além disso, sites da Web que não são da Microsoft estão disponíveis para criar arquivos Unattend.xml sem instalar ou usar o Windows SIM. Requisitos da Estratégia
Os seguintes elementos são necessários para usar o High Touch com a estratégia Retail Media: •
•
•
Retail media do Windows 7 Windows SIM para o Kit de Instalação Automatizada do Windows (Windows AIK) Um dispositivo de armazenamento removível, como uma unidade flash USB, para armazenar o arquivo Unattend.xml
Vários sites da Web que não são da Microsoft permitem que você crie um arquivo Unattend.xml sem usar o Windows AIK. Esses sites da Web são substitutos úteis para criar um arquivo Unattend.xml fácil e rapidamente. No entanto, recomendamos que você não forneça informações confidenciais nesses sites da Web. Em vez disso, recomendamos que você insira símbolos e depois substitua os valores reais no arquivo Unattend.xml depois que fizer download para seu computador. Por exemplo, em vez de fornecer a chave do produto para um site da Web que não seja da Microsoft, digite XXXXX-XXXXX-XXXXX-XXXXX-XXXX no site da Web. Depois, abra um editor de texto (como o bloco de notas), copie o arquivo Unattend.xml que você fez download e substitua a chave do produto real pelos valores nos símbolos.
108
A estratégia de High Touch com Retail Media possui as seguintes limitações: •
•
Implantando muitos computadores clientes. Os clientes que queiram implantar o sistema operacional do Windows a diversos computadores, ao mesmo computador repetidamente (comum em cyber cafés e distribuidores), ou a computadores que possuem configurações totalmente diferentes deve tentar usar a estratégia High Touch com Imagem Padrão da estratégia de Lite-Touch, Implantação de Alto-Volume como alternativa. As técnicas que a estratégia de Implantação Lite-Touch, High-Volume usa se ajustam mais para implantar diversas configurações usando uma única imagem do sistema operacional. Implantando várias versões do Windows. A estratégia de High Touch com Retail Media é benéfica para clientes com um pequeno número de computadores clientes e uma única versão do sistema operacional do Windows (por exemplo, o Windows 7). Usar um arquivo Unattend.xml com diversas versões do Windows não é suportado porque cada versão do Windows pode apresentar diferentes recursos e configurações. Portanto, se você estiver executando diversas versões do Windows, você deve criar um arquivo Unattend.xml para cada versão.
A tabela a seguir descreve o processo de implantação de alto nível para uso da estratégia de High Touch com Retail Media. A coluna da esquerda descreve a etapa e a da direita contém links para informações detalhadas sobre a conclusão dessa etapa.
Mais informações sobre o Windows 7
Etapa
Instruções: Criar um Arquivo de Resposta para Computadores com base em BIOS (essa página pode estar em inglês) Trabalhar com Arquivos de Resposta no Windows SIM Práticas Recomendadas para a Criação de Arquivos de Resposta
•
1. Crie um arquivo Unattend.xml para a versão do Windows que você está implantando usando o Windows SIM ou um site da Web não Microsoft.
•
•
2. Se você usou um site da Web que não seja da Microsoft para criar um arquivo Unattend.xml, copie-o no bloco de notas e edite suas informações pessoais (por exemplo, chave ou senha do produto). 3. Copie o arquivo Unattend.xml para seu dispositivo de armazenamento removível. O programa de Instalação do Windows procura por esse arquivo em diversos locais, mas
•
Configurações para Usar em uma Instalação Autônoma
Métodos para Executar Instalação do Windows
a
109
armazená-lo em uma unidade flash USB torna isso mais fácil. 4. Insira o dispositivo de armazenamento removível no computador cliente ao qual você está implantando o Windows.
Nenhum
5. Como opção, se você estiver atualizando o computador com uma nova instalação, use a Transferência Fácil para salvar documentos dos usuários e configurações do computador (você os recuperará depois de atualizar o computador).
Passo a passo: Migração Básica do Windows para Profissionais de TI (essa página pode estar em inglês)
6. Execute um destes procedimentos: Atualizar. Execute o programa de Instalação iniciando o computador com o retail media do Windows na unidade de DVD. Quando for solicitado que pressione uma tecla para iniciar o computador usando o DVD, pressione a barra de espaço. Upgrade. Execute o programa de Instalação iniciando o computador usando o sistema operacional instalado atualmente e depois execute Setup.exe do retail media na unidade de DVD. •
•
Instruções: Implante o Windows Iniciando a Partir de um DVD (essa página pode estar em inglês) •
Métodos para Executar a Instalação do Windows •
7. Como opção, use a Transferência Fácil do Windows para recuperar documentos do usuário e configurações do computador. Essa etapa só é necessária se você atualizou o computador com uma nova instalação na etapa anterior.
Passo a passo: Migração Básica do Windows para Profissionais de TI (essa página pode estar em inglês)
8. Depois de instalar o Windows de um retail media, conclua a implantação instalando aplicativos e configurando o computador como necessário.
Nenhum
2.2.2 - High Touch com Imagem Padrão A estratégia de High Touch com Imagem Padrão é para pequenas organizações que possuem ma TI generalizada na equipe e que geralmente usem parceiros para ajudálas com a adoção da tecnologia. Pequenas organizações que usam essa estratégia geralmente possuem 100-200 computadores clientes com redes pequenas e não gerenciadas em locais distribuídos. Normalmente, essas organizações instalam manualmente o Windows de retail media o da mídia VL, instalam manualmente aplicativos de suas mídias e depois configuram manualmente os computadores para se adequar a suas necessidades. Os 110
profissionais de TI começam a usar arquivos de resposta para automatizar instalações do Windows, uma técnica que a estratégia de High Touch com Retail Media recomenda. Investir em uma infraestrutura de implantação principal fornece retornos limitados para uma pequena organização, mas personalizar e implantar uma imagem padrão pode ajudar essas organizações a economizar tempo e dinheiro tornando a implantação mais rápida e mais consistente com menos problemas. Além disso, as organizações podem começar a aproveitar as soluções da Microsoft, que as ajuda na transição para uma automação maior conforme elas crescem. Como a estratégia de High Touch com Retail Media, essa estratégia recomenda uma instalação high-touch, mas usa uma imagem de configuração padrão em vez de a imagem retail. Essa estratégia funciona bem em organizações com mais equipe técnica de TI e para 100-200 computadores clientes. Ela pode fornecer uma implementação mais rápida com menos problemas sem exigir um grande investimento para suportar uma tarefa não muito frequente. Ao instalar o sistema operacional do Windows 7 em pequenas organizações, os usuários executam o programa de Instalação da retail media ou da mídia VL e respondem a cada solicitação. O processo é repetitivo, problemático e ineficiente. Os administradores repetem as mesmas etapas do manual, o que leva a configurações inconsistentes que nem sempre funcionam corretamente. As pequenas organizações podem criar um processo de implantação mais eficiente usando o programa de Instalação do Windows. Ele suporta a personalização e instalação de uma imagem padrão, que é um instantâneo de um computador que você configurou com as configurações e aplicativos. As organizações podem criar imagens padrão que incluem configurações, drivers de dispositivos, aplicativos e assim por diante. Como recomendado pela estratégia de High Touch com Retail Media, esse processo também ajuda a automatizar a instalação, permitindo que os profissionais de TI ignorem a interação com o programa de Instalação durante a instalação. Depois de criar uma imagem padrão, a organização usa o programa de Instalação do Windows para atualizar computadores clientes com a nova imagem em vez de usar a imagem de retail ou VL que a Microsoft fornece. Usar uma imagem personalizada oferece os seguintes benefícios: •
•
• •
Menos problemas e conflitos de suporte reduzidos porque as configurações são consistentes em todos os computadores clientes. Implantação rápida, porque as imagens incluem configurações, aplicativos e assim por diante. Validação da implantação e tempo de teste reduzidos. Muitas pessoas atualizam para a imagem padrão, que pode ser realizada offline sem ter que instalar, personalizar e recapturar a imagem.
Além disso, a estratégia de High Touch com Imagem Padrão permite que pequenas organizações ofereçam aos fabricantes originais do equipamento (OEM) essas imagens ao solicitar novos computadores clientes. Isso permite que elas recebam novos computadores com suas imagens personalizadas já instaladas. Portanto, implantar em novos computadores não é um processo que muitas pequenas empresas precisam realizar, elas simplesmente desembalam o computador, ligam e o conectam a uma rede. Embora essa estratégia se concentre em atualizar computadores clientes existente com 111
uma imagem padrão, você pode solicitar ao seu OEM que ele use a imagem em novos computadores clientes para economizar tempo e dinheiro. Os seguintes elementos são necessários para usar a estratégia High Touch com Imagem Padrão: • • •
• •
Retail Media ou VL do Windows fornecido pela Microsoft Windows AIK (Kit de Instalação Automatizada do Windows) Dispositivo de armazenamento removivel, como uma unidade flash USB, de qual instalar a imagem padrão Computador de referência em que será criada e personalizada a imagem matriz Opcionalmente, Kit de Ferramentas de Compatibilidade de Aplicativos (ACT)
A estratégia de High Touch com Imagem Padrão possui limitações que podem levar as pequenas organizações a considerar a implantação da rede com a estratégia de Implantação Lite-Touch, Alto-Volume. Se alguns dos seguintes problemas descreve sua organização, tente usar a estratégia Lite-Touch, Implantação de Alto-Volume: •
•
•
A estratégia não escalona. A estratégia de High Touch com Imagem Padrão não escalona para organizações maiores porque ela exige mídias (como uma unidade flash USB) e um técnico para instalar o software do Windows em computadores clientes. As organizações maiores podem considerar o uso da estratégia de Implantação Lite-Touch, Alto-Volume para automatizar mais a instalação e fornecer habilidades interativas a usuários. A estratégia funciona melhor com uma imagem. Essa estratégia funciona bem em pequenas organizações com aplicativos e requisitos de configuração semelhantes na maioria dos computadores clientes. As organizações que exigem diversas imagens (por exemplo, cada departamento exige um aplicativo completamente diferente) devem considerar uma estratégia de Implantação LiteTouch, Alto-Volume que usa imagens pequenas. Imagens pequenas são imagens do Windows com pouca ou nenhuma personalização. Depois de instalar imagens pequenas, você pode instalar aplicativos, drivers de dispositivos e atualizações manualmente ou automaticamente em cada computador. A estratégia funciona melhor quando as alterações de imagens são feitas raramente. As restrições de licença limitam o número de vezes que você pode atualizar uma imagem à qual a Ferramenta de Preparação do Sistema (Syspreo) foi aplicado inline. Para melhores resultados, você deve iniciar a criação da imagem e atualizar o processo instalando o sistema operacional do Windowsa partir da retail media ou mídia VL. As Organizações que atualizam suas imagens frequentemente devem considerar o uso do Microsoft Deployment Toolkit 112
(MDT) 2010, que permite que você automatize o processo da criação da imagem padrão. Para obter mais informações, consulta a estratégia Lite-Touch, Implantação de Alto-Volume. •
A atualização não é suportada. Ao implantar uma imagem padrão, atualizar uma instalação do Windows existente e preservar aplicativos dos usuários não são suportados. Em vez disso, você deve atualizar computadores com a nova instalação do Eindows e depois migre os arquivos e configurações. Se você usar essa estratégia, recomendamos o uso da Trasferência Fácil do Windows para migrar usuários e configurações. Como opção, você pode substituir a Transferência Fácil do Windows pela Ferramenta de Migração de Estado do Usuário.
Criar a imagem padrão para a estratégia de High Touch com Imagem Padrão é um processo online, que significa que o pessoal de TI em geral ou os parceiros das pequenas organizações instalam o sistema operacional do Windows em um computador cliente de referência, o personalizam conforme necessário instalando aplicativos, drivers de dispositivos e atualizações e depois capturam uma imagem. Depois de capturar a imagem personalizada, a organização pode implantar a imagem aos seus computadores clientes. Além disso, pequenas organizações podemm manter imagens offline, que permitem a elas atualizar facilmente suas imagens com novas atualizações do sistema operacional e drivers de dispositivos assim que se tornarem disponíveis. A tabela a seguir descreve o processo de implantação de alto nível para uso da estratégia de High Touch com Imagem Padrão. A coluna da esquerda descreve a etapa e a da direita contém links para informações detalhadas sobre a conclusão dessa etapa. Pelo fato de cada imagem suportar apenas uma arquitetura simples (x86 ou x84), realize as etapas na tabela para cada sistema operacional usado na organização.
Etapa
Mais informações
1. Como opção, use o ACT para priorizar os Kit de Ferramentas de aplicativos da sua organização, determine o Compatibilidade de Aplicativos da status da compatibilidade e consolide Microsoft (ACT) Versão 5.5 aplicativos. O ACT pode ajudar a triagem das organizações e remedar aplicativos que possuem problemas de compatibilidade. 2. Instale o Windows no computador cliente de referência da Retail media ou VL. Recomendamos que você use um arquivo de resposta (Unattend.xml) para instalar o Windows no computador de referência para tornar esse processo consistente e reproduzível.
•
Instruções: Criar um Arquivo de Resposta para Computadores com base em BIOS (essa página pode estar em inglês)
113
•
•
•
•
Trabalhar com Arquivos de Resposta Práticas Recomendadas para a Criação de Arquivos de Resposta Instruções: Implante o Windows Iniciando a Partir de um DVD (essa página pode estar em inglês) Métodos para Executar Instalação do Windows
a
3. Em computadores clientes mestre, instale Nenhum qualquer aplicativo, driver de dispositivo e atualização que deseja para incluir na imagem-mestre. Além disso, configure as definições que deseja incluir na imagemmestre. 4. No computador cliente mestre, execute o Sysprep para generalizar a imagem e depois desligue o computador. Alguns aplicativos não são acomodados pelo Sysprep e é importante que vocÊ os teste completamente. Se houver problemas com o Sysprep, recomendamos que você automatize a instalação desses aplicativos no momento da implantação usando um arquivo Unattend.xml. 5. Inicie o computador cliente mestre usando o Ambiente de Pré-instalação do Windows (Windows PE) e depois capture uma imagem dele usando ImageX. Copie a imagem para um dispositivo de armazenamento removível, como uma unidade flash USB ou um compartilhamento de rede.
•
•
Referência Técnica do Sysprep Instruções: Implante uma Imagem usando a Instalação do Windows (essa página pode estar em inglês)
•
Trabalhar com o Windows PE
•
Capturar Imagens
•
Referência Técnica do ImageX
•
Instruções: Implante uma Imagem usando a Instalação do Windows (essa página pode
114
estar em inglês) 6. Prepare a mídia para instalar o sistema operacional do Windows. Execute um destes procedimentos: Crie um arquivo de resposta (Unattend.xml) que aponte para a imagem que você copiou para o dispositivo de armazenamento removível ou compartilhamento de rede na etapa anterior. Crie uma nova mídia de instalação e substitua o arquivo Install.wim na mídia pelo arquivo que você capturou na etapa anterior.
•
•
•
•
•
Instruções: Criar um Arquivo de Resposta para Computadores com base em BIOS (essa página pode estar em inglês) Trabalhar com Arquivos de Resposta Práticas Recomendadas para a Criação de Arquivos de Resposta Práticas Recomendadas para Implantação da Imagem Instruções: Implante uma Imagem usando a Instalação do Windows (essa página pode estar em inglês)
7. Como opção, se você estiver atualizando o Passo a passo: Migração Básica do computador com uma nova instalação, use a Windows para Profissionais de TI Transferência Fácil para salvar documentos (essa página pode estar em inglês) dos usuários e configurações do computador (você os recuperará depois de atualizar o computador). 8. Instale a imagem padrão em cada computador cliente. Se você criou uma nova mídia de instalação, inicie o computador usando a mídia, ou execute Setup.exe da instalação do Windows anterior. Por outro lado, execute o programa de Instalação usando o arquivo de resposta criado anteriormente.
