Você está na página 1de 170

CENTRO UNIVERSITRIO CARIOCA ANALISE E DESENVOLVIMENTO DE SISTEMAS

WINDOWS SEVEN

Glauco R. Machado Gustavo C. Araujo Luiz Alexandre F. Ferro Marcus Vinicius S. Ferreira Mauro S. Santana

TRABALHO PARA 2 AVALIAO INF 136 SISTEMAS OPERACIONAIS

Turma 432

Rio de Janeiro 2010/1

Glauco R. Machado Gustavo C. Araujo Luiz Alexandre F. Ferro Marcus Vinicius S. Ferreira Mauro S. Santana

WINDOWS SEVEN

Trabalho de grupo para a Disciplina Sistemas Operacionais, do Curso de Analise e Desenvolvimento de Sistemas do Centro Universitrio Carioca Campus Jacarepagu. Analise e Desenv. de Sistemas, Sistemas Operacionais. Turma 432.

Rio de Janeiro 2010/1

SUMRIO INTRODUO WINDOWS 7 ............................................................................. 1 NOVIDADES E ALTERAES ....................................................................... 1.1 - Novidades .................................................................................................. 1.1.1 - AppLocker ......................................................................................... 1.1.2 - Biometria ........................................................................................... 1.1.3 - Certificados ........................................................................................ 1.1.4 - Ferramentas de Implantao .............................................................. 1.1.4.1 - Windows AIK .......................................................................... 1.1.4.2 - Servios de Implantao do Windows ..................................... 1.1.5 - Diretiva de Grupo .............................................................................. 1.1.5.1 - Cmdlets do Windows PowerShell para Diretiva de Grupo ..... 1.1.5.2 - Preferncias de Diretiva de Grupo ........................................... 1.1.5.3 - Objetos de Diretiva de Grupo de Incio ................................... 1.1.5.4 - Configuraes de Modelo Administrativo ............................... 1.1.6 - Reconhecimento de Manuscrito ......................................................... 1.1.7 - IIS 7.5 ................................................................................................. 1.1.8 - Rede ................................................................................................... 1.1.9 - Gerenciamento de Energia para Dispositivos de Rede ...................... 1.1.10 - Gerenciamento de Impresso ........................................................... 1.1.11 - Contas de Servio ............................................................................ 1.1.12 - Cartes Inteligentes .......................................................................... 1.1.13 - Controle de Conta de Usurio .......................................................... 1.1.14 - Discos Rgidos Virtuais ................................................................... 1.1.15 - Windows Defender .......................................................................... 1.1.16 - Windows Deployment ..................................................................... 1.1.17 - Windows PowerShell ....................................................................... 1.1.18 - Recursos de Pesquisa, Busca e Organizao do Windows ............. 1.1.19 - Auditoria de Segurana do Windows .............................................. 1.2 Alteraes e Melhorias ............................................................................. 1.2.1- Alteraes Diversas no Windows 7 .................................................... 1.2.2 - Segurana do Windows 7 ................................................................... 1.2.3 - Capacidade de Gerenciamento do Windows 7 .................................. 2 IMPLANTAO ................................................................................................ 2.1 - Implantaes MUI para Windows 7 .......................................................... 2.2 - Estratgia de Implantao .......................................................................... 2.2.1 - High-Touch com Retail Media .......................................................... 2.2.2 - High-Touch com Imagem Padro ...................................................... 2.2.3 - Lite-Touch, Implantao de Alto-Volume ......................................... 2.2.4 - Zero-Touch, Implantao de Alto-Volume ........................................ 3 - COMPATIBILIDADE DE APLICATIVOS ....................................................... 3.1 - Entendendo a Compatibilidade de Aplicativos ..................................... 3.2 - Compreendendo a compatibilidade de aplicativos no seu ambiente ....... 3.3 - Problemas de compatibilidade de aplicativos ............................................ 3.3.1- Coletando um inventrio de aplicativos .............................................. 3.3.2 - Analisando os Dados de Compatibilidade de Aplicativos ................ 3.4 - Application Compatibility Toolkit (ACT) verso 5.5 ............................... 3.5 - Application Compatibility Manager .......................................................... 3.6 - Caminhos de Atualizao do Windows 7 .................................................. 1 3 3 4 6 7 8 9 10 16 18 21 23 24 26 27 28 32 33 35 37 38 43 44 46 49 53 57 67 67 72 79 103 103 105 106 110 116 119 121 121 126 129 130 132 135 137 143

3.7 - User State Migration Tool 4.0 ................................................................... 3.7.1 - Viso geral da USMT ........................................................................ 3.7.2 Requisitos .......................................................................................... 3.7.3 - O que h de novo na USMT 4.0 ........................................................ 3.8 - Implantao da rea de Trabalho do Windows 7 ..................................... 4 - SEGURANA E PROTEO ........................................................................... 4.1 - Segurana do Cliente ................................................................................. 4.1.1 - Alteraes no Servio Instalador do ActiveX .................................... 4.1.2 - Alteraes na Criptografia de Unidade de Disco BitLocker ............. 4.1.3 - Alteraes no EFS .............................................................................. 4.1.4 - Alteraes na Autenticao Kerberos ................................................ 5 VERSES ........................................................................................................... RESUMO .................................................................................................................. REFERNCIAS ........................................................................................................

145 146 146 149 154 158 158 158 159 161 163 164 165 166

INTRODUO WINDOWS 7 A Microsoft lanou recentemente o sistema operacional cliente mais recente, o Windows 7. A maior parte das informaes contidas neste trabalho se concentrar em como o Windows 7 facilitar as tarefas do dia-a-dia, com uma experincia de usurio aprimorada e cenrios de produtividade para usurios finais, concentrando nas informaes especficas de interesse dos profissionais de TI. A arquitetura central do Windows 7 permanece a mesma, uma vez que construda sobre a mesma base do Windows Server 2008 e do Windows Vista. Isso garante que quase todos os PCs, aplicativos e dispositivos compatveis com o Windows Vista continuaro compatveis com o Windows 7. Na verdade, os investimentos feitos na adoo do Windows Vista (testes, pilotos, implantao) tero retorno com uma transio mais suave para o Windows 7. Ao projetar o Windows 7, a Microsoft concentrou-se no chamado de conceitos bsicos desempenho, compatibilidade de aplicativos, compatibilidade de dispositivos, confiabilidade, segurana e vida til da bateria. Esse esforo foi auxiliado pelos dados de telemetria sobre como os PCs esto sendo usados e sobre problemas que resultaram em baixo desempenho ou interrupes. O mais importante para os profissionais de TI sero os aprimoramentos em capacidade de gerenciamento e segurana e como esses aprimoramentos afetam nosso trabalho dirio. O Windows 7 foi desenvolvido para tornar o gerenciamento de ambientes de PC mais automatizado, controlvel e eficiente. Traz ferramentas e recursos de monitoramento que no esto disponveis em um ambiente com o Windows XP. A gerao de imagens do Windows 7 amplia os aprimoramentos bsicos feitos no Windows Vista, adicionando recursos de enumerao e de gerenciamento de drivers. A migrao de dados mais rpida e flexvel com o novo recurso de Hardlink, juntamente com o suporte migrao offline. Quando conversamos com os profissionais de TI, normalmente ouvimos sobre os problemas enfrentados ao manter uma configurao padro e impedir que os usurios finais adicionem software e hardware no autorizados. Alm disso, para computadores laptop remotos que passam a maior parte do tempo desconectados da rede corporativa, administrar patches e atualizaes desafiador e no confivel. A segurana uma daquelas questes eternas do gerenciamento de TI, e a conformidade com normas est se tornando um desafio maior devido ao aumento do nmero de regulamentaes em todo o mundo. Embora o Windows XP SP2 tenha apresentado avanos significativos na segurana de PCs, inovaes abominveis em malware e engenharia social significam que os PCs ainda esto propensos a ameaas de interrupo. Alm disso, implementar uma diretiva de conformidade com normas especialmente para proteger dados confidenciais em PCs mveis um desafio em particular. O Windows 7 aprimora ainda mais os avanos com um Controle de Conta de Usurio personalizvel que permite que os profissionais de TI ajustem o recurso com 1

base em seus ambientes; para as instncias onde mais flexibilidade concedida aos usurios, menos solicitaes de elevao sero exibidas. Ao contrrio, em ambientes que exigem um maior controle sobre a infra-estrutura de TI, o UAC pode ser reforado para minimizar as alteraes que um usurio pode fazer. Para a proteo de dados, veremos o BitLocker ToGo, estendendo a criptografia para unidades removveis. Esse recurso oferece maior controle sobre as informaes que saem da corporao, alm de ajudar a proteger unidades USB perdidas ou roubadas. O Windows 7 tambm incorpora aprimoramentos aos perfis de firewall e permite que a rea TI controle o acesso de usurios especficos a aplicativos especficos, mas falaremos sobre isso com mais detalhes em artigos futuros. A criao e a implantao de imagens foram aprimoradas com avanos como o provisionamento dinmico de unidades, a ferramenta de gerenciamento e manuteno de imagens de implantao, a transferncia de fluxos mltiplos de multicast e aprimoramentos na migrao de estado do usurio. O Windows 7 promete avanos em capacidade de gerenciamento, segurana, implantao e produtividade do usurio final. E nestas bases que seguem nosso trabalho.

1 NOVIDADES E ALTERAES
1.1 Novidades Os usurios esto ficando cada vez mais experientes em computao e, consequentemente, esperam mais da tecnologia que usam para trabalhar. Eles esperam poder trabalhar de casa, de filiais e quando estiverem viajando, sem reduo na produtividade. Conforme as necessidades dos usurios se modificam, aumentam as exigncias em relao aos profissionais de TI. Nos dias atuais, os profissionais de TI esto sendo solicitados a fornecer mais recursos e maior flexibilidade no suporte, e ao mesmo tempo, manter a reduo de custos e de riscos segurana. Com o Windows 7, os profissionais de TI podem atender a essas diferentes necessidades dos usurios de forma mais fcil de gerenciar. As empresas podem permitir que os funcionrios trabalhem de forma mais produtiva na mesa do escritrio, em casa, viajando ou em uma filial. A segurana e o controle foram aprimorados, reduzindo o risco associado aos dados em computadores perdidos ou unidades externas de disco rgido. O gerenciamento de desktops foi otimizado, assim, h menos esforo para implantar o Windows 7 e mant-lo em perfeito funcionamento. Como o Windows 7 tem o Windows Vista como base, as empresas que j tm o Windows Vista instalado podero perceber que o Windows 7 altamente compatvel com hardwares, softwares e ferramentas existentes. O Windows 7 contm muitos recursos novos e modificados interessantes para os profissionais de TI. A seguir esto algumas das principais tarefas de gerenciamento que podem ser melhoradas ou habilitadas com o Windows 7. a) O Windows 7 permite que os usurios finais sejam produtivos, no importa onde estejam ou onde residem os dados dos quais precisam. Eles podem trabalhar com mais rapidez e menos interrupes, pois o Windows 7 aumenta o desempenho e a confiabilidade. Eles no precisam procurar em vrios lugares para encontrar as informaes, pois uma nica pesquisa pode examinar um site do SharePoint na intranet de uma empresa, bem como os arquivos de seus computadores. Com o DirectAccess, os usurios mveis podero acessar com segurana e simplicidade os recursos corporativos quando estiverem fora do escritrio. Os usurios nas filiais com conexes lentas tambm podem ser mais produtivos usando o BranchCache no Windows 7 para armazenar em cache os arquivos e as pginas da Web acessados com mais frequncia. b) O Windows 7 tem como base a segurana do Windows Vista, oferecendo maior flexibilidade na proteo de computadores e dados. Alm de proteger os discos rgidos internos, a Criptografia de Unidade de Disco BitLocker agora pode criptografar unidades USB e discos rgidos externos e fornecer chaves de recuperao para que os dados possam ser acessados quando necessrios. Para obter mais informaes sobre BitLocker, consulte Viso geral executiva do BitLocker do Windows 7. Para empresas que demandam os nveis mais altos de conformidade, os profissionais de TI podem usar novas ferramentas de bloqueio de aplicativos para indicar quais aplicativos podero ser executados nos computadores do usurio final, fornecendo ainda outra maneira para limitar o risco de software mal-intencionado. 3

c) Se os profissionais de TI gerenciam e implantam computadores desktop, computadores portteis ou ambientes virtuais, o Windows 7 facilita o trabalho, permitindo que eles usem as mesmas ferramentas e habilidades que usam com o Windows Vista. As ferramentas avanadas de gerenciamento e implantao de imagens permitem que os profissionais de TI adicionem, removam e gerem relatrios sobre drivers, pacotes de idioma e atualizaes e implantem essas imagens de sistema nos computadores do usurio usando menos largura de banda da rede. Os novos recursos de script e automao baseados no Windows PowerShell 2.0 reduzem os custos de gerenciamento e soluo de problemas de computadores. Para profissionais de TI que usam virtualizao de cliente, o Windows 7 os ajuda a manter as imagens de mquinas virtuais de modo mais fcil e a proporcionar uma experincia mais rica ao usurio por conexes remotas. d) O Microsoft Desktop Optimization Pack, que atualizado pelo menos uma vez ao ano, completa a experincia corporativa. Ao usar o Windows 7 e o Microsoft Desktop Optimization Pack juntos, as empresas podem otimizar a infraestrutura de desktop e obter a flexibilidade para solucionar suas necessidades comerciais exclusivas. As empresas podem preparar-se rapidamente para implantar o Windows 7 imediatamente o Windows Vista e o Microsoft Desktop Optimization Pack. Os clientes que j executam o Windows Vista percebero que o Windows 7 oferece compatibilidade avanada com os softwares e dispositivos do Windows Vista e que o Windows 7 pode ser gerenciado com muitas ferramentas j utilizadas no gerenciamento do Windows Vista. As empresas que usam o Microsoft Desktop Optimization Pack tero ainda uma grande vantagem ao adotar o Windows 7, pois elas tero mais facilidade para migrar configuraes e aplicativos.

1.1.1 - AppLocker O AppLocker um novo recurso nos sistemas operacionais Windows 7 e Windows Server 2008 R2 que substitui o recurso Diretivas de Restrio de Software. O AppLocker contm novos recursos e extenses que reduzem a sobrecarga administrativa e ajudam administradores a controlar como os usurios podem acessar e usar arquivos, por exemplo, arquivos .exe, scripts, arquivos do Windows Installer (.msi e .msp) e DLLs. Com o AppLocker, possvel:

Definir regras com base em atributos do arquivo derivados da assinatura digital, incluindo fornecedor, nome do produto, nome do arquivo e verso do arquivo. Por exemplo, voc pode criar regras com base nos atributos de fornecedor e verso do arquivo que sejam persistentes durante as atualizaes ou criar regras que se destinem a uma verso especfica do arquivo. As regras do AppLocker especificam que arquivos esto autorizados a executar. Arquivos que no estejam includos nelas, no tm permisso para executar.

Atribuir uma funo a um grupo de segurana ou a um usurio individual. 4

Voc no pode atribuir as regras do AppLocker a zonas da Internet, computadores individuais ou caminhos do registro.

Criar excees para arquivos .exe. Por exemplo, voc pode criar uma regra que permita a execuo de todos os processos do Windows, exceto o Regedit.exe. Usar o modo Auditoria apenas para identificar arquivos que no possam ser executados enquanto a diretiva for vlida. Importar e exportar regras. O AppLocker til para organizaes que desejam:

Limitar a quantidade e os tipos de arquivos com permisso para executar, evitando a execuo de software mal-intencionado e restringindo a instalao de controles ActiveX. Reduzir o custo total de propriedade assegurando a homogeneidade entre as estaes de trabalho da empresa e a dos usurios que executam exclusivamente software e aplicativos aprovados pela empresa. Reduzir a possibilidade de vazamentos de informaes em software no autorizado.

O AppLocker tambm pode ser de interesse para organizaes que atualmente usam os Objetos de Diretiva de Grupo (GPOs) para gerenciar computadores com base no Windows ou ter instalaes de aplicativos por usurio.

Por padro, as regras do AppLocker no permitem que usurios abram ou executem arquivos que no estejam especificamente autorizados. Os administradores devem manter uma lista atualizada dos aplicativos permitidos. H uma degradao de desempenho mnima devido s verificaes do tempo de execuo. Como o AppLocker similar ao mecanismo Diretiva de Grupo, os administradores devem saber como criar e implantar Diretivas de Grupo. As regras do AppLocker no podem ser usadas para gerenciar computadores que executem um sistema operacional anterior ao Windows 7. Se as regras do AppLocker forem definidas em um GPO, somente essas regras sero aplicadas. Para assegurar a interoperabilidade entre as regras das Diretivas de Restrio de Software e as do AppLocker, use GPOs diferentes ao definir regras para tais Diretivas e para o AppLocker. Uma regra do AppLocker no ser aplicada se estiver definida como Auditoria apenas. Quando um usurio executar um aplicativo includo nela, este abrir e executar normalmente e suas informaes sero adicionadas ao log de eventos do AppLocker.

O AppLocker est disponvel em todas as edies do Windows Server 2008 R2 e em algumas edies do Windows 7.

1.1.2 Biometria Para maior comodidade, o Windows 7 permite que administradores e usurios usem dispositivos biomtricos de impresso digital para fazer logon em computadores, conceder privilgios de elevao por meio do UAC (Controle de Conta de Usurio) e executar gerenciamento bsico de dispositivos de impresso digital. Os administradores podem gerenciar dispositivos biomtricos de impresso digital nas configuraes da Diretiva de Grupo, permitindo, limitando ou bloqueando seu uso. Um nmero crescente de computadores, especialmente computadores portteis, possuem leitores de impresso digital incorporados. Os leitores de impresso digital podem ser usados para identificao e autenticao de usurios no Windows. At hoje, no h suporte padro para dispositivos biomtricos ou para aplicativos habilitados para biometria no Windows. Os fabricantes de computador tm que fornecer software para oferecer suporte a dispositivos biomtricos em seus produtos. Isso torna mais difcil o uso desses dispositivos pelos usurios, bem como o gerenciamento pelos administradores. O Windows 7 inclui o Windows Biometric Framework, que expe os leitores de impresso digital e outros dispositivos biomtricos a aplicativos de nvel mais elevado de uma maneira uniforme, alm de oferecer uma experincia consistente ao usurio na deteco e inicializao de aplicativos de impresso digital. Isso acontece porque ele fornece os seguintes recursos:

Um item do Painel de Controle de Dispositivos Biomtricos que permite aos usurios controlar a disponibilidade de dispositivos biomtricos e se eles podem ser usados para fazer logon em um computador local ou domnio. Suporte ao Gerenciador de Dispositivos para gerenciamento de drivers de dispositivos biomtricos. Suporte ao provedor de credenciais para permitir e configurar o uso de dados biomtricos para fazer logo em um computador local e executar a elevao UAC. Configuraes da Diretiva de Grupo para habilitar, desabilitar ou limitar o uso de dados biomtricos em um um domnio ou computador local. As configuraes da Diretiva de Grupo tambm podem impedir a instalao de softwares de driver de dispositivos biomtricos ou fazer com que esse tipo de software seja desinstalado. Software de driver de dispositivo biomtrico disponvel no Windows Update.

Os dispositivos biomtricos de impresso digital oferecem um modo conveniente para os usurios fazerem logon em computadores e conceder elevao por meio do UAC. 6

Os novos recursos biomtricos fornecem um modo consistente de implementar aplicativos habilitados para biometria de impresso digital e gerenciar dispositivos biomtricos em computadores autnomos ou em uma rede. Com o Windows Biometric Framework, os usurios tm mais facilidade para usar os dispositivos biomtricos e os administradores mais facilidade para configur-los e control-los em um computador local ou em um domnio. A introduo do Windows Biometric Framework permite a integrao de dispositivos biomtricos de impresso digital no Windows. Ele oferece uma experincia consistente ao usurio para fazer logon no Windows e executar a elevao UAC. Alm disso, ele fornece um conjunto comum de pontos de deteco e integrao que permite uma experincia mais consistente ao usurio entre dispositivos e aplicativos. O Windows Biometric Framework tambm inclui funes de gerenciamento que permitem aos administradores controlar a implantao de dispositivos biomtricos de impresso digital na empresa.

1.1.3 - Certificados

Windows 7 introduz protocolos HTTP, que permitem a inscrio de registro de certificado baseado em polticas para alm das fronteiras do Active Directory e atravs da Internet. Estas alteraes permitem novo certificado de registro que permitem s organizaes ampliar a acessibilidade das atuais infra-estruturas de chave pblica (PKI) implantaes e reduzir o nmero de autoridades de certificao (CAs). Melhorias na interface do usurio do certificado de seleo e a lgica de filtragem proporcionar uma experincia de usurio simplificada, quando um aplicativo apresenta vrios certificados.

Empresas com um novo ou existente PKI podem usar HTTP inscrio nestes cenrios de implantao de novo:

Em mltiplos ambientes de rede, os computadores cliente podem se inscrever para os certificados de CAs em uma rede diferente. Em implantaes de intranet, os trabalhadores mveis e parceiros de negcios podem pedir e renovar os certificados atravs da internet.

Os navegadores de internet e muitas outras aplicaes utilizam a caixa de dilogo Seleo de Certificado para solicitar que os usurios a selecionem o certificado quando vrios certificados esto disponveis. A caixa de dilogo Seleo de Certificado apresenta uma lista de certificados para escolher, mas escolher o certificado correto pode ser uma tarefa confusa que muitas vezes resulta em chamadas de suporte e uma experincia de usurio novos. Organizaes encontrando esses problemas podem beneficiar na melhoria da seleo de certificado. As organizaes que tm mltiplos ambientes de redes e uma PKI por rede pode usar HTTP para permitir a inscrio de registro de certificado para alm das fronteiras da rede e consolidar a sua PKI para usar CAs menos. 7

Organizaes que emitem certificados para os trabalhadores mveis, parceiros de negcios, ou on-line os clientes podem usar HTTP para permitir a inscrio de registro de certificado atravs da Internet e simplificar o processo de inscrio para usurios remotos. Os protocolos HTTP so baseados em padres abertos, servios Web e podem ser implementados pelas organizaes que pretendam fornecer servios de certificao online e servios de autoridade de registro. A experincia de seleo de certificado inclui melhorias na lgica de filtragem e interface do usurio. Melhoria da lgica de filtragem visa reduzir o nmero de certificados que so apresentados ao usurio, de preferncia, resultando em um nico certificado que no requer nenhuma ao do usurio. critrios de filtro pode ser especificado no pedido e incluir efeitos de certificado, perodo de validade, e caminho de certificao. Se mais de um certificado atende aos critrios de filtro, a caixa de dilogo Seleo de Certificado exibe detalhes de cada certificado como assunto, o emissor e prazo de validade, bem como um grfico que faz a distino entre certificados de cartes inteligentes e certificados que esto instalados no computador. A inscrio HTTP requer implantao do certificado de registro de servios da Web includo no Windows Server 2008 R2. Para obter mais informaes. Administradores usar Group Policy para distribuir os locais dos servios Web certificado de inscrio para os membros do domnio. Windows 7 tambm suporta Lightweight Directory Access Protocol (LDAP) de inscrio que compatvel com CAs existentes que executam o Windows Server 2003 ou Windows Server 2008. Os aplicativos que usam o CryptUIDlgSelectCertificate funcionam automaticamente usando a nova caixa de dilogo Seleo de Certificado e geralmente no requerem mudanas. A nova bandeira foi adicionado API para que os aplicativos possam usar a caixa de dilogo Seleo de Certificado, no entanto, isso requer que o pedido seja modificado e distribudo para os usurios. Alm disso, os parmetros opcionais podem ser usados para especificar os critrios para a funo CertSelectCertificateChains, que usado para selecionar os certificados a serem exibidos pela funo CryptUIDlgSelectCertificate.

1.1.4 - Ferramentas de Implantao As alteraes principais do recurso possuem duas ferramentas de implantao: Windows AIK (Kit de Instalao Automatizada do Windows) e Servios de Implantao do Windows. MTD (Microsoft Deployment Toolkit) o processo e o conjunto de ferramentas recomendados para automatizar a implantao de servidor e rea de trabalho. 1.1.4.1 - Windows AIK Voc pode usar a ferramenta DISM (Gerenciamento e Manuteno de Imagens de Implantao) para personalizar as imagens do Windows de vrias maneiras. Por exemplo, voc pode:

Adicionar ou remover drivers de dispositivo de 32 e 64 bits. 8

Adicionar ou remover pacotes de idiomas. Habilitar ou desabilitar recursos do Windows. Adicionar e configurar atualizaes.

As novas ferramentas DISM substituem muitas das ferramentas de verses anteriores do Windows AIK, incluindo Gerenciador de Pacotes (Pkgmgr.exe), a Ferramenta de Definio de Configuraes Internacionais (Intlcfg.exe) e a ferramenta de linha de comando do Windows PE (Ambiente de Pr-instalao do Windows) (PEimg.exe). A Ferramenta de Migrao de Perfil do Usurio (USMT) 4.0 do Microsoft Windows est instalado como parte do Windows AIK. Voc pode usar o USMT 4.0 para agilizar e simplificar a migrao de perfil do usurio durante grandes implantaes dos sistemas operacionais Windows Vista, Windows 7 e Windows Server 2008 R2. O USMT captura contas de usurio, arquivos de usurio, configuraes do sistema operacional e configuraes do aplicativo. Ele os migra para uma nova instalao do Windows. Voc pode usar o USMT para migraes lado a lado e de limpeza e carga. A instalao padro do Windows inclui suporte para uma partio de sistema separada. Nas instalaes padro, a Instalao do Windows cria duas parties em um disco rgido. Voc pode usar uma partio para as ferramentas de Recuperao, para habilitar Criptografia de Unidade de Disco Windows BitLocker ou para outros recursos. Use a partio secundria para instalar o sistema operacional. A partio do sistema, que hospeda o gerenciador de inicializao e arquivos relacionados, no ter mais uma letra de unidade, por padro. Voc pode adicionar manualmente uma letra de unidade durante a instalao, utilizando as configuraes \DiskConfiguration\Disk\ModifyPartitions\ModifyPartition\Letter de instalao do Microsoft Windows. Voc pode reduzir o nmero de imagens mantidas no ambiente utilizando a ferramenta Upgrade de Imagem no DISM. Em vez de manter imagens do Windows separadas para cada edio do Windows que deseja implantar, voc pode manter uma nica imagem do Windows personalizada. Durante a implantao, voc pode usar o DISM para fazer upgrade da imagem do Windows para uma edio do Windows posterior. Esse recurso permite a reduo do nmero de imagens do Windows que voc precisa manter na sua organizao. Voc pode usar o DISM com a nova opo /Apply-Profile para reduzir o contedo em uma imagem do Windows PE apenas para aqueles arquivos necessrios para oferecer suporte a um determinado conjunto de aplicativos. Por exemplo, voc pode usar a opo /Apply-Profile para implantar uma imagem do Windows PE em uma UFD (Unidade flash USB). No Windows 7 e no Windows Server 2008 R2, um VHD (Disco rgido virtual) pode ser utilizado como o sistema operacional em execuo no hardware designado sem nenhum outro sistema operacional pai, computador virtual ou hipervisor. Um hipervisor uma camada de software abaixo do sistema operacional que executa as mquinas virtuais. As ferramentas de gerenciamento de disco, a ferramenta DiskPart e o MMC de 9

Gerenciamento de Disco podem ser usados para criar um arquivo de disco rgido virtual (.vhd) inicializvel. Um arquivo de imagem generalizado (.wim) pode ser implantado no VHD, e o arquivo .vhd pode ser copiado para vrios computadores. O gerenciador de inicializao pode ser configurado para inicializar o arquivo .wim a partir do VHD. A VAMT (Ferramenta de Gerenciamento de Ativao de Volume) permite que os administradores de rede e outros profissionais de TI automatizem e gerenciem centralmente o processo de ativao de volume do Windows para os computadores em suas organizaes. A VAMT pode gerenciar a ativao de volume utilizando MAKs (Vrias Chaves de Ativao) ou o KMS (Servio de Gerenciamento de Chaves) do Windows. A tabela a seguir descreve algumas das nova e importantes definies configurveis para Windows 7 e Windows Server 2008 R2. Essas configuraes esto disponveis na maioria das imagens do Windows e podem ser manipuladas no Windows SIM (Gerenciador de Imagens do Sistema).

1.1.4.2 - Servios de Implantao do Windows As alteraes nos Servios de Implantao do Windows tambm esto disponveis no Windows Server 2008 R2:

Provisionamento de driver dinmico. A capacidade de implantar pacotes de driver em computadores cliente como parte de uma instalao, a capacidade de adicionar pacotes e drivers a imagens de inicializao antes de implantao. Para obter mais detalhes, consulte Provisionamento de pacote de drivers posteriormente neste tpico. Implantao de disco virtual. A capacidade de implantar imagens de disco rgido virtual (.vhd) como parte de uma instalao no monitorada. Para obter mais detalhes, consulte implantao de .vhd posteriormente neste tpico. Funcionalidade adicional de multicast. A capacidade de desconectar automaticamente clientes lentos e dividir transmisses em vrios fluxos com base nas velocidades do cliente. Alm disso, oferece suporte para multicasting em ambientes que usam o IPv6. Fornecedor de PXE para Servidor de Transporte. Inclui um fornecedor PXE quando voc instala o servio da funo Servidor de Transporte. Voc pode usar o Servidor de Transporte para inicializao de rede, dados multicast ou ambos como parte de uma configurao avanada. O Servidor de Transporte um servidor autnomo. Isto , quando voc usa o Servidor de Transporte para inicializao de rede e multicast, o seu ambiente no precisa de AD DS (Servios de Domnio Active Directory) ou DNS (Sistema de Nome de Domnio). Para obter instrues, consulte o tpico Configurao do Servidor de Transporte. Funcionalidade adicional de EFI. Suporta inicializao de rede de computadores x64 com EFI, incluindo a funcionalidade de adio automtica,

10

referncia de DHCP a clientes diretos a um servidor PXE especfico, para implantar imagens de inicializao usando multicast. A tabela a seguir compara os recursos e as funcionalidades que esto includas em cada verso dos Servios de Implantao do Windows:
Recurso
Windows Server 2003

Windows Server 2008

W. Server 2008 R2

Sistemas operacionais implantados

Modo herdado: Windows 2000, Windows XP, Windows Server 2003 Modo misto: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 Modo nativo: Windows 2000 Professional, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 Modo herdado: RISETUP e RIPREP Modo misto: RISETUP, RIPREP, .wim Modo nativo: .wim

Windows 2000 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2

Windows XP Windows Server 2003 Windows Vista com SP1 Windows Server 2008 Windows 7 Windows Server 2008 R2

Tipos de imagem implantadas

Para uma nova instalao, somente as imagens .wim so suportadas. Se voc atualizar do Windows Server 2003, poder converter qualquer imagem RIPREPP para o formato .wim depois da atualizao. Porm, as imagens RISETUP no contam com suporte. Windows PE

.wim As imagens .vhd do Windows Server 2008 R2 so suportadas como parte de uma instalao no monitorada (gerenciada usando somente a linha de comando).

Ambiente de inicializao

Modo herdado: OSChooser Modo misto: OSChooser e

Windows PE

11

Windows PE (Ambiente de Pr-instalao do Windows) Modo nativo: Windows PE Experincia de administrao Modo herdado: Conjunto de ferramentas RIS (Servios de Instalao Remota) Modo misto: Conjunto de ferramentas RIS para gerenciar imagens RISETUP e RIPREP. Snapin MMC (Console de Gerenciamento Microsoft) e WDSUTIL para gerenciar imagens .wim. Modo nativo: Snap-in MMC e WDSUTIL Sem suporte. Snap-in MMC e WDSUTIL Snap-in MMC e WDSUTIL

Multicast

Suportado para imagens de instalao. (O arquivo Boot.wim de ser do DVD do Windows Server 2008, Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.)

Suportado para imagens de instalao. (O arquivo Boot.wim de ser do DVD do Windows Server 2008, Windows Vista com SP1, Windows 7 ou Windows Server 2008 R2.) Suportado para imagens de inicializao para computadores com EFI (gerenciado usando somente a linha de comando). Oferece a capacidade de desconectar 12

automaticamente clientes lentos e dividir transmisses em vrios fluxos com base nas velocidades do cliente (a imagem de inicializao deve ser Windows 7 ou Windows Server 2008 R2). Oferece suporte para multicasting em ambientes que usam IPv6 (a imagem de inicializao deve ser do Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2). Provisionamento Sem suporte. de driver Sem suporte. Oferece a capacidade de implantar pacotes de driver a computadores cliente com base em seu hardware como parte de uma instalao (a imagem de instalao de ser o Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008). Oferece a capacidade de adicionar pacotes de drivers a imagens de inicializao (somente imagens do Windows Server 2008 R2 e Windows 7). Suporta transmisso de dados e imagens com o uso de multicasting em um servidor autnomo (Servidor de 13

Extensibilidade

Sem suporte.

Suporta transmisso de dados e imagens com o uso de multicasting em um servidor autnomo (Servidor de

Transporte). Porm, voc deve desenvolver uma maneira de inicializar clientes. EFI (Interface de Firmware Extensvel) Suporta inicializao de rede de computadores com base em Itanium com EFI. Suporta inicializao de rede de computadores com base em Itanium e x64 com EFI.

Transporte). Inclui um fornecedor PXE para clientes de inicializao. Suporta inicializao de rede de computadores com base em x64 com EFI. Inclui funcionalidade de adio automtica. Inclui referncia DHCP a clientes diretos em um servidor PXE especfico. Oferece a capacidade de implantar imagens de inicializao usando multicasting.

Os grupos a seguir podem se interessar por essas alteraes:

Especialistas em implantao que so responsveis pela implantao de sistemas operacionais do Windows Planejadores de TI, criadores ou analistas que esto avaliando o Windows 7 ou Windows Server 2008 R2

No Windows Server 2008 R2, voc pode adicionar e configurar pacotes de drivers em um servidor que esteja executando os Servios de Implantao do Windows. Depois que voc tiver adicionado pacotes de drivers ao servidor, voc poder fazer o seguinte:

Implantar pacotes de drivers a computadores clientes no hardware do cliente como parte de uma instalao. Essa funcionalidade est disponvel somente quando voc estiver instalando imagens dos seguintes sistemas operacionais: Windows Vista com SP1, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Adicionar pacotes de drivers (como drivers de adaptadores de rede, drivers de armazenamento em massa e drivers de barramento) a suas imagens de inicializao do Windows 7 e Windows Server 2008 R2. Essa nova funcionalidade oferece os seguintes benefcios:

Elimina a necessidade de adicionar pacotes de drivers manualmente usando as ferramentas do Kit de Instalao Automatizada do Windows. 14

Minimiza o tamanho das imagens de instalao. Facilita a atualizao e o gerenciamento de drivers, pois os drivers so armazenados fora das imagens. Elimina a necessidade de manter vrias imagens para diferentes configuraes de hardware. Elimina a necessidade de ferramentas adicionais para gerenciar drivers (por exemplo, o MDT ou Microsoft Deployment Toolkit ou solues que no so Microsoft). Elimina a necessidade de usar um arquivo de instalao sem monitoramento para adicionar drivers. Seguem abaixo os pr-requisitos para provisionamento de pacote de drivers:

Um servidor dos Servios de Implantao do Windows configurado com o seguinte:

A imagem de inicializao do Windows 7 ou Windows Server 2008 R2 (em \Sources\Boot.wim no DVD de instalao). Instalar imagens para Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2. Pacotes de drivers para o hardware que deseja implantar. Observe que esses pacotes devem ser extrados (isto , o pacote no pode ser um arquivo .msi ou .exe).

Voc pode implantar imagens .vhd do Windows Server 2008 R2 em computador fsico (no uma mquina virtual) usando os Servios de Implantao do Windows. Em geral, voc implanta imagens .vhd da mesma maneira que implanta imagens .wim. Este cenrio destinado a usurios avanados que j tm imagens .vhd. Essa nova funcionalidade oferece os seguintes benefcios:

Permite que voc padronize o .vhd como seu formato de imagem comum. Antes, voc tinha que gerenciar imagens de sistema operacional no formato .vhd para mquinas virtuais e no formato .wim para computadores fsicos. Simplifica a implantao de imagem por meio da habilitao de computadores fsicos para inicializar a partir de imagens .vhd. Permite que voc provisione um servidor com vrias imagens .vhd e alterne entre as imagens facilmente. Voc pode criar vrias imagens .vhd que so personalizadas para diferentes funes e as implante em um nico servidor. Em seguida, se o equilbrio das cargas de trabalho mudar no centro de dados (por exemplo, voc quiser realocar um computador executando o Microsoft SQL Server para ser um servidor da Web), voc poder inicializar dentro do .vhd para essa funo em vez de reinstalar o sistema operacional. 15

Permite que voc reverta alteraes quando usar discos diferenciais.

O uso do WDSUTIL na linha de comando o nico mtodo suportado de adicionar e configurar as imagens. Alm disso, a implantao deve fazer parte de uma instalao automatizada, de modo que voc deve criar e configurar dois arquivos no monitorados para automatizar a instalao. Para implantar imagens .vhd, voc precisa do seguinte:

Um servidor dos Servios de Implantao do Windows que seja configurado para pelo menos uma imagem de inicializao. Familiaridade com a ferramenta de linha de comando WDSUTIL, pois essa a nica maneira de importar e configurar imagens .vhd. Uma imagem .vhd com suporte. Os nicos sistemas operacionais suportados so Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate. Imagens .vhd fixas, dinmicas e diferenciais so suportadas. Porm, observe que uma imagem suportada no pode conter o seguinte:

Mais de um sistema operacional. Mais de uma partio. Aplicativos ou dados (em vez de um sistema operacional). Uma edio de 64 bits do Windows que particionada com uma GPT (tabela de partio GUID).

Esses recursos esto disponveis em todas as edies.

1.1.5 - Diretiva de Grupo As seguintes alteraes esto disponveis no Windows Server 2008 R2 e no Windows 7 com Ferramentas de Administrao de Servidor Remoto (RSAT):

Cmdlets do Windows PowerShell para Diretiva de Grupo: Capacidade de gerenciar a Diretiva de Grupo a partir da linha de comando do Windows PowerShell e executar scripts do PowerShell durante o logon e a inicializao Preferncias de Diretiva de Grupo: Tipos adicionais de itens de preferncia Objetos de Diretiva de Grupo de Incio: Melhorias nos GPOs de Incio Configuraes de Modelo Administrativo: Interface do usurio melhorada e configuraes de diretiva adicionais

A Diretiva de Grupo fornece uma infraestrutura para gerenciamento de configurao centralizado do sistema operacional e dos aplicativos que so executados no sistema operacional.

16

Os seguintes grupos podem ter interesse em tais alteraes:

Profissionais de TI que precisam gerenciar usurios e computadores em um ambiente de domnio Administradores de Diretiva de Grupo dedicados Pessoal de TI em geral Pessoal de apoio

possvel gerenciar a Diretiva de Grupo local e do domnio usando verses baseadas em domnio do Windows Server 2008 R2. Embora o GPMC (Console de Gerenciamento de Diretiva de Grupo) seja distribudo com o Windows Server 2008 R2, preciso instalar o Gerenciamento de Diretiva de Grupo como um recurso por meio do Gerenciador de Servidores. Tambm possvel gerenciar a Diretiva de Grupo local e do domnio usando o Windows 7. Para gerenciar a Diretiva de Grupo local, o Editor de Objeto de Diretiva de Grupo foi substitudo pelo Editor de Diretiva de Grupo Local. Para gerenciar a Diretiva de Grupo do domnio, necessrio instalar o GPMC. O GPMC includo com o RSAT, que est disponvel para download:

Ferramentas de Administrao de Servidor Remoto do Windows Server 2008 R2 para Windows 7 Ferramentas de Administrao de Servidor Remoto do Windows Server 2008 para Windows Vista com SP1

O RSAT permite que os administradores de TI gerenciem remotamente funes e recursos no Windows Server 2008 R2 a partir de um computador executando o Windows 7. O RSAT inclui suporte ao gerenciamento remoto de computadores que esto executando uma instalao Server Core ou a opo de instalao completa do Windows Server 2008 R2. A funcionalidade fornecida pelo RSAT semelhante do Pacote de Ferramentas de Administrao do Windows Server 2003. A instalao do RSAT no instala automaticamente o GPMC. Para instalar o GPMC depois de instalar o RSAT, clique em Programas no Painel de Controle, clique em Ativar ou desativar recursos do Windows, expanda Ferramentas de Administrao de Servidor Remoto, expanda Ferramentas de Administrao de Recursos e marque as caixas de seleo Ferramentas de Administrao de Recursos e Ferramentas de Gerenciamento de Diretiva de Grupo. A Diretiva de Grupo est disponvel em todas as edies do Windows Server 2008 R2 e do Windows 7. A Diretiva de Grupo tanto local como baseada no domnio pode ser gerenciada usando qualquer verso do Windows Server 2008 R2 e qualquer verso do Windows 7 com suporte a RSAT. Sem RSAT, somente a Diretiva de Grupo local pode ser gerenciada usando o Windows 7. Com RSAT, a Diretiva de Grupo tanto local como baseada no domnio pode ser gerenciada usando qualquer edio do Windows 7 com suporte a RSAT.

17

A Diretiva de Grupo est disponvel nas verses de 32 bits e de 64 bits do Windows Server 2008 R2. A opo pela verso de 32 bits ou de 64 bits no afeta a interoperabilidade, escalabilidade, segurana ou gerenciabilidade de Diretiva de Grupo.

1.1.5.1 - Cmdlets do Windows PowerShell para Diretiva de Grupo O Windows PowerShell um shell de linha de comando e uma linguagem de scripts do Windows que voc pode usar para automatizar muitas das tarefas que executa na interface do usurio usando o GPMC (Console de Gerenciamento de Diretiva de Grupo). Para ajudar a executar essas tarefas, a Diretiva de Grupo no Windows Server 2008 R2 fornece mais de 25 cmdlets. Cada cmdlet uma linha de comando simples de funo nica. Voc pode usar os cmdlets de Diretiva de Grupo para executar as seguintes tarefas de GPOs (objetos de Diretiva de Grupo) baseados no domnio:

Fazendo a manuteno de GPOs: criao, remoo, backup e importao de GPOs.

Associando GPOs com contineres do Active Directory: criao, atualizao e remoo do link da Diretiva de Grupo.

Definindo sinalizadores de herana e permisses nas unidades organizacionais e domnios do Active Directory.

Configurando definies de diretivas baseadas no registro e definies do Registro de Preferncias de Diretiva de Grupo: atualizao, recuperao e remoo.

Criando e editando GPOs de Incio.

Para usar os cmdlets da Diretiva de Grupo do Windows PowerShell, voc deve executar o Windows Server 2008 R2 em um controlador de domnio ou em um servidor-membro que tenha o GPMC instalado, ou o Windows 7 com as RSAT (Ferramentas de Administrao do Servidor Remoto) instaladas. As RSAT inclui o GPMC e seus cmdlets. Voc tambm deve usar o comando Import-Module grouppolicy para importar o mdulo Diretiva de Grupo antes de usar os cmdlets no incio de cada script que os utilizam e no incio de cada sesso do Windows PowerShell. Voc pode usar os cmdlets GPRegistryValue para alterar as configuraes de diretiva baseadas no registro e os cmdlets GPPrefRegistryValue para alterar os itens de preferncia do Registro. Para obter mais informaes sobre os cmdlets de Diretiva de Grupo, voc pode usar os cmdlets Get-Help<cmdlet-name> e GetHelp<cmdlet_name>-detailed para exibir a Ajuda bsica e detalhada. 18

As novas configuraes de diretiva agora permitem que voc especifique se os scripts do Windows PowerShell sero executados antes de scripts no relacionados ao Windows PowerShell durante a inicializao e o desligamento do computador do usurio, e logon e logoff do usurio. Por padro, os scripts do Windows PowerShell so executados depois dos scripts no relacionados ao Windows PowerShell. Configuraes de Diretiva de Grupo
Nome da configurao Local Valor padro Valores possveis

Executar scripts do Windows PowerShell primeiro na inicializao, no desliga-mento do computador

Computer Configuration\ Policies\ Administrative Templates\ System\ Scripts\

No Configurado (scripts do Windows PowerShell so executados depois dos scripts no relacionados ao Windows PowerShell)

No Configurado, Habilitado, Desabilitado Essa configurao de diretiva determina a ordem em que os scripts de inicializao e desligamento do computador so executados em todos os GPOs aplicveis. Voc pode substituir essa configurao de diretiva para tipos especficos de script em um GPO especfico, definindo as seguintes configuraes de diretiva para o GPO: Computer Configuration\Policies\ Windows Settings\Scripts (Inicializao/ Desligamento)\ Inicializao e Computer Configuration\Policies\ Windows Settings\Scripts (Inicializao/ Desligamento)\ Desligamento. No Configurado, Habilitado, Desabilitado Essa configurao de diretiva determina a ordem em que os scripts de logon e logoff do usurio so executados em todos os GPOs aplicveis. Voc pode substituir essa configurao de diretiva 19

Executar scripts do Windows PowerShell primeiro no logon, logoff do usurio

Computer Configuration\ Policies\ Administrative Templates\ System\ Scripts\

No Configurado (scripts do Windows PowerShell so executados depois dos scripts no relacionados ao Windows PowerShell)

para tipos especficos de script em um GPO especfico, definindo as seguintes configuraes de diretiva para o GPO: User Configuration\Policies\ Windows Settings\Scripts (Logon/Logoff)\Logon e User Configuration \Policies\ Windows Settings\Scripts (Logon/Logoff)\Logoff. Executar scripts do Windows PowerShell primeiro no logon, logoff do usurio User Configuration\ Policies\ Administrative Templates\ System\ Scripts\ No Configurado (scripts do Windows PowerShell so executados depois dos scritps no relacionados ao Windows PowerShell) No Configurado, Habilitado, Desabilitado Essa configurao de diretiva determina a ordem em que os scripts de logon e logoff do usurio so executados em todos os GPOs aplicveis. Voc pode substituir essa configurao de diretiva para tipos especficos de script em um GPO especfico, definindo as seguintes configuraes de diretiva para o GPO: User Configuration\Policies\ Windows Settings\Scripts (Logon/Logoff)\Logon e User Configuration\Policies\ Windows Settings\Scripts (Logon/Logoff)\Logoff. No Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do Windows PowerShell por ltimo

Inicializao (guia Scripts do PowerShell)

Computer Configuration\ Policies\ Windows Settings\ Scripts (Startup/ Shutdown)\ Computer Configuration\ Policies\ Windows

No Configurado

Desligamento (guia Scripts do PowerShell)

No Configurado

No Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do 20

Settings\ Scripts (Startup/ Shutdown)\ Logon (guia Scripts do PowerShell) User Configuration\ Policies\ Windows Settings\ Scripts (Logon/ Logoff)\ User Configuration\ Policies\ Windows Settings\ Scripts (Logon/ Logoff)\ No Configurado

Windows PowerShell por ltimo

No Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do Windows PowerShell por ltimo

Logoff (guia Scripts do PowerShell)

No Configurado

No Configurado, Executar scripts do Windows PowerShell primeiro, Executar scripts do Windows PowerShell por ltimo

1.1.5.2 - Preferncias de Diretiva de Grupo Os novos tipos de itens de preferncia a seguir podem ser gerenciados usando as plataformas Windows Server 2008 R2 e Windows 7 com as Ferramentas de Administrao de Servidor Remoto (RSAT). As extenses no lado do cliente dos novos tipos de itens de preferncia esto includas nos sistemas operacionais Windows Server 2008 R2 e Windows 7:
I. II. III. IV.

Itens de preferncia de Plano de Energia (Windows Vista e posterior) Itens de preferncia de Tarefa Agendada (Windows Vista e posterior) Itens de preferncia de Tarefa Imediata (Windows Vista e posterior) Itens de preferncia do Internet Explorer 8

Elas permitem que voc gerencie mapeamentos de unidade, configuraes do registro, usurios e grupos locais, servios, arquivos e pastas sem a necessidade de aprender uma nova linguagem de scripts. Voc pode usar os itens de preferncia para reduzir a quantidade necessria de scripts e imagens do sistema personalizadas, padronizar o gerenciamento e colaborar com a segurana nas redes. Com o direcionamento de nvel de item de preferncia, possvel simplificar o gerenciamento da rea de trabalho, reduzindo a quantidade necessria de objetos de Diretiva de Grupo.

21

Os sistemas operacionais Windows Server 2008 R2 e Windows 7 com RSAT melhoram vrias extenses de preferncia com a adio dos novos tipos de itens de preferncia, fornecendo suporte para os planos de energia e tarefas imediatas ou agendadas das plataformas Windows 7, Windows Server 2008 e Windows Vista, e para o Windows Internet Explorer 8. I - Itens de preferncia de Plano de Energia (Windows Vista e posterior) Os sistemas operacionais Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extenso de preferncia Opes de Energia com a adio deste tipo de itens de preferncia. Voc pode usar esses itens para configurar as opes de exibio e de suspenso a fim de gerenciar e reduzir o consumo de energia dos computadores, colaborando com o meio ambiente. Com eles, voc tem a opo de permitir que os usurios faam alteraes nas opes padro. Ainda que seja possvel gerenciar as opes de energia usando configuraes impostas por diretivas, algumas funes de usurio (por exemplo, usurios mveis) podem precisar da flexibilidade de alterar essas configuraes por conta prpria. A interface do usurio deste tipo de itens de preferncia parecida com a das configuraes de energia avanadas das Opes de Energia no Painel de Controle. Essa semelhana simplifica o domnio da funcionalidade. Assim como para os demais tipos de itens de preferncia, possvel usar o direcionamento de nvel de item de preferncia para restringir os computadores e usurios aos quais este tipo se aplica. Esses itens podem ser usados somente para o gerenciamento do consumo de energia de computadores que executem os sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista. Para computadores com o Windows XP ou Windows Server 2003, use os itens de preferncia de Opes de Energia (Windows XP) e de Esquema de Energia (Windows XP). II - Itens de preferncia de Tarefa Agendada (Windows Vista e posterior) As plataformas Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extenso de preferncia de Tarefas Agendadas com a adio de itens de preferncia de Tarefa Agendada (Windows Vista e posterior). Voc pode usar esses itens para criar, substituir, atualizar e excluir tarefas e propriedades associadas. Ainda que seja possvel utiliz-los para gerenciar as tarefas dos sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista, este tipo de itens de preferncia oferece uma interface semelhante do Agendador de Tarefas nas plataformas Windows 7, Windows Server 2008 e Windows Vista, junto com as mesmas opes. Assim como para os demais tipos de itens de preferncia, possvel usar o direcionamento de nvel de item de preferncia para restringir os computadores e usurios aos quais este tipo se aplica. Os itens de preferncia de Tarefa Agendada (Windows Vista e posterior) podem ser usados somente para o gerenciamento de tarefas em computadores que executem os sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista. Para computadores com Windows XP ou Windows Server 2003, use os itens de preferncia de Tarefa Agendada.

22

III - Itens de preferncia de Tarefa Imediata (Windows Vista e posterior) As plataformas Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extenso de preferncia de Tarefas Agendadas com a adio de itens de preferncia de Tarefa Imediata (Windows Vista e posterior). Voc pode usar esses itens para criar tarefas que sejam executadas imediatamente aps a atualizao da Diretiva de Grupo e sejam removidas logo em seguida. Antigamente, no havia suporte para este tipo de itens de preferncia nos sistemas operacionais Windows Server 2008 e Windows Vista. Tais itens propiciam uma interface de usurio intuitiva semelhante do Agendador de Tarefas nas plataformas Windows 7, Windows Server 2008 e Windows Vista, junto com as mesmas opes. Assim como para os demais tipos, possvel usar o direcionamento de nvel de item de preferncia para restringir os computadores e usurios aos quais este tipo se aplica. Os itens de preferncia de Tarefa Imediata (Windows Vista e posterior) podem ser usados somente para gerenciamento de tarefas em computadores que executem os sistemas operacionais Windows 7, Windows Server 2008 e Windows Vista. Para computadores com Windows XP ou Windows Server 2003, use os itens de preferncia de Tarefa Imediata (Windows XP). IV - Itens de preferncia do Internet Explorer 8 As plataformas Windows Server 2008 R2 e Windows 7 com RSAT melhoram a extenso de preferncia Configuraes da Internet com a adio de itens de preferncia do Internet Explorer 8. Voc pode usar esses itens para atualizar as opes da Internet do navegador Internet Explorer 8. Assim como para os demais tipos de itens de preferncia, possvel usar o direcionamento de nvel de item de preferncia para restringir os computadores e usurios aos quais este tipo se aplica. Os navegadores Internet Explorer 8 e Internet Explorer 7 apresentam configuraes padro diferentes; o mesmo acontece com os tipos de itens de preferncia correspondentes. Os itens de preferncia do Internet Explorer 8 podem ser usados apenas para o gerenciamento das opes da Internet do Internet Explorer 8. Para gerenciar verses anteriores, use os itens de preferncia do Internet Explorer 7 ou do Internet Explorer 5 e 6.

1.1.5.3 - Objetos de Diretiva de Grupo de Incio Objetos de diretiva de grupo (GPOs) Iniciais do Sistema para os seguintes cenrios esto disponveis no Windows Server 2008 R2 e no Windows 7 com Ferramentas de Administrao de Servidor Remoto (RSAT):

Windows Vista Cliente Corporativo (EC) Windows Vista Cliente SSLF (Specialized Security - Limited Functionality) Windows XP Service Pack 2 (SP2) EC 23

Cliente SSLF Windows XP SP2

GPOs Iniciais do Sistema so GPOs de Incio somente leitura que oferecem uma linha de base de configuraes para um cenrio especfico. Como os GPOs de Incio, os GPOs Iniciais do Sistema derivam de um GPO, permitem armazenar uma coleo de configuraes de diretiva de modelo administrativo em um nico objeto e podem ser importados. Os GPOs Iniciais do Sistema so includos como parte do Windows Server 2008 R2 e do Windows 7 com RSAT e no precisam ser baixados e instalados separadamente. Os GPOs Iniciais do Sistema includos com o Windows Server 2008 R2 e o Windows 7 com RSAT fornecem configuraes de Diretiva de Grupo recomendadas para os seguintes cenrios descritos no Guia de Segurana do Windows Vista ou no Guia de Segurana do Windows XP:

As configuraes de Diretiva de Grupo de computador e usurio recomendadas para o ambiente de cliente SSLF do Windows Vista esto contidas nos GPOs Iniciais do Sistema de Computador EC do Windows Vista e Usurio EC do Windows Vista. As configuraes de Diretiva de Grupo de computador e usurio recomendadas para o ambiente de cliente SSLF do Windows Vista esto contidas nos GPOs Iniciais do Sistema de Computador EC do Windows Vista e Usurio EC do Windows Vista. As configuraes de Diretiva de Grupo de computador e usurio recomendadas para o ambiente de cliente EC do Windows XP SP2 esto contidas nos GPOs Iniciais do Sistema de Computador EC do Windows XP SP2 e Usurio EC do Windows XP SP2. As configuraes de Diretiva de Grupo de computador e usurio recomendadas para o ambiente de cliente SSLF do Windows XP SP2 esto contidas nos GPOs Iniciais do Sistema de Computador SSLF do Windows XP SP2 e Usurio SSLF do Windows XP SP2.

No mais necessrio baixar esses GPOs Iniciais do Sistema, porque j esto includos no Windows Server 2008 R2 e no Windows 7 com RSAT.

1.1.5.4 - Configuraes de Modelo Administrativo Modelos administrativos (arquivos .ADMX) so configuraes de diretiva com base no Registro que aparecem no n Modelos Administrativos dos ns de Configurao do Computador e do Usurio. Essa hierarquia criada quando o Console de Gerenciamento de Diretiva de Grupo l arquivos de modelo Administrativo baseados em XML.

24

Os modelos Administrativos agora fornecem uma interface do usurio aprimorada e suporte a tipos de Registro de valor de sequncia de caracteres mltipla (REG_MULTI_SZ) e QWORD. I - Interface do usurio aprimorada Nas verses anteriores do Windows, a caixa de dilogo de propriedades de uma configurao de diretiva de modelo Administrativo inclua trs guias separadas: Configurao (para habilitar ou desabilitar uma configurao de diretiva e configurar opes adicionais), Explicar (para saber mais sobre uma configurao de diretiva) e Comentrio (para inserir informaes opcionais sobre a configurao de diretiva). No Windows Server 2008 R2, essas opes esto disponveis em um nico local na caixa de dilogo propriedades, em vez de em trs guias separadas. Essa caixa de dilogo agora redimensionvel. Alm disso, o campo Explicar, que fornece informaes adicionais sobre uma configurao de diretiva, agora chamado de Ajuda. Ao fornecer todas as opes necessrias para a definio das configuraes de diretiva em um nico local, a interface do usurio aprimorada dos modelos Administrativos reduz o tempo administrativo necessrio para configurar e obter mais informaes sobre as configuraes de diretiva. II - Suporte a tipos de valor de Registro de sequncia de caracteres mltipla e QWORD Os modelos Administrativos agora fornecem suporte aos tipos de valor de Registro de sequncia de caracteres mltipla (REG_MULTI_SZ) e QWORD. Essa alterao expande as opes de gerenciamento de Diretiva de Grupo ao permitir que as organizaes usem configuraes de diretiva de modelo Administrativo para gerenciar aplicativos que usam os tipos de valor de Registro REG_MULTI_SZ e QWORD. O suporte ao tipo de valor de Registro REG_MULTI_SZ permite executar as seguintes tarefas durante a configurao da diretiva de modelo Administrativo: Habilitar uma configurao de diretiva, digitar vrias linhas de texto e classificar as entradas. Editar uma configurao existente e acrescentar novos itens de linha. Editar uma configurao existente e editar itens de linha individuais. Editar uma configurao existente, selecionar uma ou mais entradas e excluir as entradas selecionadas. As entradas no precisam ser adjacentes. O suporte ao tipo de valor de Registro QWORD permite usar configuraes de diretiva de modelo Administrativo para gerenciar aplicativos de 64 bits. Para a Diretiva de Grupo no Windows Server 2008 R2 e no Windows 7 com RSAT, mais de 300 configuraes de diretiva de modelo Administrativo foram adicionadas. Para determinar se configuraes de diretiva especficas das tecnologias documentadas neste guia foram adicionadas ou alteradas, consulte os tpicos apropriados sobre a tecnologia em questo.

25

1.1.6 - Reconhecimento de Manuscrito O Windows 7 fornece muitas melhorias no Tablet PC para reconhecimento de manuscrito, incluindo: Suporte para reconhecimento de manuscrito, personalizao e previso de texto em novos idiomas. Suporte para expresses de matemtica manuscritas. Dicionrios personalizados para reconhecimento de manuscrito. Novos recursos de integrao para desenvolvedores de software. No Windows Vista, o reconhecimento de manuscrito tem suporte para oito idiomas latinos: ingls (Estados Unidos e Reino Unido), alemo, francs, espanhol, italiano, holands e portugus brasileiro, alm de suporte para quatro idiomas do leste asitico: japons, chins (simplificado e tradicional) e coreano. No Windows 7, h suporte para 14 idiomas adicionais: noruegus (Bokml e Nynorsk), sueco, finlands, dinamarqus, polons, portugus (Portugal), romeno, srvio (cirlico e latino), catalo, russo, tcheco e croata. Os usurios do Windows 7 podem iniciar o TIP (Painel de Entrada do Tablet), escrever no idioma desejado para o qual h um reconhecedor disponvel e inserir o texto convertido e reconhecido em aplicativos como o Microsoft Outlook ou Word. No Windows Vista, a personalizao para reconhecimento de manuscrito tem suporte apenas do ingls dos Estados Unidos e ingls do Reino Unido para os idiomas latinos. No Windows 7, seis idiomas latinos adicionais, para os quais organizadores de base foram lanados no Windows Vista, recebero os benefcios dos recursos de Personalizao. Alm disso, a personalizao ser includa para todos os 14 novos idiomas no Windows 7. A personalizao melhora a experincia de manuscrito de um usurio de modo significativo, pois o reconhecedor aprende como e o qu um usurio escreve. Ao usar o teclado virtual (na tela) do Windows 7, a Previso de Texto ajuda voc a inserir o texto de maneira mais eficiente. Depois de digitar algumas letras, ser oferecida aos usurios uma lista de palavras correspondentes; Com base nas palavras que os usurios inserem com mais frequncia e nas correes feitas, ao longo do tempo, o Windows 7 se tornar ainda melhor na previso das palavras. Ao usar o teclado virtual, os idiomas com suporte do Windows 7 para Previso de Texto so expandidos alm do suporte do ingls dos Estados Unidos e ingls do Reino Unido no Windows Vista para incluir os seguintes idiomas: francs, alemo, italiano, coreano, chins simplificado, chins tradicional e japons. Os novos idiomas com suporte para Previso de Texto com entrada caneta incluem chins simplificado e chins tradicional. A Previso de Texto para chins simplificado e chins tradicional oferece preenchimento automtico de palavras e previso da prxima palavra. Os usurios se beneficiaro desse recurso, pois ele agiliza consideravelmente a entrada manuscrita para esses idiomas. O Windows 7 permite que os usurios que trabalham com expresses matemticas usem o reconhecimento manuscrito para inserir expresses usando o Painel de Entrada de Expresses Matemticas, um novo acessrio. Esse painel reconhece expresses matemticas manuscritas, fornece uma experincia de correo avanada e insere expresses matemticas nos programas de destino. O Controle de Entrada de 26

Expresses Matemticas, que oferece a mesma funcionalidade de reconhecimento e correo, permite aos desenvolvedores integrar diretamente o reconhecimento de expresses matemticas manuscritas em programas para um grau mais alto de controle e personalizao. No Windows Vista, a capacidade dos usurios de adicionar uma nova palavra aos dicionrios internos limitada. O Windows 7 permite que os usurios criem dicionrios personalizados, de modo que eles possam substituir ou aumentar o vocabulrio interno usando suas prprias listas de palavras especializadas. O Windows 7 expe muitas melhorias do Tablet PC para acesso pelos desenvolvedores de software, de modo que eles possam tornar seus aplicativos mais teis. Por exemplo, as APIs da Anlise de Tinta no Windows 7 aprimoram e aceleram o desenvolvimento de aplicativos habilitados para tinta e facilitam a integrao de recursos bsicos de reconhecimento de formas. Por meio desses recursos, os usurios se beneficiaro de mais opes em programas que podem usar os recursos exclusivos de um Tablet PC.

1.1.7 - IIS 7.5 Qualquer pessoa que deseje criar um site em um computador executando o Windows 7, ou qualquer empresa ou organizao que hospede ou desenvolva sites ou servios do Windows Communication Foundation (WCF), pode se beneficiar dos aprimoramentos feitos no IIS 7.5. As sees a seguir descrevem os aprimoramentos para o IIS 7.5 no Windows 7. (Nem todos os recursos esto disponveis em todas as edies do Windows 7.) I - Extenses integradas Baseado na arquitetura extensvel e modular apresentada no IIS 7, o IIS 7.5 integra e aprimora extenses existentes enquanto fornece extensibilidade e personalizao adicionais. O mdulo Filtragem de Solicitaes, anteriormente disponvel como uma extenso do IIS 7, ajuda a evitar que solicitaes potencialmente prejudiciais cheguem ao servidor, permitindo que voc restrinja ou bloqueie solicitaes de HTTP especficas. II - Aprimoramentos de gerenciamento O IIS 7.5 tem a mesma arquitetura de gerenciamento distribuda e delegada do IIS 7, mas o IIS 7.5 tambm oferece novas ferramentas de administrao. O mdulo do IIS no Windows PowerShell um snap-in do Windows PowerShell que permite que voc execute tarefas administrativas do IIS e gerencie dados de configurao e de tempo de execuo do IIS. Alm disso, uma coleo de cmdlets orientados a tarefa fornece uma maneira simples de gerenciar sites, aplicativos e servidores Web.

27

O Registro em log e rastreamento de configurao permite que voc controle o acesso configurao do IIS e acompanhe as modificaes bem-sucedidas ou falhas habilitando novos logs que se tornam disponveis no Visualizador de Eventos. III - Aprimoramentos de hospedagem de aplicativo Oferecendo uma variedade de novos recursos que ajudam a aumentar a segurana e a aprimorar o diagnstico, o IIS 7.5 uma plataforma ainda mais flexvel e gerencivel para muitos tipos de aplicativos da Web, tais como ASP.NET e PHP. Baseado no modelo de isolamento de pool de aplicativos do IIS 7 que aumentou a segurana e a confiabilidade, agora o pool de aplicativos do IIS 7.5 executa cada processo como uma identidade exclusiva e menos privilegiada. Os componentes do mecanismo da Web do IIS podem ser consumidos ou hospedados por outros aplicativos. Isso permite que os componentes sirvam solicitaes de HTTP diretamente em um aplicativo. Isso til para habilitar recursos bsicos do servidor Web em aplicativos personalizados ou aplicativos de depurao. No IIS 7.5, os desenvolvedores de PHP que usam o mdulo FastCGI podem implementar chamadas de rastreamento do IIS dentro dos aplicativos. Os desenvolvedores podem solucionar erros de aplicativo usando o Rastreamento de Solicitao Falha do IIS para depurar o cdigo durante o desenvolvimento.

1.1.8 - Rede Os sistemas operacionais Windows Server 2008 R2 e Windows 7 incluem melhorias de rede que facilitam a conexo e a permanncia dos usurios independentemente de sua localizao ou do tipo de rede. Essas melhorias tambm permitem que os profissionais de TI atendam s necessidades de suas empresas de maneira segura, confivel e flexvel. Os novos recursos de rede so:
I.

DirectAccess, que permite aos usurios acessar uma rede corporativa sem precisar iniciar uma conexo VPN (rede virtual privada).

II.

Reconexo VPN, que restabelece automaticamente uma conexo VPN assim que a conectividade com a Internet restaurada, evitando que os usurios redigitem suas credenciais e recriem a conexo VPN.

III.

BranchCache, que permite que o contedo atualizado de arquivo e servidores Web em uma WAN (rede de longa distncia) seja armazenado em cache, em computadores de uma filial local, aumentando o tempo de resposta do aplicativo e reduzindo o trfego da WAN.

28

IV.

QoS (Qualidade de Servio) baseada em URL, que permite atribuir um nvel de prioridade ao trfego com base na URL da qual o trfego se origina.

V.

Suporte ao dispositivo de banda larga mvel, que fornece um modelo baseado em driver para dispositivos que so usados para acessar uma rede de banda larga mvel.

VI.

Vrios perfis de firewall ativos, que habilitam as regras de firewall mais apropriadas para cada adaptador de rede com base na rede em que est conectado.

I - DirectAccess Com o recurso DirectAccess introduzido no Windows Server 2008 R2, os computadores membros do domnio que executam o Windows 7 podem se conectar a recursos da rede corporativa sempre que se conectarem Internet. Durante o acesso aos recursos da rede, um usurio conectado Internet tem praticamente a mesma experincia que teria se estivesse conectado diretamente LAN (rede local) da organizao. Alm disso, o DirectAccess permite que os profissionais de TI gerenciem computadores mveis fora do escritrio. Sempre que um computador membro do domnio conecta-se Internet, antes do logon do usurio, o DirectAccess estabelece uma conexo bidirecional que permite ao computador cliente manter-se atualizado com as diretivas da empresa e receber atualizaes de software. Os recursos de segurana e desempenho do DirectAccess incluem autenticao, criptografia e controle de acesso. Os profissionais de TI podem configurar os recursos de rede aos quais o usurio poder se conectar, concedendo acesso ilimitado ou restringindo o acesso a servidores ou redes especficos. O DirectAccess tambm oferece um recurso que envia apenas o trfego destinado rede corporativa atravs do servidor DirectAccess. Outros tipos de trfego da Internet so roteados atravs do gateway de Internet usado pelo computador cliente. Esse recurso opcional e o DirectAccess pode ser configurado para enviar todo o trfego atravs da rede corporativa. O servidor do DirectAccess deve estar executando o Windows Server 2008 R2, deve ser um membro do domnio e ter dois adaptadores de rede fsicos instalados. Dedique o servidor do DirectAccess somente ao DirectAccess e no hospede nele nenhuma outra funo importante. Os clientes do DirectAccess devem ser membros do domnio que executam o Windows 7. Use o Assistente para Adicionar Recursos no Gerenciador de Servidor para instalar o console de Gerenciamento do DirectAccess, que permite configurar o servidor e monitorar as operaes do DirectAccess aps a instalao. As consideraes sobre infraestrutura incluem:

AD DS (Servios de Domnio Active Directory). Pelo menos um domnio Active Directory deve ser implantado. No h suporte a grupos de trabalho.

29

Diretiva de Grupo. A Diretiva de Grupo recomendada para implantao de configuraes do cliente.

Controlador de domnio. Pelo menos um controlador de domnio no domnio contendo contas de usurio deve executar o Windows Server 2008 ou posterior.

PKI (infraestrutura de chave pblica). Uma PKI obrigatria para emisso de certificados. Certificados externos no so obrigatrios. Todos os certificados SSL devem ter um ponto de distribuio de CRL (lista de certificados revogados) acessvel via FQDN (nome de domnio totalmente qualificado) que possa ser resolvido publicamente no local ou remotamente.

Diretivas IPsec. O DirectAccess usa IPsec para fornecer autenticao e criptografia a comunicaes pela Internet. recomendvel que os administradores se familiarizem com o IPsec.

IPv6. O IPv6 fornece endereamento de ponta a ponta, necessrio para que os clientes mantenham conectividade contnua com a rede corporativa. As organizaes que ainda no estiverem prontas para implantar o IPv6 podero usar as tecnologias de transio do IPv6, como ISATAP (Protocolo de Endereamento de Tnel Automtico Intra-Site), Teredo e 6to4, a fim de se conectarem pela Internet IPv4 e acessarem os recursos do IPv4 na rede corporativa. O IPv6 ou as tecnologias de transio devem estar disponveis no servidor do DirectAccess e ter permisso para passar pelo firewall de rede do permetro.

II - Reconexo VPN A Reconexo VPN um novo recurso do RRAS (Servio de Roteamento e Acesso Remoto) que fornece aos usurios conectividade VPN consistente e contnua, restabelecendo automaticamente uma VPN quando os usurios perdem temporariamente a conexo com a Internet. Os usurios que se conectam usando banda larga mvel so os que mais se beneficiaro com esse recurso. Com a Reconexo VPN, o Windows 7 restabelece automaticamente as conexes VPN ativas quando a conectividade com a Internet restabelecida. Embora a reconexo possa demorar um pouco, ela transparente aos usurios. A Reconexo VPN usa o modo de encapsulamento IPsec com o IKEv2 (Internet Key Exchange version 2), que descrito no RFC 4306, aproveitando especificamente a mobilidade e a MOBIKE (multihoming extension) do IKEv2, descritas no RFC 4555. A Reconexo VPN implementada no servio de funo RRAS da funo NPAS (Servios de Acesso e Diretiva de Rede) de um computador que esteja executando o Windows Server 2008 R2. As consideraes de infraestrutura so includas nas funes 30

NPAS e RRAS. Os computadores cliente devem estar executando o Windows 7 para aproveitar a Reconexo VPN. III - BranchCache Com o BranchCache, o contedo da Web e dos servidores de arquivo na WAN corporativa armazenado na rede da filial local, a fim de melhorar o tempo de resposta e reduzir o trfego da WAN. Quando outro cliente na mesma filial solicita o mesmo contedo, o cliente pode acess-lo diretamente da rede local, sem obter o arquivo inteiro pela WAN. O BranchCache pode ser configurado para operar em um modo de cache distribudo ou em um modo de cache hospedado. O modo de cache distribudo usa uma arquitetura ponto a ponto. O contedo armazenado em cache na filial, no computador cliente que o solicitou primeiro. Subsequentemente, o computador cliente disponibiliza o contedo armazenado em cache a outros clientes locais. O modo de cache hospedado usa uma arquitetura cliente/servidor. O contedo solicitado por um cliente na filial subsequentemente armazenado em cache em um servidor local (denominado servidor de cache hospedado), onde disponibilizado para outros clientes locais. Em ambos os modos, antes que o cliente possa recuperar o contedo, o servidor em que o contedo originado autoriza o acesso ao contedo, e este verificado em termos de preciso e atualizao usando um mecanismo de hash. O BranchCache oferece suporte aos protocolos HTTP, incluindo HTTPS, e SMB (Bloco de Mensagem de Servidor), incluindo SMB assinado. Os servidores de contedo e o servidor do cache hospedado deve executar o Windows Server 2008 R2, e os computadores cliente devem executar o Windows 7. IV - QoS baseada em URL A QoS marca pacotes IP com um nmero DSCP (Ponto de Cdigo de Servios Diferenciados) que os roteadores examinam para determinar a prioridade do pacote. Se os pacotes forem enfileirados no roteador, os pacotes com prioridade mais alta sero enviados antes daqueles com prioridade mais baixa. Com a QoS baseada em URL, os profissionais de TI podem priorizar o trfego de rede com base na URL de origem, alm da priorizao baseada no endereo IP e em portas. Isso proporciona aos profissionais de TI maior controle sobre o trfego da rede, garantindo que o trfego importante da Web seja processado antes do menos importante, mesmo quando o trfego originado no mesmo servidor. Isso pode melhorar o desempenho em redes ocupadas. Por exemplo, voc pode atribuir ao trfego da Web para sites internos essenciais uma prioridade mais alta do que para os sites externos. De modo semelhante, sites no relacionados ao trabalho, que podem consumir largura de banda da rede, podem ser atribudos com um prioridade mais baixa, de modo que outro trfego no seja afetado. V - Suporte ao dispositivo de banda larga mvel O sistema operacional Windows 7 fornece um modelo baseado em driver para dispositivos de banda larga mvel. As verses mais antigas do Windows exigem que os usurios de dispositivos de banda larga mvel instalem software de terceiros, o que dificulta o gerenciamento pelos profissionais de TI, pois cada dispositivo de banda larga mvel e cada fornecedor possuem um software diferente. Os usurios tambm precisam ser treinados para usar o software e devem ter acesso administrativo para instal-lo, o que impede os usurios padro de adicionar com facilidade um dispositivo de banda larga mvel. Agora, os usurios podem simplesmente se conectar a um dispositivo de banda larga mvel e comear a us-lo imediatamente. A interface no Windows 7 a 31

mesma, independentemente do provedor da banda larga mvel, reduzindo a necessidade de esforos de treinamento e gerenciamento. VI - Vrios perfis de firewall ativos As configuraes do Firewall do Windows so determinadas pelo perfil que voc est usando. Nas verses anteriores do Windows, somente um perfil de firewall pode estar ativo por vez. Portanto, mesmo que tenha vrios adaptadores de rede conectados a diferentes tipos de rede, voc continuar tendo apenas um perfil ativo o perfil que fornece as regras mais restritivas. No Windows Server 2008 R2 e Windows 7, cada adaptador de rede aplica-se ao perfil de firewall que mais adequado para o tipo de rede ao qual est conectado: Privado, Pblico ou Domnio. Isso significa que se voc estiver em uma cafeteria com um ponto de acesso sem fio e se conectar a sua rede de domnio corporativo usando uma conexo VPN, o perfil Pblico continuar protegendo o trfego da rede que no passa pelo encapsulamento, enquanto o perfil Domnio proteger o trfego da rede que passa pelo encapsulamento. Isso tambm soluciona o problema de um adaptador de rede que no esteja conectado a uma rede. No Windows 7 e Windows Server 2008 R2, ser atribuda rede no identificada o perfil Pblico, e outros adaptadores de rede no computador continuaro a usar o perfil que adequado para a rede a qual esto conectados. 1.1.9 - Gerenciamento de Energia para Dispositivos de Rede Wake on LAN e Wake on LAN sem fio Padres Wake refereren-se aos filtros de pacotes de rede que determinam se o trfego de rede deve acordar o computador. O Wake on LAN padro no Windows 7 foi concebido para garantir que o computador desperte quando acessado pela rede, minimizando acorda esprias. Windows 7 no acorda em pacotes direcionados (como ping), que tm sido conhecidos por causar acorda freqente e desnecessria. Alm disso, a padres mais acordar alvo, o Windows 7 adiciona suporte para Address Resolution Protocol (ARP) e Solicitao de Vizinho (NS) descarrega. ARP e protocolos NS mapa Internet Protocol (IP) para um endereo MAC. ARP e protocolos NS so comumente usados para verificar se o computador ainda est presente na rede, muitas vezes sem realmente precisar acessar o computador. Ao aliviar a ARP e respostas NS para o adaptador de rede, o computador j no acordar apenas para manter a presena na rede. O apoio a essas descargas depende da placa de rede e driver NDIS (6.20) e podem no estar disponveis em hardwares mais antigos. Low Power no Windows Media Desconecte Baixo consumo de energia no Windows Media Disconnect um novo recurso do Windows 7 que permite que o adaptador de rede para dormir quando ele no estiver em uso. Ao colocar o adaptador de rede no estado de baixa energia quando o cabo LAN est desligado eo computador est sendo executado, o computador economiza energia. Esse recurso s est disponvel quando suportado pela placa de rede. Essas melhorias no Windows 7 a melhorar a capacidade do sistema operacional para ficar dormindo enquanto mantm uma presena rede. Isso ajuda a empresa e os computadores domsticos para economizar energia, entrando em modo de descanso quando no estiverem em uso.

32

Os cenrios a seguir ilustram as novas capacidades de gerenciamento de energia para dispositivos de rede:

Compartilhamento de contedo de mdia . Em casa, o computador baseado no Windows 7 que compartilha contedo de mdia por meio do Media Center posso ir dormir e ser acordado remotamente quando o contedo acessado. Um dispositivo de mdia, tais como outros computadores Windows, Xbox um sistema de videogame, ou um Media Extender, desperta o computador para dormir, enviando um pacote Magia. Esse cenrio funciona com qualquer placa de rede porque todos os adaptadores de rede moderna de apoio Wake on LAN e Magic Packet. Compartilhamento de arquivos e impressoras . Os usurios geralmente compartilhar arquivos e impressoras atravs da rede. Com o Windows 7, o computador pode ir dormir quando de poupana de energia ociosa. Quando outro computador da rede tenta imprimir ou acessar um arquivo, uma solicitao enviada para despertar o computador. O computador acorda e aceita a conexo. Ligar a um computador remoto . Os usurios corporativos, muitas vezes se conectar remotamente ao seu computador do trabalho de casa para tarefas como a verificao de e-mail e arquivos de recuperao. A partir de casa, iniciam uma conexo Remote Desktop para o seu computador de trabalho na rede corporativa. O computador de trabalho ociosas dormir para poupar energia, mas quando o usurio inicia uma conexo Remote Desktop, o computador desperta de um sono de trabalho. O usurio ento tem acesso aos recursos de trabalho. Atualizando os computadores em uma empresa. computadores em uma empresa vai acordar quando um administrador acessa o computador para administrar uma atualizao. Aps a atualizao concluda, o computador vai voltar a dormir novamente. Economia de energia sem usar o recurso dormir. Windows 7 tambm pode economizar energia usada pelo adaptador quando o sistema estiver acordado. Isto feito colocando o adaptador de rede Ethernet em um estado de baixa energia quando o cabo de comunicao est desconectado.

1.1.10 - Gerenciamento de Impresso O Windows 7 introduz melhorias para a impresso no Windows que oferecem desempenho melhorado e mais confiabilidade para os usurios de impresso. Para administradores de TI que gerenciam os recursos de impresso pela rede remotamente, essas melhoras garantem mais flexibilidade e melhor gerenciamento geral. Os profissionais de TI que gerenciam usurios, impressoras, drivers de impressora, filas de impresso e servidores de impresso em um ambiente de domnio que utiliza o snap-in do MMC (Console de Gerenciamento Microsoft) do Gerenciamento de Impresso e a ferramenta de linha de comando Printbrm.exe, desejaro utilizar o Gerenciamento de Impresso.

33

O Gerenciamento de Impresso fornece os seguintes recursos novos e alterados de impresso no Windows: Melhorias de migrao de impresso Isolamento do driver de impressora melhorias no snap-in do gerenciamento de impressora Melhorias no desempenho da Renderizao do cliente (CSR) Melhorias do caminho de impresso do XPS (XML Paper Specification). Impresso com Reconhecimento de Local

Alm disso, h melhorias na interface do usurio no Assistente de adicionar impressora O Assistente de migrao de impressora (disponvel no snap-in do Gerenciamento de impresso) e a ferramenta de linha de comando Printbrm.exe foram introduzidos no Windows Server 2008 e no Windows Vista para substituir o utilitrio Migrador de impresso (Printmig). Isso permite que um administrador facilmente faa um backup, restaure e migre filas de impresso, preferncias da impressora, portas da impressora e monitores de idioma. As melhorias ao Assistente de migrao de impressora e o Printbrm.exe no Windows 7 fornecem maior flexibilidade e melhor tratamento e relato de erros - por exemplo, voc pode agora restaurar informaes de configurao para servidores de impressora e filas de impresso em um backup. Voc pode tambm fazer um backup seletivo de processadores e monitores de idioma de impresso. H tambm o suporte a migrao de configurao de isolamento de drivers de impresso e uma opo de no restaurar as configuraes de segurana para filas de impresso durante uma operao de restaurao. Antes do Windows 7, a falha de componentes do driver da impressora era o maior problema no suporte a servidores de impresso - a falha de um driver de impressora carregado no processo de spooler da impresso causava uma falha, que levaria a uma pane em todo sistema de impresso. O impacto de uma falha no spooler em um servidor de impresso particularmente significativo por causa do grande nmero de usurios e impressoras que so normalmente afetados. No Windows 7, agora voc pode configurar os componentes do driver da impressora para serem executados em um processo isolado e separado do processo de spooler da impressora. Ao isolar o driver da impressora, voc pode evitar que um driver de impressora defeituoso impea todas as operaes de impresso em um servidor de impresso, o que resulta em um aumento significativo na confiana do servidor. Alm do benefcio de melhorar a estabilidade do sistema de impresso em geral, esse novo recurso fornece um meio de isolar novos drivers para teste e depurao e para identificar quais drivers de impressora vm causando falhas no spooler. As melhorias no snap-in do gerenciamento de impresso permitem que voc gerencie melhor os servidores, as filas e os drivers de impresso. No Windows 7, o snap-in do gerenciamento de impresso inclui um suporte melhor ao gerenciamento de drivers e capacidade de ver todos os drivers de impresso instalados na rede. Voc

34

pode agora examinar as verses do driver, as informaes do pacote do driver e gerenciar o isolamento do driver. No Windows 7, a frequncia do cache de CSR aumentou. Subsequentemente, o nmero de solicitaes do spooler da impressora que so feitas pelos aplicativos foi reduzido, o que melhor o desempenho geral do sistema de impresso e reduz a carga da rede. O XPS permite que os aplicativos do Windows produzam contedo rico que pode ser preservado por todo o sistema de impresso sem converses custosas ou perda de dados. O XPS pode substituir a linguagem de apresentao de um documento (como RTF), um formato de spooler de impresso (como o WMF) e a linguagem de descrio de uma pgina (como o PostScript). Comeando no Windows Vista, um caminho de impresso baseado em XPS foi introduzido para melhorar a fidelidade e o desempenho da impresso no Windows. No Windows 7, o uso do XPS no sistema de impresso foi estendido e melhorado em vrias reas: Impresso WYS/WYG (what you see is what you get), melhor fidelidade de impresso e suporte a cores, melhorias na visualizador de XPS, novos servios de renderizao e rasterizao para drivers de impressora e desempenho de impresso significativamente melhorado. Alm disso, essa funo agora est disponvel em uma camada API (interface de programao de aplicativo) para desenvolvedores de aplicativos. No Windows 7, a configurao de Impressora Padro agora possui reconhecimento de local. Um usurio de PC mvel ou laptop pode definir uma impressora padro diferente para cada rede a que se conectar. Eles podem ter uma impressora padro definida para casa e uma impressora padro diferente para utilizar no escritrio. Seu laptop agora pode selecionar automaticamente a impressora padro correta, dependendo de onde o usurio se conectar.