•
•
Métodos para Executar Instalação do Windows
a
Opções de Linha de Comando da Instalação do Windows
9. Como opção, use a Transferência Fácil do Passo a passo: Migração Básica do Windows para recuperar documentos do Windows para Profissionais de TI usuário e configurações do computador. (essa página pode estar em inglês) 115
10. Usuários da retail media devem ativar Ativação do Volume do Windows seus computadores online. Usando o Windows AIK, você pode fazer o atendimento offline de imagens personalizadas, o que significa que você pode atualizar drivers de dispositivos e atualizações sem instalar, configurar e recapturar a imagem. O atendimento offline torna mais fácil manter sua imagem padrão atualizada. Você também pode fazer o atendimento online repetindo o processo descrito por essa estratégia.
2.2.3 – Lite-Touch, Implantação de Alto-Volume A estratégia de Implantação Lite Touch, Alto-Volume é para organizações de médio porte que possuem a equipe de TI e às vezes usam parceiros para ajudá-las na adoção da tecnologia. As organizações que usam essa estratégia possuem 200-500 computadores clientes e pelo menos um local com mais de 25 usuários. Elas geralmente possuem redes gerenciadas em locais distribuídos que executam o Windows Server. As organizações de médio porte geralmente montam suas próprias soluções de implantação usando as ferramentas e tecnologias que a Microsoft fornece para o sistema operacional do Windows. Essas soluções normalmente incluem combinações de arquivos de resposta, scripts o Kit de Instalação Automatizada do Windows (Windows AIK) e assim por diante. Essa organizações podem se beneficiar do Microsoft Deployment Toolkit (MDT) 2010, que é o acelerador da solução que está disponível gratuitamente. O MDT 2010 contém milhares de linhas de códigos que foram desenvolvidas pelos funcionários, parceiros e clientes da Microsoft. Você pode usar esse código para fornecer uma estrutura de implantação para os sistemas operacionais Windows, que permitem que você se concentre em seus negócios e não na programação. Os clientes podem usar o MDT 2010 para Implantação da Instalação Lite-Touch ou Zero-Touch. Para organizações de médio porte que não possuem a infraestrutura necessária para implantações Zero-Touch, a implantação Lite-Touch é a melhor escolha. Usar o MDT 2010 para uma implantação Lite-Touch não exige uma infraestrutura maior do que as organizações de médio porte já possuem (um servidor de arquivos é a unica exigência de infraestrutura). Usar o MDT 2010 para a estratégia de Implantação Lite-Touch, Alto-Volume facilita a implantação e reduz os custos com suporte fornecendo uma configuração mais consistente com menos chamadas de suporte, tudo sem exigir um investimento significante na infraestrutua. Os benefícios de usar o MDT 2010 com a estrutura de Implantação Lite-Touch, Alto-Volume incluem: •
•
•
menos problemas, porque as configurações são consistentes em todos os
computadores clientes. Implantação mais fácil, porque o MDT 2010 cuida da instalação do aplicativo, do driver de dispositivo e da atualização. Manutenção facilitada, poque é fácil atualizar aplicativos, drivers de dispositivos e atualizações. 116
O MDT 2010 suporta todos os tamanhos de imagens. Imagens pequenas significa implantar uma imagem do Windows com pouca ou nenhuma personalização e depois instalação manual ou automática de aplicativos, drivers de dispositivos e atualizações em cada computador. Imagem grande significa personalizar uma imagem com aplicativos, drivers de dispositivos e atualizações antes de implantá-la. Recomendamos o uso de imagens pequenas porque elas ajudam a reduzir o tempo e o custo de manutenção. O MDT 2010 torna o uso de imagens pequenas com a estratégia de Implantação Lite-Touch, Alto-Volume fácil: Na verdade, essa estratégia usa imagens pequenas. Os seguintes elementos são necessários para usar a estratégia de Implantação LiteTouch, Alto-Volume: • • • • • • • • • •
Microsoft Assessment and Planning Toolkit Mídia de Volume Licenciado (VL) fornecida pela Microsoft MDT 2010 Ferramenta de Migração de Estado do Usuário do Windows (USMT) Kit de Ferramentas de Compatibilidade de Aplicativos (ACT) Windows AIK Servidor de Arquivos para armazenar o compartilhamento da distribuição Um dos seguintes: Mídia com a qual iniciar os computadores clientes durante a implantação Um servidor configurado com a função de Serviços de Implantação do Windows
A estratégia de Implantação Lite-Touch, Alto-Volume não possui limitações significantes para organizações de médio porte, embora ela exija interação limitada no começo da instalação. Como as organizações de médio porte se desenvolvem, no entanto, elas podem facilmente estender o MDT 2010 para fornecer uma experiência quase zero-touch ao fazer nada mais do que configurar um banco de dados e implantar a função de Serviços de Implantação do Windows. Eliminar a interação do usuário com o processo de implantação automatizando a instalação do aplicativo e a configuração do sistema operacional ajuda a reduzir os custos com implantação e suporte. A tabela a seguir descreve o processo de implantação de alto nível para uso da estratégia de Implantação Lite-Touch, Alto-Volume. A coluna da esquerda descreve a etapa e a da direita contém links para informações detalhadas sobre a conclusão dessa etapa.
Etapa
Mais informações
1. Se sua organização está implantando uma nova Microsoft Assessment and versão do Windows, determine a preparação da Planning Toolkit organização para a nova versão usando Microsoft Assessment and Planning Toolkit. 2. Use o ACT para priorizar os aplicativos da organização, determine o status da compatibilidade e consolide aplicativos. O ACT pode ajudar a triagem das organizações e remedar aplicativos que possuem problemas de compatibilidade.
Kit de Ferramentas de Compatibilidade de Aplicativos da Microsoft (ACT) Versão 5.5 117
3. Prepare a infraestrutura para o MDT 2010 criando um servidor de arquivos para o recurso compartilhado de distribuição. Como alternativa, instale e configure a função de Serviços de Implantação do Windows no Windows Server 2008 R2. Iniciar os computadores clientes usando os Serviços de Implantação do Windows é a maneira mais fácil de iniciar uma implantação de rede. 4. Instale o MDT 2010 no servidor de arquivos junto com componentes adicionais, incluindo o USMT.
• •
•
•
introdução Preparando o Servidor dos Serviços de Implantação do Windows
Preparando o Ambiente da Implantação Microsoft Deployment Preparing para LTI Tools
5. Crie um compartilhamento de distribuição que Guia de Imagem do Microsoft contenha sistemas operacionais, aplicativos, drivers Deployment Workbench de dispositivos e atualizações. 6. No MDT 2010, crie e personalize uma sequência Modificando Sequências de de tarefas para cada configuração que deseja Tarefas implantar. As sequências de tarefas possuem instruções para instalação e configuração do Windows. 7. No MDT 2010, crie e atualize um ponto de Preparando o Ambiente da implantação. Pontos de implantação descrevem Implantação como conectar os arquivos no recurso compartilhado de distribuição (ou uma cópia desses arquivos). Para personalizar o ponto de implantação, você pode especificar para quais extensões os usuários interagem com o MDT 2010 durante a implantação. Atualizar um ponto de implantação cria imagens do Windows PE que você usa para iniciar computadores clientes durante a implantação. 8. Crie um dispositivo para iniciar a imagem do Windows PE preparando um dispositivo de armazenamento removível com as imagens criadas pelo MDT 2010 quando você atualizar um ponto de implantação. Como alternativa, adicione a imagem do Windows PE aos Serviços de Implantação do Windows, que torna a iniciação da imagem rápida e fácil durante a implantação.
Instruções: Crie um Disco RAM inicializável do Windows PE (essa página pode estar em inglês)
9. Inicie cada computador cliente usando a imagem Executando o Assistente de do Windows PE e depois siga as intruções para Implantação do Windows. fazer logon no recurso compartilhado de distribuição, escolha uma sequência de tarefas e instale o Windows. 118
2.2.4 - Zero-Touch, Implantação de Alto-Volume A estratégia de implantação de alto volume, Zero-Touch foi desenvolvida para grandes organizações com uma equipe de TI com profissionais experientes em implantação, rede e Gerenciador de Configurações 2007 R2. As organizações que usam essa estratégia geralmente possuem mais de 500 computadores clientes e pelo menos um local com mais de 25 usuários. Elas possuem redes gerenciadas com base no Windows Server. O Microsoft Deployment Toolkit (MDT) 2010 é um acelerador de soluções da Microsoft disponível gratuitamente para implantação de sistemas operacionais Windows. Com base na experiência de funcionários, parceiros e clientes da Microsoft, o MDT 2010 contém milhares de linhas de códigos, que fornecem uma estrutura de implantação para que clientes possam se concentrar em seus negócios, e não na programação. Integrar o MDT 2010 com o Gerenciador de Configurações 2007 R2 ajuda grandes organizações a usar essa estrutura para implementar mais facilmente a estratégia Zero-Touch, Implantação de Alto-volume. Os clientes podem usar o MDT 2010 para Implantação da Instalação Lite-Touch ou da Instalação Zero-Touch. A estratégia Zero-Touch, Implantação de Alto-Volume é apropriada para grandes organizações que possuem a infraestrutura necessária (Gerenciador de Configurações 2007 R2, Serviços de Domínio do Active Directory® (AD DS) e assim por diante). Se sua organização não possui a infraestrutura necessária, use a estratégia de Lite-Touch, Implantação de Alto-Volume. As organizações que atendem aos requisitos da estratégia de Implantação de Zero-Touch, Alto-Volume podem realizar economias significantes automatizando totalmente a implantação do Windows. Os benefícios de integrar o MDT 2010 com o Gerenciador de Configurações 2007 R2 na estratégia de Implantação de Zero-Touch, Alto-Volume incluem: •
•
•
Implantação facilitada, porque a instalação é totalmente automatizada sem interação. Custos de suporte mais baixos, porque as configurações são consistentes em todos os computadores clientes. Manutenção facilitada, porque o Gerenciador de Configurações 2007 R2 lida com aplicativos, drivers de dispositivos e atualizações.
O MDT 2010 suporta todos os tamanhos de imagens. A imagem pequena significa a instalação da imagem do Windows que a Microsoft fornece sem personalizá-la (ou a instalação de uma imagem levemente personalizada) e depois o uso da automatização para instalar aplicativos, drivers de dispositivos e atualizações em cada computador cliente durante a implantação. Imagem grande significa personalizar uma imagem com aplicativos, drivers de dispositivos e atualizações antes de implantá-la. A Microsoft recomenda o uso de imagens pequenas, de forma que ajuda a reduzir o tempo e custo de manutenção. O MDT 2010 usa imagens pequenas com a estratégia de Implantação Zero-Touch, Alto-Volume simples: Na verdade, essa estratégia usa imagens pequenas.
119
Os seguintes elementos são necessários para usar a estratégia de Implantação Zero-Touch, Alto-Volume: • • • • • • •
Microsoft Assessment and Planning Toolkit Mídia de Volume Licenciado (VL) fornecida pela Microsoft MDT 2010 Ferramenta de Migração de Estado do Usuário do Windows (USMT) Kit de Ferramentas de Compatibilidade de Aplicativos (ACT) Windows AIK (Kit de Instalação Automatizada do Windows) Gerenciador de Configuração 2007 R2 e seus pré-requisitos
As limitações mais importantes da estratégia de Implantação Zero-Touch, AltoVolume são a infraestrutura e o nível de habilidade necessários para implantá-la. Essa estratégia tem como base a integração do MDT 2010 e o Gerenciador de configuração 2007 R2. O MDT 2010 pode ser simples, mas o Gerenciador de Configuração 2010 R2 exige uma infraestrutura significante. Além disso, usar o Gerenciador de Configuração 2007 R2 para implantar o Windows exige experiência em implantação, rede e no software do Gerenciador de Configuração 2007 R2. O treinamento também é necessário. Essas limitações são compensadas pelos custos reduzidos realizados pela implantação totalmente automatizada.
120
3 - COMPATIBILIDADE DE APLICATIVOS
Se você já trabalhou em um projeto de implantação de sistema operacional, você já sabe que a compatibilidade de aplicativos pode ser um dos mais sérios bloqueios. Se estiver trabalhando em um projeto de implantação de sistema operacional pela primeira vez, o escopo do trabalho necessário poderá ser uma surpresa. Mas, com um planejamento adequado, o projeto se torna facilmente gerenciável. É possível gerenciar a compatibilidade de aplicativos proativamente mantendo uma lista precisa de todos os programas em uso em sua organização, criando um “portfólio de aplicativos”. Tenha sua organização um ambiente gerenciado completo com aplicativos inventariados, uma equipe de gerenciamento de aplicativos dedicada e um laboratório de teste, ou esteja ela enfrentando o problema de compatibilidade de aplicativos pela primeira vez, você poderá achar difícil saber por onde começar. Este documento explica as etapas que devem ser executadas para se preparar para o teste e a avaliação da compatibilidade de aplicativos durante um projeto de implantação do sistema operacional Windows® 7. Embora as etapas neste documento se apliquem a uma implantação do Windows 7, os conceitos são aplicados ao gerenciamento do ciclo de vida do aplicativo.
3.1 - Entendendo a Compatibilidade de Aplicativos Com a introdução do recurso Controle de Conta de Usuário no Windows Vista, a Microsoft demonstrou o seu compromisso de capacitar as organizações a configurar os seus utilizadores com contas de usuário padrão da indústria, oferecendo assim uma configuração de área de trabalho com maior segurança e redução de custo total de operação (TCO). O Windows Vista inclui funcionalidades, tais como a capacidade para usuários padrão para alterar o fuso horário em viagens, que melhorar drasticamente a experiência de usuário de contas de usuários padrão. Windows 7 torna a experiência do usuário ainda melhor. Quando executado com contas de usuário padrão, as organizações também vai perceber a elasticidade melhorada contra software mal-intencionado, um melhor controle sobre o que os usuários instalem em seus computadores, e um maior grau de gestão sobre o que os usuários podem configurar em seus computadores (incluindo as configurações de segurança). Antes do Windows Vista, muitos desenvolvedores tem vindo a desenvolver software que os utilizadores posicionado como membros do grupo Administradores e, inadvertidamente, o software necessário privilégios de administrador. Quando foram retirados os privilégios de administrador para usuários padrão no Windows Vista, o impacto de compatibilidade de aplicativos foi significativa. O Controle de Conta de Usuário oferece uma variedade de recursos para melhorar a compatibilidade de aplicativos, como arquivos e Virtualização do Registro e Detecção Intalação. Além disso, como a indústria continua a se mover para desktops de usuário padrão, muitos destes bugs de compatibilidade de aplicativos estão sendo abordados por vendedores de software independentes (ISVs) e fixado em seus produtos mais recentes. 121
é um dos muitos recursos projetados para aumentar a confiabilidade do Windows. Outra característica é o Windows Resource Protection (WRP), o que aumenta a estabilidade do sistema, previsibilidade e confiabilidade. salvaguardas WRP Windows recursos somente leitura, especificamente arquivos do sistema operacional, pastas e chaves de registro que não são configuráveis pelo design. WRP reforça esta garantia de segurança usando o Windows, especificando os descritores de segurança especial sobre o recurso. Qualquer processo, incluindo aquelas que funcionam como administrador ou do sistema, que não têm o direito de fazer alterações aos recursos WRP só podem ler e executar os recursos. O acesso completo aos recursos WRP é restrito a serviço Windows Installer de módulos. Controle de Conta de Usuário
Quando novas funcionalidades são adicionadas para aumentar a segurança do sistema operacional geralmente afetam as características de compatibilidade de aplicativos. Em muitos casos, isso ocorre porque o recurso é destinado a limitar o comportamento do malware, alterando o comportamento do sistema operacional ou uma tecnologia de plataforma de aplicações, tais como Internet Explorer ®. Como mencionado anteriormente, os aplicativos são construídos para utilizar uma grande variedade de funcionalidades da plataforma, e qualquer mudança tem o potencial para problemas de compatibilidade de aplicativos. As seguintes características reforçar a segurança do Windows 7 e representam avanços importantes: Modo Protegido do Internet Explorer. Incluído no Windows 7, o Internet Explorer 8 é executado em modo protegido, o que pode ajudar a proteger usuários contra ataques de executar o Internet Explorer processo com privilégios restritos muito. Modo Protegido reduz significativamente a capacidade de um ataque de escrever, alterar ou destruir dados sobre a máquina do usuário ou instalar código malicioso. Pode ajudar a proteger um usuário de um código malicioso se instala sem autorização. Este modo é o padrão para Internet Explorer 8, quando o Windows 7 está instalado. •
•
•
Internet Explorer 8 - Execução de Protecção de Dados (DEP) / NX. Internet Explorer 8 permitirá DEP / NX proteção quando executado em um sistema operacional com o Service Pack mais recente. Windows XP SP3, Windows Server 2003 SP3, Windows Vista SP1 e Windows Server 2008 tem todas as DEP / NX habilitada por padrão no Internet Explorer 8. Normalmente, qualquer aplicativo executado no Internet Explorer e não é compatível com o DEP / NX irá falhar na inicialização e não vai funcionar. Internet Explorer pode falhar no arranque, se add-ons não é compatível com o DEP / NX estão instalados. Isolamento de sessão 0. No Windows XP e versões anteriores do Windows, todos os serviços executados na mesma sessão como o primeiro usuário que fizer logon no console. Esta sessão é chamada de sessão 0. Execução de serviços e aplicativos do usuário em conjunto na sessão 0 representa um risco de segurança porque os serviços são executados com privilégios elevados e, portanto, são alvos de agentes maliciosos que estão procurando um meio de elevar seus níveis de privilégio própria. O Windows Vista e Windows 7 sistemas operacionais mitigar este risco de segurança, isolando os serviços na sessão 0 e 122
fazer Sessão 0 não-interativas. Neste caso, o sistema apenas processos e serviços executados na sessão 0. O primeiro usuário faz logon em uma sessão, e os usuários subseqüentes log para sessões posteriores. Esta abordagem significa que nunca serviços executados na mesma sessão como "usuários e aplicações são, portanto, ser protegidos de ataques que se originam no código do aplicativo. Algumas das características de desempenho que podem ter um impacto de compatibilidade de aplicativos incluem: •
•
Windows Vista e Windows 7 64 bits. Windows 7 apoia plenamente a processadores de arquitetura de 64 bits da AMD e da Intel. A versão de 64 bits do Windows 7 pode executar todos os aplicativos de 32 bits com a ajuda do emulador WOW64. No entanto, o kernel não suporta aplicativos de 16 bits, instaladores de 32 bits e drivers de modo kernel bit-32. Todos os drivers de 64 bits tem que ser assinado digitalmente para o Windows Vista e Windows Server 2008, edições de 64 bits. Os drivers não assinados não são suportados e não pode ser instalado em 64 bits do Windows Vista e Windows Server 2008.A verificação da assinatura digital é feito durante tanto tempo de instalação e carregar o driver. Rede: TCP / IP e Windows Filtering Platform. A pilha de rede foi completamente reescrito para o Windows Vista. Em vez do dual-stack modelo que existe no Windows XP (para suportar IPv4 e IPv6), a pilha de rede no Windows Vista implementa uma nova arquitetura em que há um único dos transportes e enquadramento camada IP que suporta múltiplas camadas. O novo sistema é modular e flexível e extensível. Embora todas as tentativas foram feitas para manter a compatibilidade de aplicativos com os aplicativos existentes que fazem interface com a pilha em várias camadas, no entanto, há mudanças (que são principalmente efeitos colaterais das melhorias) que podem causar problemas de compatibilidade de aplicativos potencial.
O Windows Display Driver Model (WDDM) introduziu um modelo completamente novo de display driver que melhora a estabilidade do driver de vídeo no Windows. Enquanto a maioria dos aplicativos de versões anteriores do Windows não deve ser impactado por WDDM, alguns riscos incluem: DX compatibilidade de jogos, resultando em DX run-time, motorista IHV ou núcleo gráfico pilha questões.
•
Mobile funcionalidade como atalho de teclado, ver clone, brilho e zoom, devido a rigorosas requisitos Advanced Configuration and Power Interface (ACPI).
•
Acessibilidade, os pedidos de ampliação de tela especificamente projetado pelo Windows XP, não vai funcionar no Windows Vista ou Windows Server 2008.
•
•
Low Level Binaries-New. Para melhorar a eficiência da engenharia e fundações para o trabalho futuro, a Microsoft mudou algumas funcionalidades de baixo 123
nível binários novos. Esta refatoração será possível para instalações futuras do Windows para fornecer subconjuntos de funcionalidades para reduzir a área de superfície (disco e requisitos de memória, serviços, ea superfície de ataque). Embora muitas das características mencionadas anteriormente são focalizados os fundamentos que permitem que aplicativos para trabalhar melhor, também há características que alteram a experiência real do usuário de Windows. Como alterar a forma como esses recursos usuários e aplicações interagem com o Windows, existe a possibilidade de problemas de compatibilidade de aplicativo associado. Algumas das melhorias para a experiência do usuário incluem: •
Biblioteca Arquivo Pasta documento que a substitui. As bibliotecas oferecem uma pasta como a experiência centralizado para armazenamento de arquivos, pesquisa e acesso em vários locais, tanto locais e remotos. As localizações padrão utilizado pelas caixas de diálogo de arquivo comum (por exemplo, abrir e salvar) foram alteradas a partir da pasta de documentos para a Biblioteca de Documentos. A interface do usuário está inalterado, mas o usuário será agora capaz de ver, navegar e pesquisar na Biblioteca de acordo com visões diferentes. Os arquivos são salvos no padrão de biblioteca local para salvar a menos que o usuário alterar o local padrão de salvamento ou escolhe uma pasta diferente.
•
User Interface - Sensibilização High DPI. O objetivo é incentivar os usuários finais para definir suas exposições a resolução nativa e uso de DPI em vez de tela de resolução para alterar o tamanho do texto exibido e imagens. Windows 7 pode auto-detectar e configurar um padrão de DPI em instalações limpas em computadores configurados pelos fabricantes de equipamentos originais (OEMs) usando as configurações de DPI. Existem ferramentas que você pode usar para ajudar aplicativos de design que são de alta DPI, a fim de garantir a resultados mais legíveis.
Dado o foco contínuo em avançar e modernizar o sistema operacional Windows, possui mais de tempo vai ser retirado do sistema operacional Windows. Em certos casos, não são os sucessores que melhor satisfaçam as necessidades dos desenvolvedores e usuários. Em outros casos, a tecnologia simplesmente chegar ao fim da vida e é substituído. Os seguintes componentes a partir de versões anteriores do Windows não estão presentes no Windows Vista ou Windows 7: •
Kernel-mode suporte de driver de impressora. Os drivers de impressora implementar dois componentes: interface com o usuário e os componentes de processamento. No Windows NT ® 4.0, os componentes de processamento tinha de ser executado no modo kernel. O Windows 2000 introduziu o modo de usuário de renderização de componentes; Windows XP é necessário para as instalações da impressora nova, mas apoiada modo de renderização de componentes de kernel para impressoras existentes. Começando com o Windows Vista, todos os drivers da impressora deve agora aplicar renderização de componentes em modo usuário. 124
•
•
•
•
•
•
•
•
Ajuda do Windows para aplicativos de 32 bits (WinHlp32.exe). Suporte para arquivos de ajuda do Windows (. Hlp) já não é fornecida pelo sistema operacional. Para visualizar a Ajuda do Windows arquivos no Windows Vista, Windows Server 2008 e Windows 7, você deve baixar e instalar o Windows Help do Microsoft Download Center. (A compatível com o Windows 7 download estará disponível em versão RTM do Windows 7.) HTML ajuda arquivos (. Chm) ainda são suportados. Extensões de servidor do Microsoft FrontPage. Suporte para extensões de servidor do FrontPage ® 2002 já não é fornecido com o sistema operacional. Para os clientes que ainda requerem o FrontPage Server Extensions (tais como companhias de web hosting), Ready to Run software tem uma parceria com a Microsoft para fornecer Internet Information Services (IIS) versões compatíveis do FrontPage Server Extensions 2002. Direct 3D Retained Mode (D3DRM). D3DRM, uma tecnologia introduzida em DirectX ® 3 para fornecer uma interface de programação de nível superior na parte superior do Direct 3D Immediate Mode, foi substituído início com o Windows Vista devido a preocupações de segurança. Web Publishing Wizard. A Web Publishing Wizard, um applet inicialmente concebido para simplificar a experiência de publicação na web, nunca vi nenhum adopção significativa e foi depreciado início com o Windows Vista. Windows NT LAN Manager provedor de suporte de segurança (NTLMSSSP) Service. O Serviço NTLMSSSP foi removido início com o Windows Vista e foi substituído por autenticação Kerberos. Network Dynamic Data Exchange (NetDDE). NetDDE foi removido do Windows XP, mas ainda estava disponível no CD de instalação. Por razões de segurança, começando com o Windows Vista e Windows Server 2008, Windows não suporta NetDDE em tudo. Microsoft identificação e autenticação gráfica (GINA). Para simplificar o processo de desenvolvimento de provedores de autenticação, bem como simplificar a combinação de provedores de autenticação (incluindo autenticação biométrica), Windows Vista substituiu o modelo GINA para provedores de autenticação e substituiu-o por um novo modelo de provedor de credenciais. O novo modelo reduz significativamente o esforço necessário para criar pacotes de autenticação. Galeria de aplicações Windows. Windows 7 despreza o utilitário Windows Mail e desativa a interface de programação de aplicativo CoStartOutlookExpress (API). Outras mudanças incluem Messenger, Address Book, Photo Gallery e Movie Maker. O e-mail APIs outros foram marcados como obsoletos e estão programados para a remoção de uma versão do Windows mais tarde. No entanto, publicamente documentados APIs que não estão marcados como deprecated ou obsoletas continuará a funcionar no Windows 7. Binários permanecerá em 'sistemas dos usuários, e continuará a ser acessível através da API, especificamente nos casos mencionados anteriormente. Além disso, os 125
usuários de e-mail do (.), Notícias (. Nws eml) e outros Windows Galeria de arquivos criados permanecerão no sistema. •
Windows reflexão Registro. O processo de registro de cópias reflexão Registro chaves e valores entre duas visões de registro, para mantê-los sincronizados. No anterior, as instalações de 64 bits do Windows, o processo refletia um subconjunto das chaves do Registro redirecionado entre os de 32 bits e 64 bitsviews. No entanto, esta implementação causou algumas inconsistências no estado do registro. COM como era conhecido consumidor apenas do recurso, COM foi atualizado para não mais depender da funcionalidade.
3.2 - Compreendendo a compatibilidade de aplicativos no seu ambiente Para os clientes em Windows XP, a transição para o Windows 7 vai lembrar o esforço necessário para mover suas aplicações para o Windows Vista. Para os clientes que se deslocam no Windows Vista para o Windows 7, o esforço necessário para testar e validar as candidaturas serão substancialmente reduzidos em relação ao movimento a partir do Windows XP para o Windows 7. A figura abaixo apresenta uma visão geral do processo de compatibilidade de aplicativos.
A compatibilidade de aplicativos pode ter um impacto de longo alcance em sua organização, mas que impacto pode ser reduzido significativamente com o planejamento adequado do seu projeto de compatibilidade de aplicativos. Sua migração para o Windows 7 é uma excelente oportunidade para analisar cuidadosamente as suas aplicações e entender sua importância estratégica no seu ambiente. Recolha de um inventário de aplicativos é o primeiro passo para entender o efeito das mudanças de compatibilidade de aplicativos para seu ambiente. A Microsoft oferece várias ferramentas para realizar inventários de ativos, incluindo o Microsoft Avaliação e Planejamento (MAP) Solution Accelerator e o Application Compatibility Toolkit (ACT). Para ambientes de grandes empresas, a Microsoft inclui funcionalidades de inventário de ativos no System Center Configuration Manager e do Asset Inventory Service no Microsoft Desktop Optimization Pack (MDOP). ACT é uma ferramenta da Microsoft compatibilidade principal do aplicativo. Ele possui uma característica inventário completo de aplicação, bem como a capacidade de categorizar os aplicativos. O Application Compatibility Toolkit (ACT) é o conjunto de ferramentas da Microsoft para testar e compreender a compatibilidade de aplicativos em seu aplicativo e está disponível no Microsoft Download Center. Ele permite que desenvolvedores de software, fornecedores de software independentes (ISVs) e profissionais de TI que 126
trabalham em um ambiente corporativo para determinar se seus aplicativos são compatíveis com uma nova versão do sistema operacional Windows. ACT também permite que esses indivíduos para determinar como uma atualização para a nova versão do impacto das suas aplicações. Você pode usar o ACT recursos para: Verifique a compatibilidade de um aplicativo com uma nova versão do sistema operacional Windows, inclusive determinando a sua avaliação de risco. Envolver-se na Comunidade ACT, incluindo a partilha de status do seu aplicativo de compatibilidade com outros usuários. Teste seus aplicativos e sites para a compatibilidade com os novos lançamentos e atualizações de segurança para o navegador Internet Explorer. •
•
•
ACT inclui muitas ferramentas e tecnologias que podem gerenciar o projeto de compatibilidade de uma empresa inteira. Nós vamos olhar para as ferramentas importantes para ajudar você a entender os problemas de compatibilidade potencial de aplicação em ambos os seus instaladores e as próprias aplicações. O MAP Solution Accelerator é mais utilizado para reunir um estoque inicial de fazer estimativas sobre o impacto imediato de uma implantação do Windows 7 na compatibilidade de aplicativos. Para obter mais informações sobre o MAP, visite: Microsoft Avaliação e Planejamento (MAP) Toolkit. MDOP também inclui o Asset Inventory Service. Para ambientes com milhares de aplicativos gerenciados, um projeto de compatibilidade de aplicativos é um excelente momento para reduzir o número de aplicações no ambiente, poupando assim os custos associados com a proliferação de aplicativos. Uma das maneiras mais fáceis de reduzir imediatamente os pedidos dentro de um ambiente é padronizar a versão de um aplicativo que é usado em uma organização. Muitas aplicações podem ser substituídas por outras aplicações que são mais recentes e implementar a mesma funcionalidade, esses aplicativos também podem ser removidos. Cada vez que um aplicativo é removido, o que corresponde e os seus custos de licenciamento de apoio são eliminated.During seu projeto de compatibilidade de aplicativos, compatibilidade de aplicativos pode ser analisado em seu portfólio inteiro. ACT 5.5 pode também ser sincronizado com um banco de dados central, incluindo compatibilidade vendedor, logotipo e avaliação da comunidade. Para as organizações menores, com menor aplicação de carteiras, o Windows Vista Compatibility Center pode ser utilizado para procurar informações sobre compatibilidade de aplicativos individuais. Esta informação está relacionada com a sincronização de dados em ACT. Cada aplicativo em sua organização provavelmente vai exigir algum esforço para testar a compatibilidade e, quando necessário, para corrigir um problema de compatibilidade de aplicativos. O processo de testes e correção é cíclico e uma interação entre as equipes testando e corrigindo bugs de compatibilidade de aplicativos é uma obrigação. Há muitos sócios que as organizações que oferecem este serviço. Organizações sem o conhecimento técnico para investigar os erros de 127
compatibilidade de aplicativos deve considerar fortemente a utilização de um desses serviços de parceiros. Ao investigar a compatibilidade de aplicativos para aplicativos de terceiros, é importante compreender a política de suporte do fornecedor para uma aplicação e para localizar uma versão compatível da aplicação. Isso garante que o aplicativo irá funcionar da forma prevista e que o apoio à candidatura está disponível. Para in-house aplicações desenvolvidas, a melhor prática é recodificar o pedido de compatibilidade nativa ou em casos em que existe, use a versão compatível. Orientação para a recodificação aplicativos podem ser encontrados no Application Compatibility Cookbook. Entendendo que a tecnologia para usar quando corrigindo uma aplicação é um desafio significativo. Certos aplicativos exigirá compra de uma nova versão, enquanto outros vão exigir o uso de calços de aplicação. Mais recentemente, a atenção tem sido colocada sobre o uso de tecnologias de virtualização, incluindo o Windows XP Mode, Microsoft Enterprise Desktop Virtualization (MED-V) e Application Virtualization (App-V), para superar problemas de compatibilidade de aplicativos. O gráfico a seguir ajuda a explicar os processos e métodos de aplicação incompatibilidade atenuantes dentro de uma empresa.