1.1.11 - Contas de Servio Um dos desafios segurana dos aplicativos de rede essenciais como o Exchange e o IIS selecionar o tipo de conta apropriado a ser utilizado por eles. Em um computador local, um administrador pode configurar o aplicativo para executar como Servio Local, Servio de Rede ou Sistema Local. Essas contas de servio so simples de configurar e usar, mas esto normalmente compartilhadas entre vrios aplicativos e servios, e no podem ser gerenciadas no nvel de domnio. Se voc configurar o aplicativo para usar uma conta de domnio, poder isolar os privilgios do aplicativo, mas precisar gerenciar senhas manualmente ou criar uma soluo personalizada para esse objetivo. Muitos aplicativos SQL Server e ISS usam essa estratgia para melhorar a segurana, com a consequncia de mais administrao e complexidade. Nessas implantaes, os administradores de servio gastam uma quantidade de tempo considervel em tarefas de manuteno (por exemplo, gerenciamento de senhas de servio e de SPNs [nomes das entidades de usurio]) necessrias para autenticao Kerberos. Alm disso, essas tarefas de manuteno podem interromper o servio. 35

Nos sistemas operacionais Windows Server 2008 R2 e Windows 7, h dois novos tipos disponveis: conta de servio gerenciada e conta virtual. A conta de servio gerenciada destina-se a prover aos aplicativos essenciais, por exemplo, SQL Server e IIS, isolamento das suas prprias contas de domnio, enquanto elimina a necessidade da administrao manual do SPN e das credenciais para essas contas. As contas virtuais no Windows Server 2008 R2 e Windows 7 so contas locais gerenciadas que podem usar as credenciais de um computador para acessar os recursos da rede. Os administradores se interessaro em usar as contas de servio gerenciadas para aumentar a segurana enquanto simplificam ou eliminam o gerenciamento de senhas e SPN. As contas virtuais simplificam a administrao do servio eliminando o gerenciamento de senhas e permitindo que os servios acessem a rede com credenciais de conta de computadores em um ambiente de domnio. Alm da segurana avanada fornecida pelas contas individuais para os servios essenciais, h quatro benefcios administrativos importantes associados s contas de servio gerenciadas: Elas permitem que os administradores criem contas de classe de domnio que podem ser usadas para gerenciar e administrar servios em computadores locais. Diferentemente de contas de domnio normais em que os administradores precisam redefinir as senhas manualmente, as senhas de rede para essas contas sero redefinidas automaticamente. Ao contrrio do que ocorre com as contas locais normais de usurio e computador, o administrador no precisa executar tarefas complexas de gerenciamento de SPN para usar as contas de servio gerenciadas. As tarefas administrativas das contas de servio gerenciadas podem ser delegadas a no administradores. As contas de servio gerenciadas podem reduzir a quantidade de gerenciamento de conta necessria para servios e aplicativos essenciais. Para usar as contas virtuais e contas de servio gerenciadas, o computador cliente em que o aplicativo ou servio est instalado deve estar executando o Windows Server 2008 R2 ou Windows 7. No Windows Server 2008 R2 e Windows 7, uma conta de servio gerenciada pode ser usada para servios em um nico computador. Contas de servio gerenciadas no podem ser compartilhadas entre vrios computadores e no podem ser usadas em clusters de servidores nos quais um servio seja replicado para vrios ns de cluster. Os domnios do Windows Server 2008 R2 apresentam suporte nativo para o gerenciamento automtico de senha e de SPN. Se o domnio estiver em execuo no modo Windows Server 2003 ou Windows Server 2008, sero necessrias etapas de configurao adicionais para dar suporte s contas de servio gerenciadas. Isso significa que:

36

Se o controlador de domnio estiver executando o Windows Server 2008 R2 e o esquema tiver sido atualizado para dar suporte s contas de servio gerenciadas, ambos os gerenciamentos automticos de senha e de SPN estaro disponveis.

Se o controlador de domnio estiver em um computador que est executando o sistema operacional Windows Server 2008 ou Windows Server 2003, e o esquema do Active Directory tiver sido atualizado para dar suporte a esse recurso, as contas de servio gerenciadas podero ser usadas e as senhas das contas de servio automaticamente gerenciadas. No entanto, o administrador do domnio que estiver usando esses sistemas operacionais de servidor ainda precisar configurar manualmente os dados SPN dessas contas.

Para usar contas de servio gerenciadas nas plataformas Windows Server 2008, Windows Server 2003 ou em ambientes de domnio de modo misto, as seguintes alteraes devem ser aplicadas ao esquema:

Execute adprep /forestprep no nvel da floresta. Execute adprep /domainprep em cada domnio que deseja criar e usar contas de servio gerenciadas.

Implante um controlador de domnio que execute o Windows Server 2008 R2 no domnio para gerenciar contas de servio gerenciadas usando cmdlets do Windows PowerShell.

1.1.12 - Cartes Inteligentes O Windows 7 inclui novos recursos que facilitam o uso e implantao de cartes inteligentes, e permitem que eles sejam utilizados para executar uma variedade maior de tarefas. Os novos recursos esto disponveis em todas as verses do Windows 7. Os recursos do Windows 7 ampliaram o suporte funcionalidade Plug and Play e ao padro PIV (verificao de identidade pessoal) do National Institute of Standards and Technology (NIST) no que se refere a cartes inteligentes. Isso significa que os usurios do Windows 7 podero usar os cartes inteligentes dos fornecedores que publicarem seus drivers pelo Windows Update sem precisar de um middleware especfico. Esses drivers so baixados do mesmo modo que os drivers dos outros dispositivos do Windows. Quando um carto inteligente compatvel com PIV inserido no leitor, o Windows tenta baixar o driver usando o Windows Update. Se o driver apropriado no estiver disponvel, ele recorrer a um minidriver compatvel com PIV, includo no Windows 7.

37

Administradores de rede que queiram aumentar a segurana dos computadores em sua organizao, principalmente dos portteis (utilizados por usurios remotos), se interessaro pela implantao simplificada e os cenrios de uso viabilizados pelo suporte PIV a Plug and Play do carto inteligente. Os usurios se interessaro pela capacidade de usar cartes inteligentes para executar com segurana as tarefas comerciais essenciais. As novas opes do suporte a carto inteligente no Windows 7 incluem:

Criptografando unidades com a Criptografia de Unidade de Disco BitLocker. Nos sistemas operacionais Windows 7 Enterprise e Windows 7 Ultimate, os usurios podem optar por criptografar sua mdia removvel ativando o BitLocker e escolhendo a opo de carto inteligente para desbloque-la. No tempo de execuo, o Windows recuperar o minidriver correto para o carto inteligente e permitir que a operao seja executada. Logon em domnio com carto inteligente usando o protocolo PKINIT. No Windows 7, o minidriver correto para um carto inteligente especfico recuperado automaticamente, permitindo que um novo carto seja autenticado no domnio sem a necessidade de que o usurio instale ou configure middleware adicional. Assinatura de documento e e-mail. Os usurios do Windows 7 podem ter a certeza de que, no tempo de execuo, o Windows recuperar o minidriver correto para um carto inteligente no momento da assinatura de um e-mail ou documento. Alm disso, os documentos XPS (XML Paper Specification) podem ser assinados sem a necessidade de software adicional. Uso com aplicativos de linha de negcios. No Windows 7, qualquer aplicativo que use CNG (Cryptography Next Generation) ou CryptoAPI para habilitar o uso de certificados pode ter a certeza de que, no tempo de execuo, o Windows recuperar o minidriver correto para um carto inteligente, sem a necessidade de nenhum middleware adicional.

A utilizao de cartes inteligentes est se expandindo rapidamente. A fim de encorajar mais organizaes e usurios a adotarem cartes inteligentes e aumentarem a segurana, o processo de fornecimento e uso dos novos cartes inteligentes simplificado e admite um nmero maior de cenrios de usurio final.

1.1.13 - Controle de Conta de Usurio Antes da introduo do UAC (Controle de conta de Usurio), quando um usurio era conectado como um administrador, esse usurio recebia automaticamente acesso completo a todos os recursos do sistema. Embora a execuo como administrador permita que um usurio instale softwares legtimos, ele tambm pode instalar, intencionalmente ou no, um programa mal-intencionado. Um programa malintencionado instalado por um administrador pode comprometer totalmente o computador e afetar todos os usurios.

38

Com a introduo do UAC, o modelo de controle de acesso foi alterado para ajudar a atenuar o impacto de um programa mal-intencionado. Quando um usurio tenta iniciar uma tarefa ou um servio do administrador, a caixa de dilogo Controle de Conta de Usurio solicita que o usurio clique em Sim ou No antes que o token de acesso completo de administrador do usurio possa ser usado. Se o usurio no for um administrador, ele precisar fornecer as credenciais de um administrador para executar o programa. Como o UAC exige que um administrador aprove instalaes de aplicativos, no possvel instalar aplicativos no autorizados automaticamente ou sem o consentimento explcito de um administrador. No Windows 7 e Windows Server 2008 R2, a funcionalidade UAC foi aprimorada para: Aumentar o nmero de tarefas que o usurio padro pode realizar que no solicitam a aprovao do administrador. Permitir que um usurio com privilgios de administrador configure a experincia UAC no Painel de Controle. Fornecer diretivas de segurana local adicionais que permitam a um administrador local alterar o comportamento das mensagens UAC para administradores locais no Modo de Aprovao de Administrador. Fornecer diretivas de segurana local adicionais que permitam a um administrador local alterar o comportamento das mensagens UAC para usurios padro. O UAC ajuda os administradores e usurios padro a protegerem seus computadores, impedindo a execuo de programas que possam ser mal-intencionados. A experincia aprimorada do usurio facilita para os usurios realizar tarefas dirias, ao mesmo tempo em que protegem os computadores. A ajuda tambm a administradores corporativos a protegerem a rede impedindo que usurios executem software malintencionado. Por padro, os administradores e usurios padro acessam recursos e executam aplicativos no contexto de segurana de usurios padro. Quando um usurio faz logon em um computador, o sistema cria um token de acesso para ele. O token de acesso contm informaes sobre o nvel de acesso que concedido ao usurio, incluindo os SIDs (identificadores de segurana) e privilgios do Windows especficos. Quando um administrador faz logon, dois tokens de acesso distintos so criados para o usurio: um token de acesso de usurio padro e um token de acesso de administrador. O token de acesso do usurio padro contm as mesmas informaes especficas de usurio do token de acesso de administrador, porm os privilgios administrativos do Windows e os SIDs foram removidos. O token de acesso de usurio padro usado para iniciar aplicativos que no desempenham tarefas administrativas (aplicativos de usurio padro). Quando o usurio executa aplicativos que realizam tarefas administrativas (aplicativos de administrador), solicitado que o usurio altere ou "eleve" o contexto de segurana de um usurio padro para um administrador, chamado Modo de Aprovao de Administrador. Nesse modo, o administrador deve fornecer aprovao para que aplicativos sejam executados na rea de trabalho protegida com privilgios administrativos. As melhorias do UAC no Windows 7 e Windows Server 2008 R2 39

resultam em uma experincia aprimorada ao usurio ao configurar o computador e solucionar seus problemas. O Windows 7 e Windows Server 2008 R2 reduzem o nmero de prompts UAC aos quais os administradores locais e usurios padro devem atender. Para reduzir o nmero de prompts aos quais o administrador local deve responder: Os prompts de operao de arquivo foram mesclados. Os prompts do Internet Explorer para executar instaladores de aplicativo foram mesclados. Os prompts do Internet Explorer para instalar controles ActiveX foram mesclados. A configurao padro UAC permite que um usurio padro realize as tarefas a seguir sem receber um prompt UAC:

Instalar atualizaes do Windows Update. Instalar drivers que so baixados do Windows Update ou includos no sistema operacional. Exibir as configuraes do Windows. (No entanto, solicitado a um usurio padro os privilgios elevados quando ele altera as configuraes do Windows.) Unir dispositivos Bluetooth para o computador. Redefinir o adaptador de rede e realizar outras tarefas de reparao e diagnstico de rede.

O Windows Vista oferece dois nveis de proteo UAC ao usurio: ligado ou desligado. O Windows 7 e o Windows Server 2008 R2 apresentam nveis de prompt adicionais que so semelhantes ao modelo de zona de segurana do Internet Explorer. Se voc tiver feito logon como um administrador local, possvel habilitar ou desabilitar prompts UAC, ou escolher quando ser notificado sobre alteraes no computador. Existem quatro opes de nvel de notificao:

Nunca me notificar. Voc no ser notificado de nenhuma alterao feita nas configuraes do Windows ou quando o software for instalado.

Notificar-me apenas quando programas tentarem fazer alteraes no meu computador. Voc no ser notificado quando fizer alteraes nas configuraes do Windows, mas sim quando um programa tentar fazer alteraes no computador.

Notificar-me sempre. Voc ser notificado quando fizer alteraes nas configuraes do Windows e quando os programas tentarem fazer alteraes no computador.

40

Notificar-me sempre e aguardar minha resposta. Voc ser solicitado para todas as tarefas de administrador na rea de trabalho protegida. Essa opo semelhante ao comportamento atual do Windows Vista.

A tabela a seguir compara o nmero de prompts UAC para aes de usurio no Windows 7 e Windows Server 2008 R2 com o nmero de prompts UAC no Windows Vista Service Pack 1. Notificar-me apenas quando programas tentarem fazer alteraes no meu computador

Aes

Notificar-me sempre

Alterar configuraes Sem prompts de personalizao Gerenciar sua rea de Sem prompts trabalho Configurar e Sem prompts solucionar problema de rede Usar Transferncia Menos prompts Fcil do Windows Instalar controles Menos prompts ActiveX por meio do Internet Explorer Conectar dispositivos Sem prompts

Menos prompts Menos prompts Menos prompts

Mesmo nmero de prompts Menos prompts

Nenhum prompt se os drivers estiverem no Windows Update ou nmero semelhante de prompts se os drivers no estiverem no Windows Update. Sem prompts Mesmo nmero de prompts Menos prompts

Usar o Update

Windows Sem prompts Sem prompts

Configurar backups

Instalar ou remover Sem prompts software

Se voc tiver feito logon como um administrador local, possvel alterar o comportamento de prompts UAC nas diretivas de segurana locais para administradores locais no Modo de Aprovao de Administrador.

Elevar sem aviso. Os aplicativos que so marcados como aplicativos de administrador e aplicativos que so detectados como aplicativos de instalao so executados automaticamente com o token de acesso completo de 41

administrador. Todos os outros aplicativos so automaticamente executados com o token de usurio padro.

Solicitar credenciais na rea de trabalho protegida. A caixa de dilogo Controle de Conta de Usurio exibida na rea de trabalho protegida. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usurio deve inserir credenciais administrativas. Esta configurao d suporte conformidade com Critrios Comuns ou diretivas corporativas.

Solicitar consentimento na rea de trabalho protegida. A caixa de dilogo Controle de Conta de Usurio exibida na rea de trabalho protegida. Para permitir que um arquivo seja executado com o token de acesso completo de administrador, o usurio deve clicar em Sim ou No na caixa de dilogo Controle de Conta de Usurio. Se o usurio no for um membro do grupo Administradores locais, as credenciais administrativas sero solicitadas. Esta configurao d suporte conformidade com Critrios Comuns ou diretivas corporativas.

Pedir credenciais. Essa configurao semelhante a Solicitar credenciais na rea de trabalho protegida, mas a caixa de dilogo Controle de Conta de Usurio exibida na rea de trabalho.

Pedir

consentimento.

Essa

configurao

semelhante

Solicitar

consentimento na rea de trabalho protegida, mas a caixa de dilogo Controle de Conta de Usurio exibida na rea de trabalho.

Solicitao de consentimento para binrios que no so do Windows. A caixa de dilogo Controle de Usurio de Conta exibida na rea de trabalho para todos os arquivos que no forem assinados digitalmente com o certificado digital do Windows.

Se voc tiver feito logon como um administrador local, possvel alterar o comportamento de prompts UAC nas diretivas de segurana locais para usurios padro.

Negar automaticamente solicitaes de elevao. Os aplicativos de administrador no podem ser executados. O usurio receber uma mensagem de erro que informar que a diretiva est impedindo o aplicativo de ser executado. 42

Pedir credenciais. Esta a configurao-padro. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usurio dever inserir credenciais administrativas na caixa de dilogo Controle de Conta de Usurio que exibida na rea de trabalho.

Solicitar credenciais na rea de trabalho protegida. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usurio dever inserir credenciais administrativas na caixa de dilogo Controle de Conta de Usurio que exibida na rea de trabalho protegida.

Em resposta a solicitaes do cliente, o UAC aprimorado permite que os usurios realizem tarefas dirias com menos prompts e fornece aos administradores mais controle sobre o modo como o UAC faz solicitaes aos usurios.

1.1.14 - Discos Rgidos Virtuais O formato de arquivo VHD (disco rgido virtual) da Microsoft especifica um disco rgido virtual, que encapsulado em um arquivo nico e capaz de hospedar sistemas de arquivos nativos e suportar operaes padro de disco. No Windows 7, um VHD pode ser usado como o sistema operacional em execuo no hardware designado sem qualquer outro sistema operacional pai, mquina virtual ou hypervisor. Voc pode usar as ferramentas de gerenciamento de disco do Windows 7 (a ferramenta de linha de comando DiskPart e o snap-in MMC do Gerenciamento de Disco) para criar um arquivo VHD. Voc pode implantar uma imagem do Windows 7 (no formato .wim) no VHD, e pode copiar o arquivo VHD a vrios sistemas. Voc pode configurar o gerenciador de inicializao do Windows 7 para uma inicializao nativa ou fsica da imagem do Windows que est contida no VHD. Alm disso, voc pode conectar o arquivo VHD a uma mquina virtual para uso com a funo Hyper-V no Windows Server 2008 R2. Os arquivos VHD de inicializao nativa no so projetados, nem devem ser usados, para substituir a implantao completa de uma imagem em todos os sistemas clientes ou servidores. As verses anteriores do Windows no oferecem suporte inicializao a partir de um VHD e exigem um hypervisor e uma mquina virtual para a inicializao a partir de um arquivo VHD. Os ambientes corporativos que j gerenciam e usam arquivos VHD para implantao de mquinas virtuais sero mais beneficiados com os novos recursos desta verso. Embora os ambientes corporativos estejam movendo um nmero crescente de aplicativos para mquinas virtuais, eles ainda usam computadores fsicos para operar uma parte significativa do data center. Por esse motivo, os administradores de TI devem manter dois conjuntos de imagens: um conjunto com base no formato .wim para computadores fsicos e outro no formato VHD para mquinas virtuais. O formato VHD suporta computadores fsicos e mquinas virtuais, e oferece flexibilidade na implantao de imagem e simplifica o gerenciamento de imagens.

43

Um formato de imagem que pode ser executado em mquinas tanto virtuais como fsicas, tambm benfico para desenvolvedores e testadores. Isso porque eles usam mquinas virtuais para testar novos sistemas e softwares de aplicativos, mas algumas vezes precisam executar testes em computadores fsicos para acessar um dispositivo de hardware especfico, como placa grfica, ou para obter um perfil de desempenho preciso. Alm disso, os VHDs de inicializao nativa permitem que desenvolvedores e testadores faam inicializao dentro da imagem do Windows 7, sem criar uma partio separada no computador fsico para instalao do Windows. O suporte nativo a VHDs simplifica o gerenciamento de imagens e reduz o nmero de imagens que precisam ser catalogadas e mantidas. Para criar um VHD no Windows Server 2008, voc deve instalar a funo de servidor Hyper-V, criar um arquivo VHD e iniciar a mquina virtual para instalar o Windows a partir do CD ou DVD em uma partio do VHD. No Windows 7, os VHDs de inicializao nativa permitem que voc crie e modifique arquivos de VHD, sem instalar a funo de servidor do Hyper-V. Voc pode anexar os arquivos VHD usando ferramentas de gerenciamento de disco, e pode utilizar a imagem do Windows dentro do VHD. Voc pode usar as ferramentas de implantao do Windows AIK (Kit de Instalao Automatizada do Windows) para aplicar uma imagem do Windows ao VHD e para aplicar atualizaes imagem do sistema no arquivo VHD. As etapas da implantao de uma imagem do Windows 7 ou Windows Server 2008 R2 em um arquivo VHD dependem das ferramentas de implantao do Windows. Por exemplo, o Imagex.exe uma das ferramentas do Windows AIK. Voc pode usar o Imagex.exe para capturar uma partio do sistema operacional Windows em um formato de arquivo Imagem do Windows (.wim) e para aplicar um arquivo .wim a uma partio do sistema de arquivos, que pode residir em um arquivo VHD. Voc deve instalar a verso mais recente do Windows AIK no Kit de Instalao Automatizada do Windows para o Windows 7. O download do Windows AIK uma imagem ISO que deve ser gravada em um DVD e, em seguida, instalada no seu sistema. Depois da instalao do Windows AIK, o ImageX.exe fica localizado no diretrio das Ferramentas do Windows AIK\PE. O cenrio de inicializao nativa tambm requer o ambiente de inicializao do Windows 7. O ambiente de inicializao do Windows 7 inicializado durante uma instalao completa do sistema operacional e inclui o Gerenciador de Inicializao do Windows e os BCD (Dados de Configurao da Inicializao), bem como outros arquivos de suporte. 1.1.15 - Windows Defender O Windows Defender ajuda a proteger o seu computador contra pop-ups, baixo desempenho e ameaas segurana causadas por spywares e outros softwares indesejados, detectando e removendo spyware conhecido do seu computador. O Windows Defender est disponvel em todas as edies do Windows 7.

44

Os recursos do Windows Defender incluem:

Um sistema de monitoramento que recomenda aes contra spyware onde o spyware for detectado.

Opes de verificao que permitem que voc agende verificaes regularmente e escolha nveis de alerta e aes que deseja tomar quando possveis spywares forem detectados durante uma verificao.

O monitoramento do processo tem base no ETW (Rastreamento de Eventos para Windows) para iniciar, carregando driver e .dll e gerando notificaes de spywares possveis ou conhecidos e outros softwares indesejados para o servio.

A integrao com a interface IOfficeAntiVirus ajuda a proteger seu computador contra software malicioso de download (malware) de Internet e anexos de emails, mesmo se a interface do Windows Defender no estiver sendo executada.

Um processo automtico que verifica quando o servios iniciam ou quando a assinatura est atualizada ajuda a capturar ameaas esquecidas.

As ameaas classificadas como grave ou alta podem ser removidas do sistema automaticamente mesmo se a interface do Windows Defender no estiver sendo executada.

Voc pode ingressar ao Microsoft SpyNet, uma comunidade online que ajuda voc a escolher como responder a possveis ameaas de spyware. Isso tambm ajuda a interromper a propagao de novas infeces de spyware, dando a voc acesso s informaes sobre assinaturas criadas para programas enviados por outros usurios.

A nova pgina Opes enumera as diferentes categorias de configuraes e elimina a barra de rolagem para facilitar o uso.

A exibio aprimorada da deteco em tempo real permite que os usurios visualizem detalhes das ameaas e escolha aes perante ameaas. As opes de ao atualizadas so mais fceis de entender.

A verificao de assinatura aprimorada fornece um melhor comentrio do progresso de verificao e notifica o usurio durante o processo, se possveis ameaas forem localizadas, antes de esperar a verificao ser concluda. 45

O cache de arquivo do sistema usado na verificao para evitar arquivos de sistema de verificao.

A identificao de ameaa exclusiva atribuda a cada arquivo desconhecido e mantida no cache. Isso ajuda a evitar uma verificao com desempenho intenso para ameaas desconhecidas.

Um tamanho de cache mximo mantido. As ameaas que no existem mais so removidas do cache.

Para ser menos invasivo para o usurio, o agendamento de verificao tem base na notificao de tempo de inatividade do Agendador de Tarefas.

Agora, o Windows Defender integrado Central de Aes do Windows para consolidar notificaes de integridade do sistema e para reduzir o nmero de cones na rea de notificao. Todas as notificaes do Windows Defender, como alertas crticos que exigem ao imediata, so encaminhadas para a Central de Aes do Windows para uma experincia exclusiva do usurio.

As configuraes adicionais de Diretiva de Grupo fornece um gerenciamento do Windows defender melhor.

A nova opo de privacidade integrada ao UAC (Controle de Conta de Usurio) e restringe quem pode exibir os itens do histrico, apresentando o prompt de UAC. Os usurios padro precisam fornecer credenciais administrativas para exibir o histrico.

1.1.16 - Windows Deployment Novas verses do Windows Deployment Services, o Windows Automated Installation Kit (Windows AIK) e o Microsoft Deployment Toolkit (MDT) esto disponveis para auxiliar na implantao do Windows 7 e do Windows Server 2008 R2. Cada uma destas ferramentas inclui novos recursos que melhoram o processo de implantao do Windows. A lista a seguir descreve as diferentes tecnologias de implantao do Windows e as principais mudanas para a implantao desta verso:

46

Microsoft Deployment Toolkit

O Microsoft Deployment Toolkit (MDT) um acelerador de soluo que rene vrias tecnologias de implantao do Microsoft juntos em um nico meio de automatizar instalaes. Usando o MDT, voc pode automatizar instalaes do sistema operacional Windows usando Zero Touch Installation (ZTI) ou Lite Touch Installation (LTI) processos. A implantao do Windows pode ser totalmente automatizado, usando o mtodo ZTI, ou exigir um mnimo de interao com o computador de destino usando o mtodo LTI. ZTI usa o Microsoft System Center Configuration Manager 2007 ou o Microsoft Systems Management Server 2003 com o Operating System Deployment Feature Pack.

Windows Deployment Services

Windows Deployment Services uma funo de servidor que foi includo no Windows Server 2008, ele foi atualizado para Windows Server 2008 R2. Esta verso contm recursos novos e multicast driver de provisionamento funcionalidade. Com provisionamento de driver, voc pode implantar pacotes de driver (juntamente com uma imagem do Windows) para computadores cliente baseado no hardware do cliente, e adicionar pacotes de driver de imagens de boot. Esta verso tambm permite que voc implante o disco rgido virtual (VHD) por imagens usando uma instalao autnoma.

Windows Automated Installation Kit

Kit de Instalao do Windows Automated (Windows AIK) uma coleo de ferramentas e documentao que lhe permitem personalizar o seu ambiente de implantao prprio Windows. Esta coleo de ferramentas inclui todas as opes de configurao de instalao do Windows, ferramentas de imagem, o ambiente prinstalao do Windows personalizaes e processos e orientao. O Windows AIK ideal para implantao de ambientes altamente personalizado e fornece um amplo controle e flexibilidade. Os seguintes grupos podem se interessar por essas alteraes:

Generalistas de TI Especialistas em TI Qualquer pessoa responsvel pela implantao do Windows 7 sistemas operacionais

As principais mudanas no Windows Automated Installation Kit (Windows AIK): 1. Deployment Image Servicing and Management (DISM) uma ferramenta de linha de comando usado para servio de imagens do Windows. Voc pode us-lo para instalar, desinstalar, configurar e atualizar os recursos do Windows, pacotes, drivers e configuraes internacionais. DISM comandos tambm podem ser usados para manuteno de um sistema operacional em execuo. Voc pode usar DISM para:

Adicionar ou remover de 32 bits e drivers de dispositivo de 64 bits. Adicionar ou remover pacotes de idioma. 47

Ativar ou desativar recursos do Windows. Adicionar e configurar as atualizaes.

DISM substitui muitas das ferramentas em verses anteriores do Windows AIK, incluindo Package Manager (Pkgmgr.exe), o International Settings Configuration Tool (Intlcfg.exe), eo Windows PE ferramenta de linha de comando (Peimg.exe). DISM fornece a mesma funcionalidade que o Package Manager fornecido e inclui funcionalidades adicionais quando usado com o Windows 7 e Windows Server 2008 R2. instalado com o Windows 7 e Windows Server 2008 R2. Ele pode ser usado para o servio Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista com Service Pack 1 (SP1), ou as imagens pr-instalao ambiente Windows. O DISM consolida muitas ferramentas que foram includos em verses anteriores do Windows AIK, scripts ou outros instrumentos que fazem chamadas para o Gerenciador de Pacotes deve ser atualizado para fazer chamadas para DISM vez. As seguintes ferramentas so depreciados nesta verso do Windows AIK. Se voc tem um ambiente existente automatizado que usa essas ferramentas, voc precisar modificar o ambiente para uso DISM para implantar o Windows 7 ou Windows Server 2008 R2. Algumas destas ferramentas no esto disponveis com esta verso do Windows AIK. Se voc pretende implantar verses anteriores do Windows que requerem essas ferramentas, voc deve usar a verso do Windows AIK, que incluiu essas ferramentas.

Intlcfg.exe. Internacional Configuraes Tool (Intlcfg.exe) usado para alterar o idioma e localidade, fontes e configuraes de entrada de uma imagem do Windows. No Windows 7 e Windows Server 2008 R2, a funcionalidade desta ferramenta includo como parte das ferramentas DISM. Esta verso do Windows AIK inclui a ferramenta Intlcfg.exe para permitir a configurao do Windows Vista e Windows Server 2008 instalaes s. O Peimg.exe. Esta linha de ferramentas de comando usado para criar e modificar imagens do Windows PE. A funcionalidade desta ferramenta includo como parte das ferramentas DISM. Esta ferramenta no est disponvel nesta verso do Windows AIK. Pkgmgr.exe. Package Manager usado para instalar, remover ou atualizar pacotes em uma imagem offline do Windows. A funcionalidade desta ferramenta includo como parte das ferramentas DISM. Package Manager est includo em todas as instalaes do Windows, e voc pode continuar a utilizar scripts existentes que chamar o Gerenciador de Pacotes. No entanto, recomendamos a todos as instalaes do Windows 7 que voc atualizar seu ambiente para suportar DISM. PostReflect.exe. PostReflect.exe usada para refletir todos os drivers de dispositivo crtico-boot fora da loja driver em uma imagem offline. A funcionalidade desta ferramenta est integrada na Sysprep ferramenta. Esta ferramenta no est disponvel nesta verso do Windows AIK. Vsp1cln.exe. O Windows Vista SP1 Files Removal Tool (Vsp1cln.exe) usado para remover os arquivos que so arquivados aps o Windows Vista SP1 48

aplicado a uma imagem Vista RTM do Windows. Esta ferramenta no mais necessrio e no est disponvel nesta verso do Windows AIK. 2. O Windows User State Migration Tool 4.0 (USMT) j est instalado como parte do Windows AIK. Voc pode usar o USMT 4.0 para agilizar e simplificar a migrao de perfil do usurio durante grandes implantaes do Windows Vista, Windows 7, e os sistemas operacionais Windows Server 2008 R2. USMT captura contas de usurios, arquivos de usurios, configuraes do sistema operacional, aplicativos e configuraes, e depois migra-los para uma nova instalao do Windows. Voc pode usar o USMT para ambos os lado a lado e migraes wipe-and-carga. A caracterstica mais significativa da USMT 4.0 a loja de migrao hard-link. A loja migrao hard-link para uso em cenrios de atualizao do computador apenas. A loja migrao hard-link permite que voc realize uma migrao no local onde todo o estado do usurio mantido no computador enquanto o sistema operacional antigo removido eo novo sistema operacional est instalado. Esse cenrio melhora drasticamente a performance de migrao, reduz significativamente a utilizao do disco rgido, e reduz os custos de implantao. A instalao padro do Windows agora inclui suporte para uma partio de sistema em separado. Em instalaes padro, a Instalao do Windows cria duas parties no disco rgido. Voc pode usar uma partio para ferramentas de recuperao, para habilitar o BitLocker Drive Encryption, ou para outras funes. Voc pode usar a segunda partio para instalar o sistema operacional. A partio do sistema, que hospeda o gerenciador de inicializao e os arquivos relacionados, deixaro de ter uma letra de unidade por padro. Voc pode adicionar manualmente uma letra de unidade durante a instalao usando o Microsoft-WindowsSetup \ DiskConfiguration Disk \ ModifyPartitions \ ModifyPartition \ Carta configurao. No Windows 7 e Windows Server 2008 R2, um disco rgido virtual (VHD) pode ser usado como o sistema operacional rodando em hardware designado, sem qualquer outro sistema operacional pai, computador virtual, ou hypervisor. Um hypervisor uma camada de software abaixo o sistema operacional que roda as mquinas virtuais. ferramentas de gerenciamento de disco, a ferramenta DiskPart, eo Gerenciamento de disco Microsoft Management Console (MMC), pode ser usado para criar um de arranque. vhd. Um arquivo de imagem generalizada (. Wim) pode ser implantado para o VHD, eo arquivo. Vhd pode ser copiado em vrios computadores. O gerenciador de inicializao pode ser configurado para arrancar com o wim. Partir do VHD.

1.1.17 - Windows PowerShell O Windows PowerShell um novo shell de linha de comando e linguagem de scripts desenvolvido especialmente para administrao de sistemas. Includo no Microsoft .NET Framework, o Windows PowerShell til para profissionais de TI responsveis pelo controle e automao da administrao de sistemas operacionais Windows e dos aplicativos que executam em tais plataformas. Com as ferramentas de comando simples no Windows PowerShell, conhecidas como cmdlets, possvel usar a linha de comandos para gerenciar os computadores da 49

empresa. Os provedores do Windows PowerShell permitem que voc acesse repositrios de dados, por exemplo, o Registro e o repositrio de certificados, com a mesma facilidade com que acessa o sistema de arquivos. Alm disso, o Windows PowerShell apresenta suporte total a todas as classes WMI (Instrumentao de Gerenciamento do Windows). O Windows PowerShell totalmente extensvel. Voc pode compor seus prprios cmdlets, provedores, funes e scripts, e compact-los em mdulos para compartilhamento com outros usurios. O Windows 7 inclui o Windows PowerShell 2.0. Inclui tambm outros cmdlets, provedores e ferramentas que podem ser adicionados ao Windows PowerShell para que voc use e gerencie outras tecnologias do Windows, por exemplo, os Servios de Domnio do Active Directory, a Criptografia de Unidade de Disco Windows BitLocker, o servio do Servidor DHCP, a Diretiva de Grupo, os Servios de rea de Trabalho Remota e o Backup do Windows Server. As seguintes alteraes esto disponveis no Windows PowerShell, no Windows 7:

Novos cmdlets. O Windows PowerShell inclui mais de 100 novos cmdlets, inclusive Get-Hotfix, Send-MailMessage, Get-ComputerRestorePoint, NewWebServiceProxy, Debug-Process, Add-Computer, Rename-Computer, ResetComputerMachinePassword e Get-Random.

Gerenciamento remoto. Voc pode executar comandos em um ou em centenas de computadores com um nico comando. possvel estabelecer uma sesso interativa com um nico computador. H a possibilidade tambm de estabelecer uma sesso que receba comandos remotos de vrios computadores.

Windows PowerShell ISE (Integrated Scripting Environment). O Windows PowerShell ISE a interface grfica do usurio do Windows PowerShell e permite que voc execute comandos e elabore, edite, execute, teste e depure scripts na mesma janela. Apresenta at oito ambientes de execuo independentes e inclui um depurador interno, edio multilinha, execuo seletiva, cores de sintaxe, nmeros de linhas e colunas, e Ajuda contextual.

Trabalhos em segundo plano. Com os trabalhos em segundo plano do Windows PowerShell, possvel executar comandos de forma assncrona e "em segundo plano", de modo que voc possa continuar a trabalhar na sua sesso. possvel executar trabalhos em segundo plano e armazenar resultados em um computador local ou remoto.

50

Depurador. O depurador do Windows PowerShell til para limpar funes e scripts. Voc pode definir e remover pontos de interrupo, avanar sequencialmente pelo cdigo, verificar os valores das variveis e exibir um rastreamento de pilhas de chamadas.

Mdulos. Os mdulos do Windows PowerShell permitem que voc organize os scripts e funes do Windows PowerShell em unidades independentes e autossuficientes. Voc pode compactar cmdlets, provedores, scripts, funes e outros arquivos em mdulos que possam ser distribudos a outros usurios. mais fcil para os usurios instalar e usar os mdulos do que os snap-ins do Windows PowerShell. Os mdulos podem incluir qualquer tipo de arquivo, inclusive arquivos de udio, imagens, ajuda e cones. Eles so executados em uma sesso separada para evitar conflitos de nomes.

Transaes. O Windows PowerShell fornece suporte agora s transaes, o que permite que voc gerencie um conjunto de comandos como uma unidade lgica. Uma transao pode ser confirmada ou completamente desfeita de modo que os dados afetados no sejam alterados.

Eventos. O Windows PowerShell inclui uma nova infraestrutura de eventos que permite que voc crie eventos, inscreva-se nos eventos do sistema e dos aplicativos, alm de permitir a escuta, o encaminhamento e a execuo de aes (sncronas ou assncronas) neles.

Funes avanadas. As funes avanadas se comportam exatamente como cmdlets, mas so compostas na linguagem de scripts do Windows PowerShell em vez de em C#.

Internacionalizao do script. Os scripts e funes podem exibir aos usurios mensagens e texto da Ajuda em vrios idiomas.

Ajuda on-line. Alm da Ajuda na linha de comando, o cmdlet Get-Help tem um novo parmetro On-line que abre uma verso completa e atualizada de cada tpico da Ajuda no Microsoft TechNet.

Os seguintes grupos podem ter interesse em tais alteraes:

Profissionais de TI que gerenciem o Windows na linha de comando e sejam responsveis pela automao de tarefas administrativas. 51

Desenvolvedores que desejem usar a linguagem de scripts abrangente do Windows PowerShell para desenvolver aplicativos do .NET Framework e estender o Windows PowerShell.

Todos os usurios que queiram conhecer o Windows PowerShell para fins de gerenciamento do sistema, composio de scripts de automao de tarefas e criao de novas ferramentas sem que seja necessrio aprender uma linguagem de programao.

Entre os muitos recursos do Windows PowerShell, esto os que seguem: 1- Gerenciamento Remoto O gerenciamento remoto do Windows PowerShell permite que usurios usem todos os seus computadores para se conectar ao Windows PowerShell e executar comandos. Profissionais de TI podem us-lo para monitorar e gerenciar computadores, distribuir atualizaes, executar scripts e trabalhos em segundo plano, coletar dados, e fazer alteraes otimizadas e uniformes em um ou em centenas de computadores. 2- Windows PowerShell ISE Com o Windows PowerShell ISE, o uso do Windows PowerShell fica mais fcil e eficaz. Os iniciantes apreciaro as cores da sintaxe e a Ajuda contextual. A edio de multilinha facilita a execuo dos exemplos copiados dos tpicos da Ajuda e de outras origens. Os usurios avanados apreciaro a disponibilidade dos diversos ambientes de execuo, do depurador interno e da extensibilidade do modelo de objetos do Windows PowerShell ISE. 3- Mdulos Os mdulos do Windows PowerShell permitem que os autores de cmdlets e provedores a tarefa organizem e distribuam ferramentas e solues com mais facilidade. Alm disso, eles permitem que os usurios instalem e incluam ferramentas nas sesses do Windows PowerShell de maneira mais simplificada. Os profissionais de TI podem usar mdulos para distribuir solues testadas e aprovadas no mbito da empresa e compartilh-las com outros profissionais na comunidade. 4- Transaes As transaes do Windows PowerShell permitem que o Windows PowerShell seja usado para fazer alteraes que possam ser revertidas ou confirmadas como uma unidade, tais como atualizaes no banco de dados e alteraes no Registro. O Windows PowerShell apresenta os seguintes requisitos de sistema e de recursos:

Windows PowerShell requer o Microsoft .NET Framework 2.0. Windows PowerShell ISE, o programa de interface grfica do usurio do Windows PowerShell, requer o Microsoft .NET Framework 3.5 com Service Pack 1. cmdlet Out-GridView requer o Microsoft .NET Framework 3.5 com Service Pack 1. 52

cmdlet Get-WinEvent requer o Windows Vista, ou verses posteriores do Windows,e o Microsoft .NET Framework 3.5. cmdlet Export-Counter pode ser executado apenas no Windows 7 e em verses posteriores do Windows. Os recursos remotos baseados em WMI do Windows PowerShell no requerem nenhuma configurao e podem ser executados em todas as verses do Windows que ofeream suporte para Windows PowerShell. Os recursos remotos baseados em WS-Management requerem que os computadores locais ou remotos executem o Windows Vista ou uma verso posterior do Windows. Alm disso, necessrio habilitar e configurar o WS-Management em todos os computadores participantes. Para obter mais informaes, consulte About_Remote. Vrios cmdlets s funcionam quando o usurio atual membro do grupo Administradores no computador ou apresenta as credenciais de membro de tal grupo. Esse requisito explicado nos tpicos da Ajuda dos cmdlets afetados.

1.1.18 - Recursos de Pesquisa, Busca e Organizao do Windows O Windows 7 apresenta diversos de novos recursos e aprimoramentos que podem ajudar profissionais de TI a implantar e manter a funcionalidade pesquisa, busca e organizao da rea de trabalho:

Aprimoramentos no desempenho e estabilidade do indexador. Aprimoramentos no desempenho e relevncia da experincia de pesquisa. A introduo da pesquisa federada e dos conectores de pesquisa. A introduo de agregaes e visualizaes para organizar melhor os resultados da pesquisa. A introduo de bibliotecas para ajudar na organizao. Aprimoramentos no desempenho e na interface do usurio do Windows Explorer. Configuraes adicionais de Diretivas de Grupo, disponveis em todos os sistemas operacionais com suporte. Impacto reduzido no servidor que executa o Microsoft Exchange Server durante a indexao de e-mail sem cache (clssico, online). A capacidade de indexar caixas de correio delegadas. Suporte para indexao de documentos criptografados dos sistemas de arquivos locais. 53

Suporte para indexao de e-mail assinado digitalmente de clientes de e-mail ativados por MAPI, como o Microsoft Outlook. A capacidade expandida de realizar consultas remotas rpidas de compartilhamentos de arquivos, inclusive nos sistemas operacionais Windows Vista, Windows Server 2008, Windows XP com o Windows Search 4.0 instalado, e nas verses anteriores.

O Servio Windows Search permite que voc realize pesquisas rpidas de arquivo em um servidor a partir de computadores que estejam executando os sistemas operacionais Windows 7 ou Windows Server 2008 R2, ou que apresentem uma instalao do WDS (Windows Desktop Search) em conjunto com as plataformas Windows Vista, Windows Server 2008, Windows XP, Windows Server 2003 R2 ou Windows Server 2003. A indexao de e-mail sem cache tambm conhecida como e-mail clssico, online. No Windows 7, a indexao do e-mail sem cache causa um impacto menor sobre o Microsoft Exchange Server. Diferente do e-mail sem cache, o e-mail com cache usa um arquivo de Pastas Offline (.ost) para manter uma cpia local da caixa de correio do Exchange Server no seu computador, o que permite a indexao local do e-mail. Este recurso destina-se a profissionais de TI. Os aprimoramentos na pesquisa tambm so relevantes para usurios de computadores domsticos. Antes de implantar os recursos de Pesquisa, Busca e Organizao do Windows no Windows 7, os administradores devem considerar vrios fatores, inclusive:

A funo de pesquisa de rea de trabalho dentro da estratgia de pesquisa da empresa.

Que repositrios de dados deseja publicar para o acesso direto do cliente no Windows Explorer usando o padro OpenSearch.

As prticas atuais de armazenamento de documentos e como elas se relacionam com as bibliotecas.

A importncia da criptografia do armazenamento na sua organizao. A importncia da criptografia e assinatura de e-mails para sua organizao.

A tabela a seguir apresenta uma viso geral breve da maioria dos recursos e funes novos dos recursos de Pesquisa, Busca e Organizao do Windows no Windows 7. Recurso Aprimoramentos no desempenho e na Novo no Windows 7 A navegao est melhor organizada e mais intuitiva, as tarefas dirias esto mais acessveis e h inmeros 54

interface do usurio do Windows Explorer

aprimoramentos na apresentao do contedo para o usurio final. As bibliotecas facilitam e agilizam a localizao de arquivos. Com base no xito da experincia dos Meus Documentos, as bibliotecas trabalham como pastas, mas no tm funcionalidade adicional. Alm de procurar arquivos usando a estrutura hierrquica de pastas, voc pode procurar metadados como data, tipo, autor e marcas. Os usurios podem incluir arquivos de vrios locais de armazenamento nas bibliotecas sem ter de mov-los ou copi-los dos locais de armazenamento originais. A experincia de pesquisa est integrada com as tarefas dirias por meio do Windows Explorer, do menu Iniciar e da introduo de novas bibliotecas. Os resultados da pesquisa levam em conta a relevncia, o que agiliza a localizao das informaes procuradas. Outros aprimoramentos na experincia incluem a introduo de correspondncias em realce no documento pesquisado, um construtor de pesquisa para criao de consultas avanadas e modos de exibio. Os modos de exibio permitem que voc articule os resultados da pesquisa, listam as pesquisas mais recentes e fornecem um escopo mais amplo para o menu Iniciar, incluindo tarefas do Painel de Controle. O Windows 7 permite a pesquisa de contedo em ndices remotos. A integrao da pesquisa federada no Windows proporciona aos usurios os benefcios de usar ferramentas e fluxos de trabalho familiares ao pesquisar dados remotos. Essa integrao avanada fornece como benefcio adicional correspondncias realadas dentro do documento pesquisado. O Windows 7 oferece suporte pesquisa federada por meio do padro pblico OpenSearch. Outros aprimoramentos so a interface do usurio consistente para os resultados da pesquisa remota dentro do Windows Explorer e a capacidade de arrastar e soltar arquivos nos resultados da pesquisa entre locais diferentes. Antes que os usurios possam pesquisar e-mails, o servio de indexao do Windows precisa indexar o repositrio de e-mails, o que envolve a coleta das propriedade e do contedo dos itens dentro de tal repositrio. Mais tarde, a indexao inicial seguida por uma incremental, menor - medida que os e-mails so recebidos, lidos e excludos, assim por diante - para manter o ndice atualizado. O Windows 7 minimiza o impacto no servidor que est executando o Exchange Server por reduzir o nmero de RPC (chamadas de 55

A introduo de bibliotecas para ajudar na organizao

Aprimoramentos na experincia de pesquisa

A introduo da pesquisa federada e dos conectores de pesquisa

Indexao de e-mail sem cache (clssico, online)

procedimentos remotos) necessrias para indexar as mensagens de e-mail e anexos. Como as mensagens so indexadas nos formatos nativos (HTML, RTF e texto), no h carga para o servidor na converso dos tipos de email. O Windows indexar pastas pblicas somente quando elas estiverem armazenadas no cache local. O Windows 7 estende a capacidade de pesquisa entre reas de trabalho remotas. O Windows 7 ou Windows Search 4.0 (disponveis nas plataformas Windows Vista e Windows XP) permitem que os usurios faam consultas em computadores remotos que estejam executando sistemas operacionais com suporte; o Windows Vista permite apenas a pesquisa em computadores que estejam executando o mesmo sistema operacional, ou seja, o Windows Vista. O Windows 7 oferece suporte total para indexao de arquivos criptografados nos sistemas de arquivo locais, permitindo que usurios indexem e pesquisem as propriedades e contedos de tais arquivos. Os usurios podem configurar manualmente o Windows para incluir esses arquivos na indexao, ou isso pode ser definido nas Diretivas de Grupo pelos administradores. O Windows 7 permite que voc pesquise contedo em emails assinados digitalmente. Isso inclui o corpo da mensagem e todos os anexos. Um computador que esteja executando as funes do Windows Vista Service Pack 1 (SP1) e Windows Search 4.0, como segue:

Consulta remota

Suporte para indexao de arquivos criptografados

Os usurios podem pesquisar todas as mensagens

Suporte para indexao de e-mail assinado digitalmente

de e-mail assinadas digitalmente que eles enviaram. Essa pesquisa inclui todo o contedo da mensagem.

Os usurios podem pesquisar todas as mensagens

de e-mail assinadas digitalmente que eles receberam. No entanto, essas pesquisas esto limitadas a determinadas propriedades, como assunto, remetente ou destinatrios. Os usurios no podem pesquisar o corpo da mensagem ou o contedo dos anexos.

56

O Windows 7 apresenta aprimoramentos considerveis no modo de utilizao dos recursos de Pesquisa, Busca e Organizao do Windows:

Integrao mais prxima com os fluxos de trabalho dirios. Resultados de pesquisa mais relevantes. Termos da pesquisa realados, facilitando a identificao dos resultados. Um construtor integrado e avanado de consultas.

No Windows 7, h uma nova nfase em organizao, com a introduo de bibliotecas e vrios aprimoramentos nos modos de exibio e na visualizao dos dados. O Windows 7 no oferece suporte para a indexao do contedo de mensagens de e-mail criptografadas ou de quaisquer confirmaes S/MIME recebidas nas mensagens assinadas por S/MIME que voc enviar.

1.1.19 - Auditoria de Segurana do Windows H um nmero de aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7 que aumentam o nvel de detalhes em logs de auditoria de segurana e simplificam a implantao e o gerenciamento de diretivas de auditoria, esses aprimoramentos incluem:

Auditoria de Acesso a Objetos Globais No Windows Server 2008 R2 e Windows 7, os administradores podem definir as SACLs (listas de controle de acesso do sistema) de todo o computador para o registro ou sistema de arquivos. A SACL especfica aplicada, automaticamente, a cada objeto desse tipo. Isso pode ser til para verificar se todos os arquivos crticos, as pastas e as configuraes do registro em um computador esto protegidos, e para identificar a ocorrncia de uma problema com um recurso do sistema.

Relatrio "Razo do acesso". A lista de ACEs (entradas de controle de acesso) fornece os privilgios, nos quais a deciso para permitir ou negar acesso ao objeto foi baseada. Isso pode ser til para documentar as permisses, como associados a um grupo, que permite ou evita a ocorrncia de um evento de auditoria particular.

Configuraes de diretiva de auditoria avanadas. As 53 novas configuraes podem ser usadas no lugar de nove configuraes bsicas de auditoria, em Diretivas Locais\Diretiva de Auditoria, para permitir que os 57

administradores direcionem, de forma especfica, os tipos de atividades que eles querem fazer auditoria e eliminem as atividades de auditoria desnecessrias que podem tornar os logs de auditoria mais difceis de gerenciar e decifrar. No Windows XP, os administradores possuem nove categorias de eventos de auditoria de segurana que podem ser monitorados para xito, falha ou xito e falha. Esses eventos esto completamente corretos no escopo e podem ser disparados por uma variedade de aes similares, muitas delas podem gerar um grande nmero de entradas de log de eventos. No Windows Vista e Windows Server 2008, o nmero de eventos de auditoria aumentou de nove para 53, permitindo que um administrador seja mais seletivo no nmero e nos tipos de eventos para fazer auditoria. No entanto, diferentemente dos nove eventos bsicos do Windows XP, esses novos eventos de auditoria no so integrados Diretiva de Grupo e s podem ser implantados por meio de scripts de logon gerados com a ferramenta de linha de comando Auditpol.exe. No Windows 7, todas as funcionalidades de auditoria foram integradas com a Diretiva de Grupo. Isso permite que os administradores configurem, implantem e gerenciem essas configuraes no GPMC (Console de Gerenciamento de Diretiva de Grupo) ou no snap-in Diretiva de Segurana Local para um site de domnio ou uma OU (unidade organizacional). O Windows Server 2008 R2 e Windows 7 fazem com que os profissionais de TI acompanhem, de maneira mais fcil, as atividades significantes, definidas precisamente, que ocorrem na rede. Os aprimoramentos de diretiva de auditoria no Windows Server 2008 R2 e Windows 7 permitem que os administradores conectem regras de negcios e diretivas de auditoria. Por exemplo, a aplicao de configuraes de diretiva de auditoria, por um domnio ou uma OU, permitir que os administradores documentem a conformidade com as regras, como:

Acompanhar toda a atividade do administrador de grupos em servidores com informaes financeiras.

Acompanhar todos os arquivos acessados por grupos definidos de funcionrios. Confirmar que a SACL correta foi aplicada a cada arquivo, pasta e chave de registro quando eles foram acessados.

Os aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7 suportam as necessidades de profissionais de TI responsveis pela implementao, manuteno e monitoramento da segurana contnua de ativos fsicos e de informao de uma organizao. Essas configuraes podem ajudar os administradores a responder os seguintes tipos de questes: Quem est acessando os nossos ativos? Quais ativos esto sendo acessados? 58

Quando e onde eles foram acessados? Como eles obtiveram acesso? A percepo de segurana e o desejo de ter uma pista forense so motivos significantes por trs dessas questes. A qualidade dessa informao exigida e avaliada por auditores em um nmero crescente de organizaes. Um nmero de consideraes especiais aplicado a vrias tarefas associadas aos aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7:

Criando uma diretiva de auditoria: Para criar uma diretiva de auditoria de segurana avanada do Windows, preciso usar o GPMC ou o snap-in Diretiva de Segurana Local em um computador executando o Windows Server 2008 R2 ou Windows 7. (Voc pode usar o GPMC em um computador executando Windows 7, aps instalar as Ferramentas de Administrao do Servidor Remoto).

Aplicando configuraes de diretiva de auditoria. Se voc estiver usando a Diretiva de Grupo para aplicar as configuraes de diretiva de auditoria avanadas e as configuraes de acesso a objetos, os computadores clientes precisaro executar o Windows Server 2008 R2 ou Windows 7. Alm disso, apenas computadores executando o Windows Server 2008 R2 ou Windows 7 podem fornecer os dados do relatrio "razo do acesso",

Desenvolvendo um modelo de diretiva de auditoria. Para planejar configuraes de auditoria de segurana avanadas e configuraes de acesso a objetos globais, preciso usar o GPMC que direciona um controlador de domnio executando o Windows Server 2008 R2.

Distribuindo a diretiva de auditoria. Aps desenvolver um GPO (objeto de Diretiva de Grupo) que inclui configuraes de auditoria de segurana avanadas, ele poder ser distribudo por meio de controladores de domnio executando qualquer sistema operacional de servidor do Windows. No entanto, se voc no puder colocar computadores clientes executando o Windows 7 em uma OU separada, use o filtro de WMI (Instrumentao de Gerenciamento do Windows) para verificar se as configuraes de diretiva avanadas foram aplicadas somente a computadores clientes executando o Windows 7. As configuraes de diretiva de auditoria avanadas tambm podem ser aplicadas

a computadores clientes executando o Windows Vista. No entanto, as diretivas de 59

auditoria para esses computadores clientes precisam ser criadas e aplicadas, separadamente, por meio dos scripts de logon Auditpol.exe. A utilizao das configuraes de diretiva de auditoria bsicas em Diretivas Locais/Diretiva de Auditoria e das configuraes avanadas em Configurao de Diretiva de Auditoria Avanada pode causar resultados inesperados. Portanto, os dois conjuntos de configuraes de diretiva de auditoria no devem ser combinados. Se usar as configuraes Configurao de Diretiva de Auditoria Avanada, habilite a configurao de diretiva Auditoria: Forar as configuraes da subcategoria de diretiva de auditoria (Windows Vista ou posterior) a substituir as configuraes da categoria de diretiva de auditoria, em Diretivas Locais\Opes de Segurana. Isso evitar conflitos entre configuraes parecidas, fazendo com que a auditoria de segurana bsica seja ignorada. Alm disso, para planejar e implantar diretivas de auditoria de evento de segurana, os administradores precisam direcionar um nmero de questes estratgicas e operacionais, inclusive: Por que precisamos de uma diretiva de auditoria? Quais atividades e eventos so mais importantes para a nossa organizao? Quais tipos de eventos de auditoria ns podemos omitir da estratgia de auditoria? Quantos recursos de rede e quanto tempo do administrador ns queremos dedicar para gerar, coletar e armazenar eventos e analisar dados? Todas as verses do Windows Server 2008 R2 e Windows 7, que podem processar Diretivas de Grupo, podem ser configuradas para usar esses aprimoramentos de auditoria de segurana. As verses do Windows Server 2008 R2 e Windows 7, que no podem ingressar a um domnio, no tem acesso a esses recursos. No h diferena no suporte de auditoria de segurana entre as verses de 32 bits e 64 bits do Windows 7. Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs de computadores por tipo de objeto para o registro ou sistema de arquivo. A SACL especfica aplicada, automaticamente, a cada objeto desse tipo. Os auditores podero provar que todos os recursos do sistema esto protegidos por uma diretiva de auditoria, apenas exibindo os contedos da configurao da diretiva Auditoria de Acesso a Objetos Globais. Por exemplo, a configurao da diretiva "acompanhar todas as alteraes feitas pelos administradores do grupo" ser o suficiente para mostrar que essa diretiva est em vigor. As SACLs de recurso tambm so teis para cenrios de diagnstico. Por exemplo, configurando uma diretiva Auditoria de Acesso a Objetos Globais, para registrar todas as atividades de um usurio especfico, e habilitando as diretivas de auditoria Falhas de Acesso em um recurso (registro e sistema de arquivo) ajudar os

60

administradores a identificar rapidamente qual objeto, em um sistema, est negando acesso ao usurio. Se uma diretiva Auditoria de Acesso a Objetos Globais e uma SACL de arquivo ou pasta (ou uma nica SACL de configurao de registro ou uma diretiva Auditoria de Acesso a Objetos Globais) forem configuradas em um computador, a SACL eficaz ser derivada da combinao entre a diretiva Auditoria de Acesso a Objetos Globais e a SACL de arquivo ou pasta. Isso significa que um evento de auditoria ser gerado se uma atividade corresponder diretiva Auditoria de Acesso a Objetos Globais ou SACL de arquivo ou pasta. H vrios eventos no Windows para auditar sempre uma operao com ou sem xito. Os eventos normalmente incluem o usurio, o objeto e a operao, mas no incluem o porqu da operao ser permitida ou negada. As anlises forenses e os cenrios de suporte melhoraram no Windows Server 2008 R2 e Windows 7, registrando o motivo, com base em permisses, pelo qual algum teve acesso a recursos corporativos. No Windows Server 2008 R2 e Windows 7, as diretivas de auditoria aprimoradas podem ser configuradas e implantadas por meio da Diretiva de Grupo, que reduz o custo e as despesas de gerenciamento e aumenta significativamente a flexibilidade e a eficcia da auditoria de segurana. As sees a seguir descrevem os novos eventos e categorias de eventos disponveis no n Configurao de Diretiva de Auditoria Avanada da Diretiva de Grupo. Os eventos dessa categoria ajudam o domnio do documento em tentativas de autenticao dos dados da conta, tanto para um controlador de domnio como para um SAM (Gerenciador de Contas de Segurana). Diferentemente de eventos de logon e logoff, que acompanham tentativas de acesso a um computador particular, os eventos dessa categoria so relatados no banco de dados que est sendo usado. Configurao Validao de credenciais Operaes de tquete de servio Kerberos Outros eventos de logon da conta Servio de autenticao Kerberos Descrio Eventos de auditoria gerados por testes de validao em credenciais de logon da conta do usurio. Eventos de auditoria gerados por solicitaes de tquete de servio Kerberos. Eventos de auditoria gerados por respostas a solicitaes de credenciais, enviadas por um logon da conta de usurio ,que no so validao de credenciais ou tquetes Kerberos. Eventos de auditoria gerados por solicitaes de TGT (tquete de concesso de tquete) de autenticao Kerberos.

61

As configuraes dessa categoria podem ser usadas para monitorar alteraes em grupos e contas de computadores e usurios.

Configurao Gerenciamento de contas do usurio Gerenciamento de contas do computador Gerenciamento de grupos de segurana

Descrio Alteraes de auditoria em contas do usurio Eventos de auditoria gerados por alteraes em contas do computador, como quando uma conta do computador criada, alterada ou excluda. Eventos de auditoria gerados por alteraes em grupos de segurana. Eventos de auditoria gerados por alteraes em grupos de distribuio. Os eventos dessa subcategoria so registrados somente em controladores de domnio. Eventos de auditoria gerados por alteraes em grupos de aplicativo. Eventos de auditoria gerados por outras alteraes em contas do usurio que no foram abordadas nessa categoria.

Gerenciamento de grupos de distribuio

Gerenciamento de grupos de aplicativo Outros eventos de gerenciamento da conta

Os eventos de acompanhamento detalhados podem ser usados para monitorar as atividades de aplicativos individuais para entender como um computador est sendo usado e as atividades de usurios nesse computador. Configurao Criao de processos Trmino de processos Descrio Eventos de auditoria gerados quando um processo for criado ou iniciado. O nome do aplicativo ou usurio que criou o processo tambm sofre auditoria. Eventos de auditoria gerados no fim do processo. Eventos de auditoria gerados quando so feitas solicitaes de criptografia ou descriptografia DPAPI (interface do aplicativo de Proteo de Dados). A DPAPI usada para proteger informaes secretas, como senha armazenada ou informao de chave. Para obter mais informaes sobre DPAPI, consulte Proteo de Dados do Windows. Conexes de RPC (chamada de procedimento remoto) de entrada de auditoria.

Atividade DPAPI

Eventos de RPC

62

Os eventos de acesso de DS fornecem uma pista de auditoria de nvel baixo de tentativas de acesso e modificao de objetos nos AD DS (Servios de Domnio Active Directory). Esses eventos so registrado somente em controladores de domnio.

Configurao

Descrio

Eventos de auditoria gerados quando um objeto de AD DS acessado. Apenas os objetos de AD DS que correspondem SACL so Acesso ao Servio de registrados Diretrio Os eventos dessa subcategoria so parecidos com os eventos de Acesso ao Servio de Diretrio disponveis nas verses anteriores do Windows. Alteraes no Servio de Diretrio Replicao do Servio de Diretrio Eventos de auditoria gerados por alteraes em objetos AD DS. Os eventos so registrados quando um objeto criado, excludo, modificado, movido ou sua excluso for desfeita. Replicao de auditoria entre dois controladores de domnio AD DS.

Replicao Eventos de auditoria gerados por replicao detalhada de AD Detalhada do Servio DS entre controladores de domnio. de Diretrio Os eventos de logon e logoff permitem que voc acompanhe tentativas de logon em um computador de forma interativa ou em uma rede. Esses eventos so especialmente teis para acompanhar atividades do usurio e identificar possveis ataques em recursos da rede.

Configurao Logon

Descrio Eventos de auditoria gerados por tentativas de logon na conta do usurio em um computador. Eventos de auditoria gerados pelo encerramento de uma sesso de logon. Esses eventos ocorrem no computador que foi acessado. Para um logon interativo, o evento de auditoria de segurana gerado no computador em que foi feito o logon na conta do usurio. Eventos de auditoria gerados por uma falha na tentativa de logon em uma conta bloqueada. Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociaes de Modo Principal. 63

Logoff

Bloqueio da conta Modo Principal IPsec

Modo Rpido IPsec Modo Estendido IPsec Logon especial Outros eventos de logon/logoff Servidor de diretivas de rede

Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociaes de Modo Rpido. Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociaes de Modo Estendido. Eventos de auditoria gerados por logons especiais Outros eventos de auditoria relacionados ao logon e logoff que no esto concludos na categoria Logon/Logoff. Eventos de auditoria gerados por solicitao de acesso ao usurio de RADIUS (IAS) e NAP (Proteo de Acesso Rede). Essas solicitaes podem ser Conceder, Negar, Descartar, Quarentena, Bloquear, Desbloquear.

Os eventos de acesso a objetos permitem que voc acompanhe tentativas de acesso a objetos especficos ou tipos de objetos em uma rede ou computador. Para auditar um arquivo, diretrio, chave de registro ou qualquer outro objeto, voc precisa habilitar a categoria Acesso a Objetos para eventos de xito e falha. Por exemplo, a subcategoria Sistema de Arquivos precisa ser habilitada para fazer auditoria em operaes de arquivo, e a subcategoria Registro precisa ser habilitada para fazer auditoria no acesso de registro. difcil provar que essa diretiva est em vigor para um auditor externo. No h uma maneira fcil de verificar se as SACLs apropriadas foram definidas em todos os objetos herdados.

Configurao

Descrio Auditoria de tentativas do usurio de acessar objetos do sistema do arquivo. Um evento de auditoria de segurana gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Gravar, Ler ou Modificar, e se a conta que est fazendo a solicitao correspondente s configuraes na SACL. Auditoria tentativas de acessar objetos de registro. Um evento de auditoria de segurana gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Ler, Gravar ou Modificar, e se a conta que est fazendo a solicitao correspondente s configuraes na SACL. Auditoria de tentativas de acesso ao kernel do sistema, que inclui mutexes e sinais. Apenas objetos kernel com uma SACL correspondente geram eventos de auditoria de segurana. 64

Sistema de arquivos

Registro

Objeto Kernel

A configurao de auditoria Auditoria: Auditoria de acesso de objetos de sistema global controla a SACL padro de objetos kernel. SAM Servios de certificao Eventos de auditoria gerados por tentativas de acesso aos objetos de SAM (Gerenciador de Contas de Segurana). Auditoria de operaes de AD CS (Servios de Certificados do Active Directory) Aplicativos de auditoria que geram eventos por meio das APIs (interfaces de programao de aplicativo) de auditoria do Windows. Os aplicativos criados para usar a API de auditoria do Windows usam essa subcategoria para registrar eventos de auditoria relacionados sua funo. Eventos de auditoria gerados quando um identificador de um objeto aberto ou fechado. Apenas objetos com uma SACL correspondente geram eventos de auditoria de segurana. Auditoria de tentativas de acesso a uma pasta compartilhada. No entanto, nenhum evento de auditoria de segurana foi gerado quando uma pasta foi criada, excluda ou suas permisses de compartilhamento foram alteradas. Auditoria de tentativas de acesso a arquivos e pastas em uma pasta compartilhada. A configurao Compartilhamento de arquivos detalhado registra um evento todas as vezes que um arquivo ou pasta foi acessado, enquanto a configurao Compartilhamento de arquivos registra somente um evento para qualquer conexo estabelecida entre um cliente e um compartilhamento de arquivos. Os eventos de auditoria Compartilhamento de Arquivos Detalhado inclui informaes detalhadas sobre permisses ou outros critrios usados para conceder ou negar acesso. Pacotes de auditoria descartados pela WFP (Plataforma para Filtros do Windows). Conexes de auditoria permitidas ou bloqueadas pela WFP.

Aplicativo gerado

Manipulao do identificador

Compartilhamento de arquivos

Compartilhamento de arquivos detalhado

Descarte de pacote da plataforma para filtros Conexo da plataforma para filtros Outros eventos de acesso a objetos

Eventos de auditoria gerados pelo gerenciamento de trabalhos de Agendador de Tarefas ou objetos de COM+.

Os eventos de alterao de diretivas permitem que voc acompanhe alteraes de diretivas de segurana importantes em uma rede ou sistema local. Como essas diretivas so normalmente estabelecidas por administradores, para ajudar a proteger recursos da rede, qualquer alterao ou tentativa de alterar essas polticas pode ser um aspecto importante do gerenciamento de segurana de uma rede. 65

Configurao

Descrio

Alterao de diretiva Alteraes de auditoria nas configuraes de diretiva de de auditoria auditoria de segurana. Alterao de diretiva Eventos de auditoria gerados por alteraes em diretivas de de autenticao autenticao. Alterao de diretiva Eventos de auditoria gerados por alteraes em diretivas de de autorizao autorizao. Alterao de diretiva Eventos de auditoria gerados por alteraes nas regras de de nvel de regra auditoria usadas pelo Firewall do Windows. MPSSVC Alterao na diretiva Eventos de auditoria gerados por alteraes em WFP. da plataforma de filtragem Outros eventos de alterao de diretiva Eventos de auditoria gerados por outras alteraes em diretivas de segurana que no foram auditadas na categoria Alterao de Diretiva.

Os privilgios em uma rede so concedidos para usurios ou computadores para tarefas definidas concludas. Os eventos de uso de privilgios permitem que voc acompanhe o uso de certos privilgios em um ou mais computadores. Configurao Descrio Eventos de auditoria gerados pelo uso de privilgios confidenciais (direitos do usurio), como ao como parte do sistema operacional, backup de arquivos e diretrios, representao do computador cliente ou a gerao de auditorias de segurana. Eventos de auditoria gerados pelo uso de privilgios no confidenciais (direitos do usurio), como logon local ou com a conexo de uma rea de trabalho remota, alterao do tempo do sistema ou remoo do computador de uma base de encaixe. No usado.

Uso de privilgio confidencial

Uso de privilgio no confidencial Outros eventos de uso de privilgio

66

Os eventos do sistema permitem que voc acompanhe alteraes de alto nvel para um computador que no est includo em outras categorias e que possui possveis implicaes de segurana. Configurao Alterao do estado de segurana Extenso do sistema de segurana Integridade do sistema Driver IPsec Descrio Eventos de auditoria gerados por alteraes no estado de segurana do computador. Eventos de auditoria relacionados a extenses ou servios do sistema de segurana Eventos de auditoria que violam a integridade do subsistema de segurana. Eventos de auditoria gerados pelo driver de filtro do IPsec. Auditoria de qualquer um dos eventos a seguir:
Inicializao

e desligamento do Firewall do Windows. da diretiva de segurana pelo Firewall do

Outros eventos de sistema

Processamento

Windows.
Arquivo

de chave de criptografia e operaes de migrao.

1.2 Alteraes e Melhorias

1.2.1 - Alteraes Diversas no Windows 7 I - Servio de Transferncia Inteligente de Plano de Fundo O Servio de Transferncia Inteligente de Plano de Fundo (BITS) 4.0 aproveita a infraestrutura do BranchCache para fornecer funcionalidade de transferncia de arquivos ponto a ponto. Ele no interopera com a soluo de cache ponto a ponto do BITS 3.0 que estava includa no Windows Vista e no Windows Server 2008. Como resultado dessa alterao, qualquer aplicativo ou servio corporativo (como os Servios de Atualizao do Windows Server) que use o cache ponto a ponto do BITS 3.0 deve baixar os arquivos diretamente do servidor de origem em vez de recuper-los de um computador ponto a ponto. Para evitar ou corrigir esse problema, use um computador Windows Server 2008 R2 que tenha BranchCache instalado. II - AppLocker O AppLocker a ltima gerao do recurso Diretivas de Restrio de Software, que fornece controle de acesso para aplicativos. Para obter mais informaes, consulte O que AppLocker?. 67

Os aprimoramentos do AppLocker incluem:

Cmdlets do PowerShell para AppLocker. Esses cmdlets so usados junto com a interface de usurio do AppLocker como blocos de construo para ajudar a criar, testar, manter e solucionar problemas de diretiva do AppLocker. Para obter mais informaes, consulte Cmdlets do PowerShell para AppLocker.

Modo de aplicao Auditar somente. Essa configurao ajuda a determinar quais aplicativos so usados em uma organizao e a testar as regras criadas antes de implant-las. Quando a diretiva do AppLocker para uma coleo de regra definida como Auditar somente, as regras para a coleo de regras no so aplicadas. As regras podem ser importadas para o AppLocker e testadas antes de serem implantadas usando o modo de aplicao Auditar somente. Para obter mais informaes, consulte o "Cenrio 2: usando a auditoria para rastrear que aplicativos so usados" no AppLocker Step-by-Step Guide.

III - Windows PowerShell 2.0. O Windows PowerShell 2.0 compatvel com o Windows PowerShell 1.0; entretanto, os scripts e os aplicativos existentes precisam ser atualizados para acomodar as seguintes alteraes:

valor da entrada do Registro do PowerShellVersion HKLM\SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine alterado para 2.0.

em foi

Novos cmdlets e variveis foram adicionados e eles podem entrar em conflito com variveis e funes nos perfis e nos scripts. operador -ieq executa uma comparao de caracteres que no diferenciam maisculas de minsculas. cmdlet Get-Command obtm as funes por padro, alm dos cmdlets. Os comandos nativos que geram uma interface de usurio no podem ser salvos no Out-Host cmdlet. As novas palavras-chave de linguagem Begin, Process, End e Dynamic Param podem entrar em conflito com palavras semelhantes que so usadas em scripts e funes. Erros de anlise podero ocorrer se essas palavras forem interpretadas como palavras-chave de linguagem. A resoluo do nome do cmdlet foi alterada. O Windows PowerShell 1.0 gerou um erro de tempo de execuo quando os snap-ins do Windows 68

PowerShell exportaram cmdlets com o mesmo nome. No Windows PowerShell 2.0, o ltimo cmdlet adicionado sesso executado quando voc digite o nome do comando. Para executar um comando que no executado por padro, qualifique o nome do cmdlet com o nome do snapin ou do mdulo do que ele se origina.

Um nome de funo seguido por -? obtm o tpico de Ajuda para a funo, se um tpico estiver includo na funo. A resoluo do parmetro para mtodos do Microsoft .NET Framework foi alterada. No Windows PowerShell 1.0, se voc chamar um mtodo .NET sobrecarregado com mais de uma sintaxe adequada, nenhum erro ser reportado. No Windows PowerShell 2.0, um erro de ambiguidade reportado. Alm disso, no Windows PowerShell 2.0, o algoritmo para escolher o mtodo adequado foi revisado significativamente para reduzir o nmero de ambiguidades. Se voc usar Import-Module para carregar comandos que usam verbos no aprovados ou caracteres restritos no nome do comando, receber um aviso. Use o comando Get-Verb para ver uma lista de verbos aprovados. No use nenhum dos seguintes caracteres nos nomes de comandos: [#,(){}[]&-/\$^;:"'<>|?@`*~%+=

Se voc estiver enumerando uma coleo no pipeline e tentar modific-la, o Windows PowerShell 2.0 emitir uma exceo. Por exemplo, os comandos a seguir funcionam no Windows PowerShell 1.0, mas falharo depois da primeira iterao do pipeline no Windows PowerShell 2.0:

Windows PowerShell $h = @{Name="Hello"; Value="Test"} $h.keys | foreach-object {$h.remove($_)}

Para evitar esse erro, crie uma subexpresso para o enumerador usando os caracteres $() como se segue:

Windows PowerShell $($h.keys) | foreach-object {$h.remove($_)}

IV - Diretiva de Grupo No Windows 7, a Diretiva de Grupo foi aprimorada das seguintes formas:

Novos cmdlets do Windows PowerShell. Esse recurso se aplica ao Windows 7 Enterprise, ao Windows 7 Professional e ao Windows 7 Ultimate. Antes do Windows 7, o gerenciamento e a automao da Diretiva de Grupo era feita pelo Console de Gerenciamento de Diretiva de 69

Grupo (GPMC) ou com scripts criadas nas interfaces COM do GPMC. O Windows 7 apresenta um conjunto de 25 novos cmdlets, que permitem aos administradores de TI gerenciar e automatizar a Diretiva de Grupo por meio do Windows PowerShell. Com esses cmdlets, um administrador de TI pode fazer backup, restaurar, reportar e configurar (por meio das configuraes de registro) objetos Diretiva de Grupo. Essa funcionalidade adicionada quando o GPMC instalado.

Suporte ADMX para Reg_QWORD & Reg_MultiSZ. Antes do Windows 7, uma chave do Registro que era do tipo QWORD ou MultiSZ no podia ser configurada por meio dos Modelos Administradores de Diretiva de Grupo (ADMX). O esquema ADMX foi atualizado para fornecer suporte aos tipos de Registro QWORD e MultiSZ.

Aprimoramentos para o editor ADMX. Esse recurso se aplica ao Windows 7 Enterprise, ao Windows 7 Professional e ao Windows 7 Ultimate. Antes do Windows 7, o editor ADMX era exibido como uma caixa de dilogo no redimensionvel, com guias. O texto de UI era normalmente cortado e o contedo da Ajuda era difcil de encontrar. O novo editor ADMX exibido em uma janela redimensionvel que impede o corte de texto. As informaes sobre configuraes, incluindo Ajuda e comentrios, esto mais fceis de encontrar.

Aprimoramentos para Preferncias de Diretiva de Grupo: Esse recurso se aplica ao Windows 7 Enterprise, ao Windows 7 Professional e ao Windows 7 Ultimate. Novos recursos foram adicionados s Preferncia da Diretiva de Grupo para permitir a configura do Internet Explorer 8. Existe tambm uma nova funcionalidade disponvel emTarefas Agendadas e Planos de Energia para o Windows 7. Os profissionais de TI podem usar Preferncias de Diretiva de Grupo para configurar centralmente o Internet Explorer 8, Tarefas Agendadas e Planos de Energia. Essa funcionalidade adicionada quando o GPMC instalado. Alm disso, as extenses do lado do cliente de Preferncia de Diretiva de Grupo esto includas no Windows 7, para que os administradores de TI no precisem implantar as extenses por meio do Windows Update ou do Centro de Download.

V - Windows Update Standalone Installer 70

O Windows Update Standalone aprimoramentos no Windows 7:

Installer

(Wusa.exe)

fornece

os

seguintes

Suporte para desinstalao. Antes do Windows 7, o wusa.exe inclua apenas suporte para instalao. No Windows 7, o wusa.exe inclui suporte para desinstalao para que os administradores possam desinstalar atualizaes a partir da linha de comando. Os usurios podem desinstalar uma atualizao fornecendo o caminho para o arquivo .msu ou fornecendo o nmero do pacote (na Base de Dados de Conhecimento da Microsoft) da atualizao a ser desinstalada. Use o seguinte comando para desinstalar uma atualizao especificando o caminho completo para a atualizao: wusa.exe /uninstall <Path>

Use o seguinte comando para desinstalar uma atualizao especificando o nmero do pacote de atualizao da Base de Dados de Conhecimento da Microsoft: wusa.exe /uninstall /kb:<KB Number> Parmetros adicionais da linha de comando. Novos parmetros esto disponveis no Windows 7 para habilitar o registro em log, extrair contedo de um arquivo .msu e controlar o comportamento de reinicializao quando uma atualizao instalada no modo silencioso.

Parmetro de linha de comando /log

Windows Vista

Windows 7

No disponvel. O registro em O novo parmetro habilita o log pode ser habilitado somente registro em log por meio da por meio de ferramentas de ferramenta Wusa.exe. rastreamento. No disponvel. O contedo dos arquivos .msu podem ser extrados usando somente a ferramenta expand.exe. O novo parmetro permite que os arquivos .msu sejam extrados por meio da ferramenta Wusa.exe.

/extract

/quiet

Fornece suporte apenas opo Estendido para fornecer suporte /norestart. s opes /forcerestart, /warnrestart e /promptrestart.

Informaes estendidas sobre o erro. A ferramenta Wusa.exe fornece informaes estendidas em cenrios de erro para melhor diagnstico.

71

Erro

Cdigo de erro no Windows Vista Cdigo de erro no Windows 7 0x240006 (WU_S_ALREADY_INSTALLED) 0x80240017 (WU_E_NOT_APPLICABLE)

A atualizao j 1 (S_FALSE) est instalada. A atualizao no 1 (S_FALSE) aplicvel.

VI - Pesquisa, Navegao e Organizao do Windows O Windows 7 apresenta muitos recursos e aprimoramentos para ajudar os profissionais de TI a implantar e manter a funcionalidade de pesquisa, navegao e organizao da rea de trabalho. Os principais aprimoramentos para Pesquisa, Navegao e Organizao do Windows incluem: Integrao mais prxima com os fluxos de trabalho dirios. Aprimoramentos no desempenho e relevncia da experincia de pesquisa. Apresentao de agregao e de visualizaes para melhorar a organizao. Apresentao de pesquisa federada para ndices remotos. VII - Assistente do .NET Framework e Windows Presentation Foundation Plug-in para Firefox O Assistente do .NET Framework e o Windows Presentation Foundation (WPF) Plug-in para Firefox no esto includos no Windows 7. Esses componentes foram fornecidos com o .NET Framework 3.5 Service Pack 1 e esto desatualizados. Consequentemente, quando voc tenta exibir um aplicativo no navegador XAML (XBAP) ou iniciar um aplicativo ClickOnce no Firefox, o navegador tenta baixar e salvar o arquivo em vez de inici-lo. O WPF Plug-in para Firefox possui um modelo semelhante. VIII - Codificador e Decodificador de Voz do Windows Media Audio Os DirectX Media Objects (DMOs) para Codificador de Voz do Windows Media Audio (wmspdmoe.dll) e Decodificador de Voz do Windows Media Audio (wmspdmod.dll) foram atualizados no Windows 7. Agora eles geram um erro quando existe uma tentativa de us-los fora do conjunto de taxas de amostragem com suporte, que so de 8 kHz, 16 kHz, 11,25 kHz e 22,5 kHz.