Windows XP Mode é omitido do gráfico, pois não é recomendado para ambientes corporativos gerenciados; MED-V é a solução de virtualização de desktop recomendado para ambientes gerenciados. Compatibilidade com a fixação ou calços é particularmente complexo e moroso, mas pode ser usado para corrigir a maioria dos tipos comuns de incompatibilidades, 128
permitindo que aplicações rodem nativamente em versão mais recente do Windows precisar recodificar o aplicativo ou executar um sistema operacional virtual segundo. Para obter mais informações sobre o teste de aplicações e calços de autoria do especialista nesta tecnologia Microsoft, consulte a MSDN Jackson blog Chris. Uma maneira comum de atenuar problemas de compatibilidade de aplicativos é executar aplicativos legados incompatíveis em uma versão virtualizada do sistema operacional anterior usando o Windows Virtual PC. A versão mais recente do Windows Virtual PC oferece vários novos recursos para melhorar esta experiência, incluindo: •
•
•
•
Seamless aplicações: aplicações Lançamento instalado em uma máquina virtual diretamente do desktop do Windows 7, como se estivessem instalados no Windows 7 host. Simplificada interface de usuário (UI): Enhanced UI que é fácil de usar e integrada com o Windows Explorer 7. recursos de integração: Permite a partilha de clipboard, a partilha de unidade e de redirecionamento de impressora entre Windows 7, a máquina virtual. Suporte a USB: Os usuários podem acessar dispositivos USB ligados ao hospedeiro, diretamente de máquinas virtuais. Estes dispositivos incluem impressoras, scanners, memória flash / cartões de memória e discos rígidos externos, câmeras digitais, e muito mais.
Disponível para o Professional, Enterprise e Ultimate do Windows 7, Windows XP Mode inclui uma imagem de máquina virtual de Windows XP que oferece uma experiência de aplicação contínua. Windows XP Mode permite instalar e executar aplicações do Windows XP diretamente de um computador baseado em Windows 7.Ele utiliza a tecnologia de virtualização, como o Windows Virtual PC para fornecer um ambiente virtual Windows XP no Windows 7. Windows XP Mode fornece um 32-bit do Windows XP Professional Service Pack 3 (SP3) do ambiente pré-carregado em um disco rígido virtual. Cliente de software de virtualização, como o Windows Virtual PC, é um pré-requisito para utilizar o Windows XP Mode. O Microsoft Desktop Optimization Pack (MDOP) para Software Assurance é um conjunto de seis produtos vendidos como um add-on licença de subscrição disponível para os clientes Software Assurance. Dois dos seis produtos no MDOP podem ser utilizados como soluções atenuar problemas de compatibilidade de aplicativos. Microsoft Enterprise Desktop Virtualization pode ser usada para atenuar a aplicação do sistema operacional, incompatibilidades e Application Virtualization pode ser usada para atenuar aplicação para aplicação, incompatibilidades ou conflitos.
3.3 - Problemas de compatibilidade de aplicativos Normalmente, as organizações têm centenas, se não milhares, de aplicativos instalados em todos os computadores no ambiente de rede. Isto inclui várias versões do mesmo aplicativo e até mesmo diferentes atualizações aplicadas a uma única versão de 129
aplicativo. Muitos dos aplicativos e versões serão compatíveis com o Windows 7, mas alguns poderão ter problemas de compatibilidade com o Windows 7, ou com outros aplicativos ou drivers de dispositivos instalados. Os problemas resultantes dessa incompatibilidade podem variar de perda de funcionalidade em um único aplicativo (como não ser capaz de usar um único comando em um determinado menu do programa) a falhas críticas no kernel resultando em um erro de parada. Onde você começa o processo de avaliação dos desafios da compatibilidade de aplicativos que a implantação do Windows 7 pode enfrentar? As práticas recomendadas mostram que um processo bem-sucedido incluirá as seguintes etapas: • • • •
Coletar as informações sobre os aplicativos atuais. Priorizar e racionalizar os aplicativos para teste e suporte. Testar os aplicativos. Minimizar os problemas (remediar, atualizar, migrar, desativar)
3.3.1- Coletando um inventário de aplicativos O processo de coletar inventário de aplicativos de sua organização dependerá de muitos fatores, incluindo:
Ambiente gerenciado ou não gerenciado—Os ambientes gerenciados são muito mais fáceis de se fazer o inventário, pois eles controlam quais aplicativos podem ser instalados em qualquer computador gerenciado. Um ambiente gerenciado muito provavelmente já terá uma lista de aplicativos suportados e aprovados e você poderá exibir essa lista como completa para todos os computadores gerenciados. Um ambiente não gerenciado é desafiador devido à tarefa complexa de descobrir todos os aplicativos instalados, tanto os oficialmente suportados como os aprovados, e os programas instalados pelos usuários por sua própria conta. A maioria das organizações está no meio desta faixa: eles têm uma combinação de um repositório central de aplicativos e imagens, e um número de aplicativos que são exceção ao padrão em toda a organização. TI centralizada ou autônoma—As organizações com uma infraestrutura de TI centralizada terão uma vantagem na coleta do inventário de aplicativos porque elas estarão atentas e em contato com todos os departamentos da organização. As infraestruturas de TI descentralizadas têm uma tarefa mais complexa de comunicar seus inventários individuais pelos limites organizacionais, de centros de custo e geográficos. Ferramentas de inventário disponíveis—As organizações que usam uma ferramenta de gerenciamento de software como Microsoft Asset Inventory Service (uma ferramenta no Microsoft® Desktop Optimization Pack for Software Assurance), Microsoft System Center Configuration Manager 2007 ou Microsoft Systems Management Server 2003 (SMS) podem já ter uma lista abrangente de aplicativos presentes na organização. As organizações menores sem software de gerenciamento precisarão selecionar uma ferramenta para coletar o inventário. Embora seja possível fazer um inventário manualmente, você correrá o risco de cometer erros e fazer omissões. Uma ferramenta de inventário pode, de forma efetiva, coletar a lista de aplicativos em execução em cada computador. O Kit de Ferramentas de Compatibilidade de Aplicativos 5.5 inclui uma ferramenta de inventário que poderá ajudá-lo a automatizar esse processo. Escopo—O número de computadores é um fator quando se coleta um inventário, mas pode não ser tão óbvio quanto simplesmente especificar o número de computadores a ser inventariado. É possível reduzir o número de computadores a ser inventariado se 130
eles forem gerenciados (os usuários não poderão instalar seu próprio software) e se você puder identificar todas as funções na organização. Nesse caso, é possível fazer o inventário de uma amostra de computadores de cada função e localidade específicas para obter um inventário. Em ambientes levemente gerenciados ou não gerenciados, os usuários podem ter permissão para instalar seu próprio software e poderá haver centenas ou milhares de aplicativos além do conjunto de programas aprovados. O número de funções de usuário também afetará o escopo total do inventário, pois você deve incluir computadores representativos de cada função para assegurar um cobertura adequada. Conduzindo um inventário manual
Uma organização muito pequena poderia optar por fazer um inventário manual Se você gerencia a infraestrutura de TI de uma organização pequena, poderá achar muito mais simples criar uma planilha relacionando os aplicativos em cada computador. Você pode obter a lista fazendo logon em cada computador e anotando-os pelo menu Iniciar ou conduzindo uma pesquisa na qual cada usuário poderá fornecer a lista para você. A precisão desses métodos será impactada pelos aplicativos que foram instalados por usuário e que não estão visíveis quando você faz logon, e pela exatidão da resposta dos usuários. As organizações maiores ampliariam essas técnicas para incluir uma entrevista com representantes de cada departamento para ajudar a equipe de compatibilidade de aplicativos a criar uma lista de aplicativos usados pelo departamento. Essas entrevistas também são importantes para identificar a importância dos aplicativos dentro de cada função. Obviamente, um processo manual não soa como diversão para ninguém envolvido, mas o risco maior é a possibilidade de se fazer omissões e erros. Se você considerar que a Microsoft disponibilizou uma ferramenta de inventário automatizada altamente efetiva no ACT (Kit de Ferramentas de Compatibilidade de Aplicativos), faz mais sentido automatizar esse processo. Automatizando a coleta de inventário
Em um ambiente bem gerenciado, você sempre teria uma lista atualizada de aplicativos instalados em sua organização. Você pode conseguir isso implementando um gerenciamento de software ou uma ferramenta de inventário e usando-o regularmente. Uma ferramenta de gerenciamento de sistema, como o Gerenciador de Configurações 2007 ou o SMS 2003, pode ajudar mantendo uma lista de aplicativos aprovados e instalados na organização. Mas se você atualmente trabalha em um ambiente levemente gerenciado ou não gerenciado, provavelmente não terá um inventário atualizado de todos os aplicativos em seu ambiente corporativo. Nesse caso, você poderá optar por usar o ACT, que pode ser baixado do site da Microsoft. O ACT contém uma ferramenta de inventário, entre outras ferramentas de teste e remediação, que pode ser usada para automatizar a coleta de inventários de aplicativos de todos os computadores de sua organização ou para um subconjunto, com base em como você escolhe implantar seu cliente de inventário ACT. O ACT é uma valiosa ferramenta para os ambientes gerenciados e não gerenciados, independentemente do tamanho.
131
Decidindo o quanto inventariar
As pequenas organizações respondem facilmente à pergunta “De quantos computadores devo fazer o inventário?” Em uma pequena organização, você pode simplesmente fazer o inventário de todos os computadores na rede. As grandes organizações, por outro lado, podem ter de enfrentar a tarefa de inventariar milhares de computadores, e esses computadores podem estar espalhados por diversas zonas e localidades geográficas. Em ambientes bem gerenciados, você pode basear seu inventário em um computador para cada função e configuração com suporte. Em ambientes levemente gerenciados, você precisará determinar quais as configurações típicas para cada função e fazer o inventário de pelo menos um computador de cada função, ciente de que os usuários terão adicionado aplicativos e ferramentas. Se houver alguma variação nas várias configurações, você precisará ter a certeza de capturar informações de inventário de pelo menos uma de cada configuração. Usando uma ferramenta de inventário automatizada, você tem a opção de fazer o inventário de cada computador, o que forneceria a melhor visão de seu portfólio de aplicativos.
3.3.2 - Analisando os Dados de Compatibilidade de Aplicativos Antes de poder sair da fase de inventário para o teste real de seu aplicativo, você precisará tomar algumas decisões difíceis com relação à prioridade dos aplicativos e sobre quais aplicativos e versões serão oficialmente suportados após a conclusão da implantação. A primeira revisão do inventário inteiro é bastante direta:
Redundância dos aplicativos—A organização tem mais de um aplicativo executando as mesmas tarefas. Relevância dos aplicativos—A organização tem várias versões de um aplicativo incluindo versões obsoletas e sem suporte. Dependendo do aplicativo e de sua infraestrutura, talvez você queira verificar as dependências de aplicativo a aplicativo antes de continuar para uma versão inteiramente nova de um determinado aplicativo. Necessidade dos aplicativos—A organização tem aplicativos que são irrelevantes para o trabalho diário sendo executado. É possível usar o inventário de aplicativos para reduzir a redundância dos aplicativos. Por exemplo, a organização pode ter vários aplicativos usados para criar elementos gráficos. Selecionando um único aplicativo e uma única versão do aplicativo como padrão, a organização pode economizar dinheiro gasto com suporte. Se você identificar uma versão do aplicativo necessário que seja comprovadamente compatível com a versão do sistema operacional Windows que você está implantando, também será possível reduzir o teste de implantação, concentrando-se nesse único aplicativo e versão A próxima etapa é categorizar os aplicativos em grupos com base em sua importância relativa dentro da organização. Para entender isto, você precisará trabalhar com os proprietários de negócios de cada aplicativo. Alguns aplicativos são considerados essenciais para os negócios, de tal modo que os negócios serão interrompidos se o aplicativo falhar ou ficar indisponível. Outros aplicativos são muito importantes, mas há como manter os negócios em funcionamento se eles falharem. 132
Embora a terminologia individual possa variar, veja a seguir alguns níveis de prioridade comuns a considerar:
Essencial para os negócios - Um aplicativo que para completamente sua organização se ele falhar. Se estiver em dúvida se um aplicativo está nessa categoria, considere se a organização pode gerar algum dinheiro enquanto o aplicativo estiver indisponível e se as pessoas podem continuar a trabalhar sem ele. Se o aplicativo falhar no meio da noite, quando tempo levaria até seu pager ser acionado? Os aplicativos essenciais para os negócios normalmente têm contratos de nível de serviço (SLA) que determinam que a equipe de suporte deve responder a uma falha em 15 minutos ou menos. Alta prioridade - Aplicativos que executam uma função vital em um departamento ou em toda uma organização. Uma falha em um aplicativo de alta prioridade pode desativar um departamento ou uma única função dos negócios na organização. Se um aplicativo de alta prioridade falhar, a organização pode continuar a fazer negócios, mas um ou mais departamentos podem ser seriamente impactado. Um SLA típico para um aplicativo de alta prioridade seria medido em horas. Importante - Um aplicativo importante que é usado frequentemente, mas que não causará uma parada no trabalho se ele falhar. Um exemplo seria um aplicativo de planilha ou processador de texto que é amplamente usado, mas não relacionado a uma função de negócio fundamental. Os SLAs de aplicativos importantes podem ser medidos em dias. Opcional - Aplicativos aprovados que estão com uso limitado e não diretamente relacionados a uma função de negócio. Normalmente, um aplicativo nessa categoria não é coberto por um SLA e o suporte seria considerado “melhor possível”. Frequentemente, atribuir níveis de prioridade a aplicativos é um processo subjetivo e pode estar sujeito a revisões periódicas. Esse é um motivo válido para manter uma equipe ou um comitê para monitorar o portfólio de aplicativos mesmo entre implantações do sistema operacional. Depois de ter dado prioridade a seu inventário de aplicativos, você deve também despender algum tempo para identificar os aplicativos que podem ser eliminados. A remoção de versões antigas de aplicativos pode reduzir significativamente o volume de teste de aplicativos que deve ser executado antes de implantar um novo sistema operacional. Considere se as versões mais antigas ainda podem receber suporte do fabricante. Coletar um inventário de aplicativos é uma boa oportunidade de verificar o uso impróprio de licenças, como em casos em que os aplicativos são instalados em muitos computadores. Identificando aplicativos essenciais para os negócios
Alguns aplicativos essenciais para os negócios são fáceis de identificar e outros não o são. Se sua organização usa a Internet para fazer negócios, os aplicativos de processamento de texto, manipulação de imagens e codificação de páginas podem ser considerados essenciais para os negócios. A categorização de essencial para os negócios variará também por função. Para um call center, um aplicativo que monitora a estabilidade do servidor pode ser considerado essencial, embora para outros departamentos pudesse não ter nenhum valor.
133
Se sua organização tem um plano de recuperação de desastre (DRP) ou um plano de continuação dos negócios (BCP) estabelecidos, os aplicativos essenciais para os negócios já devem ter sido identificados nesses planos. Alguns critérios para identificar aplicativos essenciais para os negócios incluem: •
• •
O aplicativo representa uma função principal da organização, como software de processamento de texto ou design de páginas para uma empresa de publicação. A organização sofrerá um impacto financeiro significativo se o aplicativo falhar. Se esse aplicativo falhar fora do horário de trabalho, o pager de alguém será acionado em questão de minutos.
Os aplicativos de alta prioridade podem ser fáceis de identificar em seu próprio departamento, mas difíceis em outros departamentos. Algumas vezes você pode identificar um aplicativo de alta prioridade pela porcentagem de computadores que o tem instalado, embora isso possa ser enganoso. Um aplicativo que foi desenvolvido internamente para monitorar a quantidade de toner nas impressoras a laser da empresa poderia ser implantado em todos os computadores, mas usado, na verdade, por muito poucas pessoas. Se sua organização tem um plano de recuperação de desastre (DRP) ou um plano de continuação dos negócios (BCP) estabelecidos, os aplicativos de alta prioridade já podem ter sido identificados nesses planos. Alguns critérios para identificar aplicativos de alta prioridade incluem: • • •
•
O aplicativo é usado na maior parte do turno de trabalho. O aplicativo é usado por uma grande porcentagem de usuários na organização. Sem o aplicativo, seria difícil para a organização ou departamento conduzir os negócios normalmente. Sem o aplicativo, operações diárias seriam afetadas e poderia haver um impacto financeiro mensurável.
Identificando aplicativos para funções específicas
O conceito de funções do usuário pode ser útil na determinação dos componentes de imagens de sistema operacional específicas para implantação. Separando sua base de usuários em funções específicas, você poderá mais facilmente definir os aplicativos que serão colocados em cima da imagem do sistema operacional. Por exemplo, se você definir uma função de usuário da contabilidade, é possível especificar que, além do sistema operacional, os usuários nessa função receberão o Microsoft® Office e o software de contabilidade padrão da organização. Algumas possíveis funções podem incluir: • • • • • •
Recursos humanos Funcionários de informações Central de suporte de TI Marketing Desenvolvedor Executivo
Há, com certeza, aplicativos que são padrão em todas as imagens de sistema operacional. Exemplos podem incluir aplicativos de email e antivírus. Esses aplicativos serão parte de uma imagem principal e deveriam todos ser amplamente testados quanto 134
à compatibilidade e à estabilidade com o Windows 7®. As imagens de implantação para as outras funções são baseadas na imagem principal, adicionando outros aplicativos usados pela função. As funções de implantação também podem receber uma prioridade para diminuir o esforço exigido para teste da compatibilidade do aplicativo. As configurações baseadas em função para as operações essenciais devem receber mais testes e imagens com baixa prioridade podem receber quantidades menores de teste. As configurações de função com apenas pequenas diferenças da imagem principal podem receber teste mínimo. Essa priorização também pode ser levada para a implantação real. As funções que contêm aplicativos sem problemas de compatibilidade podem ser implantadas mais cedo e as com problemas podem ser implantadas mais tarde, após a realização do teste e a remediação.
3.4 - Application Compatibility Toolkit (ACT) versão 5.5 O Application Compatibility Toolkit (ACT) permite que os desenvolvedores de software, os ISVs (fornecedores independentes de software) e os profissionais de TI que trabalham em um ambiente corporativo determinem, antes de distribuir na organização, se os aplicativos são compatíveis com uma nova versão do sistema operacional Windows®. O ACT também permite que esses indivíduos determinem como uma atualização para a nova versão afetará os aplicativos. É possível usar os recursos do ACT para: •
•
•
•
Verificar a compatibilidade do aplicativo, do dispositivo e do computador com uma nova versão do sistema operacional Windows, inclusive determinando a avaliação de risco. Verificar a compatibilidade de uma atualização do Windows, inclusive determinando a avaliação de risco. Envolver-se na Comunidade ACT, inclusive compartilhando a sua avaliação de risco com outros usuários do ACT. Testar os aplicativos da Web e os sites quanto à compatibilidade com as novas versões e as atualizações de segurança para o Internet Explorer®, usando a Internet Explorer Compatibility Test Tool.
Problemas de compatibilidade comuns
A inovação relacionada ao sistema operacional Windows ocasionalmente pode causar problemas de compatibilidade. Esses problemas tendem a ocorrer com as seguintes tecnologias:
135
•
•
•
•
•
Controle de Conta de Usuário (UAC) adiciona segurança ao Windows limitando o acesso ao computador no nível de administrador, restringindo a maioria dos usuários à execução como Usuários Padrão. O UAC também limita o contexto no qual um processo é executado, para minimizar a capacidade de os usuários exporem inadvertidamente o computador a vírus ou outro malware. Essa alteração afeta qualquer instalador ou atualização de aplicativo que requeira permissões de Administrador para execução, execute verificações ou ações de Administrador desnecessárias, ou tente gravar em um local do Registro não virtualizado. Proteção de Recursos do Windows (WRP): permite que os aplicativos funcionem adequadamente, mesmo que eles tentem gravar em arquivos do sistema ou locais do Registro protegidos. O WRP cria uma área de trabalho temporária e redireciona as ações de gravação para a sessão do aplicativo. Essa alteração afeta qualquer instalação de aplicativo que tente substituir, modificar ou excluir arquivos do sistema operacional ou chaves do Registro protegidos. Essas tentativas em geral falham com um erro de Acesso Negado. Modo protegido do Internet Explorer ajuda a defender contra ataques de elevação de privilégio restringindo a capacidade de gravar em quaisquer recursos da zona do computador local que não sejam arquivos temporários da Internet. Essa alteração afeta todos os sites ou os aplicativos da Web que tentem modificar arquivos do usuário ou chaves do Registro, ou que tentem abrir uma nova janela em outro domínio. Substituições, GINA e Sessão 0: a versão mais recente do sistema operacional Windows também apresentou problemas com APIs ou DLLs substituídas do Windows XP e do Windows Vista®, a estrutura do novo provedor de credenciais, e o isolamento de serviço. Substituições: o sistema operacional Windows substituiu muitos objetos de versões anteriores do sistema operacional. A substituição ocorreu para arquivos .dll, arquivos executáveis (.exe), objetos COM, chaves do Registro, APIs (interfaces de programação de aplicativos) e vários outros arquivos. Essa alteração afeta os aplicativos que usavam as APIs ou DLLs substituídas, fazendo com que eles percam funcionalidade ou não sejam iniciados.
136
•
•
•
•
DLL GINA (identificação e autenticação gráfica: antes do lançamento do sistema operacional Windows Vista, os ISVs (fornecedores independentes de software) podiam modificar a autenticação instalando uma DLL GINA. A DLL GINA então executava toda a identificação e a autenticação das interações do usuário. O Windows Vista oferece um novo modelo de autenticação que não requer mais essa DLL e ignora todas as DLLs GINA anteriores. Essa alteração afeta qualquer aplicativo ou componente de hardware que tente fazer logon usando aplicativos de logon personalizados, inclusive os dispositivos biométricos (leitores de impressão digital), as interfaces do usuário personalizadas, e as soluções de VPN (rede virtual privada) para usuários remotos com interfaces do usuário de logon personalizadas. Sessão 0: antes do lançamento do sistema operacional Windows Vista, o primeiro usuário que fazia logon em um computador executava na Sessão 0, que é a mesma sessão usada para todos os serviços do sistema. O Windows Vista requer que todos os usuários executem na Session 1 ou posterior, para que nenhum usuário execute na mesma sessão que os serviços do sistema. Devido a essa alteração, os aplicativos não serão iniciados se dependerem dos serviços interativos. Os serviços interativos abrangem qualquer serviço que tente enviar uma mensagem de janela, qualquer serviço que tente localizar uma janela ou um serviço adicional, e qualquer serviço que tente executar quaisquer processos do usuário que abram o mesmo objeto nomeado (a não ser que ele seja um objeto nomeado globalmente). Plataforma para Filtros do Windows (WFP): WFP é uma API (interface de programação de aplicativo) que permite aos desenvolvedores criar código que interaja com a filtragem que ocorre em diversas camadas na pilha de rede e em todo o sistema operacional. Se você estiver usando uma versão anterior dessa API no ambiente, poderá haver falhas quando você executar a verificação de rede, os programas antivírus ou os aplicativos de firewall. Alterações de versão do sistema operacional: o número da versão do sistema operacional é alterado em cada lançamento do sistema operacional. Para o Windows Vista, o número da versão é 6, enquanto para o Windows 7 RC, é 6.1. A função GetVersion retorna esse valor quando consultada por um aplicativo. Essa alteração afeta qualquer aplicativo ou instalador de aplicativo que verifique
137
especificamente a versão do sistema operacional e pode evitar que a instalação ocorra ou que o aplicativo seja executado. •
Windows Vista de 64 bits: a versão de 64 bits do Windows Vista utiliza o emulador Windows on Windows 64 (WOW64). Esse emulador permite que o Windows Vista execute aplicativos de 32 bits. O uso desse emulador pode fazer com que um aplicativo ou um componente que utilize executáveis ou instaladores de 16 bits, ou drivers de kernel de 32 bits, não seja iniciado ou funcione incorretamente.
Em resposta a vários desses problemas conhecidos, é possível usar o ACT para localizar os aplicativos afetados, para determinar o impacto real na sua organização e, finalmente, para criar uma solução que minimize ou corrija o problema.
3.5 - Application Compatibility Manager O ACM (Application Compatibility Manager) é uma ferramenta que permite configurar, coletar e analisar seus dados, para que você possa corrigir quaisquer problemas antes de implantar um novo sistema operacional em sua organização. Depois de configurar o Application Compatibility Toolkit, usando o Application Compatibility Toolkit Configuration Wizard, o ACM é iniciado automaticamente. O ACM usa ícones tanto para os botões da barra de ferramentas quanto para os elementos de navegação em várias telas. A tabela a seguir descreve todos esses ícones.
Ícone
Descrição
Localização •
Abre a tela Application Compatibility Manager Overview.
•
•
Abre a tela Collect.
•
•
Abre a tela Analyze. Abre a caixa de diálogo New Data Collection Package. Importa as definições do pacote de
•
•
•
Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Collect Barra de ferramentas 138
Collect
coleta de dados. Exporta as definições do pacote de coleta de dados. Exclui um pacote de coleta de dados que ainda não foi executado em seus computadores cliente. Importa um relatório de compatibilidade existente. Salva um relatório de compatibilidade, incluindo suas preferências e definições. Exporta os dados de relatórios para uma planilha (.xls) do Microsoft® Office Excel®. Sincroniza seus dados de compatibilidade com o Microsoft Compatibility Exchange, um serviço da Web que propaga problemas de compatibilidade obtidos da Microsoft Corporation. Ativa ou desativa o construtor de consultas.
•
•
•
•
•
•
•
•
Abre a caixa de diálogo Set Assessment.
•
•
Abre a caixa de diálogo Set Deployment Status. Abre a caixa de diálogo Set Severity.
OBS: Esse ícone é exibido somente para Update Impact Reports e para as caixas de diálogo de detalhes do relatório relacionado.
•
•
•
•
Abre a caixa de diálogo Assign Categories.
•
Barra de ferramentas Collect Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Analyze Barra de ferramentas Analyze Barra de ferramentas Analyze
Barra de ferramentas Analyze Barra de ferramentas Analyze Barra de ferramentas Report Details Barra de ferramentas Analyze Barra de ferramentas Report Details Barra de ferramentas Analyze Barra de ferramentas Report Details
Barra de ferramentas Analyze Barra de ferramentas Report Details 139
•
Abre a caixa de diálogo Assign Priorities.
•
•
Abre a caixa de diálogo Send and Receive Status. Abre a caixa de diálogo Add Issue. Abre a caixa de diálogo Add Solution. Salva um problema de compatibilidade. Resolve um problema de compatibilidade. Reativa um problema de compatibilidade resolvido.
•
•
•
•
•
•
•
Atualiza a tela. Se você estiver usando o construtor de consultas, isso também atualiza a tela com seus resultados retornados.
•
•
•
Permite rolar para cima e para baixo as informações na tela ou na caixa de diálogo, mostrando os detalhes relacionados.
Observação Esse botão pode não estar disponível para todos os problemas ou informações. Abre o sistema de Ajuda online.
•
•
•
•
•
Barra de ferramentas Analyze Barra de ferramentas Report Details Barra de ferramentas Analyze Barra de ferramentas Report Details Barra de ferramentas Report Details Barra de ferramentas Report Details Caixa de diálogo Add Issue Caixa de diálogo Add Issue Caixa de diálogo Add Issue Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Data Collection Package - Status Barra de ferramentas Report Details Barra de ferramentas Report Details Caixa de diálogo Add Issue Caixa de diálogo New Data Collection Package Barra de ferramentas Data Collection Package - Status Todas as telas
Na primeira vez em que você iniciar o ACM, você verá a tela Application Compatibility Manager Overview. Essa tela delineia as etapas de alto nível que você deve concluir para poder coletar e analisar seus dados. 140
Você deve usar a tela Collect para criar e configurar seus pacotes de coleta de dados. Essa tela também permite que você visualize seus pacotes de coleta de dados existentes, visualize o status de seus pacotes de coleta de dados, exporte e importe as configurações dos pacotes de coleta de dados e exclua os pacotes de coleta de dados existentes.
Você deve usar a tela Analyze para analisar e explorar seus dados de compatibilidade. Ela inclui o seguinte: • • •
• •
Visualização de relatórios rápidos Filtragem dos dados Seleção de sua avaliação de aplicativo, sua avaliação de severidade, seu status de implantação e seu status de envio e recebimento. Categorização e priorização dos seus dados Salvamento, abertura e exportação de seus relatórios e dados de relatórios
141
Na tela Analyze, você pode ver tanto os relatórios quanto os detalhes associados ao relatório.
142
Você envia e recebe, ou sincroniza os dados para manter seu ACM local atualizado com os problemas e informações mais atuais obtidos da Microsoft, de ISVs (fornecedores independentes de software) e, se você for um membro, da Comunidade do ACT. O processo de sincronização usa o Microsoft Compatibility Exchange para: •
• •
Baixar novas informações obtidas de fontes autoritativas, como a Microsoft Corporation e os ISVs. Carregar seus problemas de compatibilidade para a Microsoft. Carregar e baixar informações de compatibilidade da Comunidade do ACT (se você for um membro e concordar em compartilhar seus dados).
3.6 - Caminhos de Atualização do Windows 7 Atualizações Não Suportadas I.
Atualizações para o Windows 7 dos seguintes sistemas operacionais não são suportadas: •
•
Windows 95, Windows 98, Windows Millennium Edition, Windows XP, Windows Vista® RTM, Windows Vista Starter, Windows 7 M3, Windows 7 Beta, Windows 7 RC ou Windows 7 IDS Windows NT® Server 4.0, Windows 2000 Server, Windows Server® 2003, Windows Server 2008, ou Windows Server 2008 R2
143
II.
Atualizações in-loco de arquitetura cruzada (por exemplo, x86 a x64) não são suportadas.
III.