1.2.2 - Segurana do Windows 7 O Windows 7 foi desenvolvido com base na poderosa linhagem de segurana do Windows Vista e retm todos os processos de desenvolvimento e as tecnologias que fizeram do Windows Vista a verso mais segura do Windows que os clientes encontraram. Os recursos fundamentais de segurana, como Proteo de Patch de Kernel, Sistema de Proteo de Servios, Preveno de Execuo de Dados, Address Space Layout Randomization e Nveis de Integridade de Credenciais, continuam a 72

forneces proteo aprimorada contra malware e ataques. O Windows 7 , novamente, projetado e desenvolvido usando o SDL da Microsoft e criado para suportar requisitos de Critrios Comuns para alcanar a certificao de nvel 4 de Segurana de Avaliao e corresponde ao Federal Information Processing Standard 140-2. A partir de fundamentos de segurana slidos do Windows Vista, o Windows 7 faz aprimoramentos significantes s tecnologias de segurana principais de auditoria de eventos e de Controle de Conta de Usurio. O Windows 7 fornece recursos aprimorados de auditoria que torna mais fcil para as organizaes cumprir os requisitos de regularidade e conformidade dos negcios. Os aprimoramentos de auditoria comeam com uma abordagem de gerenciamento aprimorado para configuraes de auditoria e termina fornecendo uma visibilidade ainda maior do que ocorre na organizao. Por exemplo, o Windows 7 fornece uma percepo em compreender exatamente o motivo de algum ter acesso a informaes especificas, o motivo de algum ter negado acesso a informaes especificas e todas as mudanas feitas por pessoas ou grupos especficos. O UAC (Controle de Conta de Usurio) foi apresentado no Windows Vista para ajudar a aumentar a segurana e melhorar o custo total de propriedade, habilitando o sistema operacional para ser implantados sem privilgios administrativos. O Windows 7 continua com o investimento em UAC com alteraes especficas para aprimorar a experincia do usurio: reduzindo o nmero de aplicativos e tarefas do sistema operacional que exigem privilgios administrativos para um comportamento de prompt de consentimento flexvel que continua a ser executado com privilgios administrativos. O resultado, usurios padro podero fazer muito mais do que antes e todos os usurios vero menos prompts.

Figura 1: Controle de acesso de usurio

73

O Windows 7 simplifica o processo de conexo de dispositivos de segurana ao seu PC, tornando o gerenciamento de dispositivos mais fcil e ajudando voc a acessar mais facilmente as tarefas relacionadas a dispositivos comuns. A partir da instalao inicial at o uso dirio, os dispositivos de segurana nunca foram to fceis de usar em seu ambiente. O uso predominante de unidades flash USB e outros dispositivos de armazenamento pessoais aumentou as preocupaes do usurio sobre a segurana das informaes nesses dispositivos. No entanto, alguns usurios no exigem da criptografia completa de dados do BitLocker To Go. O Windows 7 fornece suporte para proteo de senha e de autenticao com base em certificados para dispositivos de armazenamento compatveis com IEEE 1667. Os usurios podem utilizar a proteo de senha de dispositivos de armazenamento IEEE 1667 para manter os dados confidenciais em caso de divulgao casual. Os verificadores de impresso digital tornaram-se mais e mais comuns em configuraes padro de laptos, e o Windows 7 garante que eles trabalham bem. fcil de instalar e comear a usar um leitor de impresso digital, e fazer logon no Windows usando uma impresso digital mais confivel em fornecedores de hardware diferentes. As configuraes do leitor de impresso digital so fceis de modificar, de modo que voc pode controlar como fazer logon no Windows 7 e gerenciar os dados de impresso digital armazenados no computador. A autenticao com base em senhas tem limitaes de segurana bem compreensveis. No entanto, a implantao de tecnologias de autenticao fortes continua sendo um desafio para muitas organizaes. Criado com base em avanos da infraestrutura de carto inteligente feitos no Windows Vista, o Windows 7 facilita implantao de carto inteligente por meio do suporte de Plug and Play. Os drivers exigidos para suportar cartes inteligentes e leitores de carto inteligente so instalados automaticamente, sem a necessidade de permisses administrativas ou interao do usurio, facilitando a implantao de autenticao forte e de dois fatores na empresa. Alm disso, o Windows 7 aumentou o suporte da plataforma de PKINIT (RFC 5349) para incluir cartes inteligentes com base em ECC, permitindo o uso de certificados com apoio de curva elptica em cartes inteligentes para logon no Windows. O Windows 7 fornece os controles apropriados de segurana, de modo que os usurios podem acessar a informao necessria para serem produtivos, sempre que quiserem, estando no escritrio ou no. Alm do suporte completo para tecnologias existentes, como Proteo de Acesso Rede, o Windows 7 fornece um firewall mais flexvel, suporte de segurana a DNS e um modelo totalmente novo no acesso remoto. O DNS (Sistema de Nome de Domnio) um protocolo essencial que suporta, todos os dias, muitas atividades da Internet, inclusive fornecimento de email, navegao na Web e mensagens instantneas. No entanto, o sistema DNS foi projetado a mais de trs dcadas atrs, sem as preocupaes com a segurana que temos hoje em dia. As DNSSEC (Extenses de Segurana de DNS) so um conjunto de extenses para DNS que fornecem servios de segurana exigidos para a Internet de hoje. O Windows 7 suporta DNSSEC, como especificado nos RFCs 4033, 4034 e 4035, fornecendo s organizaes a confiana de que os registros de nome de domnio no esto sendo adquiridos e as ajudando na proteo contra atividades maliciosas.

74

No Windows Vista, a diretiva de firewall baseada no "tipo" de conexo de rede estabelecidacomo Domstica, Corporativa, Pblica ou de Domnio (que o quarto tipo oculto). No entanto, ela pode apresentar obstculos de segurana para profissionais de TI quando, por exemplo, um usurio conectado por meio da rede "Domstica" usa uma rede virtual privada para acessar a rede corporativa. Nesse caso, como o tipo de rede (e, dessa forma, as configuraes de firewall) j foi definido com base na primeira rede qual o usurio se conectou, as configuraes de firewall apropriadas para acessar a rede corporativa no podem ser aplicadas. O Windows 7 suaviza esse problema para profissionais de TI, por meio de diretivas de firewall de atividades mltiplas, permitindo que os PCs de usurio obtenham e apliquem informaes de perfil do firewall de domnio independentemente de outras redes que possam estar ativas no PC. Por meio desses recursos, que esto entre os recursos principais solicitados por clientes de empresas, os profissionais de TI podem simplificar a conectividade e as diretivas de segurana, mantendo uma nico conjunto de regras para clientes remotos e clientes fisicamente conectados rede corporativa.

Figura 2: Firewall do Windows

Com o Windows 7, trabalhar fora do escritrio mais simples. O DirectAccess permite que usurios remotos acessem a rede corporativa sempre que tiverem uma conexo Internet, sem a etapa extra de iniciar uma conexo de VPNe, dessa forma, aumentar a sua produtividade quando estiverem fora do escritrio. Para profissionais de TI, o DirectAccess fornece uma infraestrutura de rede corporativa mais segura e flexvel para gerenciar e atualizar remotamente PCs de usurio. O DurectAccess simplifica o gerenciamento de TI, fornecendo uma infraestrutura "sempre gerenciada", na qual os 75

computadores dentro e fora da rede podem permanecer ntegros, gerenciados e atualizados. Com o DirectAccess, os profissionais de TI mantm um controle refinado em que os usurios de recursos de rede podem ter acesso. Por exemplo, as configuraes de Diretiva de Grupo podem ser usadas para gerenciar acesso de usurio remoto a aplicativos da empresa. O DirectAccess tambm separa o trfego da Internet do acesso a recursos internos de rede, de modo que os usurios podem acessar sites pblicos sem gerar trfego de comunicaes adicional na rede corporativa. O melhor de tudo que o DirectAccess criado com base em padres da indstria, como o IPv6 e o IPsec, para garantir que as suas comunicaes da empresa permaneam salvas e seguras. O Windows 7 fornece proteo flexvel de segurana contra malware e intruses, de modo que os usurios podem alcanar seu equilbrio desejado entre segurana, controle e produtividade. O AppLocker e Internet Explorer 8 so dois exemplos importantes de investimento de tecnologia que aumentou a barra de proteo em sistemas operacionais contra intruso de malware no Windows 7. O Windows 7 revigora as diretivas de controle de aplicativos com o AppLocker: um mecanismo flexvel e fcil de administrar que permite TI especificar exatamente o que permitido executar na infraestrutura da rea de trabalho e fornece aos usurios a capacidade de executar aplicativos, programas de instalao e scripts exigidos para a produo. Como resultado, a TI pode reforar a padronizao de aplicativos em sua organizao enquanto fornece benefcios operacionais, de segurana e de conformidade.

Figura 3: AppLocker

76

O AppLocker fornece estruturas de regras simples e potentes e apresenta as regras do editor: regras com base em assinaturas digitais de aplicativo. As regras do editor tornam possvel criar regras que sobrevivam a atualizaes de aplicativo, podem especificar atributos, assim como a verso de um aplicativo. Por exemplo, uma organizao pode criar uma regra "permitir que todas as verses maiores que a 9.0 do programa Acrobat Reader sejam executadas se forem assinadas pelo editor do software Adobe". Agora, quando o Adobe atualizar o Acrobat, voc pode implantar com segurana a atualizao do aplicativos sem ter que criar outra regra para a nova verso desse aplicativo. O Internet Explorer 8 fornece uma proteo aprimorada contra ameaas segurana e privacidade, inclusive a capacidade para ajudar a identificar sites maliciosos e bloquear o download de softwares maliciosos. A privacidade foi aprimorada por meio da capacidade de navegar na Web sem deixar rastros em um PC compartilhado e atravs de escolhas e controles maiores sobre como sites podem rastrear aes de usurios. O Internet Explorer tambm ajuda a transmitir confiana e segurana por meio de restries melhores para os controles do ActiveX, gerenciamento com complemento aprimorado, confiabilidade mais alta (inclusive recuperao automtica de falhas e restaurao de guias) e suporte aprimorados para padres de acessibilidade. Todo ano, centenas de milhares de computadores sem proteo apropriada so roubados, perdidos ou retirados de servio. No entanto, o vazamento de dados no apenas problema fsico do computador A presena em todos os lugares das Unidades Flash USB, comunicaes por email, documentaes que vazaram, etc. fornece outros caminhos potentes para que os dados caiam em mos erradas. O Windows 7 retm as tecnologias de proteo de dados disponveis no Windows Vista, como o EFS (Sistema de Arquivos com Criptografia) incorporado tecnologia Active Directory Rights Management Services, e os controles de porta USB granulares. Alm das atualizaes incrementais nessas tecnologias, o Windows 7 fornece vrias melhorias significantes popular tecnologia Criptografia de Unidade de Disco BitLocker. O Windows 7 direciona o tratamento contnuo de vazamento de dados com atualizaes de implantao e gerenciamento para a Criptografia de Unidade de Disco BitLocker e a apresentao do BitLocker To Go: proteo de dados aprimorada contra roubo e exposio de dados, aumentando o suporte do BitLocker para dispositivos de armazenamento removveis. Aumentando o suporte do Bitlocker para volumes de dados FAT, uma gama mais abrangente de dispositivos e formatos de disco pode ser suportada, inclusive Unidades Flash USB e unidades de disco portteis. Isso permitir que os usurios implantem o BitLockes em uma gama mais abrangente de necessidades de proteo de dados. Se estiver viajando com seu laptop, compartilhando grandes arquivos com seu parceiro de confiana ou levando trabalho para casa, os dispositivos protegidos do BitLocker e BitLocker To Go ajudaro a garantir que somente usurios autorizados possam ler os dados, mesmo se a mdia for perdia, roubada ou mal-usada. O melhor de tudo que a proteo do BitLocker fcil de implantar e intuitiva para usurios finais, levando a uma segurana de dados e conformidade aprimoradas.

77

O BitLocker To Go tambm fornece aos administradores controle sobre como os dispositivos de armazenamento removveis podem ser utilizados em seus ambientes e a fora da proteo que eles exigem. Os administradores podem exigir proteo de dados para qualquer dispositivo de armazenamento removvel em que os usurios queiram gravar; enquanto ainda permitem que dispositivos de armazenamento no protegidos sejam utilizados em um modo somente leitura. As diretivas tambm esto disponveis para exigir senhas apropriadas, carto inteligente ou credenciais de usurio de domnio para utilizar um dispositivo de armazenamento removvel. Por fim, o BitLocker To Go fornece suporte somente leitura configurvel para dispositivos removveis em verses mais antigas do Windows, permitindo que voc compartilhe arquivos de forma mais segura com usurios que ainda esto executando o Windows Vista ou Windows XP.

Figura 4: Criptografia de unidade de disco BitLocker

Desenvolvido em fundamentos de segurana do Windows Vista, o Windows 7 apresenta os aprimoramentos de segurana corretos para oferecer aos funcionrios a confiana de que a Microsoft est ajudando a mant-los protegidos. Os negcios sero beneficiados dos aprimoramentos que ajudam a proteger informaes confidenciais da companhia, que fornecem protees mais fortes contra malware e que ajudam no acesso seguro, em qualquer lugar, a dados e recursos corporativos. Os clientes podem aproveitar os benefcios do conhecimento de Internet e computadores de que o Windows 7 o melhor para ajudar a proteger sua privacidade e suas informaes pessoais. Por fim, todos os usurios se beneficiaro das opes de configurao flexveis e detectveis da segurana do Windows 7, que ajudam todos a alcanar o equilbrio correto entre segurana e utilidade das suas nicas situaes.

78

1.2.3 - Capacidade de Gerenciamento do Windows 7 Freqentemente, profissionais de TI so responsveis por tarefas repetitivas e demoradas. Os recursos abrangentes de gerao de scripts do Windows 7 aumentam a produtividade desses profissionais automatizando tais tarefas, o que reduz os erros ao mesmo tempo que melhora a eficincia administrativa:

O Microsoft Windows PowerShell 2.0 permite que profissionais de TI criem e executem scripts facilmente em um PC local ou em PCs remotos (pela rede). Tarefas complexas ou tarefas repetitivas de gerenciamento e soluo de problemas so automatizadas.

Os scripts da Diretiva de Grupo permitem que profissionais de TI gerenciem Objetos da Diretiva de Grupo (GPOs) e configuraes baseadas no registro de modo automatizado melhorando, portanto, a eficcia e preciso do gerenciamento de GPOs.

Alm dos recursos avanados de gerao de scripts, o Windows 7 inclui diversas outras caractersticas que melhoram a produtividade do usurio e reduzem custos:

Os Pacotes de Soluo de Problemas do Windows incorporados permitem que usurios finais resolvam muitos problemas por conta prpria e que profissionais de TI criem Pacotes de Soluo de Problemas personalizados, estendendo esse recurso aos aplicativos internos.

Os aprimoramentos na ferramenta Restaurao do Sistema informam os usurios dos aplicativos que eles podero ser afetados se o Windows retornar para um estado anterior.

O novo Gravador de Passos para Reproduo de Problemas permite que usurios gravem capturas de telas, clique a clique, e reproduzam um problema de modo que o TI possa descobrir solues.

Os aprimoramentos no Monitor de Recursos e no Monitor de Confiabilidade permitem que profissionais de TI diagnostiquem mais rapidamente problemas de desempenho, compatibilidade e limitao de recursos

Para que os departamentos de TI tratem das necessidades de segurana cada vez mais crescentes e atendam aos requisitos de conformidade, o Windows 7 oferece suporte tambm aos seguintes recursos:

79

O AppLocker concede aos profissionais de TI maior flexibilidade na definio de diretivas que possam ser executadas ou instaladas pelos usurios dos aplicativos e scripts, por meio de uma rea de trabalho mais gerencivel e segura.

Os aprimoramentos da auditoria permitem que profissionais de TI usem a Diretiva de Grupo para configurar auditorias mais abrangentes para arquivos e acessos ao registro.

Com uma Diretiva de Grupo, os administradores podem exigir que os usurios usem o BitLocker To Go para criptografar dispositivos de armazenamento removveis.

As Preferncias da Diretiva de Grupo definem a configurao padro, que pode ser alterada pelos usurios, e fornecem gerenciamento centralizado das unidades de rede mapeadas, das tarefas agendadas e dos outros componentes do Windows no cientes da Diretiva de Grupo.

O DirectAccess conecta computadores mveis diretamente rede interna, permitindo que profissionais de TI os gerenciem caso o usurio tenha uma conexo com a Internet

No geral, os aprimoramentos introduzidos pelo Windows 7 podem reduzir o tempo que os profissionais de TI gastam em gerenciamento e soluo de problemas, aumentam a produtividade dos usurios e permitem que os departamentos de TI satisfaam melhor os requisitos de conformidade. Uma das melhores maneiras para aumentar a eficincia dos profissionais de TI pela automao. Com ela, tarefas que antigamente exigiam horas do tempo de um profissional TI podem ser executadas em segundos. Com a deteco de problemas e a execuo automtica de aes corretivas, um processo que antes envolvia trabalho manual pode ser inteiramente automatizado. Um beneficio adicional que a automao tambm reduz a possibilidade de erro humano. Os scripts so a ferramenta de automao mais sofisticada e flexvel para profissionais de TI, e o Windows 7 inclui uma verso aprimorada do ambiente de scripts do Windows: Windows PowerShell 2.0. Diferentemente das linguagens de programao tradicionais projetadas por desenvolvedores de tempo integral, o PowerShell uma linguagem de scripts que se destina a administradores de sistemas e no requer conhecimento de linguagens de desenvolvimento complexas como o Microsoft Visual Basic, Visual C++ ou C#. Como o PowerShell tem acesso ao WMI (Windows Management Interface), os scripts podem executar praticamente qualquer tarefa de gerenciamento que o profissional de TI deseje automatizar. No PowerShell, voc pode chamar ferramentas de 80

linha de comando e ativar o controle total sobre qualquer aspecto do sistema que tenha suporte para gerenciamento. Ele permite, inclusive, a utilizao do .NET Framework fornecendo acesso a milhares de objetos avanados. Para desenvolver ou executar um script do PowerShell, ele deve estar instalado no computador. O PowerShell 2.0 est disponvel como um download para os sistemas operacionais Windows XP, Windows Server 2003 e Windows Vista e acompanha o Windows Server 2008. No Windows 7, o PowerShell 2.0 est incorporado ao sistema operacional, assim os profissionais de TI podem criar, distribuir e executar scripts do PowerShell nos computadores usando o Windows 7 sem terem de implantar sofware adicional nem fazerem nenhum tipo de configurao nos PCs da organizao. Entre as tarefas nas quais os administradores usam o PowerShell com o Windows 7 esto:

Criao remota de um ponto de Restaurao do Sistema antes de uma operao de soluo de problemas

Restaurao remota de um computador para um ponto de Restaurao do Sistema para solucionar um problema que no pode ser facilmente corrigido

Consulta remota s atualizaes instaladas Edio do registro usando transaes, o que assegura a implantao de um grupo de alteraes

Anlise remota dos dados de estabilidade do sistema contidos no banco de dados de confiabilidade

Os scripts do PowerShell so arquivos de texto padro. No Windows Vista e nas verses anteriores do Windows, o editor interno era o Bloco de Notas. Ao passo que o Bloco de Notas perfeito para editar rapidamente arquivos de texto e suficiente para a composio de scripts, com um editor mais robusto, os profissionais de TI podem aprender, criar e depurar scripts de modo mais eficiente. O Windows 7 inclui o PowerShell Integrated Scripting Environment (ISE), um ambiente de desenvolvimento grfico com recursos de depurao e console interativo, conforme mostrado na Figura 1.

81

Figura 1: O Windows PowerShell ISE

O editor fornece vrios recursos para simplificao do desenvolvimento de scripts:

Ambiente integrado. Uma loja completa para todas as tarefas de shell interativas e para edio, execuo e depurao de scripts.

Cores de sintaxe. Palavras-chave, objetos, propriedades, cmdlets, variveis, cadeias de caracteres e outros tokens aparecem em cores diferentes para melhorar a legibilidade e reduzir os erros.

Suporte a Unicode. Diferente da linha de comando, o ISE tem suporte total para Unicode, scripts complexos e idiomas escritos da direita para esquerda.

Chamada seletiva. O usurio pode selecionar qualquer parte do script do PowerShell, execut-la e ver os resultados no painel de Sada.

Vrias sesses. No ISE, o usurio pode iniciar at oito sesses independentes (guias do PowerShell). Isso permite que profissionais de TI gerenciem vrios servidores, cada qual no seu prprio ambiente, dentro do mesmo aplicativo.

Editor de scripts. O editor de scripts possui os recursos autocompletar na tecla TAB, recuo automtico, nmeros de linhas, pesquisar e substituir, ir para linha, entre outros.

82

Depurao. O depurador visual integrado de scripts permite que o usurio defina pontos de interrupo, avance pelo script (depurao total, parcial e circular), verifique a pilha de chamadas e focalize variveis para verificao de valor.

Modelo de objeto. O ISE vem com um modelo de objeto completo permitindo que os usurios componham scripts do PowerShell e manuseiem o prprio ISE.

Capacidade de personalizao. O ISE completamente personalizvel, do tamanho e posicionamento dos painis at o tamanho do texto e as cores de fundo.

Esses recursos facilitam o aprendizado de como gerar scripts e fornecem um ambiente de desenvolvimento mais robuto, pronto para uso. Os cmdlets (pronuncia-se command-lets) so um dos recursos mais sofisticados do PowerShell. Um comandlet um comando orientado a tarefa utilizado no ambiente do Windows PowerShell. Este inclui, por exemplo, cmdlets que: Acrescentam texto a um arquivo Leem e gravam arquivos XML Gerenciam servios Gerenciam arquivos e pastas

O PowerShell 2.0 oferece suporte para mais de 500 novos cmdlets para gerenciamento de computadores cliente e servidores, edio do registro e sistema de arquivos, execuo de chamadas WMI e conexo ao ambiente de desenvolvimento avanado do .NET Framework. Tambm possvel estend-lo criando cmdlets personalizados ou usando as extenses desenvolvidas pela comunidade. No passado, para gerenciar um computador remoto, voc precisava da rea de Trabalho Remota para se conectar. Isso complicava os gerenciamentos em grande escala (ou automatizados). O PowerShell 2.0 apresenta o PowerShell Remoting para que voc execute os comandos de gerenciamento remoto (interativo ou automatizado). Hoje, administradores eficientes fazem a maioria do gerenciamento de computadores pela rede. Com o Windows 7 e o PowerShell 2.0, voc pode executar cmdlets em computadores remotos usando o protocolo de gerenciamento padro WS-Management (WS-MAN). Isso permite a criao de scripts que executem em um ou mais computadores remotos, assumam o controle de uma sesso remota do PowerShell e executem comandos diretamente no computador. As utilizaes incluem: A criao de um ponto de Restaurao do Sistema durante uma chamada de assistncia tcnica de modo que seja possvel restaurar o computador para o estado atual, se necessrio A alterao das regras do firewall para proteger computadores contra uma vulnerabilidade recm-descoberta 83

Outra opo para executar os scripts do PowerShell em computadores remotos com a plataforma Windows 7 usar os scripts de logon, inicializao e desligamento definidos nos GPOs. As verses anteriores do Windows ofereciam suporte apenas para a especificao de arquivos de comandos para esses scripts. O PowerShell oferece muito mais flexibilidade e capacidade em relao ao que est disponvel nos arquivos de comandos Muitos aplicativos oferecem suporte para notificaes imediatas de aes ou eventos importantes. Esses so apresentados, normalmente, como eventos WMI ou eventos em um objeto .NET. Alm disso, o prprio Windows apresenta notificaes teis sobre a atividade de arquivos, servios, processos, entre outros. Esses eventos formam a base de muitas tarefas de diagnstico e gerenciamento do sistema. No Windows 7, o PowerShell 2.0 oferece suporte para isso escutando, reagindo e encaminhando eventos do sistema e de gerenciamento. Os profissionais de TI podem criar scripts do PowerShell que respondam aos eventos do sistema de forma sncrona (imediatamente aps o evento ser adicionado) ou assncrona (em um momento posterior) . Se voc se registrar em um evento usando o PowerShell Remoting, poder at mesmo ter essas notificaes encaminhadas automaticamente para uma mquina centralizada. Com o PowerShell, a flexibilidade ilimitada. Por exemplo, voc pode criar um script que execute gerenciamento de diretrios se arquivos forem adicionados ou removidos de determinado local. possvel criar um script que execute uma tarefa de gerenciamento apenas se determinado evento for includo vrias vezes ou se diferentes eventos ocorrerem em um intervalo de tempo especfico. Tambm possvel criar scripts que respondam aos eventos gerados pelos aplicativos internos e executem tarefas de gerenciamento especficas s necessidades da organizao. Alm desses recursos, o gerenciamento de eventos do PowerShell oferece suporte a eventos WMI e .NET Framework que envolvem notificaes mais detalhadas do que as disponveis nos logs de eventos padro. Por exemplo, o PowerShell pode acessar eventos relativos inicializao e encerramento de servios, inicializao de processos, alterao de arquivos, entre outros. Os profissionais de TI de organizaes de mdio e grande porte frequentemente precisam criar vrios GPOs para definio das configuraes do computador, desde a rea de trabalho at os tempos limite da proteo de tela. A Microsoft apresenta o Editor de Objeto de Diretiva de Grupo e o Console de Gerenciamento de Diretiva de Grupo (GPMC) para permitir que administradores criem e atualizem GPOs. No entanto, como h milhares de definies possveis, a atualizao de diversas GPOs pode ser uma tarefa demorada, repetitiva e propensa a erros. Antes do Windows 7, a automao de GPOs se resumia ao gerenciamento dos prprios GPOs. Por exemplo, profissionais de TI podiam criar ou vincular GPOs, mas no podiam alterar as definies de configurao neles. O acesso s APIs do GPMC tambm exigia o grau de conhecimento de um desenvolvedor de aplicativos. Depois da instalao das RSAT (Ferramentas de Administrao do Servidor Remoto) do Windows Server 2008 R2 (uma ferramenta do microsoft.com que inclui o GPMC para Windows 7), possvel usar o PowerShell para automatizar o gerenciamento de GPOs e a configurao das definies om base em registro 84

(disponveis por meio dos modelos administrativos ADM ou ADMX). Essa funcionalidade permite que profissionais de TI assumam controle total sobre GPOs usando estes cmdlets: Cmdlets de GPO
Backup-GPO GetGPPermissions Import-GPO Remove-GPO Set-GPLink Block-GPInheritance GetGPPrefRegistryValue New-GPLink RemoveGPPrefRegistryValue Set-GPPermissions Copy-GPO Get-GPRegistryValue New-GPO RemoveGPRegistryValue SetGPPrefRegistryValue Get-GPO GetGPResultantSetOfPolicy New-GPStarterGPO Rename-GPO Set-GPRegistryValue GetGPOReport GetGPStarterGPO RemoveGPLink Restore-GPO GetGPInheritance

Talvez sua organizao precise criar GPOs diferentes para vrias unidades de negcios e cada um deles varie entre duas configuraes diferentes: o atraso antes do incio da proteo de tela e se uma senha ser necessria para desbloque-la. Em uma organizao com seis unidades de negcio, cada qual com suas necessidades especficas, os administradores normalmente teriam de criar os GPOs e definir as configuraes de cada organizao usando a interface do usurio, o que poderia levar um tempo considervel. Com o Windows 7 e o PowerShell, um administrador pode compor um script do PowerShell que use uma matriz com os nomes das unidades de negcios e as configuraes exclusivas dos GPOs. O script, por sua vez, pode repetir a matriz e criar cada GPO em alguns segundos. Quando a Diretiva de Grupo foi distribuda com o Windows 2000, ela permitiu que os administradores executassem scripts com base em arquivos em lote no logon e logoff dos usurios, e na inicializao e desligamento do computadores. Com isso, os administradores puderam configurar partes do ambiente ou executar programas adicionais em tais momentos. O Windows 7 apresenta o suporte para a execuo dos scripts do PowerShell e oferece aos administradores ferramentas mais abrangentes para configurao em tempo real durante os eventos do sistema. Para a maioria das pessoas, os computadores so uma parte integral do dia de trabalho. Quando eles apresentam problemas, elas se tornam improdutivas muito rapidamente. Evidentemente, o TI tem de ser gil em resolver os problemas quando eles ocorrem; no entanto, o custo do envolvimento desse departamento na soluo de problemas tambm precisa ser racionalizado. O Windows 7 apresenta muitas ferramentas novas e aprimoradas que podem ser teis para usurios e profissionais de TI voltarem a ser produtivos ao mesmo tempo em que reduzem os custos. Os usurios podem resolver muitos problemas por conta prpria, sem solicitar assistncia tcnica; quando esta se faz necessria, os profissionais de TI conseguem diagnosticar e resolver problemas rapidamente. Ao mesmo tempo que os usurios recorrem soluo avanada de problemas para resolver facilmente os erros mais comuns, o TI ou os desenvolvedores podem criar pacotes personalizados de soluo de problemas que tratem das falhas comuns de um 85

ambiente. Normalmente, os profissionais de TI gastam muito tempo com os usurios tentando compreender as condies que causaram os problemas. Com o novo Gravador de Passos para Reproduo de Problemas do Windows 7, os usurios gravam as aes que fizeram a fim de reproduzir o problema, o que incomparavelmente mais eficiente. As verses aprimoradas da Restaurao do Sistema e a instalao automtica do Windows RE podem reduzir o tempo necessrio para resolver problemas de inicializao e do sistema. Para os profissionais de TI, as verses avanadas do Monitor de Recursos e do Monitor de Confiabilidade reduzem o tempo necessrio para diagnosticar problemas. Um objetivo bsico de qualquer organizao de TI reduzir os custos e assegurar, ao mesmo tempo, o aumento da produtividade dos usurios. Um modo para se obter esse objetivo resolver problemas rapidamente, com o mnimo de interveno possvel. A Plataforma de Soluo de Problemas do Windows, nova no Windows 7, sofisticada e extensvel e pode ser personalizada pelos departamentos de TI, desenvolvedores de software e terceiros com a ajuda do PowerShell. Ela contm dois componentes principais: os Pacotes de Soluo de Problemas do Windows e o Construtor de Pacotes de Soluo de Problemas do Windows. So uma coleo de scripts do PowerShell que tentam diagnosticar um problema e, se possvel, resolv-lo com a aprovao do usurio. Esses pacotes tambm podem executar a manuteno contnua de um recurso especfico. O Windows 7 inclui 20 Pacotes de Soluo de Problemas internos que abordam mais de 100 das principais causas. A Microsoft os desenvolveu para fazer a correlao das 10 categorias principais de chamadas de suporte da Microsoft, incluindo Eficincia de Consumo de Energia, Compatibilidade de Aplicativos, Rede e Som. Como mostrado na Figura 2, os Pacotes de Soluo de Problemas podem diagnosticar problemas complexos, inclusive os que tm diversas causas, e apresentar ao usurio dicas sobre como resolver cada um deles. Logo aps a figura, h uma lista dos pacotes que acompanham o Windows 7.

Figura 2: Um Pacote de Soluo de Problemas do Windows diagnosticando um erro

86

Pacotes de Soluo de Problemas do Windows 7 Aero Reproduo de Som Gravao de Som Impressora desempenho Manuteno Soluciona problemas que impedem a exibio de animaes e efeitos do Aero. Soluciona problemas que impedem o computador de reproduzir som. Soluciona problemas que impedem o computador de gravar som. Soluciona problemas que impedem o uso da impressora Ajusta as configuraes no Windows que podem melhorar a velocidade e o desempenho geral Limpa arquivos e atalhos no utilizados e executa outras tarefas de manuteno Ajusta as configuraes de energia para melhorar a autonomia da bateria e reduzir o consumo de energia Soluciona Problemas que impedem a visualizao de computadores ou arquivos compartilhados em um grupo domstico Soluciona problemas de hardware e dispositivos Soluciona problemas que impedem a navegao pela Web com o Internet Explorer Ajusta as configuraes para aumentar a segurana do navegador no Internet Explorer Soluciona problemas que impedem que msicas e filmes sejam exibidos na Biblioteca do Windows Media Player Redefine o Windows Media Player para as configuraes padro Soluciona problemas que impedem a reproduo de DVD no Windows Media Player Conecta-se rede do seu local de trabalho pela Internet Acessa arquivos e pastas compartilhados em outros computadores Permite que outros computadores se conectem ao seu computador

Energia

Rede do Grupo Domstico Hardware e Dispositivo Navegao na Web Navegao segura na Web Biblioteca do Windows Media Player Configurao do Windows Media Player Reproduz um DVD no Windows Media Player Conecta-se a um local de trabalho usando o DirectAccess Conecta-se a uma pasta compartilhada Conexes de entrada para este computador

87

Adaptador de rede Conexes com a Internet

Soluciona problemas de adaptadores Ethernet, sem fio e outros adaptadores Conecta-se Internet ou a um site especfico

Soluo de Problemas de Soluciona problemas de um programa que no Compatibilidade de Programas funciona na verso atual do Windows

Construtor de Pacotes de Soluo de Problemas do Windows Este componente (mostrado na Figura 3) um kit de desenvolvimento, includo com o Windows Software Development Kit (SDK), que contm uma ferramenta grfica para os profissionais de TI e desenvolvedores criarem Pacotes de Soluo de Problemas do Windows. Esse kit simplifica a adio de metadados ao Pacote de Soluo de Problemas e se vincula ao PowerShell Integrated Scripting Environment (abordado anteriormente neste documento) para autoria de scripts de deteco, resoluo e verificao. Devido sofisticao do PowerShell, possvel examinar e configurar praticamente qualquer elemento do Windows e do ambiente de aplicativo. Voc pode implantar pacotes de soluo de problemas usando as Preferncias da Diretiva de Grupo (abordadas anteriormente) para copi-los para a unidade de disco local ou armazen-los em um servidor central de arquivos.

Figura 3: Construtor de Pacotes de Soluo de Problemas, parte do Kit de Ferramentas de Soluo de Problemas do Windows

A soluo de problemas pode ser iniciada manualmente pelos usurios no Centro de Ajuda e Suporte ou no Centro de Aes, conforme mostrado na Figura 4. Tambm possvel inici-la a partir de aplicativos, o que permite que organizaes desenvolvam ferramentas de diagnstico do Windows 7 como um recurso dos seus aplicativos da linha de negcio. Os profissionais de TI podem executar Pacotes de Soluo de Problemas remotamente e usar as configuraes da Diretiva de Grupo para limitar os usurios ao diagnstico, mas no correo, de problemas. 88

Figura 4: Centro de Aes do Windows

Profissionais de TI tambm podem executar os Pacotes de Soluo de Problemas de forma agendada para automatizar a manuteno. Por exemplo, voc pode usar esses pacotes para remover arquivos temporrios, procurar erros em um disco rgido ou verificar o horrio do sistema. A Microsoft hospeda o Servio de Soluo de Problemas Online do Windows que oferece aos usurios do Windows 7 novos Pacotes de Soluo de Problemas, alm de atualizar os que foram enviados junto com o produto, a fim de diagnosticar os problemas recentemente descobertos. Os administradores podem desativar essa funo por meio da Diretiva de Grupo. Como os aplicativos, os Pacotes de Soluo de Problemas podem ser assinados por um certificado emitido por uma Autoridade de Certificao (CA) confivel. Os administradores podem usar as configuraes da Diretiva de Grupo para executar apenas pacotes de fornecedores confiveis. Os pacotes podem ser distribudos para computadores locais, publicados em um site da intranet ou armazenados em uma pasta compartilhada. Alm de simplificar a soluo de problemas para os usurios finais, os administradores podem usar os Pacotes de Soluo de Problemas para agilizar procedimentos complexos de diagnstico e teste, executando-os de modo interativo a partir de um prompt de comandos ou silenciosamente usando um arquivo de resposta. Em tais casos, os administradores podem executar os pacotes quer efetuando logon no computador local, quer remotamente (pela rede). Normalmente, o aspecto mais complicado da soluo de problemas reproduzir as condies que demonstram o erro, principalmente quando o usurio afetado trabalha remotamente ou se comunica por telefone. Quando o TI no consegue reproduzir o problema do usurio, no fcil diagnosticar sua origem. 89

A soluo do Windows 7 para esse impasse o Gravador de Passos para Reproduo de Problemas, mostrado na Figura 5. Os usurios simplesmente executam o gravador para registrar os passos dados at a ocorrncia de um problema reproduzvel. Eles clicam em Iniciar Gravao, reproduzem o problema, inserem comentrios (quando apropriado), clicam em Parar Gravao e enviam o registro por e-mail ou o compartilham com o profissional de TI.

Figura 5: O Gravador de Passos para Reproduo de Problemas

Cada vez que o usurio clica ou digita, uma captura de tela da ao registrada, junto com os respectivos logs e dados de configurao do software. Os comentrios em texto dos usurios para descrever algo que est acontecendo mas que no est sendo registrado (por exemplo, capacidade de resposta precria ou paginao excessiva) tambm so capturados. O gravador cria um arquivo .MHT (um tipo de documento HTML que inclui as imagens em um nico arquivo) compactado em um arquivo zip. O profissional de TI pode abrir esse arquivo, como exibido na Figura 6, para exibir as capturas de tela e obter uma descrio exata das aes do usurio.

Figura 6: Passos para Reproduo de Problemas Gravados

O Gravador de Passos para Reproduo de Problemas pode economizar uma quantidade de tempo significativa para o profissional de TI. Alm disso, ele til para superar barreiras lingusticas, permitindo que os profissionais de TI diagnostiquem problemas independentemente das diferenas de idiomas 90

Ocasionalmente, um usurio pode enfrentar problemas de confiabilidade. Por exemplo, uma instalao pode atualizar um driver com uma verso menos confivel ou um aplicativo pode sobrescrever arquivos com verses incompatveis. Em alguns casos, desinstalar uma atualizao ou aplicativo no reverter todas as alteraes feitas. O Windows Vista incluiu a Restaurao do Sistema do Windows para armazenar "instantneos" do sistema na unidade de disco local, em intervalos regulares ou antes que atualizaes do sistema ou instalaes de aplicativos/drivers de dispositivo sejam baixadas. Ao reverter todas as alteraes desde o ponto de restaurao, as verses anteriores tambm revertiam aquelas que no se relacionavam com o problema: Aplicativos e drivers instalados depois do ponto de restaurao eram removidos Aplicativos e drivers removidos depois desse ponto eram restaurados Essas verses anteriores do Windows dificultavam para os usurios ou profissionais de TI determinar quais componentes seriam afetados pela restaurao. Os usurios ficavam previsivelmente frustados quando descobriam que alguns dos seus aplicativos no estavam mais disponveis. Frequentemente, eles solicitavam ajuda do centro de suporte, mais uma vez consumindo tempo do profissional de TI. Com o Windows 7, o usurio ou profissional de TI pode exibir uma lista de alteraes de software (com base nos aplicativos listados em Adicionar/Remover Programas) antes de reverter o Windows 7 para um estado anterior, como exibido na Figura 7. Por oferecer uma explicao mais completa sobre o resultado da Restaurao, por exemplo, a remoo de um aplicativo que deve ser preservado, um profissional de TI pode escolher um ponto de restaurao diferente ou se conscientizar de que tem que reinstal-lo depois.

Figura 7: Descrio da Restaurao do Sistema dos aplicativos que sero afetados

91

No Windows 7, pontos de restaurao tambm estaro disponveis nas imagens do sistema criadas pelos usurios finais (similares aos backups do Complete PC no Windows Vista), permitindo que o procedimento seja revertido para um ponto anterior no tempo em relao ao armazenamento da Restaurao do Sistema. Em outras palavras, backups para discos rgidos externos podem ser usados tambm para os pontos de restaurao. Como muitos outros aspectos do Windows 7, a Restaurao do Sistema permite que profissionais de TI sejam mais eficientes e produtivos usando o PowerShell. O PowerShell pode criar um ponto de restaurao ou restaurar um computador para um ponto especifico, mesmo remotamente. Assim, durante uma chamada de suporte, os profissionais de TI podem se conectar a um computador pela rede e criar um ponto de Restaurao do Sistema antes de fazerem quaisquer alteraes que possam afetar negativamente a estabilidade do computador. Scripts que executam tarefas de soluo de problemas ou configurao podem criar automaticamente um ponto de Restaurao do Sistema permitindo que as alteraes sejam facilmente restauradas. Finalmente, um profissional de TI pode usar um script do PowerShell (mesmo remotamente) para restaurar um computador para um ponto anterior. Um computador que no inicia um dos cenrios mais desafiadores para profissionais de TI e mais frustantes para os usurios, especialmente para os usurios mveis que esto distantes da equipe de suporte. Quando os usurios no podem iniciar o Windows, eles no tm acesso s ferramentas de diagnstico e resoluo de problemas. Mais importante, eles no podem fazer aquela apresentao de venda ou criar aquele oramento. Para ajud-los a resolver problemas de inicializao com facilidade, o Windows Vista introduziu duas ferramentas: o Ambiente de Recuperao do Windows e a ferramenta Reparo de Inicializao. Usurios ou profissionais de TI podem iniciar o Windows RE reinicializando um computador a partir do DVD do Windows Vista. As ferramentas includas no Windows RE frequentemente corrigem problemas de inicializao, sem precisar do diagnstico de um profissional de TI. Embora o Windows RE possa reduzir o tempo necessrio para corrigir uma instncia corrompida do Windows Vista, muitos usurios no possuem o DVD de instalao disponvel ou no instalaram o Windows RE em uma partio separada do disco rgido do PC. Alm disso, o Windows Vista no incluia um modo direto para instalar o Windows RE. Quando usurios remotos chamavam o centro de suporte porque o Windows no tinha iniciado em seu computador mvel, isso era um problema extremamente difcil de resolver para os profissionais de TI. Com o planejamento apropriado, os profissionais de TI conseguiam instalar o Windows RE em uma partio do disco rgido do computador, para que ele ficasse disponvel sem o DVD do Windows Vista. A exemplo do Vista, o Windows 7 engloba o Windows RE, incluindo as verses aprimoradas das ferramentas de recuperao do sistema, conforme exibido na Figura 8. A melhoria mais significativa que o RE instalado automaticamente no disco rgido local como parte da configurao do Windows 7, o que garante a disponibilidade das ferramentas mesmo sem o DVD de instalao. Agora, independentemente de como o Windows 7 est instalado, os usurios podem estar seguros de que o Windows RE e 92

ferramentas como Reparo de Inicializao estaro sempre disponveis. Naturalmente, se o disco rgido no estiver funcionando, os profissionais de TI ainda podem iniciar o Windows RE a partir do DVD do Windows 7.

Figura 8: Opes de Recuperao do Sistema, iniciadas a partir do Windows RE

Com o Windows 7, se um usurio remoto no consegue iniciar o Windows, o profissional de TI pode conversar com ele sobre o processo de inicializao do Windows RE usando o disco rgido do computador. Nesses casos, as ferramentas de recuperao do sistema geralmente resolvem o problema sem a necessidade de nenhuma soluo manual. Em minutos, o usurio ser capaz de iniciar o Windows 7. Essas ferramentas tambm permitem que os usurios iniciem o Windows RE usando o Painel de Recuperao de Controle ao restaurarem o sistema a partir de um backup de imagem ou para uma condio original de fbrica. Esse painel conduz os usurios pelos processos de backup dos arquivos do usurio local, reinicializao do computador para o Windows RE e inicializao do aplicativo de recuperao apropriado. (Veja a Figura 9.) O Painel de Recuperao de Controle est disponvel no Centro de Aes, assim, os profissionais de TI e suporte podem facilmente conduzir por telefone os usurios remotos pelo processo de restaurao do computador.

93

Figura 9: A tela Painel de Recuperao de Controle, que fornece aos usurios as opes de restaurao do sistema

Para resolver melhor problemas de recursos, os profissionais de TI precisam de uma viso mais aprofundada sobre os trabalhos internos do computador. Quanto mais complexo o problema, mais detalhadas as informaes devem ser para resolv-lo. Ao passo que o Gerenciador de Tarefas suficiente para identificar qual processo est utilizando a maior parte do tempo do processador, os profissionais de TI frequentemente precisam de uma ferramenta mais sofisticada para identificar que processo est gerando a maior quantidade da E/S do disco ou rede visando resolver o problema de imediato. O Windows 7 inclui uma verso avanada do Monitor de Recursos que fornece, processo a processo, esse tipo de informao detalhada sobre alocao de recursos. Como exibido na Figura 10, esses dados so exibidos em um formato que permite acesso rpido a uma grande quantidade de informaes que podem ser facilmente usadas para uma busca dos detalhes especficos do processo.

Figura 10: Monitor de Recursos

94

Em poucos segundos, voc pode usar o Monitor de Recursos para exibir: Que processos esto consumindo tempo e memria do processador Que servios esto hospedados dentro de um processo SvcHost.exe Que identificadores (incluindo dispositivos, chaves de registro e arquivos) um processo est acessando Que mdulos (incluindo DLLs) esto sendo acessados pelo processo Que processos esto lendo e gravando a maioria dos dados no disco Quantos dados cada processo est enviando e recebendo Que processos esto escutando conexes de entrada da rede ou tm conexes de rede abertas Quanta memria consumida por cada processo Alm disso, possvel encerrar processos e fazer uma pesquisa online para obter informaes sobre determinado processo. Com o Monitor de Recursos, os profissionais de TI podem rapidamente identificar a origem dos problemas de desempenho e utilizao de recursos, reduzindo o tempo necessrio para resolver problemas complexos. O Windows Vista introduziu o Monitor de Confiabilidade, uma ferramenta que fornece uma linha de tempo dos eventos do sistema correlacionados com a estabilidade geral do PC. Esses eventos incluem a instalao ou remoo de software e drivers de dispositivo, falhas de aplicativos e desligamentos com erros. Este componente provou ser valioso para profissionais de TI porque, com ele, possvel rastrear rapidamente a origem dos problemas de modo retroativo s alteraes no sistema que os causaram. Como o Windows 7, o Monitor de Confiabilidade est agora integrado aos Relatrios de Problemas e Solues para estabelecer uma melhor correlao entre alteraes do sistema, eventos e resolues potenciais. Na Figura 11, o Monitor de Confiabilidade mostrado fornecendo detalhes sobre eventos de um dia especfico, incluindo uma instalao de aplicativo com falha e atualizaes de segurana.

Figura 11: Monitor de Confiabilidade

95

O Windows 7 tambm aprimora este monitor apresentando os dados de confiabilidade no Windows Management Interface. Com o WMI, voc pode reunir esses dados de confiabilidade remotamente e process-los usando os scripts do PowerShell e os cmdlets relacionados ao WMI. Agora, profissionais de TI podem agregar valor ao WMI para coletar informaes ou inspecionar centralmente a confiabilidade dos computadores com Windows 7 pela rede, de modo proativo ou durante uma chamada de suporte. Outras ferramentas de gerenciamento, como o Microsoft System Center Operations Manager, podem monitorar centralmente os dados de confiabilidade de todos os computadores com o Windows 7. Como alternativa, voc pode criar seus prprios scripts do PowerShell para monitorar a confiabilidade e tomar a ao apropriada. Com o monitoramento centralizado dos dados de confiabilidade, possvel identificar os computadores no confiveis que esto afetando a produtividade do usurio, mesmo se este no se preocupar em chamar o centro de suporte. Quer imposta pelas leis do pas, quer pelos contratos de nvel de servio do cliente ou pelos requisitos internos de segurana, muitas organizaes tm uma demanda por conformidade e precisam definir e impor centralmente as opes de configurao de toda a organizao. O Windows 7 inclui recursos aprimorados e novas tecnologias que ajudam profissionais de TI a satisfazerem com mais eficcia os requisitos de conformidade: O AppLocker simplifica o controle sobre que aplicativos os usurios podem executar por meio de regras de fornecedor flexveis. A auditoria aprimorada permite que profissionais de TI usem a Diretiva de Grupo para configurar que arquivos e valores do registro sero inspecionados. As melhorias no BitLocker oferecem a imposio da criptografia de dados, inclusive para dispositivos de armazenamento removveis. As Preferncias da Diretiva de Grupo tambm estendem o alcance da Diretiva de Grupo aos aplicativos e componentes do Windows normalmente no gerenciados por essa diretiva, por exemplo: unidades de disco mapeadas; associao de grupo e senhas de contas de usurio local; tarefas agendadas e configuraes do registro. Finalmente, com a proliferao de trabalhadores remotos, essencial para os profissionais de TI impor opes de configurao aos PCs mveis quando eles no estiverem diretamente conectados rede corporativa. O DirectAccess mantm os PCs mveis conectados rede interna, permitindo que profissionais de TI faam download de atualizaes de software, apliquem configuraes da Diretiva de Grupo e forneam gerenciamento remoto. Juntos, esses aprimoramentos concedem a esses profissionais a flexibilidade de que necessitam para tratar a maioria dos problemas atuais de gerenciamento de configurao. Quando os usurios executam software no autorizado, seus computadores ficam menos seguros e gerenciveis. Eles ficam lentos, o que reduz a produtividade dos usurios e gera mais chamadas ao centro de suporte. E, o mais importante, eles violam as regras de conformidade ao executarem esse software.

96

Com o AppLocker no Windows 7, os administradores tm maior flexibilidade para especificar que aplicativos e scripts os usurios podem executar. Eles podem conceder aos usurios o direito de instalar certos aplicativos e limitar a instalao de outros. Com isso, o TI consegue construir e manter ambientes de rea de trabalho mais padronizados. O AppLocker inclui uma quantidade de regras. As Regras do Fornecedor concedem acesso a um aplicativo com base na sua assinatura digital; isso permite que uma nica regra autorize a execuo de vrias verses de um aplicativo (mesmo as futuras que ainda no foram liberadas). Como mostrado na Figura 12, voc pode criar uma regra autorizando os usurios a executar as verses 3.5 ou superior de um aplicativo se elas estiverem assinadas com determinado certificado. As Regras do Fornecedor do AppLocker melhoram a produtividade permitindo que o TI implante novas verses de um aplicativo sem a necessidade de atualizao de regras.

Figura 12: Uma regra do AppLocker

O Windows 7 oferece auditoria detalhada para conceder aos profissionais de TI uma viso sobre quem pode acessar as informaes, por que o acesso de um usurio foi negado e quem alterou um objeto. Nas verses anteriores do Windows, a auditoria detalhada podia ser configurada apenas por meio de scripts. Com o Windows 7 e as configuraes da Diretiva de Grupo, voc pode ativar a auditoria de subcategorias, como exibido na Figura 13. Essa auditoria destina-se a ajudar organizaes a estarem em dia com os requisitos legais e do negcio.

97

Figura 13: Configurando auditoria por meio da Diretiva de Grupo

Os profissionais de TI tambm podem usar as configuraes da Diretiva de Grupo para determinar que arquivos, chaves de registro e outros objetos sero inspecionados. Com as verses anteriores do Windows, eles tinham de configurar a auditoria de recursos manualmente ou compor scripts e, depois, execut-los em cada computador. Os administradores podem usar as configuraes da Diretiva de Grupo para configurar centralmente o BitLocker e BitLocker To Go para criptografia de armazenamento removvel. Algumas opes de configurao so: Determinar requisitos especficos para volumes do sistema, volumes que no so do sistema e armazenamentos removveis Exigir senhas fortes, carto inteligente ou credenciais de usurio de domnio para proteger dispositivos de armazenamento removveis Definir um comprimento mnimo do PIN para reinicializao de volume do sistema Especificar a complexidade e comprimento da senha para volumes que no so do sistema Configurar como os volumes que no so do sistema podem ser recuperados Exigir a criptografia do BitLocker para dispositivos de armazenamento removveis, conforme exibido na Figura 14, permitindo, ao mesmo tempo, que dispositivos no criptografados sejam abertos no modo somente leitura

Figura 14: Exigindo a criptografia do BitLocker para uma unidade removvel

98

Os profissionais de TI usam as definies da Diretiva de Grupo para configurar computadores de modo central e consistente. Como os usurios no tm permisso para alterar as configuraes da Diretiva de Grupo, elas so perfeitas para impor definies. Contudo, a organizao pode determinar que nem todos os elementos da configurao de um computador sejam controlados. Geralmente, os departamentos de TI querem simplesmente configurar as opes padro e permitir que os usurios as alterem de acordo com suas prprias preferncias. Por exemplo, o TI poder configurar os computadores mveis para entrar no modo de espera quando suas tampas forem fechadas. No entanto, como uma questo de preferncia, alguns usurios talvez queiram alterar isso. Normalmente, os profissionais de TI especificam os padres nas imagens do sistema operacional antes da implantao. Muitas vezes, eles tm de configurar diversas imagens de sistemas operacionais diferentes para prover configuraes padro especficas a determinados grupos de usurios. Como alternativa, os profissionais de TI podem criar scripts que mapeiem unidades de rede, criem tarefas agendadas ou definam opes do registro. Qualquer que seja o mtodo utilizado, ser muito enfadonho gerenciar todas essas preferncias. Com o Windows 7, voc pode usar as Preferncias da Diretiva de Grupo e configurar padres para os componentes do Windows que no esto cientes da diretiva, incluindo: Unidades de rede mapeadas Tarefas agendadas Atalhos Variveis de ambiente Opes de energia Impressoras Opes regionais Opes de pasta Fontes de dados Open Database Connectivity (ODBC) Configuraes do registro Configuraes do menu Iniciar Configuraes da Internet Usurios e grupos locais

Diferentemente das opes tradicionais da Diretiva de Grupo, as Preferncias da Diretiva de Grupo designam os padres que podem ser alterados pelos usurios. O TI pode utiliz-las para reduzir o nmero de imagens necessrio para a implantao, uma vez que possvel definir Preferncias da Diretiva de Grupo para especificar as configuraes padro, em vez de criar imagens do Windows separadas para cada configurao. Alm de definir as preferncias, voc pode criar, substituir, atualizar e excluir arquivos, grupo de arquivos e pastas. A interface do usurio simples, mostrada na Figura 15, permite que voc sincronize arquivos pela rede com o destino que especificar. Por exemplo, possvel usar essa interface para copiar um dicionrio personalizado para a pasta %AppData% em cada perfil do usurio. Com a interface da 99

pasta, voc pode excluir regularmente o contedo de uma pasta, o que til ao limpar arquivos temporrios.

Figura 15: Definindo as configuraes da Diretiva de Grupo com uma interface grfica do usurio

As Preferncias da Diretiva de Grupo podem ser designadas a diferentes grupos de usurios ou computadores dentro do GPO sem que seja necessrio usar os filtros da WMI. Por exemplo, um administrador pode configurar uma preferncia que se aplique apenas a computadores mveis. Muitas Preferncias da Diretiva de Grupo so configuradas usando a mesma interface que os usurios acessam para configurar um aplicativo. Por exemplo, voc pode recorrer s Preferncias da Diretiva de Grupo para configurar as opes do Internet Explorer usando uma interface grfica do usurio similar fornecida pelo Internet Explorer, mostrada na Figura 16. Do mesmo modo, possvel especificar dispositivos usando um navegador similar ao Gerenciador de Dispositivos.

Figura 16: Configurando as Preferncias da Diretiva de Grupo

100

No entanto, h vrias diferenas importantes entre as Preferncias e as configuraes da Diretiva de Grupo. Comparao entre as Preferncias e as Configuraes da Diretiva de Grupo Preferncias Diretiva de Grupo da Configuraes da Diretiva de Grupo

Imposio

As preferncias no so As configuraes so impostas; a interface impostas; os usurios do usurio para alterao fica desativada podem alterar suas opes Facilidade de importao ou criao de preferncias para opes do registro e arquivos A incluso de configuraes requer suporte por parte do aplicativo e a criao de modelos administrativos; os usurios no podem criar configuraes para gerenciamento de arquivos ou pastas

Flexibilidade

Pblico-alvo

As preferncias Os usurios de destino precisam compor individuais podem ser consultas WMI destinadas a usurios e grupos especficos Fornece uma interface Fornece uma interface do usurio familiar, fcil de usar, alternativa para a maioria das para a maioria das configuraes preferncias

Interface do usurio

Os computadores mveis so um desafio para os departamentos de TI porque eles podem ser gerenciados somente quando esto conectados na rede interna. Usurios que trabalham fora do escritrio principal ou que viajam por longos perodos de tempo podem ficar semanas ou meses sem se conectarem rede interna. Como resultado, esses computadores mveis no baixam as configuraes atualizadas da Diretiva de Grupo, nem as atualizaes crticas nem as definies antimalwares. Tradicionalmente, usurios remotos se conectam aos recursos da rede interna usando uma Rede Privada Virtual (VPN). Contudo, usar uma VPN pode ser enfadonho para eles devido s vrias etapas e aos muitos segundos (ou at minutos) necessrios para autenticao. O Windows 7, junto com o Windows Server 2008 R2, apresenta o DirectAccess (consulte a Figura 17), uma nova soluo para que os usurios vivenciem l fora a mesma experincia que teriam trabalhando internamente. Com uso de tecnologias como IPv6 e IPSec, o DirectAccess fornece aos computadores remotos acesso direto e automtico rede interna, por meio da Internet, sem a conexo a uma VPN, ao mesmo tempo em que proporciona uma infraestrutura segura e flexvel para as empresas.

101

Figura 17: DirectAccess no Windows 7

Por exemplo, se um usurio remoto se conectar a um ponto de acesso sem fio em um caf, o DirectAccess detectar que uma conexo com a Internet est disponvel e automaticamente estabelecer uma conexo ao servidor DirectAccess na borda da rede interna. O usurio poder acessar os recursos internos aos quais os administradores concederam acesso remoto, por exemplo, compartilhamentos internos, sites e aplicativos. O Departamento de TI pode gerenciar o computador mvel atualizando as configuraes da Diretiva de Grupo e distribuindo atualizaes de software assim que a conexo for estabelecida, mesmo antes de o usurio efetuar logon. Essa flexibilidade oferece equipe de TI a oportunidade de fazer manuteno nas mquinas remotas regularmente e garantir que os usurios mveis permaneam atualizados com as diretivas da empresa. Os dados do usurio normalmente armazenados em um servidor (via Redirecionamento de Pasta) e em cache localmente (via Arquivos e Pastas Offline) tambm tiraro proveito da sincronizao automtica (backup) de cada arquivo com o servidor devido conexo permanente com a rede. Os usurios apreciaro o DirectAccess porque ele os manter conectados automaticamente aos recursos internos. Os profissionais de TI gostaro do DirectAccess devido ao grande aumento na capacidade de gerenciamento dos computadores mveis por conect-los rede interna sempre que usurio estabelecer uma conexo com a Internet. Os computadores mveis permanecero conectados, gerenciados e atualizados.

102

2 - IMPLANTAO

2.1 - Implantaes MUI para Windows 7 Para implantar as configuraes de idioma apropriadas do Windows 7 e configurar o suporte de pas/regio com base na infraestrutura geogrfica e de TI atual de sua organizao, voc precisa determinar os requisitos de idioma e pas/regio, bem como seus requisitos e limitaes de hardware. Voc tambm precisar: Avaliar os requisitos de hardware para suporte multilngue. Determinar as necessidades de usurios mveis em sua organizao. Determinar se sua organizao precisar implantar uma imagem global simples ou compilaes de pas/regio especficas para diferentes escritrios em sua organizao. Se voc faz negcios em diversos idiomas ou possui ambientes de escritrio em diversos idiomas, voc precisa saber quais idiomas ou dialetos sua organizao deve suportar e se esses idiomas exigem editores de mtodo de entrada (IMEs) ou teclados alternativos ou dispositivos de entrada. Se voc faz negcios internacionalmente, voc precisa saber quais pases/regies sua organizao deve suportar e quais idiomas ou dialetos so usados em cada um deles. Voc deve determiar se a moeda, fuso horrio ou formatos de calendrio variam entre diferentes pases/regies. Alm disso, voce deve determinar em quais aplicativos de linha de negcios voc deve acomodar essas diferenas de pas/regio. Uma tabela de planejamento de quatro colunas pode ajudar voc a determinar suas necessidades de idioma e pas/regio. Voc opde organizar as tabelas como segue: Na coluna um, liste seus escritrios ou divises. Na coluna dois, liste os idiomas ou dialetos usados nesses escritrios ou nessas divises. Na coluna trs, observe as colees de idiomas e locais correspondentes do Windows 7 que suportam esses idiomas ou dialetos. Para tabelas que listam pacotes e configuraes de idiomas do Windows 7, consulte Pacotes de Idiomas Suportados e Configuraes Padro. Na coluna quatro, observe os padres especiais e configuraes de formatos, suporte a idioma de entrada, ou idiomas padro para programas no Uni-code necessrios para seus escritrios ou divises. Voc pode usar a planilha resultante para planejar sua implantao fsica e concluir a seo pas/regio dos seus arquivos de resposta.

103

Oferecer suporte em diversos idiomas pode afetar os requisitos de hardware em duas reas:

Espao de disco rgido. Alguns idiomas exigem mais espao de armazenamento de disco rgido do que outros. Quanto mais idiomas instalados em um computador, mais espao do disco rgido ser consumido. Dispositivos de hardware especializados. Alguns idiomas ou usurios exigem teclados especiais, IMEs, ou dispositivos de entrada alternativos.

Observao Instalar a coleo de idiomas permite que voc visualize texto nesses idiomas em documentos, em uma pgina da Web e assim por diante. No entanto, para inserir texto em um determinado idioma, voc tambpem deve adicionar esse idioma como um idioma de entrada. Se voc possui muitos usurios mveis que precisam fazer logon de diferentes locais e editar documentos em diversos idiomas, voc precisa garantir que os arquivos de idiomas apropriados esto instalados ou so instalveis conforme necessrio nos computadores desses usurios. Voc pode instalar os Servios de rea de Trabalho Remota para que os usurios possam se registrar em sesses nicas de Servios de rea de Trabalho Remota em diferentes idiomas. Se seus usurios mveis precisam fazer logon de diferentes locais em sua verso de interface de usurio no idioma nativo do sistema operacional, voc deve instalar os pacotes de idioma apropriados. O sistema operacional do Windows 7 permite que um departamento de TI da organizao global implante e mantenha uma imagem de rea de trabalho global simples. Dessa maneira, sua empresa pode criar uma compilao simples que inclua suporte ao idioma de interface do usurio para todos os idiomas em que voc faz negcios. A compilao tambm pode incluir aplicativos globais como o Office 2007. Por exemplo, se sua empresa suporta inteerfaces de usurio em ingls, francs, italiano, espanhol, japons, chins simplificado e chins tradicional, voc pode criar uma imagem global simples que inclui suporte inteerface do usurio para esses idiomas. Voc pode suportar instalao sob demanda de idiomas adicionais depois da implantao usando os pacotes do instalador do Windows. Observao Implantar e manter uma imagem global simples pode melhorar significantemente a eficincia da TI e ajudar a diminuir os custos. Permite a implantao e teste de aplicativo com base em cdigo simples, simplifica o lanamento de hotfixes e patches de servios e reduz as chamadas de suporte de usurio final. Voc pode personalizar ainda mais a implantao do Windows 7 criando compilaes de pas/regio personalizadas para as necessidades internacionais e multilngues de cada escritrio. Para cada escritrio ou local, voc pode criar uma 104

compilao de pas/regio que especifica a verso do idioma apropriada do sistema operacional, o idioma de entrada padro e os padres e formatos apropriados para aquele pas/aquela regio. Voc tambm pode incluir as verses de idioma licalizadas apropriadas de aplicativos de terceiros, como utilitrios de verificao de vrus, bem como outros drivers e aplicativos especializados exigidos pelo escritrio. Por exemplo, voc deve criar as seguintes quatro compilaes exclusivas de pas/regio para Amrica do Norte:

Duas compilaes canadenses para escritrios de Vancouver, B.C. e Montreal para implantar a verso em ingls internacional do Windows 7, com ingls e francs (Canad) definido como os idiomas de entrada padro e Canad definido como padro para formatos e padres. (Ingls o idioma de entrada padro em Vancouver e francs o idioma de entrada padro em Montreal). Uma compilao ingls dos EUA para que os usurios em Seattle e outros locais dos EUA possam instalar a verso em Ingls Internacional do Windows 7, com ingls (EUA) definifo como o idioma de entrada padro e suporte opcional para a coleo de Idiomas do Leste Asitico, que inclui arquivos de fonte, vinculao de fonte e configuraes de registro necessrias para suporte ao chins simplificado e tradicional, japons e coreano. Uma compilao de Boston que instala a compilao de ingls dos EUA junto com suporte opcional para a Coleo de Idiomas do Leste Asitico.

A compilao de pas/regiao para o escritrio de Tkio, pelo contrrio, deve instalar a verso de idioma localizado japonesa do Windows 7, bem como as verses de idioma localizado japons de verificao de vrus e aplicativos de conta. Usando o Windows 7, as organizaes globais pode ter uma abordagem hbrida. Elas podem combinar uma imagem central global simples, que contm o sistema operacional bsico e aplicativos, com imagens principais de pas/regio que incluem aplicativos de idiomas localizados, configuraes e assim por diante. O departamento de TI global desenvolve e mantm o ncleo global e pases/regies individuais so responsveis pode compilar e manter seus prprios ncelos de pas/regio. Escritrios locais tambm podem adicionar uma imagem de ncleo de personalizao de camada para modelos ou estacionrios de personalizao, drivers de impressoras e assim por diante. 2.2 - Estratgia de Implantao A Microsoft recomenda algumas estratgias-alvo para implantar o sistema operacional do Windows 7. Essas estratgias variam da configurao manual do software do Windows 7 em poucos computadores ao uso de ferramentas de automatizao e tecnologias para implantar o software em milhares do computadores. A seguir, alguns detalhes sobre as estratgias de implantao recomendadas. Depois que escolher uma estratgia, voc pode ler as informaes detalhadas sobre isso mais adiante nesse documento. 105

High Touch com Retail Media. Uma implantao prtica e manual em que voc instala o sistema operacional do Windows em cada computador cliente usando o DVD de instalao e configura manualmente cada computador. Essa estratgia pode economizar tempo e dinheiro da organizao ajudando voc a automatizar pores no processo de instalao. Recomendamos essa estratgia se sua organizao no possui equipe de TI dedicada e se possuir uma rede pequena e no gerenciada com menos de 100 computadores clientes.

High Touch com Imagem Padro. Essa estratgia semelhante anterior, mas ela usa uma imagem de sistema operacional que inclcui suas personalizaes e configuraes do aplicativo. Recomendamos essa estratgia se sua organizao possui pelo menos um profissional de TI (com ou sem experincia em implantao) na equipe e uma rede pequena ou distribuda com 100-200 computadores clientes.

Lite-Touch, Implantao de Alto-Volume. Essa estratgia exige interao limitada durante a implantao. A interao ocorre no comeo da instalao, mas o restante do processo automatizado. Recomendamos essa estratgia se sua organizao possui uma equipe de TI dedicada e possui uma rede gerenciada com 200-500 computadores clientes. Apesar de a experincia em implantao no ser necessria, ela benfica para usar essa estratgia.

Zero-Touch, Implantao de Alto-Volume. Essa estratgia no exige interao durante a implantao. O processo totalmente automatizado no Gerenciador de Configuraes 2007 R2. Recomendamos essa estratgia se sua organizao de TI possui expecialistas em implantao, rede e produtos do Gerenciador de Configuraes 2007 R2 e se possui uma rede gerenciada com 500 ou mais computadores clientes.

2.2.1 High Touch com Retail Media O High Touch com a estratgia de Retail Media para pequenas organizaes que no possuem equipe de tecnologia da Informao (TI) ou possuem membros da equipe de TI sem experincia de implantao. Eles possuem menos de 100 computadores clientes e redes pequenas e no gerenciadas com locais distribudos. Normalmente, pequenas organizaes instalam manualmente o software do Windows de retail media, instalam manualmente aplicativos de suas mdias e depois configuram manualmente o computador cliente para se adequar a suas necessidades. Investir em uma soluo de implantao totalmente automatizada geralmente est alm dos meios de pequenas organizaes por causa do conhecimento tcnico e do 106

investimento em tempo que seria exigido ela equipe de TI. Automatizar instalaes do Windows de retail media pode ajudar a simplificar e criar um processo de instalao mais reproduzvel. Essa estratgia funciona bem em pequenas organizaes, pois no exige um investimento significante para suportar uma tarefa que no frequente, o que permite que o tempo dos proprietrios dos negcios seja concentrado em satisfazer os clientes em vez de em instalar um sistema operacional. Quando pequenas organizaes solicitam novos computadores clientes, seus fabricantes originais do equipamento (OEMs) e parceiros (empresas que ajudam as organizaes a adotar e usar a tecnologia) geralmente constroem esses computadores para solicitar. A organizao recebe os novos computadores com o sistema operacional j instalado. Portanto, implantar um software em novos computadores no um processo que muitas pequenas empresas precisam realizar, elas simplesmente desembalam o computador, ligam e o conectam a uma rede. Muitas pequenas empresas no querem comprar novos computadores, mas gostariam de descobrir os benefcios do sistema operacional do Windows 7. Por exemplo, nesse cenrio, pequenas organizaes podem atualizar ou fazer o upgrade facilmente os computadores atuais para o Windows 7. (Atualizar envolve instalar uma cpia limpa do sistema operacional sem manter os aplicativos ou configuraes, enquanto fazer o upgrade mantm os aplicativos e configuraes). Para atualizar ou fazer o upgrade de um sistema operacional, elas geralmente executam o programa Setup do retail media e atendem a cada solicitao. Esse processo repetitivo em pequenos escritrios, cyber cafs e ao desenvolver e testar um software. Se esse for seu processo atual, voc pode economizar tempo e esforo e fornecer uma sada mais reproduzvel usando um arquivo Unattend.xml com a Instalao do Windows para automatizar a instalao. O programa de Instalao do Windows ajuda voc na automatizao do processo de instalao da seguinte maneira:

Particionando o disco rgido. Voc pode criar e formatar uma partio ou usar um modelo padro.

Instalando drivers de dispositivos. Voc pode adicionar drivers de dispositivos durante a instalao. Isso garante que os computadores estaro prontos para usar logo aps a instalao do sistema operacional do Windows.

Instalando aplicativos. Adicionar aplicativos durante a instalao simples e uma instalao silenciosa ajuda a criar um processo de implantao fcil e reproduzvel.

Aplicando atualizaes. Algumas atualizaes devem ser instaladas durante a implantao para garantir que os computadores iniciam no nvel mais alto de segurana.

107

Configurando definies. Voc pode personalizar centenas de configuraes durante a implantao, tudo, desde o nome do computador at a pgina inicial do Windows Internet Explorer.

Ativando ou desativando recursos. Voc pode adicionar ou remover fcil e rapidamente recursos do Windows para criar uma instalao completamente personalizada.

Suprimindo a interface do usurio da Instalao. Suprimir a interface do usurio ajuda a limitar a interao de usurios com o programa de Instalao, minimiza erros de usurios e permite que as organizaes usem menos recursos que exigem habilidade para instalar o sistema operacional.

O arquivo de resposta o componente que permite que pequenas organizaes realizar scripts do Windows 7. Arquivos de resposta so arquivos XML que contm definies que configuram o Windows 7 durante a instalao. As definies incluem o nome do computador, o nome da organizao, o fuso horrio, nome do grupo de trabalho, etc. Voc usa o Gerenciador de Imagem de Sistema do Windows (Windows SIM) para criar arquivo de resposta, que normalmente possuem o nome de arquivo Unattend.xml. Alm disso, sites da Web que no so da Microsoft esto disponveis para criar arquivos Unattend.xml sem instalar ou usar o Windows SIM. Requisitos da Estratgia Os seguintes elementos so necessrios para usar o High Touch com a estratgia Retail Media:

Retail media do Windows 7 Windows SIM para o Kit de Instalao Automatizada do Windows (Windows AIK)

Um dispositivo de armazenamento removvel, como uma unidade flash USB, para armazenar o arquivo Unattend.xml

Vrios sites da Web que no so da Microsoft permitem que voc crie um arquivo Unattend.xml sem usar o Windows AIK. Esses sites da Web so substitutos teis para criar um arquivo Unattend.xml fcil e rapidamente. No entanto, recomendamos que voc no fornea informaes confidenciais nesses sites da Web. Em vez disso, recomendamos que voc insira smbolos e depois substitua os valores reais no arquivo Unattend.xml depois que fizer download para seu computador. Por exemplo, em vez de fornecer a chave do produto para um site da Web que no seja da Microsoft, digite XXXXX-XXXXX-XXXXX-XXXXX-XXXX no site da Web. Depois, abra um editor de texto (como o bloco de notas), copie o arquivo Unattend.xml que voc fez download e substitua a chave do produto real pelos valores nos smbolos.

108

A estratgia de High Touch com Retail Media possui as seguintes limitaes:

Implantando muitos computadores clientes. Os clientes que queiram implantar o sistema operacional do Windows a diversos computadores, ao mesmo computador repetidamente (comum em cyber cafs e distribuidores), ou a computadores que possuem configuraes totalmente diferentes deve tentar usar a estratgia High Touch com Imagem Padro da estratgia de Lite-Touch, Implantao de Alto-Volume como alternativa. As tcnicas que a estratgia de Implantao Lite-Touch, High-Volume usa se ajustam mais para implantar diversas configuraes usando uma nica imagem do sistema operacional.

Implantando vrias verses do Windows. A estratgia de High Touch com Retail Media benfica para clientes com um pequeno nmero de computadores clientes e uma nica verso do sistema operacional do Windows (por exemplo, o Windows 7). Usar um arquivo Unattend.xml com diversas verses do Windows no suportado porque cada verso do Windows pode apresentar diferentes recursos e configuraes. Portanto, se voc estiver executando diversas verses do Windows, voc deve criar um arquivo Unattend.xml para cada verso.

A tabela a seguir descreve o processo de implantao de alto nvel para uso da estratgia de High Touch com Retail Media. A coluna da esquerda descreve a etapa e a da direita contm links para informaes detalhadas sobre a concluso dessa etapa. Etapa Mais informaes sobre o Windows 7
Instrues:

1. Crie um arquivo Unattend.xml para a verso do Windows que voc est implantando usando o Windows SIM ou um site da Web no Microsoft.

Criar um Arquivo de Resposta para Computadores com base em BIOS (essa pgina pode estar em ingls) Trabalhar com Arquivos de Resposta no Windows SIM Prticas Recomendadas para a Criao de Arquivos de Resposta

2. Se voc usou um site da Web que no seja da Microsoft para criar um arquivo Unattend.xml, copie-o no bloco de notas e edite suas informaes pessoais (por exemplo, chave ou senha do produto). 3. Copie o arquivo Unattend.xml para seu dispositivo de armazenamento removvel. O programa de Instalao do Windows procura por esse arquivo em diversos locais, mas

Configuraes para Usar em uma Instalao Autnoma

Mtodos para Executar Instalao do Windows

109

armazen-lo em uma unidade flash USB torna isso mais fcil. 4. Insira o dispositivo de armazenamento removvel no computador cliente ao qual voc est implantando o Windows. 5. Como opo, se voc estiver atualizando o computador com uma nova instalao, use a Transferncia Fcil para salvar documentos dos usurios e configuraes do computador (voc os recuperar depois de atualizar o computador). 6. Execute um destes procedimentos: Atualizar. Execute o programa de Instalao iniciando o computador com o retail media do Windows na unidade de DVD. Quando for solicitado que pressione uma tecla para iniciar o computador usando o DVD, pressione a barra de espao. Upgrade. Execute o programa de Instalao iniciando o computador usando o sistema operacional instalado atualmente e depois execute Setup.exe do retail media na unidade de DVD. 7. Como opo, use a Transferncia Fcil do Windows para recuperar documentos do usurio e configuraes do computador. Essa etapa s necessria se voc atualizou o computador com uma nova instalao na etapa anterior. 8. Depois de instalar o Windows de um retail media, conclua a implantao instalando aplicativos e configurando o computador como necessrio. Nenhum

Passo a passo: Migrao Bsica do Windows para Profissionais de TI (essa pgina pode estar em ingls)

Instrues:

Implante

Windows Iniciando a Partir de um DVD (essa pgina pode estar em ingls)

Mtodos para Executar a

Instalao do Windows

Passo a passo: Migrao Bsica do Windows para Profissionais de TI (essa pgina pode estar em ingls)

Nenhum

2.2.2 - High Touch com Imagem Padro A estratgia de High Touch com Imagem Padro para pequenas organizaes que possuem ma TI generalizada na equipe e que geralmente usem parceiros para ajudlas com a adoo da tecnologia. Pequenas organizaes que usam essa estratgia geralmente possuem 100-200 computadores clientes com redes pequenas e no gerenciadas em locais distribudos. Normalmente, essas organizaes instalam manualmente o Windows de retail media o da mdia VL, instalam manualmente aplicativos de suas mdias e depois configuram manualmente os computadores para se adequar a suas necessidades. Os 110

profissionais de TI comeam a usar arquivos de resposta para automatizar instalaes do Windows, uma tcnica que a estratgia de High Touch com Retail Media recomenda. Investir em uma infraestrutura de implantao principal fornece retornos limitados para uma pequena organizao, mas personalizar e implantar uma imagem padro pode ajudar essas organizaes a economizar tempo e dinheiro tornando a implantao mais rpida e mais consistente com menos problemas. Alm disso, as organizaes podem comear a aproveitar as solues da Microsoft, que as ajuda na transio para uma automao maior conforme elas crescem. Como a estratgia de High Touch com Retail Media, essa estratgia recomenda uma instalao high-touch, mas usa uma imagem de configurao padro em vez de a imagem retail. Essa estratgia funciona bem em organizaes com mais equipe tcnica de TI e para 100-200 computadores clientes. Ela pode fornecer uma implementao mais rpida com menos problemas sem exigir um grande investimento para suportar uma tarefa no muito frequente. Ao instalar o sistema operacional do Windows 7 em pequenas organizaes, os usurios executam o programa de Instalao da retail media ou da mdia VL e respondem a cada solicitao. O processo repetitivo, problemtico e ineficiente. Os administradores repetem as mesmas etapas do manual, o que leva a configuraes inconsistentes que nem sempre funcionam corretamente. As pequenas organizaes podem criar um processo de implantao mais eficiente usando o programa de Instalao do Windows. Ele suporta a personalizao e instalao de uma imagem padro, que um instantneo de um computador que voc configurou com as configuraes e aplicativos. As organizaes podem criar imagens padro que incluem configuraes, drivers de dispositivos, aplicativos e assim por diante. Como recomendado pela estratgia de High Touch com Retail Media, esse processo tambm ajuda a automatizar a instalao, permitindo que os profissionais de TI ignorem a interao com o programa de Instalao durante a instalao. Depois de criar uma imagem padro, a organizao usa o programa de Instalao do Windows para atualizar computadores clientes com a nova imagem em vez de usar a imagem de retail ou VL que a Microsoft fornece. Usar uma imagem personalizada oferece os seguintes benefcios:

Menos problemas e conflitos de suporte reduzidos porque as configuraes so consistentes em todos os computadores clientes. Implantao rpida, porque as imagens incluem configuraes, aplicativos e assim por diante. Validao da implantao e tempo de teste reduzidos. Muitas pessoas atualizam para a imagem padro, que pode ser realizada offline sem ter que instalar, personalizar e recapturar a imagem.

Alm disso, a estratgia de High Touch com Imagem Padro permite que pequenas organizaes ofeream aos fabricantes originais do equipamento (OEM) essas imagens ao solicitar novos computadores clientes. Isso permite que elas recebam novos computadores com suas imagens personalizadas j instaladas. Portanto, implantar em novos computadores no um processo que muitas pequenas empresas precisam realizar, elas simplesmente desembalam o computador, ligam e o conectam a uma rede. Embora essa estratgia se concentre em atualizar computadores clientes existente com 111

uma imagem padro, voc pode solicitar ao seu OEM que ele use a imagem em novos computadores clientes para economizar tempo e dinheiro. Os seguintes elementos so necessrios para usar a estratgia High Touch com Imagem Padro:

Retail Media ou VL do Windows fornecido pela Microsoft Windows AIK (Kit de Instalao Automatizada do Windows) Dispositivo de armazenamento removivel, como uma unidade flash USB, de qual instalar a imagem padro Computador de referncia em que ser criada e personalizada a imagem matriz Opcionalmente, Kit de Ferramentas de Compatibilidade de Aplicativos (ACT)

A estratgia de High Touch com Imagem Padro possui limitaes que podem levar as pequenas organizaes a considerar a implantao da rede com a estratgia de Implantao Lite-Touch, Alto-Volume. Se alguns dos seguintes problemas descreve sua organizao, tente usar a estratgia Lite-Touch, Implantao de Alto-Volume:

A estratgia no escalona. A estratgia de High Touch com Imagem Padro no escalona para organizaes maiores porque ela exige mdias (como uma unidade flash USB) e um tcnico para instalar o software do Windows em computadores clientes. As organizaes maiores podem considerar o uso da estratgia de Implantao Lite-Touch, Alto-Volume para automatizar mais a instalao e fornecer habilidades interativas a usurios.

A estratgia funciona melhor com uma imagem. Essa estratgia funciona bem em pequenas organizaes com aplicativos e requisitos de configurao semelhantes na maioria dos computadores clientes. As organizaes que exigem diversas imagens (por exemplo, cada departamento exige um aplicativo completamente diferente) devem considerar uma estratgia de Implantao LiteTouch, Alto-Volume que usa imagens pequenas. Imagens pequenas so imagens do Windows com pouca ou nenhuma personalizao. Depois de instalar imagens pequenas, voc pode instalar aplicativos, drivers de dispositivos e atualizaes manualmente ou automaticamente em cada computador.

A estratgia funciona melhor quando as alteraes de imagens so feitas raramente. As restries de licena limitam o nmero de vezes que voc pode atualizar uma imagem qual a Ferramenta de Preparao do Sistema (Syspreo) foi aplicado inline. Para melhores resultados, voc deve iniciar a criao da imagem e atualizar o processo instalando o sistema operacional do Windowsa partir da retail media ou mdia VL. As Organizaes que atualizam suas imagens frequentemente devem considerar o uso do Microsoft Deployment Toolkit 112

(MDT) 2010, que permite que voc automatize o processo da criao da imagem padro. Para obter mais informaes, consulta a estratgia Lite-Touch, Implantao de Alto-Volume.

A atualizao no suportada. Ao implantar uma imagem padro, atualizar uma instalao do Windows existente e preservar aplicativos dos usurios no so suportados. Em vez disso, voc deve atualizar computadores com a nova instalao do Eindows e depois migre os arquivos e configuraes. Se voc usar essa estratgia, recomendamos o uso da Trasferncia Fcil do Windows para migrar usurios e configuraes. Como opo, voc pode substituir a Transferncia Fcil do Windows pela Ferramenta de Migrao de Estado do Usurio.