Atualizações in-loco entre idiomas (por exemplo, en-us para de-de) não são suportadas.
IV.
Atualizações de SKU cruzado (por exemplo, Windows 7 N para Windows 7 K) não são suportadas.
V.
Atualizações do Windows Vista para Windows N, Windows K, Windows KN ou Windows E não são suportadas.
VI.
Atualizações in-loco do tipo de criação cruzada (por exemplo, fre to chk) não são suportadas.
VII.
Upgrades in-loco de pré-lançamento entre marcos de projeto (por exemplo Windows 7 RC para Windows 7 RTM) não são suportados.
Upgrades Não Suportados
Do Windows Vista (SP1, SP2)
Upgrade para Windows 7
Business
Professional, Enterprise, Ultimate
Enterprise
Enterprise
Home Basic
Home Basic, Home Premium, Ultimate
Home Premium
Home Premium, Ultimate
Ultimate
Ultimate
Do Windows 7
Upgrade de Reparação In-Loco para Windows 7
Enterprise
Enterprise
Home Basic
Home Basic
Home Premium
Home Premium
Professional
Professional
Starter (apenas x86)
Starter (x86)
Ultimate
Ultimate 144
Do Windows 7
Upgrade qualquer momento para Windows 7
Home Basic
Home Premium, Professional, Ultimate
Home Premium
Professional, Ultimate
Professional
Ultimate
Starter
Home Premium, Professional, Ultimate
3.7 - User State Migration Tool 4.0 A Ferramenta de Migração de Perfil do Usuário (USMT) 4.0 do Microsoft® Windows® é uma ferramenta de linha de comando programável que fornece uma experiência de migração de perfil do usuário altamente personalizável para profissionais de TI. A USMT inclui dois componentes, o ScanState e o LoadState, e um conjunto de arquivos .xml modificáveis: MigApp.xml, MigUser.xml e MigDocs.xml. Além disso, você pode criar arquivos .xml personalizados para oferecer suporte às necessidades da sua migração. Você também pode criar um arquivo Config.xml para especificar arquivos ou configurações para excluir da migração.
A USMT 4.0 oferece os seguintes benefícios para empresas que estão implantando sistemas operacionais Windows®: •
• •
• •
•
Migra com segurança configurações de contas do usuário, do sistema operacional e do aplicativo. Reduz o custo de implantação do Windows® preservando o estado de usuário Reduz o tempo de inatividade do usuário final necessário para personalizar áreas de trabalho e encontrar arquivos que estão faltando Reduz chamadas para o suporte técnico Reduz o tempo necessário para o usuário se familiarizar com o novo sistema operacional Aumenta a satisfação do funcionário em relação à experiência de migração.
A USMT foi desenvolvida para administradores que estão executando implantações automatizadas em grande escala. Se você estiver migrando apenas os estados de usuário de poucos computadores, será possível usar a Transferência Fácil do Windows nos computadores que executam o Windows Vista® ou Windows® 7. Existem alguns cenários nos quais o uso da USMT 4.0 não é recomendável. Entre eles: • •
Migrações que requerem interação do usuário final. Migrações que requerem personalização computador a computador.
145
3.7.1 - Visão geral da USMT Você pode usar a Ferramenta de Migração de Perfil do Usuário (USMT) 4.0 do Microsoft® Windows® para agilizar e simplificar a migração de estado do usuário durante grandes implantações dos sistemas operacionais Windows Vista® e Windows® 7. A USMT captura contas do usuário, arquivos do usuário, configurações do sistema operacional e configurações do aplicativo, e os migra para uma nova instalação do Windows®. Você pode usar a USMT para migrações para substituição de PC e para atualização de PC. A USMT 4.0 permite que você faça o seguinte: •
•
•
Configure a migração de acordo com as necessidades da sua empresa usando os arquivos de regra de migração (.xml) para controlar exatamente quais arquivos e configurações serão migrados e como serão migrados. A USMT também permite que você configure a migração de conta do usuário nas linhas de comando do ScanState e do LoadState. Para obter mais informações sobre como modificar esses arquivos, consulte Usando a USMT. Ajuste sua migração personalizada ao processo de implantação automatizado, usando as ferramentas ScanState e LoadState de linha de comando da USMT que controlam a coleta e a restauração de arquivos e configurações do usuário. Para obter mais informações, consulte Componentes da USMT e Recursos da USMT. Agora, a USMT 4.0 oferece suporte às migrações offline. Você pode executar o comando do ScanState no Microsoft® Windows PE ou pode executar migrações de instalações anteriores do Windows® contidas em diretórios Windows.old. Para obter mais informações sobre os tipos de migração, consulte Cenários comuns de migração e Migração offline.
3.7.2 - Requisitos A Ferramenta de Migração de Perfil do Usuário (USMT) 4.0 do Microsoft® Windows® não tem nenhum requisito explícito de velocidade de RAM ou de CPU para os computadores de origem ou de destino. Se o seu computador for compatível com os requisitos do sistema operacional, ele também será compatível com os requisitos da USMT. Você precisará de um local de armazenamento intermediário suficientemente grande para manter todos os dados e as configurações migrados e da mesma quantidade de espaço em disco rígido no computador de destino para os arquivos e as configurações migrados. A tabela a seguir lista os sistemas operacionais com suporte na USMT 4.0. 146
Sistemas operacionais
ScanState LoadState (computador de origem) (computador de destino)
Windows® XP Professional
X
Windows XP Professional x64 Edition
X
Versões de 32 bits do Windows Vista®
X
X
Versões de 64 bits do Windows Vista
X
X
Versões de 32 bits do Windows® 7
X
X
Versões de 64 bits do Windows 7
X
X
Você pode migrar um sistema operacional de 32 bits para um sistema operacional de 64 bits. No entanto, você não pode migrar um sistema operacional de 64 bits para um sistema operacional de 32 bits. A USMT 4.0 não oferece suporte a nenhum dos sistemas operacionais Windows Server®, Windows 2000 ou a nenhuma das versões Starter do Windows XP, Windows Vista ou Windows 7. Além disso, a USMT 4.0 oferece suporte apenas à migração do Windows XP com Service Pack 2 ou Service Pack 3.
Requisitos de software •
Deve ser executado no modo de administrador do Windows Vista e do Windows 7. Quando executar manualmente as ferramentas ScanState e LoadState no Windows Vista e no Windows 7, você deve executá-las no modo de administrador de uma conta com credenciais administrativas para garantir que todos os usuários especificados sejam migrados. Isso ocorre porque o User Access Control (UAC) está ativado no Windows Vista e no Windows 7, por padrão. Para executar nesse modo, clique em Iniciar, em Todos os Programas e em Acessórios, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador e, em seguida, especifique seu comando LoadState ou ScanState. Se você não executar a USMT no modo de administrador, somente o perfil do usuário que estiver conectado será incluído na migração.
147
Se você não executar a USMT no modo de administrador de uma conta com credenciais administrativas, somente o perfil do usuário que estiver conectado será incluído na migração. •
•
•
Deve ser executado de uma conta com credenciais administrativas no Windows XP. Se você não especificar a ferramenta ScanState de uma conta com credenciais administrativas quando o Windows XP for o sistema operacional no computador de origem, algumas configurações do sistema operacional não serão migradas, tais como configurações de papel de parede, seleções de protetor de tela, opções de modem, configurações do Media Player e arquivos e configurações do catálogo telefônico (.pbk) de conexão RAS. Especifique a opção /c e as configurações em Config.xml. A USMT falhará se ela não conseguir migrar um arquivo ou uma configuração, a menos que você especifique a opção /c. Quando você especificar a opção /c, a USMT registrará um erro sempre que encontrar um arquivo que esteja sendo usado e não tenha sido migrado, mas a migração não será interrompida. Na USMT 4.0, você pode especificar no arquivo Config.xml quais tipos de erros devem permitir que a migração continue e quais devem fazer a migração falhar. Para obter mais informações sobre relatórios de erro e sobre o elemento , consulte o Arquivo Config.xml, Arquivos de log e a XML Elements Library. Instale aplicativos antes de executar o comando LoadState. Instale todos os aplicativos no computador de destino antes de restaurar o estado de usuário. Isso garante que as configurações migradas sejam preservadas.
Verifique se há espaço disponível suficiente no local de armazenamento de migração e nos computadores de origem e de destino. Para obter mais informações, consulte Estimar o tamanho do armazenamento de migração. É importante que os profissionais de TI que usam a USMT 4.0 conheçam as ferramentas de linha de comando. Assim como também é importante que os profissionais de TI que usam a USMT 4.0 para criar regras MigXML conheçam o seguinte: • • •
•
A navegação e a hierarquia do Registro do Windows. Os arquivos e os tipos de arquivo que os aplicativos usam. Os métodos para extrair manualmente informações de aplicativo e configuração dos aplicativos criados por grupos de desenvolvimento de software internos e fornecedores de software que não é da Microsoft. Noções básicas de criação de XML. 148
3.7.3 - O que há de novo na USMT 4.0 (Alterações gerais na USMT 3.0) •
•
•
•
•
Armazenamento de migração de link físico. O novo armazenamento de migração de link físico foi criado para uso apenas em cenários de atualização do computador. Os armazenamentos de migração de link físico são armazenados localmente no computador que está sendo atualizado e podem migrar contas do usuário, arquivos e configurações em menos tempo usando megabytes do espaço em disco, em vez de gigabytes. Estimativa de espaço aprimorada. Agora, o comando ScanState estima mais precisamente o tamanho do armazenamento de migração, bem como o espaço em disco temporário adicional necessário para criar o armazenamento de migração. Isso resulta em uma redução de falhas de migração devido ao pouco espaço em disco. Agora, o comando ScanState também estima o tamanho do armazenamento de migração compactado. Capacidade de reunir dados de um sistema operacional Windows® offline usando o comando ScanState. Você pode reunir dados de um sistema operacional Windows® offline usando o comando ScanState no Microsoft® Windows PE. Além disso, agora a USMT oferece suporte a migrações de instalações anteriores do Windows® contidas em diretórios Windows.old. O diretório offline pode ser um diretório do Windows quando você executa o comando ScanState no Windows PE ou um diretório Windows.old quando você executa o comando ScanState no Windows. O acesso ao controlador de domínio não é mais exigido pelo ScanState e pelo LoadState. Agora, é possível completar uma migração ponta a ponta de contas do usuário de domínio sem ter acesso ao controlador de domínio. O computador de destino deve estar associado a um domínio antes que quaisquer contas de domínio aplicadas recentemente possam ser usadas. Integração com o Microsoft System Center Configuration Manager (SCCM) e o Microsoft Deployment Toolkit (MDT). Você pode reduzir o tempo do usuário final e da implantação. Você pode usar a USMT 4.0 para reter identidades digitais dos usuários finais, bem como configurações de aplicativo e do sistema operacional, com o SCCM e/ou o MDT.
149
•
•
•
•
•
•
•
Erros de arquivo configurável. Você pode usar a nova seção no arquivo Config.xml para configurar quais erros de leitura/gravação do Registro ou arquivo podem ser ignorados com segurança pela opção de linha de comando /c e quais podem fazer a migração falhar. Além disso, agora a opção de linha de comando /genconfig gera um exemplo de seção habilitado ao especificar mensagens de erro e comportamentos desejados no arquivo Config.xml. Novas funções auxiliares. O comando ScanState tem duas novas funções auxiliares que habilitam novos cenários de migração. A função MigXmlHelper.FileProperties pode ser usada para controlar quais arquivos migrar, com base nas propriedades especificadas, por exemplo, data criada, data modificada, data acessada e tamanho do arquivo. A função MigXmlHelper.GenerateDocPatterns pode ser usada para encontrar automaticamente documentos do usuário em um computador sem criar extensos arquivos .xml de migração personalizados. Suporte à cópia de sombra de volume. Com a opção de linha de comando /vsc, agora o comando ScanState pode usar o serviço de cópia de sombra de volume para capturar arquivos que são bloqueados para edição por outros aplicativos. Migração de grupo local. Você pode usar a nova seção no arquivo Config.xml para configurar a associação de grupo local de usuários durante a migração. Isso habilita cenários como mudar usuários de membros do grupo de administradores local para membros do grupo de usuários local durante a migração. Listar arquivos que estão sendo migrados. Você pode usar a opção de linha de comando /listfiles para o comando ScanState gerar uma lista de arquivo de texto de todos os arquivos incluídos na migração. Usmtutils.exe. Esse novo arquivo executável complementa a funcionalidade em Scanstate.exe e Loadstate.exe. Novas opções de criptografia AES. A USMT 4.0 oferece suporte a algoritmos de criptografia mais seguros, chamados Padrão de Criptografia Avançada
150
(AES), em várias opções de tamanho de chave, com base no suporte no sistema operacional do computador de origem. A USMT 4.0 contém novas opções de linha de comando ScanState. Além disso, algumas opções de linha de comando mudaram. A tabela a seguir lista as novas opções de linha de comando para o comando ScanState.
Opção
Explicação
/listfiles: "path to
Gera um arquivo de texto que lista todos os arquivos incluídos na migração.
a file"
/p: "path to a file"
Quando um local de arquivo opcional é especificado, a opção /p indica se os novos algoritmos de estimativa de espaço são usados. Se você não especificar o local de arquivo opcional, a funcionalidade da opção /p será a mesma que na USMT 3.0. Isso inclui uma estimativa do espaço em disco necessário para criar e construir o armazenamento de migração, bem como o espaço necessário para hospedar o conteúdo do armazenamento de migração. Essas estimativas são fornecidas em um arquivo .xml no local especificado na linha de comando. Se a opção /nocompress também for especificada, a estimativa será para um armazenamento de migração descompactado. Se a opção /nocompress não for especificada, a estimativa será para um armazenamento de migração compactado.
/hardlink
Permite a criação de um armazenamento de migração de link físico no local especificado. A opção /nocompress deve ser especificada com a opção /hardlink. Além disso, o elemento pode ser usado no arquivo Config.xml para alterar como o comando ScanState cria links físicos para arquivos que são bloqueados por outro aplicativo.
/vsc
Essa opção permite que o serviço de cópia de sombra de volume migre arquivos que estão bloqueados ou que estão em uso por outro aplicativo. Essa opção pode ser usada apenas com o arquivo executável do ScanState e não pode ser combinada com a opção /hardlink.
/auto: "path to script files"
/offline: "path to an offline.xml file"
Essa opção permite que você especifique o local padrão dos arquivos .xml e depois inicialize a migração. Se nenhum caminho for especificado, a USMT fará referência ao diretório onde os binários da USMT estão localizados. A opção /auto inclui as seguintes opções /i:MigDocs.xml /i:MigApp.xml /v:13. Essa opção é usada para definir um caminho para um arquivo .xml offline que especifica as opções de migração offline, por exemplo, um diretório offline do Windows do qual capturar o estado de usuário, bem como remapeamento em letras de 151
unidade e pontos de montagem.
/genmigxml: "path to a file"
/offlinewindir: "path to a windows directory"
/offlinewinold
/efs:hardlink
Essa opção especifica que o comando ScanState deve usar o localizador de documentos para criar e exportar um arquivo .xml que define como migrar todos os arquivos encontrados no computador onde o comando ScanState é executado. O localizador de documentos, ou a função auxiliar MigXmlHelper.GenerateDocPatterns, pode ser usado para encontrar automaticamente documentos do usuário em um computador sem criar extensos arquivos .xml de migração personalizados. Essa opção especifica o diretório offline do Windows do qual o comando ScanState reúne o estado de usuário. O diretório offline pode ser o Windows.old quando você executa o comando ScanState no Windows ou um diretório do Windows quando executa o comando ScanState no Windows PE. Essa opção é incompatível com a opção /offline. Essa opção de linha de comando habilita o modo de migração offline e inicia a migração no local especificado. Só deve ser usada em cenários de migração do Windows.old, nos quais a migração está acontecendo de um diretório Windows.old. Cria um link físico para o arquivo de EFS em vez de copiá-lo. Use apenas com as opções /hardlink e /nocompress.
As opções de linha de comando ScanState a seguir foram alteradas na USMT 4.0.
Opção na USMT 3.0
/p
/encrypt: "encryption strength"
Explicação para alteração na USMT 4.0 A opção /p estima o espaço necessário para conter o armazenamento de migração compactado e descompactado. Quando um local de arquivo opcional é especificado, a opção de linha de comando /p:"caminho para um arquivo" usa os novos algoritmos de estimativa de espaço. Você pode especificar um parâmetro para definir o nível de criptografia para o armazenamento de migração.
/genconfig
Agora, a opção /genconfig gera exemplo de seções e no arquivo Config.xml que habilitam o novo comportamento de migração de grupo e de controle de erro.
/o
Agora, a opção /o é necessária para substituir o armazenamento de migração e o arquivo Config.xml. 152
A USMT 4.0 contém novas opções de linha de comando LoadState. Além disso, algumas opções de linha de comando mudaram. A tabela a seguir lista as novas opções de linha de comando LoadState.
Opção /hardlink
Explicação Permite restaurar os dados de estado de usuário de um armazenamento de migração de link físico. A opção /nocompress deve ser especificada com a opção /hardlink.
Essa opção permite que você especifique o local padrão dos arquivos /auto: "path .xml e depois inicialize a migração. Se nenhum caminho for especificado, a USMT fará referência ao diretório onde os binários da to script files" USMT estão localizados. A opção /auto inclui as opções /i:MigDocs.xml /i:MigApp.xml /v:13 a seguir. As opções de linha de comando LoadState a seguir foram alteradas na USMT 4.0.
Opção na USMT 3.0 /decrypt: "encryption strength"
Explicação para alteração na USMT 4.0 Agora, a opção /decrypt aceita um parâmetro de linha de comando para definir o nível de criptografia especificado para a criptografia do armazenamento de migração.
/targetxp
A opção de linha de comando /targetxp não é mais válida na USMT 4.0 porque o Windows XP não tem suporte em um computador de destino.
MigSys.xml
O arquivo MigSys.xml não é mais válido. Esse arquivo foi usado apenas em migrações do Windows XP, onde o Windows XP era o sistema operacional no computador de destino.
/q
A opção /q não tem mais suporte, porque os comandos ScanState e LoadState requerem privilégios do administrador para serem executados.
A tabela a seguir lista todas as novas opções de linha de comando Usmtutils.exe na USMT 4.0.
Nova opção na USMT 4.0 /ec
Descrição Essa opção retorna uma lista de algoritmos criptográficos (AlgIDs) 153
com suporte no sistema atual.
/rd
Remove o caminho do diretório especificado pelo argumento em todas as unidades fixas. Esse comando é útil para excluir armazenamentos de link físico que não podem ser excluídos devido a um bloqueio de compartilhamento. Por exemplo: usmtutils /rd D:\MyHardLinkStore
3.8 - Implantação da Área de Trabalho do Windows 7 Criando em tecnologias introduzidas no sistema operacional do Windows Vista®, o Windows® 7 facilita a implantação da área de trabalho. As tecnologias dentro do Windows 7 melhoram a compatibilidade do aplicativo aplicati vo e as novas n ovas ferramentas no Windows 7 ajudam você a reduzir a avaliação e o ciclo da preparação. Outras melhorias no Windows 7 incluem o seguinte: •
•
•
•
Incluir mais opções para a engenharia e implantação de imagens, o que ajuda você a oferecer serviços a imagens em toda a vida útil do sistema operacional usando um único conjunto de ferramentas consolidado. Otimizar implantação no manuseio melhorado do driver em todo o Provisionamento de Driver Dinâmico, que reduz tamanhos de imagens correspondendo drivers dinamicamente a IDs Plug-and-Play e propriedades de BIOS durante a implantação e depois as tira de um armazenamento central. Melhorar a entrega com os Serviços de Implantação do Windows, reduzindo o consumo de largura de banda e aumentando a velocidade e a flexibilidade usando o Multicast com Transferência em Vários Fluxos. Melhorar a experiência de instalação com configuração mais rápida e consistente, ferramentas de sequenciamento de tarefas de instalação eficientes e transferência mais rápida de arquivos e configurações do usuário.
O Windows 7 aproveita os investimentos da compatibilidade de hardware e aplicativos do Windows Vista que as organizações fizeram. Além disso, o Windows 7 e suas ferramentas melhoram o ciclo de avaliação e preparação para profissionais de TI: •
Recursos inclusos O Windows 7 mitiga nativamente uma lista estendida e priorizada de aplicativos. Ele também oferece mais meios para usuários aplicarem modos de compatibilidade usando os recursos de solução de problemas para ajudar a mitigar aplicativos imcompatíveis ou desconhecidos. Além disso, o Windows 7 usa o mesmo modelo de driver e critérios de 154
desempenho do Windows Vista, de forma que a maioria dos hardwares produzidos depois que o Vista foi lançado são compatíveis com o Windows 7. •
•
•
Kit de Ferramentas de Compatibilidade de Aplicativos (ACT) Você pode usar o ACT para criar um inventário de hardwares e aplicativos abrangente. Você também pode usar as ferramentas ACT para testar e mitigar problemas de compatibilidade. Microsoft Assessment and Planning (MAP) Toolkit O MAP Toolkit é uma solução de inventário de hardware e aplicativo sem agente que oferece um relatório de compatibilidade detalhado. Central de Compatibilidade do Windows A Central de Compatibilidade do Windows é uma central de compatibilidade online unificada que oferece informações de compatibilidade de aplicativos e dispositivos.
O Windows 7 facilita e estende as ferramentas que você usa para editar e implantar imagens do sistema operacional. Com o Windows 7, você tem mais opções para criar imagens e pode oferecer serviços a imagens em todo o ciclo de vida do sistema operacional. As seguintes seções descrevem os recursos do Windows 7 e as ferramentas relacionadas que melhoram a experiência de implantação. •
Gerenciamento e Manutenção de Imagens de Implantação
•
Gerenciamento e Implantação de Imagem de Disco Rígido Virtual
•
Provisionamento de Driver Dinâmico
•
Transferência de Vários Fluxos de Multicast
A ferramenta de Gerenciamento e Manutenção de Imagens de Implantação (DISM) é uma ferramenta unificada para criar e fazer a manutenção de imagens do Windows 7 offline, incluindo arquivos de imagens de WIM e disco rígido virtual (VHD). DISM é uma ferramenta de comando de linha programável que combina e estende as funções de diversos utilitários de imagens offline do Windows Vista, incluindo ImageX, Configuração de Definições Internacionais (IntlDfg.exe), PElmg e Gerenciador de Pacotes (PkgMgr.exe). O DISM também melhora o suporte à emissão de relatórios de erros e solução de problemas. Com o DISM, você pode montar e desmontar imagens de sistemas e atualizar componentes do sistema. Você também pode adicionar, numerar e remover drivers de dispositivos Não Microsoft. Você pode adicionar pacotes de linguagens e aplicar configurações internacionais. O mais importante, você pode facilmente manter um inventário de imagens offline que incluem atualizações de drivers, pacotes, recursos e software. 155
O DISM suporta o uso de scripts do Windows Vista em imagens do Windows 7 convertendo os comandos do Gerenciador de Pacotes para comandos DISM. O DISM também pode gerenciar imagens do Windows Vista. Os discos rígidos virtuais (VHDs) normalmente exigem soluções de gerenciamento e implantação isoladas de imagens do Windows com base em arquivoss nativos (WIM). Você pode usar o Windows 7 para gerenciar imagens de VHD com base no Windows 7 usando o DISM e para implantar arquivos VHD usando os Serviços de Implantação do Widnows. Você é beneficiado com o consumo de largura de banda de rede reduzido ao realizar implantações de rede automatizadas. Você também pode implantar arquivos de VHD, como arquivos WIM para cenários de implantação automatizados. Essas capacidades são especialmente valiosas ao usar ferramentas para implantação no data center. Com o Provisionamento de Driver Dinâmico do Windows 7, você pode reduzir o tamanho de suas imagens e o número de imagens que você mantém. Você não precisa atualizar imagens quando introduzir novos hardwares em seu ambiente. Armazenando centralmente drivers em servidores de implantação, separados de imagens, você pode instalar drivers dinamicamente ou atribuir conjuntos de drivers com base em informações contidas na BIOS. Se você instalar drivers dinamicamente, o Windows 7 enumera os dispositivos Plug-and-Play durante a instalação e depois escolhe drivers com base nos IDs Plug-and-Play de dispositivos reais do computador. Reduzir o número de dispositivos nos computadores individuais reduz o número de potenciais conflitos de driver. Isso diminui completamente o tempo de instalação e configuração e melhora a confiabilidade do computador. Você pode usar a opção de Transferência de Vários Fluxos no Multicast do Windows 7 para implantar imagens em todas as redes mais eficientemente. Em vez de exigir que cada cliente se conecte diretamente a um servidor de implantação, o Multicast permite que os servidores de implantação disponibilize imagens a diversos clientes simultaneamente. No Windows 7, A Transferência de Vários Fluxos permite servidores a clientes de grupos que possuem capacidades de largura de banda semelhantes em fluxos de rede, garantindo a taxa de transferência mais rápida possível. No modo padrão do Multicast, introduzido no Windows Server® 2008, o computador mais lento define a taxa de transferência de arquivo para outros computadores clientes. No modo padrão do Multicast sem usar a Transferência de Vários Fluxos, você pode definir os limites de desempenho de transeferência mínima para remover automaticamente computadores mais lentos do grupo multicast. O Windows 7 melhora a experiência de instalação com configuração mais rápida e consistente, ferramentas de sequenciamento de tarefas de instalação eficientes e transferência mais rápida de arquivos e configurações do usuário. O Windows 7 oferece mais ferramentas para reduzir ou eliminar o impacto da implantação para usuário A Ferramenta de Migração de Estado do Usuário (USMT) possui novos recursos para melhorar o desempenho do Windows 7. O USMT é uma ferramenta de linha de comando que você usa para migrar arquivos e configurações dos usuários, como 156
configurações de aplicativos e sistema operacional, de uma instalação do Windows para outra. Por exemplo, o USMT adiciona o recurso de migração de link físico, que migra arquivos e configurações sem mover fisicamente esses arquivos no disco quando atualizar o computador com uma instalação limpa. Esse recurso melhora significantemente o desempenho da migração. As melhorias adicionais do USMJ para o Windows 7 incluem o seguinte: •
•
•
Reduzir sua necessidade de gravar arquivos XML de migração personalizada fornecendo um algoritmo dinâmico para descobrir documentos do usuário durante a implantação. Permitir a migração de estado de usuário offline, que aumenta a flexibilidade e desempenfho para coletar arquivos e configurações do usuário. A migração de arquivos em uso usando o serviço de Cópia de Sombra de Volume.
Para o Windows 7, a Microsoft realizou diversas melhorias que facilitam a implantação da imagem. Essas melhorias incluem migração de compatibilidade nativa para faixas estendidas de aplicativos, ferramentas de engenharia de imagem novas e melhoradas que melhora a experiência de implantação e melhorias que facilicam a migração de arquivos e configurações de usuários.
157
4 - SEGURANÇA E PROTEÇÃO
Neste capítulo trataremos de informações detalhadas sobre recursos de segurança para o profissional de TI desenvolver, implantar e manter o Windows 7.
4.1 - Segurança do Cliente Aqui você verá onde podem ser obtidas mais informações sobre os novos recursos de segurança do Windows 7 e sobre as alterações nos recursos e tecnologias de segurança do Windows Vista.
4.1.1 - Alterações no Serviço Instalador do ActiveX O Serviço Instalador do ActiveX permite que os profissionais de TI gerenciem a implantação de controles ActiveX usando a Diretiva de Grupo em computadores da organização. Os controles ActiveX são objetos COM com registro automático. Eles são usados para proporcionar uma experiência de usuário mais interativa com o uso do Internet Explorer. Os controles ActiveX são normalmente distribuídos em arquivos .cab. Por padrão, as contas de usuário padrão não têm permissão para instalação de controles ActiveX. As seções a seguir descrevem os novos recursos no Instalador do ActiveX no Windows 7. O Serviço Instalador do ActiveX é instalado por padrão em todas as versões do Windows 7. Ele é ativado e configurado para iniciar quando solicitado pelos sites da Web que fornecem controles ActiveX. Os administradores podem especificar diretivas para permitir que os controles ActiveX sejam instalados dos sites na lista Sites confiáveis do Internet Explorer. A lista oferece suporte a caracteres curinga nas URLs para subdomínios. Isso possibilita que as organizações com farms de servidores em diversos domínios confiáveis permitam que contas de usuário padrão instalem controles ActiveX de qualquer site na lista Sites confiáveis. Para ajudar a garantir que somente os sites de confiança (de um ponto de vista organizacional) tenham permissão para instalar controles ActiveX, as zonas confiáveis do Internet Explorer devem ser configuradas, de modo que os usuários não possam modificar a lista Sites confiáveis e de modo que a lista Sites confiáveis seja preenchida de uma das seguintes maneiras: •
Instalação de sites confiáveis ativada pela Diretiva de Grupo.
158
•
•
O Internet Explorer está configurado para ler a lista de sites confiáveis na chave HKLM\Configuração do Computador\Modelos de registro Administrativos\Internet Explorer\Zona de Segurança: Usar Apenas as Configurações da Máquina está ativado. A Diretiva de Grupo Lista de Sites a Zonas localizada em Configuração do Computador\Modelos Administrativos\Internet Explorer\Painel de Controle de Internet\Página de Segurança contém a lista de sites confiáveis implantados pela Diretiva de Grupo.
Se você decidir usar esse recurso para permitir a instalação de sites confiáveis, a Diretiva de Grupo Lista de Sites a Zonas deverá ter pelo menos uma entrada para os sites confiáveis, a fim de evitar que os usuários padrão instalem controles ActiveX arbitrários. O uso de subdomínios com caracteres curinga permite que um usuário padrão instale programas e aplicativos de qualquer servidor em um subdomínio que use caracteres curinga. Isso pode incluir malwares e softwares potencialmente indesejáveis. Verifique se todos os servidores no subdomínio são totalmente confiáveis antes de ativar esse recurso.
4.1.2 - Alterações na Criptografia de Unidade de Disco BitLocker No Windows 7, a tecnologia de Criptografia de Unidade de Disco BitLocker foi ampliada. Agora, além de unidades do sistema operacional de unidades de dados fixas, ela também oferece suporte a dispositivos de armazenamento removíveis, como discos rígidos portáteis e unidades flash USB. Isso permite que você mantenha seus dados protegidos ao viajar ou usar qualquer computador que esteja executando Windows 7. As unidades de disco são preparadas automaticamente para uso pelo BitLocker. Não há necessidade de criar partições separadas antes de ativas o BitLocker. A partição do sistema é criada automaticamente e não possui uma letra de unidade. Portanto, ela não fica visível no Windows Explorer, o que impede a gravação não intencional de arquivos de dados. Em uma instalação padrão, um computador terá separadamente uma partição do sistema e uma unidade do sistema operacional. A partição do sistema é menor no Windows 7 do que no Windows Vista. Ela só precisa de 100 MB de espaço. O BitLocker pode ser usado para criptografar as unidades do sistema operacional, as unidades de dados fixas e as unidades de dados removíveis no Windows 7 e no Windows Server 2008 R2. Quando o BitLocker é usado com unidades de dados, a unidade pode ser formatada com sistema de arquivos exFAT, FAT16, FAT32 ou NTFS. Para isso, ela deve ter pelo menos 64 MB de memória disponível. Quando o BitLocker é usado com unidades do sistema operacional, a unidade deve ser formatada com o sistema de arquivos NTFS. É possível criptografar mídia removível. Para isso, é necessário abrir o Windows Explorer, clicar com o botão direito na unidade e clicar em Ativar BitLocker. O sistema solicitará a escolha de um método de desbloqueio da unidade. As opções incluem: 159
•
•
Senha. Combinação de letras, símbolos e número que o usuário deve digitar para desbloquear a unidade. Cartão inteligente. Na maioria dos casos, um cartão inteligente é emitido pela organização do usuário. Ele deve digitar o PIN do cartão inteligente para desbloquear a unidade.