Criar a imagem padro para a estratgia de High Touch com Imagem Padro um processo online, que significa que o pessoal de TI em geral ou os parceiros das pequenas organizaes instalam o sistema operacional do Windows em um computador cliente de referncia, o personalizam conforme necessrio instalando aplicativos, drivers de dispositivos e atualizaes e depois capturam uma imagem. Depois de capturar a imagem personalizada, a organizao pode implantar a imagem aos seus computadores clientes. Alm disso, pequenas organizaes podemm manter imagens offline, que permitem a elas atualizar facilmente suas imagens com novas atualizaes do sistema operacional e drivers de dispositivos assim que se tornarem disponveis. A tabela a seguir descreve o processo de implantao de alto nvel para uso da estratgia de High Touch com Imagem Padro. A coluna da esquerda descreve a etapa e a da direita contm links para informaes detalhadas sobre a concluso dessa etapa. Pelo fato de cada imagem suportar apenas uma arquitetura simples (x86 ou x84), realize as etapas na tabela para cada sistema operacional usado na organizao. Etapa Mais informaes

1. Como opo, use o ACT para priorizar os Kit de Ferramentas de aplicativos da sua organizao, determine o Compatibilidade de Aplicativos da status da compatibilidade e consolide Microsoft (ACT) Verso 5.5 aplicativos. O ACT pode ajudar a triagem das organizaes e remedar aplicativos que possuem problemas de compatibilidade. 2. Instale o Windows no computador cliente de referncia da Retail media ou VL. Recomendamos que voc use um arquivo de resposta (Unattend.xml) para instalar o Windows no computador de referncia para tornar esse processo consistente e reproduzvel.

Instrues: Criar um Arquivo de Resposta para Computadores com base em BIOS (essa pgina pode estar em ingls)

113

Trabalhar com Arquivos de Resposta

Prticas Recomendadas para a Criao Resposta de Arquivos de

Instrues:

Implante

Windows Iniciando a Partir de um DVD (essa pgina pode estar em ingls)

Mtodos

para

Executar

Instalao do Windows 3. Em computadores clientes mestre, instale Nenhum qualquer aplicativo, driver de dispositivo e atualizao que deseja para incluir na imagem-mestre. Alm disso, configure as definies que deseja incluir na imagemmestre. 4. No computador cliente mestre, execute o Sysprep para generalizar a imagem e depois desligue o computador. Alguns aplicativos no so acomodados pelo Sysprep e importante que voc os teste completamente. Se houver problemas com o Sysprep, recomendamos que voc automatize a instalao desses aplicativos no momento da implantao usando um arquivo Unattend.xml. 5. Inicie o computador cliente mestre usando o Ambiente de Pr-instalao do Windows (Windows PE) e depois capture uma imagem dele usando ImageX. Copie a imagem para um dispositivo de armazenamento removvel, como uma unidade flash USB ou um compartilhamento de rede.

Referncia Tcnica do Sysprep Instrues: Implante uma

Imagem usando a Instalao do Windows (essa pgina pode estar em ingls)

Trabalhar com o Windows PE Capturar Imagens Referncia Tcnica do ImageX Instrues: Implante uma

Imagem usando a Instalao do Windows (essa pgina pode

114

estar em ingls) 6. Prepare a mdia para instalar o sistema operacional do Windows. Execute um destes procedimentos:

Instrues: Criar um Arquivo de Resposta para Computadores com base em

Crie imagem

um

arquivo que

de

resposta para para a o

BIOS (essa pgina pode estar em ingls) Trabalhar com Arquivos de Resposta

(Unattend.xml)

aponte

que voc copiou

dispositivo de armazenamento removvel ou compartilhamento de rede na etapa anterior.

Prticas Recomendadas para a Criao Resposta de Arquivos de

Crie uma nova mdia de instalao e substitua o arquivo Install.wim na mdia pelo arquivo que voc capturou na etapa anterior.

Prticas Recomendadas para Implantao da Imagem Instrues: Implante uma

Imagem usando a Instalao do Windows (essa pgina pode estar em ingls) 7. Como opo, se voc estiver atualizando o Passo a passo: Migrao Bsica do computador com uma nova instalao, use a Windows para Profissionais de TI Transferncia Fcil para salvar documentos (essa pgina pode estar em ingls) dos usurios e configuraes do computador (voc os recuperar depois de atualizar o computador). 8. Instale a imagem padro em cada computador cliente. Se voc criou uma nova mdia de instalao, inicie o computador usando a mdia, ou execute Setup.exe da instalao do Windows anterior. Por outro lado, execute o programa de Instalao usando o arquivo de resposta criado anteriormente.

Mtodos

para

Executar

Instalao do Windows

Opes de Linha de Comando da Instalao do Windows

9. Como opo, use a Transferncia Fcil do Passo a passo: Migrao Bsica do Windows para recuperar documentos do Windows para Profissionais de TI usurio e configuraes do computador. (essa pgina pode estar em ingls)

115

10. Usurios da retail media devem ativar Ativao do Volume do Windows seus computadores online. Usando o Windows AIK, voc pode fazer o atendimento offline de imagens personalizadas, o que significa que voc pode atualizar drivers de dispositivos e atualizaes sem instalar, configurar e recapturar a imagem. O atendimento offline torna mais fcil manter sua imagem padro atualizada. Voc tambm pode fazer o atendimento online repetindo o processo descrito por essa estratgia. 2.2.3 Lite-Touch, Implantao de Alto-Volume A estratgia de Implantao Lite Touch, Alto-Volume para organizaes de mdio porte que possuem a equipe de TI e s vezes usam parceiros para ajud-las na adoo da tecnologia. As organizaes que usam essa estratgia possuem 200-500 computadores clientes e pelo menos um local com mais de 25 usurios. Elas geralmente possuem redes gerenciadas em locais distribudos que executam o Windows Server. As organizaes de mdio porte geralmente montam suas prprias solues de implantao usando as ferramentas e tecnologias que a Microsoft fornece para o sistema operacional do Windows. Essas solues normalmente incluem combinaes de arquivos de resposta, scripts o Kit de Instalao Automatizada do Windows (Windows AIK) e assim por diante. Essa organizaes podem se beneficiar do Microsoft Deployment Toolkit (MDT) 2010, que o acelerador da soluo que est disponvel gratuitamente. O MDT 2010 contm milhares de linhas de cdigos que foram desenvolvidas pelos funcionrios, parceiros e clientes da Microsoft. Voc pode usar esse cdigo para fornecer uma estrutura de implantao para os sistemas operacionais Windows, que permitem que voc se concentre em seus negcios e no na programao. Os clientes podem usar o MDT 2010 para Implantao da Instalao Lite-Touch ou Zero-Touch. Para organizaes de mdio porte que no possuem a infraestrutura necessria para implantaes Zero-Touch, a implantao Lite-Touch a melhor escolha. Usar o MDT 2010 para uma implantao Lite-Touch no exige uma infraestrutura maior do que as organizaes de mdio porte j possuem (um servidor de arquivos a unica exigncia de infraestrutura). Usar o MDT 2010 para a estratgia de Implantao Lite-Touch, Alto-Volume facilita a implantao e reduz os custos com suporte fornecendo uma configurao mais consistente com menos chamadas de suporte, tudo sem exigir um investimento significante na infraestrutua. Os benefcios de usar o MDT 2010 com a estrutura de Implantao Lite-Touch, Alto-Volume incluem:

menos problemas, porque as configuraes so consistentes em todos os computadores clientes. Implantao mais fcil, porque o MDT 2010 cuida da instalao do aplicativo, do driver de dispositivo e da atualizao. Manuteno facilitada, poque fcil atualizar aplicativos, drivers de dispositivos e atualizaes. 116

O MDT 2010 suporta todos os tamanhos de imagens. Imagens pequenas significa implantar uma imagem do Windows com pouca ou nenhuma personalizao e depois instalao manual ou automtica de aplicativos, drivers de dispositivos e atualizaes em cada computador. Imagem grande significa personalizar uma imagem com aplicativos, drivers de dispositivos e atualizaes antes de implant-la. Recomendamos o uso de imagens pequenas porque elas ajudam a reduzir o tempo e o custo de manuteno. O MDT 2010 torna o uso de imagens pequenas com a estratgia de Implantao Lite-Touch, Alto-Volume fcil: Na verdade, essa estratgia usa imagens pequenas. Os seguintes elementos so necessrios para usar a estratgia de Implantao LiteTouch, Alto-Volume:

Microsoft Assessment and Planning Toolkit Mdia de Volume Licenciado (VL) fornecida pela Microsoft MDT 2010 Ferramenta de Migrao de Estado do Usurio do Windows (USMT) Kit de Ferramentas de Compatibilidade de Aplicativos (ACT) Windows AIK Servidor de Arquivos para armazenar o compartilhamento da distribuio Um dos seguintes: Mdia com a qual iniciar os computadores clientes durante a implantao Um servidor configurado com a funo de Servios de Implantao do Windows

A estratgia de Implantao Lite-Touch, Alto-Volume no possui limitaes significantes para organizaes de mdio porte, embora ela exija interao limitada no comeo da instalao. Como as organizaes de mdio porte se desenvolvem, no entanto, elas podem facilmente estender o MDT 2010 para fornecer uma experincia quase zero-touch ao fazer nada mais do que configurar um banco de dados e implantar a funo de Servios de Implantao do Windows. Eliminar a interao do usurio com o processo de implantao automatizando a instalao do aplicativo e a configurao do sistema operacional ajuda a reduzir os custos com implantao e suporte. A tabela a seguir descreve o processo de implantao de alto nvel para uso da estratgia de Implantao Lite-Touch, Alto-Volume. A coluna da esquerda descreve a etapa e a da direita contm links para informaes detalhadas sobre a concluso dessa etapa. Etapa Mais informaes and

1. Se sua organizao est implantando uma nova Microsoft Assessment verso do Windows, determine a preparao da Planning Toolkit organizao para a nova verso usando Microsoft Assessment and Planning Toolkit. 2. Use o ACT para priorizar os aplicativos da organizao, determine o status da compatibilidade e consolide aplicativos. O ACT pode ajudar a triagem das organizaes e remedar aplicativos que possuem problemas de compatibilidade.

Kit de Ferramentas de Compatibilidade de Aplicativos da Microsoft (ACT) Verso 5.5

117

3. Prepare a infraestrutura para o MDT 2010 criando um servidor de arquivos para o recurso compartilhado de distribuio. Como alternativa, instale e configure a funo de Servios de Implantao do Windows no Windows Server 2008 R2. Iniciar os computadores clientes usando os Servios de Implantao do Windows a maneira mais fcil de iniciar uma implantao de rede. 4. Instale o MDT 2010 no servidor de arquivos junto com componentes adicionais, incluindo o USMT.

introduo Preparando o Servidor dos Servios de Implantao do Windows

Preparando o Ambiente da Implantao Microsoft Deployment Preparing para LTI Tools

5. Crie um compartilhamento de distribuio que Guia de Imagem do Microsoft contenha sistemas operacionais, aplicativos, drivers Deployment Workbench de dispositivos e atualizaes. 6. No MDT 2010, crie e personalize uma sequncia Modificando Sequncias de de tarefas para cada configurao que deseja Tarefas implantar. As sequncias de tarefas possuem instrues para instalao e configurao do Windows. 7. No MDT 2010, crie e atualize um ponto de Preparando o Ambiente da implantao. Pontos de implantao descrevem Implantao como conectar os arquivos no recurso compartilhado de distribuio (ou uma cpia desses arquivos). Para personalizar o ponto de implantao, voc pode especificar para quais extenses os usurios interagem com o MDT 2010 durante a implantao. Atualizar um ponto de implantao cria imagens do Windows PE que voc usa para iniciar computadores clientes durante a implantao. 8. Crie um dispositivo para iniciar a imagem do Windows PE preparando um dispositivo de armazenamento removvel com as imagens criadas pelo MDT 2010 quando voc atualizar um ponto de implantao. Como alternativa, adicione a imagem do Windows PE aos Servios de Implantao do Windows, que torna a iniciao da imagem rpida e fcil durante a implantao. Instrues: Crie um Disco RAM inicializvel do Windows PE (essa pgina pode estar em ingls)

9. Inicie cada computador cliente usando a imagem Executando o Assistente de do Windows PE e depois siga as intrues para Implantao do Windows. fazer logon no recurso compartilhado de distribuio, escolha uma sequncia de tarefas e instale o Windows. 118

2.2.4 - Zero-Touch, Implantao de Alto-Volume A estratgia de implantao de alto volume, Zero-Touch foi desenvolvida para grandes organizaes com uma equipe de TI com profissionais experientes em implantao, rede e Gerenciador de Configuraes 2007 R2. As organizaes que usam essa estratgia geralmente possuem mais de 500 computadores clientes e pelo menos um local com mais de 25 usurios. Elas possuem redes gerenciadas com base no Windows Server. O Microsoft Deployment Toolkit (MDT) 2010 um acelerador de solues da Microsoft disponvel gratuitamente para implantao de sistemas operacionais Windows. Com base na experincia de funcionrios, parceiros e clientes da Microsoft, o MDT 2010 contm milhares de linhas de cdigos, que fornecem uma estrutura de implantao para que clientes possam se concentrar em seus negcios, e no na programao. Integrar o MDT 2010 com o Gerenciador de Configuraes 2007 R2 ajuda grandes organizaes a usar essa estrutura para implementar mais facilmente a estratgia Zero-Touch, Implantao de Alto-volume. Os clientes podem usar o MDT 2010 para Implantao da Instalao Lite-Touch ou da Instalao Zero-Touch. A estratgia Zero-Touch, Implantao de Alto-Volume apropriada para grandes organizaes que possuem a infraestrutura necessria (Gerenciador de Configuraes 2007 R2, Servios de Domnio do Active Directory (AD DS) e assim por diante). Se sua organizao no possui a infraestrutura necessria, use a estratgia de Lite-Touch, Implantao de Alto-Volume. As organizaes que atendem aos requisitos da estratgia de Implantao de Zero-Touch, Alto-Volume podem realizar economias significantes automatizando totalmente a implantao do Windows. Os benefcios de integrar o MDT 2010 com o Gerenciador de Configuraes 2007 R2 na estratgia de Implantao de Zero-Touch, Alto-Volume incluem:

Implantao facilitada, porque a instalao totalmente automatizada sem interao. Custos de suporte mais baixos, porque as configuraes so consistentes em todos os computadores clientes. Manuteno facilitada, porque o Gerenciador de Configuraes 2007 R2 lida com aplicativos, drivers de dispositivos e atualizaes.

O MDT 2010 suporta todos os tamanhos de imagens. A imagem pequena significa a instalao da imagem do Windows que a Microsoft fornece sem personaliz-la (ou a instalao de uma imagem levemente personalizada) e depois o uso da automatizao para instalar aplicativos, drivers de dispositivos e atualizaes em cada computador cliente durante a implantao. Imagem grande significa personalizar uma imagem com aplicativos, drivers de dispositivos e atualizaes antes de implant-la. A Microsoft recomenda o uso de imagens pequenas, de forma que ajuda a reduzir o tempo e custo de manuteno. O MDT 2010 usa imagens pequenas com a estratgia de Implantao Zero-Touch, Alto-Volume simples: Na verdade, essa estratgia usa imagens pequenas.

119

Os seguintes elementos so necessrios para usar a estratgia de Implantao Zero-Touch, Alto-Volume:


Microsoft Assessment and Planning Toolkit Mdia de Volume Licenciado (VL) fornecida pela Microsoft MDT 2010 Ferramenta de Migrao de Estado do Usurio do Windows (USMT) Kit de Ferramentas de Compatibilidade de Aplicativos (ACT) Windows AIK (Kit de Instalao Automatizada do Windows) Gerenciador de Configurao 2007 R2 e seus pr-requisitos

As limitaes mais importantes da estratgia de Implantao Zero-Touch, AltoVolume so a infraestrutura e o nvel de habilidade necessrios para implant-la. Essa estratgia tem como base a integrao do MDT 2010 e o Gerenciador de configurao 2007 R2. O MDT 2010 pode ser simples, mas o Gerenciador de Configurao 2010 R2 exige uma infraestrutura significante. Alm disso, usar o Gerenciador de Configurao 2007 R2 para implantar o Windows exige experincia em implantao, rede e no software do Gerenciador de Configurao 2007 R2. O treinamento tambm necessrio. Essas limitaes so compensadas pelos custos reduzidos realizados pela implantao totalmente automatizada.

120

3 - COMPATIBILIDADE DE APLICATIVOS

Se voc j trabalhou em um projeto de implantao de sistema operacional, voc j sabe que a compatibilidade de aplicativos pode ser um dos mais srios bloqueios. Se estiver trabalhando em um projeto de implantao de sistema operacional pela primeira vez, o escopo do trabalho necessrio poder ser uma surpresa. Mas, com um planejamento adequado, o projeto se torna facilmente gerencivel. possvel gerenciar a compatibilidade de aplicativos proativamente mantendo uma lista precisa de todos os programas em uso em sua organizao, criando um portflio de aplicativos. Tenha sua organizao um ambiente gerenciado completo com aplicativos inventariados, uma equipe de gerenciamento de aplicativos dedicada e um laboratrio de teste, ou esteja ela enfrentando o problema de compatibilidade de aplicativos pela primeira vez, voc poder achar difcil saber por onde comear. Este documento explica as etapas que devem ser executadas para se preparar para o teste e a avaliao da compatibilidade de aplicativos durante um projeto de implantao do sistema operacional Windows 7. Embora as etapas neste documento se apliquem a uma implantao do Windows 7, os conceitos so aplicados ao gerenciamento do ciclo de vida do aplicativo. 3.1 - Entendendo a Compatibilidade de Aplicativos Com a introduo do recurso Controle de Conta de Usurio no Windows Vista, a Microsoft demonstrou o seu compromisso de capacitar as organizaes a configurar os seus utilizadores com contas de usurio padro da indstria, oferecendo assim uma configurao de rea de trabalho com maior segurana e reduo de custo total de operao (TCO). O Windows Vista inclui funcionalidades, tais como a capacidade para usurios padro para alterar o fuso horrio em viagens, que melhorar drasticamente a experincia de usurio de contas de usurios padro. Windows 7 torna a experincia do usurio ainda melhor. Quando executado com contas de usurio padro, as organizaes tambm vai perceber a elasticidade melhorada contra software mal-intencionado, um melhor controle sobre o que os usurios instalem em seus computadores, e um maior grau de gesto sobre o que os usurios podem configurar em seus computadores (incluindo as configuraes de segurana). Antes do Windows Vista, muitos desenvolvedores tem vindo a desenvolver software que os utilizadores posicionado como membros do grupo Administradores e, inadvertidamente, o software necessrio privilgios de administrador. Quando foram retirados os privilgios de administrador para usurios padro no Windows Vista, o impacto de compatibilidade de aplicativos foi significativa. O Controle de Conta de Usurio oferece uma variedade de recursos para melhorar a compatibilidade de aplicativos, como arquivos e Virtualizao do Registro e Deteco Intalao. Alm disso, como a indstria continua a se mover para desktops de usurio padro, muitos destes bugs de compatibilidade de aplicativos esto sendo abordados por vendedores de software independentes (ISVs) e fixado em seus produtos mais recentes. 121

Controle de Conta de Usurio um dos muitos recursos projetados para aumentar a confiabilidade do Windows. Outra caracterstica o Windows Resource Protection (WRP), o que aumenta a estabilidade do sistema, previsibilidade e confiabilidade. salvaguardas WRP Windows recursos somente leitura, especificamente arquivos do sistema operacional, pastas e chaves de registro que no so configurveis pelo design. WRP refora esta garantia de segurana usando o Windows, especificando os descritores de segurana especial sobre o recurso. Qualquer processo, incluindo aquelas que funcionam como administrador ou do sistema, que no tm o direito de fazer alteraes aos recursos WRP s podem ler e executar os recursos. O acesso completo aos recursos WRP restrito a servio Windows Installer de mdulos. Quando novas funcionalidades so adicionadas para aumentar a segurana do sistema operacional geralmente afetam as caractersticas de compatibilidade de aplicativos. Em muitos casos, isso ocorre porque o recurso destinado a limitar o comportamento do malware, alterando o comportamento do sistema operacional ou uma tecnologia de plataforma de aplicaes, tais como Internet Explorer . Como mencionado anteriormente, os aplicativos so construdos para utilizar uma grande variedade de funcionalidades da plataforma, e qualquer mudana tem o potencial para problemas de compatibilidade de aplicativos. As seguintes caractersticas reforar a segurana do Windows 7 e representam avanos importantes: Modo Protegido do Internet Explorer. Includo no Windows 7, o Internet Explorer 8 executado em modo protegido, o que pode ajudar a proteger usurios contra ataques de executar o Internet Explorer processo com privilgios restritos muito. Modo Protegido reduz significativamente a capacidade de um ataque de escrever, alterar ou destruir dados sobre a mquina do usurio ou instalar cdigo malicioso. Pode ajudar a proteger um usurio de um cdigo malicioso se instala sem autorizao. Este modo o padro para Internet Explorer 8, quando o Windows 7 est instalado.

Internet Explorer 8 - Execuo de Proteco de Dados (DEP) / NX. Internet Explorer 8 permitir DEP / NX proteo quando executado em um sistema operacional com o Service Pack mais recente. Windows XP SP3, Windows Server 2003 SP3, Windows Vista SP1 e Windows Server 2008 tem todas as DEP / NX habilitada por padro no Internet Explorer 8. Normalmente, qualquer aplicativo executado no Internet Explorer e no compatvel com o DEP / NX ir falhar na inicializao e no vai funcionar. Internet Explorer pode falhar no arranque, se add-ons no compatvel com o DEP / NX esto instalados. Isolamento de sesso 0. No Windows XP e verses anteriores do Windows, todos os servios executados na mesma sesso como o primeiro usurio que fizer logon no console. Esta sesso chamada de sesso 0. Execuo de servios e aplicativos do usurio em conjunto na sesso 0 representa um risco de segurana porque os servios so executados com privilgios elevados e, portanto, so alvos de agentes maliciosos que esto procurando um meio de elevar seus nveis de privilgio prpria. O Windows Vista e Windows 7 sistemas operacionais mitigar este risco de segurana, isolando os servios na sesso 0 e 122

fazer Sesso 0 no-interativas. Neste caso, o sistema apenas processos e servios executados na sesso 0. O primeiro usurio faz logon em uma sesso, e os usurios subseqentes log para sesses posteriores. Esta abordagem significa que nunca servios executados na mesma sesso como "usurios e aplicaes so, portanto, ser protegidos de ataques que se originam no cdigo do aplicativo. Algumas das caractersticas de desempenho que podem ter um impacto de compatibilidade de aplicativos incluem:

Windows Vista e Windows 7 64 bits. Windows 7 apoia plenamente a processadores de arquitetura de 64 bits da AMD e da Intel. A verso de 64 bits do Windows 7 pode executar todos os aplicativos de 32 bits com a ajuda do emulador WOW64. No entanto, o kernel no suporta aplicativos de 16 bits, instaladores de 32 bits e drivers de modo kernel bit-32. Todos os drivers de 64 bits tem que ser assinado digitalmente para o Windows Vista e Windows Server 2008, edies de 64 bits. Os drivers no assinados no so suportados e no pode ser instalado em 64 bits do Windows Vista e Windows Server 2008.A verificao da assinatura digital feito durante tanto tempo de instalao e carregar o driver. Rede: TCP / IP e Windows Filtering Platform. A pilha de rede foi completamente reescrito para o Windows Vista. Em vez do dual-stack modelo que existe no Windows XP (para suportar IPv4 e IPv6), a pilha de rede no Windows Vista implementa uma nova arquitetura em que h um nico dos transportes e enquadramento camada IP que suporta mltiplas camadas. O novo sistema modular e flexvel e extensvel. Embora todas as tentativas foram feitas para manter a compatibilidade de aplicativos com os aplicativos existentes que fazem interface com a pilha em vrias camadas, no entanto, h mudanas (que so principalmente efeitos colaterais das melhorias) que podem causar problemas de compatibilidade de aplicativos potencial.

O Windows Display Driver Model (WDDM) introduziu um modelo completamente novo de display driver que melhora a estabilidade do driver de vdeo no Windows. Enquanto a maioria dos aplicativos de verses anteriores do Windows no deve ser impactado por WDDM, alguns riscos incluem:
DX

compatibilidade de jogos, resultando em DX run-time, motorista IHV ou ncleo grfico pilha questes. funcionalidade como atalho de teclado, ver clone, brilho e zoom, devido a rigorosas requisitos Advanced Configuration and Power Interface (ACPI).

Mobile

Acessibilidade,

os pedidos de ampliao de tela especificamente projetado pelo Windows XP, no vai funcionar no Windows Vista ou Windows Server 2008. Low Level Binaries-New. Para melhorar a eficincia da engenharia e fundaes para o trabalho futuro, a Microsoft mudou algumas funcionalidades de baixo 123

nvel binrios novos. Esta refatorao ser possvel para instalaes futuras do Windows para fornecer subconjuntos de funcionalidades para reduzir a rea de superfcie (disco e requisitos de memria, servios, ea superfcie de ataque). Embora muitas das caractersticas mencionadas anteriormente so focalizados os fundamentos que permitem que aplicativos para trabalhar melhor, tambm h caractersticas que alteram a experincia real do usurio de Windows. Como alterar a forma como esses recursos usurios e aplicaes interagem com o Windows, existe a possibilidade de problemas de compatibilidade de aplicativo associado. Algumas das melhorias para a experincia do usurio incluem:

Biblioteca Arquivo Pasta documento que a substitui. As bibliotecas oferecem uma pasta como a experincia centralizado para armazenamento de arquivos, pesquisa e acesso em vrios locais, tanto locais e remotos. As localizaes padro utilizado pelas caixas de dilogo de arquivo comum (por exemplo, abrir e salvar) foram alteradas a partir da pasta de documentos para a Biblioteca de Documentos. A interface do usurio est inalterado, mas o usurio ser agora capaz de ver, navegar e pesquisar na Biblioteca de acordo com vises diferentes. Os arquivos so salvos no padro de biblioteca local para salvar a menos que o usurio alterar o local padro de salvamento ou escolhe uma pasta diferente.

User Interface - Sensibilizao High DPI. O objetivo incentivar os usurios finais para definir suas exposies a resoluo nativa e uso de DPI em vez de tela de resoluo para alterar o tamanho do texto exibido e imagens. Windows 7 pode auto-detectar e configurar um padro de DPI em instalaes limpas em computadores configurados pelos fabricantes de equipamentos originais (OEMs) usando as configuraes de DPI. Existem ferramentas que voc pode usar para ajudar aplicativos de design que so de alta DPI, a fim de garantir a resultados mais legveis.

Dado o foco contnuo em avanar e modernizar o sistema operacional Windows, possui mais de tempo vai ser retirado do sistema operacional Windows. Em certos casos, no so os sucessores que melhor satisfaam as necessidades dos desenvolvedores e usurios. Em outros casos, a tecnologia simplesmente chegar ao fim da vida e substitudo. Os seguintes componentes a partir de verses anteriores do Windows no esto presentes no Windows Vista ou Windows 7:

Kernel-mode suporte de driver de impressora. Os drivers de impressora implementar dois componentes: interface com o usurio e os componentes de processamento. No Windows NT 4.0, os componentes de processamento tinha de ser executado no modo kernel. O Windows 2000 introduziu o modo de usurio de renderizao de componentes; Windows XP necessrio para as instalaes da impressora nova, mas apoiada modo de renderizao de componentes de kernel para impressoras existentes. Comeando com o Windows Vista, todos os drivers da impressora deve agora aplicar renderizao de componentes em modo usurio. 124

Ajuda do Windows para aplicativos de 32 bits (WinHlp32.exe). Suporte para arquivos de ajuda do Windows (. Hlp) j no fornecida pelo sistema operacional. Para visualizar a Ajuda do Windows arquivos no Windows Vista, Windows Server 2008 e Windows 7, voc deve baixar e instalar o Windows Help do Microsoft Download Center. (A compatvel com o Windows 7 download estar disponvel em verso RTM do Windows 7.) HTML ajuda arquivos (. Chm) ainda so suportados. Extenses de servidor do Microsoft FrontPage. Suporte para extenses de servidor do FrontPage 2002 j no fornecido com o sistema operacional. Para os clientes que ainda requerem o FrontPage Server Extensions (tais como companhias de web hosting), Ready to Run software tem uma parceria com a Microsoft para fornecer Internet Information Services (IIS) verses compatveis do FrontPage Server Extensions 2002. Direct 3D Retained Mode (D3DRM). D3DRM, uma tecnologia introduzida em DirectX 3 para fornecer uma interface de programao de nvel superior na parte superior do Direct 3D Immediate Mode, foi substitudo incio com o Windows Vista devido a preocupaes de segurana. Web Publishing Wizard. A Web Publishing Wizard, um applet inicialmente concebido para simplificar a experincia de publicao na web, nunca vi nenhum adopo significativa e foi depreciado incio com o Windows Vista. Windows NT LAN Manager provedor de suporte de segurana (NTLMSSSP) Service. O Servio NTLMSSSP foi removido incio com o Windows Vista e foi substitudo por autenticao Kerberos. Network Dynamic Data Exchange (NetDDE). NetDDE foi removido do Windows XP, mas ainda estava disponvel no CD de instalao. Por razes de segurana, comeando com o Windows Vista e Windows Server 2008, Windows no suporta NetDDE em tudo. Microsoft identificao e autenticao grfica (GINA). Para simplificar o processo de desenvolvimento de provedores de autenticao, bem como simplificar a combinao de provedores de autenticao (incluindo autenticao biomtrica), Windows Vista substituiu o modelo GINA para provedores de autenticao e substituiu-o por um novo modelo de provedor de credenciais. O novo modelo reduz significativamente o esforo necessrio para criar pacotes de autenticao. Galeria de aplicaes Windows. Windows 7 despreza o utilitrio Windows Mail e desativa a interface de programao de aplicativo CoStartOutlookExpress (API). Outras mudanas incluem Messenger, Address Book, Photo Gallery e Movie Maker. O e-mail APIs outros foram marcados como obsoletos e esto programados para a remoo de uma verso do Windows mais tarde. No entanto, publicamente documentados APIs que no esto marcados como deprecated ou obsoletas continuar a funcionar no Windows 7. Binrios permanecer em 'sistemas dos usurios, e continuar a ser acessvel atravs da API, especificamente nos casos mencionados anteriormente. Alm disso, os

125

usurios de e-mail do (.), Notcias (. Nws eml) e outros Windows Galeria de arquivos criados permanecero no sistema.

Windows reflexo Registro. O processo de registro de cpias reflexo Registro chaves e valores entre duas vises de registro, para mant-los sincronizados. No anterior, as instalaes de 64 bits do Windows, o processo refletia um subconjunto das chaves do Registro redirecionado entre os de 32 bits e 64 bitsviews. No entanto, esta implementao causou algumas inconsistncias no estado do registro. COM como era conhecido consumidor apenas do recurso, COM foi atualizado para no mais depender da funcionalidade.

3.2 - Compreendendo a compatibilidade de aplicativos no seu ambiente Para os clientes em Windows XP, a transio para o Windows 7 vai lembrar o esforo necessrio para mover suas aplicaes para o Windows Vista. Para os clientes que se deslocam no Windows Vista para o Windows 7, o esforo necessrio para testar e validar as candidaturas sero substancialmente reduzidos em relao ao movimento a partir do Windows XP para o Windows 7. A figura abaixo apresenta uma viso geral do processo de compatibilidade de aplicativos.

A compatibilidade de aplicativos pode ter um impacto de longo alcance em sua organizao, mas que impacto pode ser reduzido significativamente com o planejamento adequado do seu projeto de compatibilidade de aplicativos. Sua migrao para o Windows 7 uma excelente oportunidade para analisar cuidadosamente as suas aplicaes e entender sua importncia estratgica no seu ambiente. Recolha de um inventrio de aplicativos o primeiro passo para entender o efeito das mudanas de compatibilidade de aplicativos para seu ambiente. A Microsoft oferece vrias ferramentas para realizar inventrios de ativos, incluindo o Microsoft Avaliao e Planejamento (MAP) Solution Accelerator e o Application Compatibility Toolkit (ACT). Para ambientes de grandes empresas, a Microsoft inclui funcionalidades de inventrio de ativos no System Center Configuration Manager e do Asset Inventory Service no Microsoft Desktop Optimization Pack (MDOP). ACT uma ferramenta da Microsoft compatibilidade principal do aplicativo. Ele possui uma caracterstica inventrio completo de aplicao, bem como a capacidade de categorizar os aplicativos. O Application Compatibility Toolkit (ACT) o conjunto de ferramentas da Microsoft para testar e compreender a compatibilidade de aplicativos em seu aplicativo e est disponvel no Microsoft Download Center. Ele permite que desenvolvedores de software, fornecedores de software independentes (ISVs) e profissionais de TI que 126

trabalham em um ambiente corporativo para determinar se seus aplicativos so compatveis com uma nova verso do sistema operacional Windows. ACT tambm permite que esses indivduos para determinar como uma atualizao para a nova verso do impacto das suas aplicaes. Voc pode usar o ACT recursos para: Verifique a compatibilidade de um aplicativo com uma nova verso do sistema operacional Windows, inclusive determinando a sua avaliao de risco. Envolver-se na Comunidade ACT, incluindo a partilha de status do seu aplicativo de compatibilidade com outros usurios. Teste seus aplicativos e sites para a compatibilidade com os novos lanamentos e atualizaes de segurana para o navegador Internet Explorer. ACT inclui muitas ferramentas e tecnologias que podem gerenciar o projeto de compatibilidade de uma empresa inteira. Ns vamos olhar para as ferramentas importantes para ajudar voc a entender os problemas de compatibilidade potencial de aplicao em ambos os seus instaladores e as prprias aplicaes. O MAP Solution Accelerator mais utilizado para reunir um estoque inicial de fazer estimativas sobre o impacto imediato de uma implantao do Windows 7 na compatibilidade de aplicativos. Para obter mais informaes sobre o MAP, visite: Microsoft Avaliao e Planejamento (MAP) Toolkit. MDOP tambm inclui o Asset Inventory Service. Para ambientes com milhares de aplicativos gerenciados, um projeto de compatibilidade de aplicativos um excelente momento para reduzir o nmero de aplicaes no ambiente, poupando assim os custos associados com a proliferao de aplicativos. Uma das maneiras mais fceis de reduzir imediatamente os pedidos dentro de um ambiente padronizar a verso de um aplicativo que usado em uma organizao. Muitas aplicaes podem ser substitudas por outras aplicaes que so mais recentes e implementar a mesma funcionalidade, esses aplicativos tambm podem ser removidos. Cada vez que um aplicativo removido, o que corresponde e os seus custos de licenciamento de apoio so eliminated.During seu projeto de compatibilidade de aplicativos, compatibilidade de aplicativos pode ser analisado em seu portflio inteiro. ACT 5.5 pode tambm ser sincronizado com um banco de dados central, incluindo compatibilidade vendedor, logotipo e avaliao da comunidade. Para as organizaes menores, com menor aplicao de carteiras, o Windows Vista Compatibility Center pode ser utilizado para procurar informaes sobre compatibilidade de aplicativos individuais. Esta informao est relacionada com a sincronizao de dados em ACT. Cada aplicativo em sua organizao provavelmente vai exigir algum esforo para testar a compatibilidade e, quando necessrio, para corrigir um problema de compatibilidade de aplicativos. O processo de testes e correo cclico e uma interao entre as equipes testando e corrigindo bugs de compatibilidade de aplicativos uma obrigao. H muitos scios que as organizaes que oferecem este servio. Organizaes sem o conhecimento tcnico para investigar os erros de

127

compatibilidade de aplicativos deve considerar fortemente a utilizao de um desses servios de parceiros. Ao investigar a compatibilidade de aplicativos para aplicativos de terceiros, importante compreender a poltica de suporte do fornecedor para uma aplicao e para localizar uma verso compatvel da aplicao. Isso garante que o aplicativo ir funcionar da forma prevista e que o apoio candidatura est disponvel. Para in-house aplicaes desenvolvidas, a melhor prtica recodificar o pedido de compatibilidade nativa ou em casos em que existe, use a verso compatvel. Orientao para a recodificao aplicativos podem ser encontrados no Application Compatibility Cookbook. Entendendo que a tecnologia para usar quando corrigindo uma aplicao um desafio significativo. Certos aplicativos exigir compra de uma nova verso, enquanto outros vo exigir o uso de calos de aplicao. Mais recentemente, a ateno tem sido colocada sobre o uso de tecnologias de virtualizao, incluindo o Windows XP Mode, Microsoft Enterprise Desktop Virtualization (MED-V) e Application Virtualization (App-V), para superar problemas de compatibilidade de aplicativos. O grfico a seguir ajuda a explicar os processos e mtodos de aplicao incompatibilidade atenuantes dentro de uma empresa.

Windows XP Mode omitido do grfico, pois no recomendado para ambientes corporativos gerenciados; MED-V a soluo de virtualizao de desktop recomendado para ambientes gerenciados. Compatibilidade com a fixao ou calos particularmente complexo e moroso, mas pode ser usado para corrigir a maioria dos tipos comuns de incompatibilidades, 128

permitindo que aplicaes rodem nativamente em verso mais recente do Windows precisar recodificar o aplicativo ou executar um sistema operacional virtual segundo. Para obter mais informaes sobre o teste de aplicaes e calos de autoria do especialista nesta tecnologia Microsoft, consulte a MSDN Jackson blog Chris. Uma maneira comum de atenuar problemas de compatibilidade de aplicativos executar aplicativos legados incompatveis em uma verso virtualizada do sistema operacional anterior usando o Windows Virtual PC. A verso mais recente do Windows Virtual PC oferece vrios novos recursos para melhorar esta experincia, incluindo:

Seamless aplicaes: aplicaes Lanamento instalado em uma mquina virtual diretamente do desktop do Windows 7, como se estivessem instalados no Windows 7 host. Simplificada interface de usurio (UI): Enhanced UI que fcil de usar e integrada com o Windows Explorer 7. recursos de integrao: Permite a partilha de clipboard, a partilha de unidade e de redirecionamento de impressora entre Windows 7, a mquina virtual. Suporte a USB: Os usurios podem acessar dispositivos USB ligados ao hospedeiro, diretamente de mquinas virtuais. Estes dispositivos incluem impressoras, scanners, memria flash / cartes de memria e discos rgidos externos, cmeras digitais, e muito mais.

Disponvel para o Professional, Enterprise e Ultimate do Windows 7, Windows XP Mode inclui uma imagem de mquina virtual de Windows XP que oferece uma experincia de aplicao contnua. Windows XP Mode permite instalar e executar aplicaes do Windows XP diretamente de um computador baseado em Windows 7.Ele utiliza a tecnologia de virtualizao, como o Windows Virtual PC para fornecer um ambiente virtual Windows XP no Windows 7. Windows XP Mode fornece um 32-bit do Windows XP Professional Service Pack 3 (SP3) do ambiente pr-carregado em um disco rgido virtual. Cliente de software de virtualizao, como o Windows Virtual PC, um pr-requisito para utilizar o Windows XP Mode. O Microsoft Desktop Optimization Pack (MDOP) para Software Assurance um conjunto de seis produtos vendidos como um add-on licena de subscrio disponvel para os clientes Software Assurance. Dois dos seis produtos no MDOP podem ser utilizados como solues atenuar problemas de compatibilidade de aplicativos. Microsoft Enterprise Desktop Virtualization pode ser usada para atenuar a aplicao do sistema operacional, incompatibilidades e Application Virtualization pode ser usada para atenuar aplicao para aplicao, incompatibilidades ou conflitos.