Após selecionar os métodos de desbloqueio, o sistema solicitará que o usuário imprima ou salva a senha de recuperação. Ela é uma senha de 48 dígitos que também pode ser armazenada no AD DS (Serviços de Domínio Active Directory) e usada caso os outros métodos de desbloqueio não funcionem (por exemplo, caso a senha seja esquecida). Por fim, o sistema solicitará que o usuário confirme as seleções de desbloqueio e inicie a criptografia. No momento em que você inserir uma unidade protegida pelo BitLocker no computador, o Windows detectará automaticamente a criptografia da unidade e solicitará seu desbloqueio. Apesar de a criptografia de unidades estar disponível somente em algumas versões do Windows 7, todas as versões permitirão o desbloqueio de unidades protegidas pelo BitLocker. O BitLocker do Windows 7 apresenta uma grande variedade de novas configurações de Diretiva de Grupo, que facilitam o gerenciamento de recursos. Por exemplo, os administradores poderão: •
•
•
Exigir que todas as unidades removíveis sejam protegidas pelo BitLocker para que seja possível salvar dados. Exigir ou não permitir certos métodos de desbloqueio de unidades protegidas pelo BitLocker Configurar métodos de recuperação de dados de unidades protegidas pelo BitLocker, caso as credenciais de desbloqueio do usuário não estejam disponíveis.
Além das senhas de recuperação, os administradores podem usar a Diretiva de Grupo a fim de configurar uma chave pública para todo o domínio. Essa chave é chamada de agente de recuperação de dados e permite que um administrador desbloqueie qualquer unidade criptografada com o BitLocker. Antes de utilizar um agente de recuperação de dados, é necessário adicioná-lo, acessando-o no item Diretivas de Chave Pública, que pode ser encontrado no GPMC (Console de Gerenciamento de Diretiva de Grupo) ou no Editor de Diretiva de Grupo Local. Para usar um agente de recuperação de dados com o BitLocker, é necessário ativar a configuração de Diretiva de Grupo apropriada para as unidades que estão sendo usadas com o BitLocker. Essas configurações são: Configurar o modo como as 160
unidades de sistema operacional protegidas pelo BitLocker podem ser recuperadas, Configurar o modo como as unidades de dados removíveis protegidas pelo BitLocker podem ser recuperadas, Configurar o modo como as unidades de dados fixas protegidas pelo BitLocker podem ser recuperadas e Configurar o modo como as unidades protegidas pelo BitLocker podem ser recuperadas (Windows Server 2008 e Vista). Ao ativar a configuração da diretiva, marque a caixa de seleção Ativar agente de recuperação de dados. Há uma configuração de diretiva para cada tipo de unidade. Assim, é possível configurar diretivas de recuperação específicas para cada tipo de unidade em que o BitLocker é ativado. Você também deve ativar e configurar a configuração de diretiva Fornecer identificadores exclusivos para sua organização a fim de associar um identificador exclusivo a uma nova unidade protegida pelo BitLocker. Os campos de identificação são obrigatórios para o gerenciamento dos agentes de recuperação de dados nas unidades protegidas pelo BitLocker. O BitLocker cuidará do gerenciamento e da atualização dos agentes de recuperação de dados somente se um campo de identificação estiver presente em uma unidade e for idêntico ao valor configurado no computador. No Windows 7, as configurações de Diretiva de Grupo do BitLocker foram ampliadas a fim de incluir opções configuráveis para unidades de dados removíveis e unidades de dados fixas. A maioria das configurações de Diretiva de Grupo possuem definições específicas para aplicação em unidades de sistema operacional, unidades fixas e unidades removíveis, conforme apropriado. As configurações de Diretiva de Grupo do BitLocker podem ser exibidas com o Editor de Diretiva de Grupo Local ou com o GPMC. O uso dessas configurações auxilia na imposição da implantação da Criptografia de Unidade de Disco BitLocker em sua organização. As configurações de Diretiva de Grupo que afetam o BitLocker estão localizadas em Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker. As configurações de Diretiva de Grupo do BitLocker que são aplicadas globalmente estão localizadas nesta pasta. As subpastas das unidades de dados fixas, unidades do sistema operacional e unidades removíveis oferecem suporte à configuração de configuração de diretivas específicas para essas unidades. Caso queira usar o BitLocker para proteger um drive de sistema operacional em um computador que não possua TPM (Trusted Platform Module), será necessário ativar a configuração de Diretiva de Grupo Exigir autenticação adicional na inicialização e, na configuração, clicar em Permitir BitLocker sem um TPM compatível .
4.1.3 - Alterações no EFS O EFS (Sistema de Arquivos com Criptografia) fornece a tecnologia de criptografia de arquivos principal usada para armazenar arquivos criptografados em volumes com sistema de arquivos NTFS. Os arquivos criptografados não podem ser usados, a não ser que o usuário tenha acesso às chaves necessárias para decodificar as informações. O EFS oferece suporte aos algoritmos de criptografia padrão do setor, inclusive AES (Padrão Avançado de Criptografia), SHA (Secure Hash Algorithm), ECC (criptografia de curva elíptica), criptografia com base em cartões inteligentes e outros recursos. Conforme os padrões de criptografia continuam a evoluir e os algoritmos antigos tornam-se menos seguros, os novos algoritmos de criptografia devem ser incorporados a fim de auxiliar os usuários na proteção de seus dados. 161
No Windows 7, a arquitetura do EFS foi alterada para incorporar ECC. Isso permite que o EFS esteja em conformidade com as exigências de criptografia Suite B, conforme definido pela Agência de Segurança Nacional, a fim de atender às necessidades dos órgãos do governo norte-americano para proteção de informações confidenciais. Para estar em conformidade com a Suite B, é necessário o uso de algoritmos de criptografia AES, SHA e ECC a fim de proteger os dados. A Suite B não permite criptografia RSA. O EFS oferece suporte a uma operação "mista" de algoritmos ECC e RSA. Isso possibilita compatibilidade reversa com arquivos EFS criados com o uso de algoritmos permitidos em versões anteriores do Windows. Esse recurso pode ser útil em organizações que usam RSA e também querem usar algoritmos ECC a fim de se prepararem para entrar em conformidade com Suite B. A configuração padrão das diretivas de chave pública EFS permite que o EFS gere certificados autoassinados quando uma CA (autoridade de certificação) não está disponível. Algumas organizações não permitem o uso de certificados autoassinados em função das preocupações a respeito dos riscos de segurança das informações. Se você desativar essa configuração, os usuários deverão receber um certificado de uma CA confiável antes de usar o EFS. Se você permitir o uso de certificados autoassinados, será possível especificar a extensão da chave de criptografia usada para criptografar arquivos e pastas. Por padrão, o EFS usa chave de 2048 bits para certificados RSA autoassinados e chave de 256 bits para certificados ECC. As seguintes chaves RSA e ECC estão disponíveis: • • • • • • • •
RSA de 1024 bits RSA de 2.048 bits RSA de 4.096 bits RSA de 8.192 bits RSA de 16.384 bits ECC de 256 bits ECC de 384 bits ECC de 531 bits
As etapas para ativar o EFS não sofreram alterações em virtude do suporte a ECC; no entanto, foram adicionadas mais opções administrativas relacionadas a ECC. Especificamente, as configurações de Diretiva de Grupo podem ser usadas pelos administradores para negar a criação de arquivos EFS usando algoritmos que não estejam em conformidade com Suite B. A configuração de diretiva para EFS está localizada no Editor de Diretiva de Grupo Local, em Diretiva do Computador Local\Configurações do Windows\Configurações de Segurança\Diretivas de Chave Pública\Sistema de Arquivos com Criptografia. Após a ativação e a configuração das configurações da diretiva EFS, use as configurações da Diretiva de Grupo para especificar o modo como o suporte a ECC será realizado. Em Diretivas de Chave Pública, abra as propriedades do Sistema de Arquivos com Criptografia. Em seguida, na guia Geral, em Criptografia de Curva Elíptica, selecione a opção apropriada: Permitir para ativar o uso de algoritmos ECC e RSA, Solicitar para permitir somente o uso de algoritmos de criptografia ECC ou Não permitir para usar somente criptografia RSA. 162
Essas configurações de diretivas são válidas somente nos casos em que o arquivo ou a pasta está sendo criptografado pela primeira vez. Se um arquivo ou uma pasta já tiver sido criptografado antes do ajuste dessa configuração, o usuário ainda terá acesso ao conteúdo e continuará sendo criptografado usando o algoritmo que foi imposto na ocasião. Selecionar Solicitar não impõe o uso de AES na chave de criptografia do arquivo; impõe somente o uso de um algoritmo ECC. Alguns algoritmos ECC estão em conformidade com a Suite B; outros, não. As opções /K e /R do Cipher.exe incluem um parâmetro /ECC:length opcional, que permite a geração de chaves ECC. A extensão das chaves ECC pode ser especificada como 256, 384 ou 521. Esse parâmetro será ignorado a não ser que um certificado autoassinado esteja sendo gerado.
4.1.4 - Alterações na Autenticação Kerberos Este tópico de avaliação de produto para profissionais de TI descreve os aprimoramentos de criptografia na implementação da Microsoft do Kerberos v5 no Windows 7 e no Windows Server 2008 R2. Os conjuntos de codificação a seguir são permitidos no Windows 7 e no Windows Server 2008 R2: • • • • •
AES256-CTS-HMAC-SHA1-96 AES128-CTS-HMAC-SHA1-96 RC4-HMAC DES-CBC-MD5 DES-CBC-CRC Os conjuntos de codificação DES estão desativados por padrão no Windows 7.
É necessário configurar os computadores para que eles usem conjuntos de codificação DES-CBC-MD5 ou DES-CBC-CRC. Essas configurações podem afetar a compatibilidade com computadores clientes ou serviços e aplicativos em seu ambiente. A configuração de diretiva Configurar tipos de criptografia permitidos pelo Kerberos está localizada em Configuração do Computador\Configurações de Segurança\Diretivas Locais\Opções de Segurança. O Kerberos oferece suporte a ECC (criptografia de curva elíptica) para logon de cartões inteligentes. São utilizados certificados X.509. Por mais que essa mudança não seja aparente para os usuários finais, eles serão beneficiados com criptografia mais avançada para seus cartões inteligentes. Não é necessário realizar configurações para obter o suporte ECC no Kerberos. No entanto, os cartões inteligentes e os dispositivos de leitura devem oferecer suporte a ECC.
163
5 – VERSÕES
O produto disponibilizado para o público possui as seguintes edições: •
•
•
•
•
•
WINDOWS 7 STARTER : versão muito mais leve e de baixo custo do sistema destinado para usuários que estão iniciando no uso de um computador. Sem recursos como o Glass, Aero, Windows Touch e outros. WINDOWS 7 HOME BASIC : esta versão é uma das mais “enxutas” do Windows 7 que é destinado para grande maioria dos usuários domésticos. WINDOWS 7 HOME PREMIUM : destinado a uma outra parte dos usuários domésticos, e vem com o Media Center . Entretanto, carece de recursos como o desktop remoto, backup avançado e central de mobilidade. WINDOWS 7 PROFESSIONAL : esta é a versão onde sai a nomenclatura Business e entra a Professional novamente, que apesar de atender a maioria do mercado corporativo, não possui alguns recursos como o BitLocker , Direct Access e pacotes de idiomas. WINDOWS 7 ENTERPRISE :
é a versão destinada a usuários corporativos e licenciada somente em contratos de volume. Ela possui todos os recursos que não estão presentes no WINDOWS 7 PROFESSIONAL.
WINDOWS 7 ULTIMATE : versão mais completa e destinada a usuários entusiastas.
164
RESUMO O Windows 7 foi projetado para reduzir custo e aumentar a produtividade do departamento de TI aumentando a automação e fornecendo ferramentas para diagnóstico e resolução rápida dos problemas. O Windows PowerShell 2.0, um mecanismo de geração de scripts corporativo, está incluído no Windows 7 e permite que profissionais de TI automatizem praticamente cada aspecto do gerenciamento do sistema. É possível inclusive automatizar a criação e configuração dos objetos de Diretiva de Grupo simplificando a definição de política para organizações com uma estrutura complexa de diretivas. O Windows 7 também ajuda usuários a serem mais produtivos. Em especial, os profissionais de TI podem usar o PowerShell para criar Pacotes personalizados de Solução de Problemas do Windows, desenvolvidos para resolver os erros comuns de um ambiente específico. Como a solução de problemas é extensível, os profissionais de TI e os desenvolvedores dos aplicativos da linha de negócio podem projetar soluções para que os usuários diagnostiquem e resolvam problemas nos aplicativos internos. E usuários que resolvem seus próprios problemas, usando a Plataforma de Solução de Problemas do Windows, não precisam chamar o centro de suporte. Para os problemas que ainda necessitam do centro de suporte, o Windows 7 permite que os profissionais de TI os diagnostiquem e resolvam com rapidez. Qualquer um que tenha dificuldade de reproduzir um problema descrito por um usuário adorará o Gravador de Passos para Reprodução de Problemas, que coleta capturas de telas clique a clique mostrando as ações do usuário que levaram ao problema. Os aprimoramentos no Monitor de Recursos e no Monitor de Confiabilidade permitirão que profissionais de TI identifiquem rapidamente que processos estão causando problemas e quais alterações no sistema podem tê-los causado. Com as atualizações na Restauração do Sistema, usuários ou profissionais de TI podem identificar que aplicativos e drivers serão afetados antes de ativar um ponto de recuperação. O Ambiente de Recuperação do Windows é instalado por padrão para que possa ser acessado em casos de emergência ou quando o DVD de instalação não estiver disponível. O Windows 7 inclui aprimoramentos significativos na Diretiva de Grupo, a ferramenta utilizada pelos departamentos de TI para gerenciar centralmente os computadores que executam o Windows. Se você busca um ambiente de área de trabalho mais gerenciável e seguro, que restrinja o que os usuários dos aplicativos podem executar, o AppLocker permitirá a criação de regras mais flexíveis que podem ser aplicadas a qualquer versão de um aplicativo, mesmo as que ainda não foram liberadas. As Preferências da Diretiva de Grupo definem configurações padrão para os usuários, fornecendo um meio para o estabelecimento de uma configuração inicial que possa ser atualizada por eles, sem a necessidade de modificar imagens de implantação. Também é possível usar a Diretiva de Grupo para exigir a criptografia BitLocker, mesmo para dispositivos de armazenamento removíveis como unidades flash USB. Finalmente, com a ativação do DirectAccess, os computadores móveis poderão continuar a ser gerenciados, recebendo regularmente as configurações atualizadas da Diretiva de Grupo, sincronizando arquivos de dados com o servidor e baixando atualizações de software, uma vez que serão automaticamente conectados à sua rede interna sempre que se conectarem à Internet. Essas tecnologias permitem que o Windows 7 alcance um objetivo simples e universal: a redução dos custos de suporte na área de trabalho tornando os profissionais de TI mais produtivos. 165