3.3 - Problemas de compatibilidade de aplicativos Normalmente, as organizaes tm centenas, se no milhares, de aplicativos instalados em todos os computadores no ambiente de rede. Isto inclui vrias verses do mesmo aplicativo e at mesmo diferentes atualizaes aplicadas a uma nica verso de 129

aplicativo. Muitos dos aplicativos e verses sero compatveis com o Windows 7, mas alguns podero ter problemas de compatibilidade com o Windows 7, ou com outros aplicativos ou drivers de dispositivos instalados. Os problemas resultantes dessa incompatibilidade podem variar de perda de funcionalidade em um nico aplicativo (como no ser capaz de usar um nico comando em um determinado menu do programa) a falhas crticas no kernel resultando em um erro de parada. Onde voc comea o processo de avaliao dos desafios da compatibilidade de aplicativos que a implantao do Windows 7 pode enfrentar? As prticas recomendadas mostram que um processo bem-sucedido incluir as seguintes etapas:

Coletar as informaes sobre os aplicativos atuais. Priorizar e racionalizar os aplicativos para teste e suporte. Testar os aplicativos. Minimizar os problemas (remediar, atualizar, migrar, desativar)

3.3.1- Coletando um inventrio de aplicativos O processo de coletar inventrio de aplicativos de sua organizao depender de muitos fatores, incluindo: Ambiente gerenciado ou no gerenciadoOs ambientes gerenciados so muito mais fceis de se fazer o inventrio, pois eles controlam quais aplicativos podem ser instalados em qualquer computador gerenciado. Um ambiente gerenciado muito provavelmente j ter uma lista de aplicativos suportados e aprovados e voc poder exibir essa lista como completa para todos os computadores gerenciados. Um ambiente no gerenciado desafiador devido tarefa complexa de descobrir todos os aplicativos instalados, tanto os oficialmente suportados como os aprovados, e os programas instalados pelos usurios por sua prpria conta. A maioria das organizaes est no meio desta faixa: eles tm uma combinao de um repositrio central de aplicativos e imagens, e um nmero de aplicativos que so exceo ao padro em toda a organizao. TI centralizada ou autnomaAs organizaes com uma infraestrutura de TI centralizada tero uma vantagem na coleta do inventrio de aplicativos porque elas estaro atentas e em contato com todos os departamentos da organizao. As infraestruturas de TI descentralizadas tm uma tarefa mais complexa de comunicar seus inventrios individuais pelos limites organizacionais, de centros de custo e geogrficos. Ferramentas de inventrio disponveisAs organizaes que usam uma ferramenta de gerenciamento de software como Microsoft Asset Inventory Service (uma ferramenta no Microsoft Desktop Optimization Pack for Software Assurance), Microsoft System Center Configuration Manager 2007 ou Microsoft Systems Management Server 2003 (SMS) podem j ter uma lista abrangente de aplicativos presentes na organizao. As organizaes menores sem software de gerenciamento precisaro selecionar uma ferramenta para coletar o inventrio. Embora seja possvel fazer um inventrio manualmente, voc correr o risco de cometer erros e fazer omisses. Uma ferramenta de inventrio pode, de forma efetiva, coletar a lista de aplicativos em execuo em cada computador. O Kit de Ferramentas de Compatibilidade de Aplicativos 5.5 inclui uma ferramenta de inventrio que poder ajud-lo a automatizar esse processo. EscopoO nmero de computadores um fator quando se coleta um inventrio, mas pode no ser to bvio quanto simplesmente especificar o nmero de computadores a ser inventariado. possvel reduzir o nmero de computadores a ser inventariado se 130

eles forem gerenciados (os usurios no podero instalar seu prprio software) e se voc puder identificar todas as funes na organizao. Nesse caso, possvel fazer o inventrio de uma amostra de computadores de cada funo e localidade especficas para obter um inventrio. Em ambientes levemente gerenciados ou no gerenciados, os usurios podem ter permisso para instalar seu prprio software e poder haver centenas ou milhares de aplicativos alm do conjunto de programas aprovados. O nmero de funes de usurio tambm afetar o escopo total do inventrio, pois voc deve incluir computadores representativos de cada funo para assegurar um cobertura adequada. Conduzindo um inventrio manual Uma organizao muito pequena poderia optar por fazer um inventrio manual Se voc gerencia a infraestrutura de TI de uma organizao pequena, poder achar muito mais simples criar uma planilha relacionando os aplicativos em cada computador. Voc pode obter a lista fazendo logon em cada computador e anotando-os pelo menu Iniciar ou conduzindo uma pesquisa na qual cada usurio poder fornecer a lista para voc. A preciso desses mtodos ser impactada pelos aplicativos que foram instalados por usurio e que no esto visveis quando voc faz logon, e pela exatido da resposta dos usurios. As organizaes maiores ampliariam essas tcnicas para incluir uma entrevista com representantes de cada departamento para ajudar a equipe de compatibilidade de aplicativos a criar uma lista de aplicativos usados pelo departamento. Essas entrevistas tambm so importantes para identificar a importncia dos aplicativos dentro de cada funo. Obviamente, um processo manual no soa como diverso para ningum envolvido, mas o risco maior a possibilidade de se fazer omisses e erros. Se voc considerar que a Microsoft disponibilizou uma ferramenta de inventrio automatizada altamente efetiva no ACT (Kit de Ferramentas de Compatibilidade de Aplicativos), faz mais sentido automatizar esse processo. Automatizando a coleta de inventrio Em um ambiente bem gerenciado, voc sempre teria uma lista atualizada de aplicativos instalados em sua organizao. Voc pode conseguir isso implementando um gerenciamento de software ou uma ferramenta de inventrio e usando-o regularmente. Uma ferramenta de gerenciamento de sistema, como o Gerenciador de Configuraes 2007 ou o SMS 2003, pode ajudar mantendo uma lista de aplicativos aprovados e instalados na organizao. Mas se voc atualmente trabalha em um ambiente levemente gerenciado ou no gerenciado, provavelmente no ter um inventrio atualizado de todos os aplicativos em seu ambiente corporativo. Nesse caso, voc poder optar por usar o ACT, que pode ser baixado do site da Microsoft. O ACT contm uma ferramenta de inventrio, entre outras ferramentas de teste e remediao, que pode ser usada para automatizar a coleta de inventrios de aplicativos de todos os computadores de sua organizao ou para um subconjunto, com base em como voc escolhe implantar seu cliente de inventrio ACT. O ACT uma valiosa ferramenta para os ambientes gerenciados e no gerenciados, independentemente do tamanho.

131

Decidindo o quanto inventariar As pequenas organizaes respondem facilmente pergunta De quantos computadores devo fazer o inventrio? Em uma pequena organizao, voc pode simplesmente fazer o inventrio de todos os computadores na rede. As grandes organizaes, por outro lado, podem ter de enfrentar a tarefa de inventariar milhares de computadores, e esses computadores podem estar espalhados por diversas zonas e localidades geogrficas. Em ambientes bem gerenciados, voc pode basear seu inventrio em um computador para cada funo e configurao com suporte. Em ambientes levemente gerenciados, voc precisar determinar quais as configuraes tpicas para cada funo e fazer o inventrio de pelo menos um computador de cada funo, ciente de que os usurios tero adicionado aplicativos e ferramentas. Se houver alguma variao nas vrias configuraes, voc precisar ter a certeza de capturar informaes de inventrio de pelo menos uma de cada configurao. Usando uma ferramenta de inventrio automatizada, voc tem a opo de fazer o inventrio de cada computador, o que forneceria a melhor viso de seu portflio de aplicativos.

3.3.2 - Analisando os Dados de Compatibilidade de Aplicativos Antes de poder sair da fase de inventrio para o teste real de seu aplicativo, voc precisar tomar algumas decises difceis com relao prioridade dos aplicativos e sobre quais aplicativos e verses sero oficialmente suportados aps a concluso da implantao. A primeira reviso do inventrio inteiro bastante direta: Redundncia dos aplicativosA organizao tem mais de um aplicativo executando as mesmas tarefas. Relevncia dos aplicativosA organizao tem vrias verses de um aplicativo incluindo verses obsoletas e sem suporte. Dependendo do aplicativo e de sua infraestrutura, talvez voc queira verificar as dependncias de aplicativo a aplicativo antes de continuar para uma verso inteiramente nova de um determinado aplicativo. Necessidade dos aplicativosA organizao tem aplicativos que so irrelevantes para o trabalho dirio sendo executado. possvel usar o inventrio de aplicativos para reduzir a redundncia dos aplicativos. Por exemplo, a organizao pode ter vrios aplicativos usados para criar elementos grficos. Selecionando um nico aplicativo e uma nica verso do aplicativo como padro, a organizao pode economizar dinheiro gasto com suporte. Se voc identificar uma verso do aplicativo necessrio que seja comprovadamente compatvel com a verso do sistema operacional Windows que voc est implantando, tambm ser possvel reduzir o teste de implantao, concentrando-se nesse nico aplicativo e verso A prxima etapa categorizar os aplicativos em grupos com base em sua importncia relativa dentro da organizao. Para entender isto, voc precisar trabalhar com os proprietrios de negcios de cada aplicativo. Alguns aplicativos so considerados essenciais para os negcios, de tal modo que os negcios sero interrompidos se o aplicativo falhar ou ficar indisponvel. Outros aplicativos so muito importantes, mas h como manter os negcios em funcionamento se eles falharem. 132

Embora a terminologia individual possa variar, veja a seguir alguns nveis de prioridade comuns a considerar: Essencial para os negcios - Um aplicativo que para completamente sua organizao se ele falhar. Se estiver em dvida se um aplicativo est nessa categoria, considere se a organizao pode gerar algum dinheiro enquanto o aplicativo estiver indisponvel e se as pessoas podem continuar a trabalhar sem ele. Se o aplicativo falhar no meio da noite, quando tempo levaria at seu pager ser acionado? Os aplicativos essenciais para os negcios normalmente tm contratos de nvel de servio (SLA) que determinam que a equipe de suporte deve responder a uma falha em 15 minutos ou menos. Alta prioridade - Aplicativos que executam uma funo vital em um departamento ou em toda uma organizao. Uma falha em um aplicativo de alta prioridade pode desativar um departamento ou uma nica funo dos negcios na organizao. Se um aplicativo de alta prioridade falhar, a organizao pode continuar a fazer negcios, mas um ou mais departamentos podem ser seriamente impactado. Um SLA tpico para um aplicativo de alta prioridade seria medido em horas. Importante - Um aplicativo importante que usado frequentemente, mas que no causar uma parada no trabalho se ele falhar. Um exemplo seria um aplicativo de planilha ou processador de texto que amplamente usado, mas no relacionado a uma funo de negcio fundamental. Os SLAs de aplicativos importantes podem ser medidos em dias. Opcional - Aplicativos aprovados que esto com uso limitado e no diretamente relacionados a uma funo de negcio. Normalmente, um aplicativo nessa categoria no coberto por um SLA e o suporte seria considerado melhor possvel. Frequentemente, atribuir nveis de prioridade a aplicativos um processo subjetivo e pode estar sujeito a revises peridicas. Esse um motivo vlido para manter uma equipe ou um comit para monitorar o portflio de aplicativos mesmo entre implantaes do sistema operacional. Depois de ter dado prioridade a seu inventrio de aplicativos, voc deve tambm despender algum tempo para identificar os aplicativos que podem ser eliminados. A remoo de verses antigas de aplicativos pode reduzir significativamente o volume de teste de aplicativos que deve ser executado antes de implantar um novo sistema operacional. Considere se as verses mais antigas ainda podem receber suporte do fabricante. Coletar um inventrio de aplicativos uma boa oportunidade de verificar o uso imprprio de licenas, como em casos em que os aplicativos so instalados em muitos computadores. Identificando aplicativos essenciais para os negcios Alguns aplicativos essenciais para os negcios so fceis de identificar e outros no o so. Se sua organizao usa a Internet para fazer negcios, os aplicativos de processamento de texto, manipulao de imagens e codificao de pginas podem ser considerados essenciais para os negcios. A categorizao de essencial para os negcios variar tambm por funo. Para um call center, um aplicativo que monitora a estabilidade do servidor pode ser considerado essencial, embora para outros departamentos pudesse no ter nenhum valor.

133

Se sua organizao tem um plano de recuperao de desastre (DRP) ou um plano de continuao dos negcios (BCP) estabelecidos, os aplicativos essenciais para os negcios j devem ter sido identificados nesses planos. Alguns critrios para identificar aplicativos essenciais para os negcios incluem:

O aplicativo representa uma funo principal da organizao, como software de processamento de texto ou design de pginas para uma empresa de publicao. A organizao sofrer um impacto financeiro significativo se o aplicativo falhar. Se esse aplicativo falhar fora do horrio de trabalho, o pager de algum ser acionado em questo de minutos.

Os aplicativos de alta prioridade podem ser fceis de identificar em seu prprio departamento, mas difceis em outros departamentos. Algumas vezes voc pode identificar um aplicativo de alta prioridade pela porcentagem de computadores que o tem instalado, embora isso possa ser enganoso. Um aplicativo que foi desenvolvido internamente para monitorar a quantidade de toner nas impressoras a laser da empresa poderia ser implantado em todos os computadores, mas usado, na verdade, por muito poucas pessoas. Se sua organizao tem um plano de recuperao de desastre (DRP) ou um plano de continuao dos negcios (BCP) estabelecidos, os aplicativos de alta prioridade j podem ter sido identificados nesses planos. Alguns critrios para identificar aplicativos de alta prioridade incluem:

O aplicativo usado na maior parte do turno de trabalho. O aplicativo usado por uma grande porcentagem de usurios na organizao. Sem o aplicativo, seria difcil para a organizao ou departamento conduzir os negcios normalmente. Sem o aplicativo, operaes dirias seriam afetadas e poderia haver um impacto financeiro mensurvel.

Identificando aplicativos para funes especficas O conceito de funes do usurio pode ser til na determinao dos componentes de imagens de sistema operacional especficas para implantao. Separando sua base de usurios em funes especficas, voc poder mais facilmente definir os aplicativos que sero colocados em cima da imagem do sistema operacional. Por exemplo, se voc definir uma funo de usurio da contabilidade, possvel especificar que, alm do sistema operacional, os usurios nessa funo recebero o Microsoft Office e o software de contabilidade padro da organizao. Algumas possveis funes podem incluir:

Recursos humanos Funcionrios de informaes Central de suporte de TI Marketing Desenvolvedor Executivo

H, com certeza, aplicativos que so padro em todas as imagens de sistema operacional. Exemplos podem incluir aplicativos de email e antivrus. Esses aplicativos sero parte de uma imagem principal e deveriam todos ser amplamente testados quanto 134

compatibilidade e estabilidade com o Windows 7. As imagens de implantao para as outras funes so baseadas na imagem principal, adicionando outros aplicativos usados pela funo. As funes de implantao tambm podem receber uma prioridade para diminuir o esforo exigido para teste da compatibilidade do aplicativo. As configuraes baseadas em funo para as operaes essenciais devem receber mais testes e imagens com baixa prioridade podem receber quantidades menores de teste. As configuraes de funo com apenas pequenas diferenas da imagem principal podem receber teste mnimo. Essa priorizao tambm pode ser levada para a implantao real. As funes que contm aplicativos sem problemas de compatibilidade podem ser implantadas mais cedo e as com problemas podem ser implantadas mais tarde, aps a realizao do teste e a remediao.

3.4 - Application Compatibility Toolkit (ACT) verso 5.5 O Application Compatibility Toolkit (ACT) permite que os desenvolvedores de software, os ISVs (fornecedores independentes de software) e os profissionais de TI que trabalham em um ambiente corporativo determinem, antes de distribuir na organizao, se os aplicativos so compatveis com uma nova verso do sistema operacional Windows. O ACT tambm permite que esses indivduos determinem como uma atualizao para a nova verso afetar os aplicativos. possvel usar os recursos do ACT para:

Verificar a compatibilidade do aplicativo, do dispositivo e do computador com uma nova verso do sistema operacional Windows, inclusive determinando a avaliao de risco.

Verificar a compatibilidade de uma atualizao do Windows, inclusive determinando a avaliao de risco.

Envolver-se na Comunidade ACT, inclusive compartilhando a sua avaliao de risco com outros usurios do ACT.

Testar os aplicativos da Web e os sites quanto compatibilidade com as novas verses e as atualizaes de segurana para o Internet Explorer, usando a Internet Explorer Compatibility Test Tool.

Problemas de compatibilidade comuns A inovao relacionada ao sistema operacional Windows ocasionalmente pode causar problemas de compatibilidade. Esses problemas tendem a ocorrer com as seguintes tecnologias:

135

Controle de Conta de Usurio (UAC) adiciona segurana ao Windows limitando o acesso ao computador no nvel de administrador, restringindo a maioria dos usurios execuo como Usurios Padro. O UAC tambm limita o contexto no qual um processo executado, para minimizar a capacidade de os usurios exporem inadvertidamente o computador a vrus ou outro malware. Essa alterao afeta qualquer instalador ou atualizao de aplicativo que requeira permisses de Administrador para execuo, execute verificaes ou aes de Administrador desnecessrias, ou tente gravar em um local do Registro no virtualizado.

Proteo de Recursos do Windows (WRP): permite que os aplicativos funcionem adequadamente, mesmo que eles tentem gravar em arquivos do sistema ou locais do Registro protegidos. O WRP cria uma rea de trabalho temporria e redireciona as aes de gravao para a sesso do aplicativo. Essa alterao afeta qualquer instalao de aplicativo que tente substituir, modificar ou excluir arquivos do sistema operacional ou chaves do Registro protegidos. Essas tentativas em geral falham com um erro de Acesso Negado.

Modo protegido do Internet Explorer ajuda a defender contra ataques de elevao de privilgio restringindo a capacidade de gravar em quaisquer recursos da zona do computador local que no sejam arquivos temporrios da Internet. Essa alterao afeta todos os sites ou os aplicativos da Web que tentem modificar arquivos do usurio ou chaves do Registro, ou que tentem abrir uma nova janela em outro domnio.

Substituies, GINA e Sesso 0: a verso mais recente do sistema operacional Windows tambm apresentou problemas com APIs ou DLLs substitudas do Windows XP e do Windows Vista, a estrutura do novo provedor de credenciais, e o isolamento de servio.

Substituies: o sistema operacional Windows substituiu muitos objetos de verses anteriores do sistema operacional. A substituio ocorreu para arquivos .dll, arquivos executveis (.exe), objetos COM, chaves do Registro, APIs (interfaces de programao de aplicativos) e vrios outros arquivos. Essa alterao afeta os aplicativos que usavam as APIs ou DLLs substitudas, fazendo com que eles percam funcionalidade ou no sejam iniciados.

136

DLL GINA (identificao e autenticao grfica: antes do lanamento do sistema operacional Windows Vista, os ISVs (fornecedores independentes de software) podiam modificar a autenticao instalando uma DLL GINA. A DLL GINA ento executava toda a identificao e a autenticao das interaes do usurio. O Windows Vista oferece um novo modelo de autenticao que no requer mais essa DLL e ignora todas as DLLs GINA anteriores. Essa alterao afeta qualquer aplicativo ou componente de hardware que tente fazer logon usando aplicativos de logon personalizados, inclusive os dispositivos biomtricos (leitores de impresso digital), as interfaces do usurio personalizadas, e as solues de VPN (rede virtual privada) para usurios remotos com interfaces do usurio de logon personalizadas.

Sesso 0: antes do lanamento do sistema operacional Windows Vista, o primeiro usurio que fazia logon em um computador executava na Sesso 0, que a mesma sesso usada para todos os servios do sistema. O Windows Vista requer que todos os usurios executem na Session 1 ou posterior, para que nenhum usurio execute na mesma sesso que os servios do sistema. Devido a essa alterao, os aplicativos no sero iniciados se dependerem dos servios interativos. Os servios interativos abrangem qualquer servio que tente enviar uma mensagem de janela, qualquer servio que tente localizar uma janela ou um servio adicional, e qualquer servio que tente executar quaisquer processos do usurio que abram o mesmo objeto nomeado (a no ser que ele seja um objeto nomeado globalmente).

Plataforma para Filtros do Windows (WFP): WFP uma API (interface de programao de aplicativo) que permite aos desenvolvedores criar cdigo que interaja com a filtragem que ocorre em diversas camadas na pilha de rede e em todo o sistema operacional. Se voc estiver usando uma verso anterior dessa API no ambiente, poder haver falhas quando voc executar a verificao de rede, os programas antivrus ou os aplicativos de firewall.

Alteraes de verso do sistema operacional: o nmero da verso do sistema operacional alterado em cada lanamento do sistema operacional. Para o Windows Vista, o nmero da verso 6, enquanto para o Windows 7 RC, 6.1. A funo GetVersion retorna esse valor quando consultada por um aplicativo. Essa alterao afeta qualquer aplicativo ou instalador de aplicativo que verifique

137

especificamente a verso do sistema operacional e pode evitar que a instalao ocorra ou que o aplicativo seja executado.

Windows Vista de 64 bits: a verso de 64 bits do Windows Vista utiliza o emulador Windows on Windows 64 (WOW64). Esse emulador permite que o Windows Vista execute aplicativos de 32 bits. O uso desse emulador pode fazer com que um aplicativo ou um componente que utilize executveis ou instaladores de 16 bits, ou drivers de kernel de 32 bits, no seja iniciado ou funcione incorretamente.

Em resposta a vrios desses problemas conhecidos, possvel usar o ACT para localizar os aplicativos afetados, para determinar o impacto real na sua organizao e, finalmente, para criar uma soluo que minimize ou corrija o problema.

3.5 - Application Compatibility Manager O ACM (Application Compatibility Manager) uma ferramenta que permite configurar, coletar e analisar seus dados, para que voc possa corrigir quaisquer problemas antes de implantar um novo sistema operacional em sua organizao. Depois de configurar o Application Compatibility Toolkit, usando o Application Compatibility Toolkit Configuration Wizard, o ACM iniciado automaticamente. O ACM usa cones tanto para os botes da barra de ferramentas quanto para os elementos de navegao em vrias telas. A tabela a seguir descreve todos esses cones. cone Descrio

Localizao Barra de ferramentas Collect Barra de ferramentas Analyze

Abre a tela Application Compatibility Manager Overview.

Abre a tela Collect.

Barra de ferramentas Collect Barra de ferramentas Analyze

Abre a tela Analyze.

Barra de ferramentas Collect Barra de ferramentas Analyze


Abre a caixa de dilogo New Data Collection Package. Importa as definies do pacote de

Barra de ferramentas Collect Barra de ferramentas 138

coleta de dados. Exporta as definies do pacote de coleta de dados. Exclui um pacote de coleta de dados que ainda no foi executado em seus computadores cliente. Importa um relatrio de compatibilidade existente. Salva um relatrio de compatibilidade, incluindo suas preferncias e definies. Exporta os dados de relatrios para uma planilha (.xls) do Microsoft Office Excel. Sincroniza seus dados de compatibilidade com o Microsoft Compatibility Exchange, um servio da Web que propaga problemas de compatibilidade obtidos da Microsoft Corporation. Ativa ou desativa o construtor de consultas. Abre a caixa de dilogo Set Assessment.

Collect Barra de ferramentas Collect Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Analyze Barra de ferramentas Analyze Barra de ferramentas Analyze

Barra de ferramentas Analyze

Barra de ferramentas Analyze Barra de ferramentas Report Details

Abre a caixa de dilogo Set Deployment Status. Abre a caixa de dilogo Set Severity. OBS: Esse cone exibido somente para Update Impact Reports e para as caixas de dilogo de detalhes do relatrio relacionado.

Barra de ferramentas Analyze Barra de ferramentas Report Details

Barra de ferramentas Analyze Barra de ferramentas Report Details

Abre a caixa de dilogo Assign Categories.

Barra de ferramentas Analyze Barra de ferramentas Report Details 139

Abre a caixa de dilogo Assign Priorities.

Barra de ferramentas Analyze Barra de ferramentas Report Details

Abre a caixa de dilogo Send and Receive Status.

Barra de ferramentas Analyze Barra de ferramentas Report Details


Abre a caixa de dilogo Add Issue. Abre a caixa de dilogo Add Solution. Salva um problema de compatibilidade. Resolve um problema de compatibilidade. Reativa um problema de compatibilidade resolvido.

Barra de ferramentas Report Details Barra de ferramentas Report Details Caixa de dilogo Add Issue Caixa de dilogo Add Issue Caixa de dilogo Add Issue

Atualiza a tela. Se voc estiver usando o construtor de consultas, isso tambm atualiza a tela com seus resultados retornados.

Barra de ferramentas Collect Barra de ferramentas Analyze Barra de ferramentas Data Collection Package - Status Barra de ferramentas Report Details

Permite rolar para cima e para baixo as informaes na tela ou na caixa de dilogo, mostrando os detalhes relacionados. Observao Esse boto pode no estar disponvel para todos os problemas ou informaes. Abre o sistema de Ajuda online.

Barra de ferramentas Report Details Caixa de dilogo Add Issue Caixa de dilogo New Data Collection Package Barra de ferramentas Data Collection Package - Status

Todas as telas

Na primeira vez em que voc iniciar o ACM, voc ver a tela Application Compatibility Manager Overview. Essa tela delineia as etapas de alto nvel que voc deve concluir para poder coletar e analisar seus dados. 140

Voc deve usar a tela Collect para criar e configurar seus pacotes de coleta de dados. Essa tela tambm permite que voc visualize seus pacotes de coleta de dados existentes, visualize o status de seus pacotes de coleta de dados, exporte e importe as configuraes dos pacotes de coleta de dados e exclua os pacotes de coleta de dados existentes.

Voc deve usar a tela Analyze para analisar e explorar seus dados de compatibilidade. Ela inclui o seguinte:

Visualizao de relatrios rpidos Filtragem dos dados Seleo de sua avaliao de aplicativo, sua avaliao de severidade, seu status de implantao e seu status de envio e recebimento. Categorizao e priorizao dos seus dados Salvamento, abertura e exportao de seus relatrios e dados de relatrios

141

Na tela Analyze, voc pode ver tanto os relatrios quanto os detalhes associados ao relatrio.

142

Voc envia e recebe, ou sincroniza os dados para manter seu ACM local atualizado com os problemas e informaes mais atuais obtidos da Microsoft, de ISVs (fornecedores independentes de software) e, se voc for um membro, da Comunidade do ACT. O processo de sincronizao usa o Microsoft Compatibility Exchange para:

Baixar novas informaes obtidas de fontes autoritativas, como a Microsoft Corporation e os ISVs. Carregar seus problemas de compatibilidade para a Microsoft. Carregar e baixar informaes de compatibilidade da Comunidade do ACT (se voc for um membro e concordar em compartilhar seus dados).

3.6 - Caminhos de Atualizao do Windows 7 Atualizaes No Suportadas


I.

Atualizaes para o Windows 7 dos seguintes sistemas operacionais no so suportadas:

Windows 95, Windows 98, Windows Millennium Edition, Windows XP, Windows Vista RTM, Windows Vista Starter, Windows 7 M3, Windows 7 Beta, Windows 7 RC ou Windows 7 IDS Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, ou Windows Server 2008 R2

143

II.

Atualizaes in-loco de arquitetura cruzada (por exemplo, x86 a x64) no so suportadas.

III.

Atualizaes in-loco entre idiomas (por exemplo, en-us para de-de) no so suportadas.

IV.

Atualizaes de SKU cruzado (por exemplo, Windows 7 N para Windows 7 K) no so suportadas.

V.

Atualizaes do Windows Vista para Windows N, Windows K, Windows KN ou Windows E no so suportadas.

VI.

Atualizaes in-loco do tipo de criao cruzada (por exemplo, fre to chk) no so suportadas.

VII.

Upgrades in-loco de pr-lanamento entre marcos de projeto (por exemplo Windows 7 RC para Windows 7 RTM) no so suportados.

Upgrades No Suportados

Do Windows Vista (SP1, SP2) Business Enterprise Home Basic Home Premium Ultimate

Upgrade para Windows 7 Professional, Enterprise, Ultimate Enterprise Home Basic, Home Premium, Ultimate Home Premium, Ultimate Ultimate

Do Windows 7 Enterprise Home Basic Home Premium Professional Starter (apenas x86) Ultimate

Upgrade de Reparao In-Loco para Windows 7 Enterprise Home Basic Home Premium Professional Starter (x86) Ultimate 144

Do Windows 7 Home Basic Home Premium Professional Starter

Upgrade qualquer momento para Windows 7 Home Premium, Professional, Ultimate Professional, Ultimate Ultimate Home Premium, Professional, Ultimate

3.7 - User State Migration Tool 4.0 A Ferramenta de Migrao de Perfil do Usurio (USMT) 4.0 do Microsoft Windows uma ferramenta de linha de comando programvel que fornece uma experincia de migrao de perfil do usurio altamente personalizvel para profissionais de TI. A USMT inclui dois componentes, o ScanState e o LoadState, e um conjunto de arquivos .xml modificveis: MigApp.xml, MigUser.xml e MigDocs.xml. Alm disso, voc pode criar arquivos .xml personalizados para oferecer suporte s necessidades da sua migrao. Voc tambm pode criar um arquivo Config.xml para especificar arquivos ou configuraes para excluir da migrao.

A USMT 4.0 oferece os seguintes benefcios para empresas que esto implantando sistemas operacionais Windows:

Migra com segurana configuraes de contas do usurio, do sistema operacional e do aplicativo. Reduz o custo de implantao do Windows preservando o estado de usurio Reduz o tempo de inatividade do usurio final necessrio para personalizar reas de trabalho e encontrar arquivos que esto faltando Reduz chamadas para o suporte tcnico Reduz o tempo necessrio para o usurio se familiarizar com o novo sistema operacional Aumenta a satisfao do funcionrio em relao experincia de migrao.

A USMT foi desenvolvida para administradores que esto executando implantaes automatizadas em grande escala. Se voc estiver migrando apenas os estados de usurio de poucos computadores, ser possvel usar a Transferncia Fcil do Windows nos computadores que executam o Windows Vista ou Windows 7. Existem alguns cenrios nos quais o uso da USMT 4.0 no recomendvel. Entre eles:

Migraes que requerem interao do usurio final. Migraes que requerem personalizao computador a computador.

145

3.7.1 - Viso geral da USMT Voc pode usar a Ferramenta de Migrao de Perfil do Usurio (USMT) 4.0 do Microsoft Windows para agilizar e simplificar a migrao de estado do usurio durante grandes implantaes dos sistemas operacionais Windows Vista e Windows 7. A USMT captura contas do usurio, arquivos do usurio, configuraes do sistema operacional e configuraes do aplicativo, e os migra para uma nova instalao do Windows. Voc pode usar a USMT para migraes para substituio de PC e para atualizao de PC. A USMT 4.0 permite que voc faa o seguinte:

Configure a migrao de acordo com as necessidades da sua empresa usando os arquivos de regra de migrao (.xml) para controlar exatamente quais arquivos e configuraes sero migrados e como sero migrados. A USMT tambm permite que voc configure a migrao de conta do usurio nas linhas de comando do ScanState e do LoadState. Para obter mais informaes sobre como modificar esses arquivos, consulte Usando a USMT.

Ajuste sua migrao personalizada ao processo de implantao automatizado, usando as ferramentas ScanState e LoadState de linha de comando da USMT que controlam a coleta e a restaurao de arquivos e configuraes do usurio. Para obter mais informaes, consulte Componentes da USMT e Recursos da USMT.

Agora, a USMT 4.0 oferece suporte s migraes offline. Voc pode executar o comando do ScanState no Microsoft Windows PE ou pode executar migraes de instalaes anteriores do Windows contidas em diretrios Windows.old. Para obter mais informaes sobre os tipos de migrao, consulte Cenrios comuns de migrao e Migrao offline.

3.7.2 - Requisitos A Ferramenta de Migrao de Perfil do Usurio (USMT) 4.0 do Microsoft Windows no tem nenhum requisito explcito de velocidade de RAM ou de CPU para os computadores de origem ou de destino. Se o seu computador for compatvel com os requisitos do sistema operacional, ele tambm ser compatvel com os requisitos da USMT. Voc precisar de um local de armazenamento intermedirio suficientemente grande para manter todos os dados e as configuraes migrados e da mesma quantidade de espao em disco rgido no computador de destino para os arquivos e as configuraes migrados. A tabela a seguir lista os sistemas operacionais com suporte na USMT 4.0. 146

Sistemas operacionais Windows XP Professional Windows XP Professional x64 Edition Verses de 32 bits do Windows Vista Verses de 64 bits do Windows Vista Verses de 32 bits do Windows 7 Verses de 64 bits do Windows 7

ScanState LoadState (computador de origem) (computador de destino) X X X X X X X X X X

Voc pode migrar um sistema operacional de 32 bits para um sistema operacional de 64 bits. No entanto, voc no pode migrar um sistema operacional de 64 bits para um sistema operacional de 32 bits. A USMT 4.0 no oferece suporte a nenhum dos sistemas operacionais Windows Server, Windows 2000 ou a nenhuma das verses Starter do Windows XP, Windows Vista ou Windows 7. Alm disso, a USMT 4.0 oferece suporte apenas migrao do Windows XP com Service Pack 2 ou Service Pack 3. Requisitos de software

Deve ser executado no modo de administrador do Windows Vista e do Windows 7. Quando executar manualmente as ferramentas ScanState e LoadState no Windows Vista e no Windows 7, voc deve execut-las no modo de administrador de uma conta com credenciais administrativas para garantir que todos os usurios especificados sejam migrados. Isso ocorre porque o User Access Control (UAC) est ativado no Windows Vista e no Windows 7, por padro. Para executar nesse modo, clique em Iniciar, em Todos os Programas e em Acessrios, clique com o boto direito do mouse em Prompt de Comando e clique em Executar como administrador e, em seguida, especifique seu comando LoadState ou ScanState. Se voc no executar a USMT no modo de administrador, somente o perfil do usurio que estiver conectado ser includo na migrao.

147

Se voc no executar a USMT no modo de administrador de uma conta com credenciais administrativas, somente o perfil do usurio que estiver conectado ser includo na migrao.

Deve ser executado de uma conta com credenciais administrativas no Windows XP. Se voc no especificar a ferramenta ScanState de uma conta com credenciais administrativas quando o Windows XP for o sistema operacional no computador de origem, algumas configuraes do sistema operacional no sero migradas, tais como configuraes de papel de parede, selees de protetor de tela, opes de modem, configuraes do Media Player e arquivos e configuraes do catlogo telefnico (.pbk) de conexo RAS.

Especifique a opo /c e as configuraes <ErrorControl> em Config.xml. A USMT falhar se ela no conseguir migrar um arquivo ou uma configurao, a menos que voc especifique a opo /c. Quando voc especificar a opo /c, a USMT registrar um erro sempre que encontrar um arquivo que esteja sendo usado e no tenha sido migrado, mas a migrao no ser interrompida. Na USMT 4.0, voc pode especificar no arquivo Config.xml quais tipos de erros devem permitir que a migrao continue e quais devem fazer a migrao falhar. Para obter mais informaes sobre relatrios de erro e sobre o elemento <ErrorControl>, consulte o Arquivo Config.xml, Arquivos de log e a XML Elements Library.

Instale aplicativos antes de executar o comando LoadState. Instale todos os aplicativos no computador de destino antes de restaurar o estado de usurio. Isso garante que as configuraes migradas sejam preservadas.

Verifique se h espao disponvel suficiente no local de armazenamento de migrao e nos computadores de origem e de destino. Para obter mais informaes, consulte Estimar o tamanho do armazenamento de migrao. importante que os profissionais de TI que usam a USMT 4.0 conheam as ferramentas de linha de comando. Assim como tambm importante que os profissionais de TI que usam a USMT 4.0 para criar regras MigXML conheam o seguinte:

A navegao e a hierarquia do Registro do Windows. Os arquivos e os tipos de arquivo que os aplicativos usam. Os mtodos para extrair manualmente informaes de aplicativo e configurao dos aplicativos criados por grupos de desenvolvimento de software internos e fornecedores de software que no da Microsoft. Noes bsicas de criao de XML. 148

3.7.3 - O que h de novo na USMT 4.0 (Alteraes gerais na USMT 3.0)

Armazenamento de migrao de link fsico. O novo armazenamento de migrao de link fsico foi criado para uso apenas em cenrios de atualizao do computador. Os armazenamentos de migrao de link fsico so armazenados localmente no computador que est sendo atualizado e podem migrar contas do usurio, arquivos e configuraes em menos tempo usando megabytes do espao em disco, em vez de gigabytes.

Estimativa de espao aprimorada. Agora, o comando ScanState estima mais precisamente o tamanho do armazenamento de migrao, bem como o espao em disco temporrio adicional necessrio para criar o armazenamento de migrao. Isso resulta em uma reduo de falhas de migrao devido ao pouco espao em disco. Agora, o comando ScanState tambm estima o tamanho do armazenamento de migrao compactado.

Capacidade de reunir dados de um sistema operacional Windows offline usando o comando ScanState. Voc pode reunir dados de um sistema operacional Windows offline usando o comando ScanState no Microsoft Windows PE. Alm disso, agora a USMT oferece suporte a migraes de instalaes anteriores do Windows contidas em diretrios Windows.old. O diretrio offline pode ser um diretrio do Windows quando voc executa o comando ScanState no Windows PE ou um diretrio Windows.old quando voc executa o comando ScanState no Windows.

O acesso ao controlador de domnio no mais exigido pelo ScanState e pelo LoadState. Agora, possvel completar uma migrao ponta a ponta de contas do usurio de domnio sem ter acesso ao controlador de domnio. O computador de destino deve estar associado a um domnio antes que quaisquer contas de domnio aplicadas recentemente possam ser usadas.

Integrao com o Microsoft System Center Configuration Manager (SCCM) e o Microsoft Deployment Toolkit (MDT). Voc pode reduzir o tempo do usurio final e da implantao. Voc pode usar a USMT 4.0 para reter identidades digitais dos usurios finais, bem como configuraes de aplicativo e do sistema operacional, com o SCCM e/ou o MDT.

149

Erros de arquivo configurvel. Voc pode usar a nova seo <ErrorControl> no arquivo Config.xml para configurar quais erros de leitura/gravao do Registro ou arquivo podem ser ignorados com segurana pela opo de linha de comando /c e quais podem fazer a migrao falhar. Alm disso, agora a opo de linha de comando /genconfig gera um exemplo de seo <ErrorControl> habilitado ao especificar mensagens de erro e comportamentos desejados no arquivo Config.xml.

Novas funes auxiliares. O comando ScanState tem duas novas funes auxiliares que habilitam novos cenrios de migrao. A funo MigXmlHelper.FileProperties pode ser usada para controlar quais arquivos migrar, com base nas propriedades especificadas, por exemplo, data criada, data modificada, data acessada e tamanho pode do ser arquivo. usada para A funo encontrar MigXmlHelper.GenerateDocPatterns

automaticamente documentos do usurio em um computador sem criar extensos arquivos .xml de migrao personalizados.

Suporte cpia de sombra de volume. Com a opo de linha de comando /vsc, agora o comando ScanState pode usar o servio de cpia de sombra de volume para capturar arquivos que so bloqueados para edio por outros aplicativos.

Migrao de grupo local. Voc pode usar a nova seo <ProfileControl> no arquivo Config.xml para configurar a associao de grupo local de usurios durante a migrao. Isso habilita cenrios como mudar usurios de membros do grupo de administradores local para membros do grupo de usurios local durante a migrao.

Listar arquivos que esto sendo migrados. Voc pode usar a opo de linha de comando /listfiles para o comando ScanState gerar uma lista de arquivo de texto de todos os arquivos includos na migrao.

Usmtutils.exe. Esse novo arquivo executvel complementa a funcionalidade em Scanstate.exe e Loadstate.exe.

Novas opes de criptografia AES. A USMT 4.0 oferece suporte a algoritmos de criptografia mais seguros, chamados Padro de Criptografia Avanada

150

(AES), em vrias opes de tamanho de chave, com base no suporte no sistema operacional do computador de origem. A USMT 4.0 contm novas opes de linha de comando ScanState. Alm disso, algumas opes de linha de comando mudaram. A tabela a seguir lista as novas opes de linha de comando para o comando ScanState. Opo /listfiles: "path to a file" Explicao Gera um arquivo de texto que lista todos os arquivos includos na migrao. Quando um local de arquivo opcional especificado, a opo /p indica se os novos algoritmos de estimativa de espao so usados. Se voc no especificar o local de arquivo opcional, a funcionalidade da opo /p ser a mesma que na USMT 3.0. Isso inclui uma estimativa do espao em disco necessrio para criar e construir o armazenamento de migrao, bem como o espao necessrio para hospedar o contedo do armazenamento de migrao. Essas estimativas so fornecidas em um arquivo .xml no local especificado na linha de comando. Se a opo /nocompress tambm for especificada, a estimativa ser para um armazenamento de migrao descompactado. Se a opo /nocompress no for especificada, a estimativa ser para um armazenamento de migrao compactado. Permite a criao de um armazenamento de migrao de link fsico no local especificado. A opo /nocompress deve ser especificada com a opo /hardlink. Alm disso, o elemento <HardLinkStoreControl> pode ser usado no arquivo Config.xml para alterar como o comando ScanState cria links fsicos para arquivos que so bloqueados por outro aplicativo. Essa opo permite que o servio de cpia de sombra de volume migre arquivos que esto bloqueados ou que esto em uso por outro aplicativo. Essa opo pode ser usada apenas com o arquivo executvel do ScanState e no pode ser combinada com a opo /hardlink. Essa opo permite que voc especifique o local padro dos arquivos .xml e depois inicialize a migrao. Se nenhum caminho for especificado, a USMT far referncia ao diretrio onde os binrios da USMT esto localizados. A opo /auto inclui as seguintes opes /i:MigDocs.xml /i:MigApp.xml /v:13. Essa opo usada para definir um caminho para um arquivo .xml offline que especifica as opes de migrao offline, por exemplo, um diretrio offline do Windows do qual capturar o estado de usurio, bem como remapeamento em letras de 151

/p: "path to a file"

/hardlink

/vsc

/auto: "path to script files"

/offline: "path to an offline.xml file"

unidade e pontos de montagem. Essa opo especifica que o comando ScanState deve usar o localizador de documentos para criar e exportar um arquivo .xml que define como migrar todos os arquivos encontrados no computador onde o comando ScanState executado. O localizador de documentos, ou a funo auxiliar MigXmlHelper.GenerateDocPatterns, pode ser usado para encontrar automaticamente documentos do usurio em um computador sem criar extensos arquivos .xml de migrao personalizados. Essa opo especifica o diretrio offline do Windows do qual o comando ScanState rene o estado de usurio. O diretrio offline pode ser o Windows.old quando voc executa o comando ScanState no Windows ou um diretrio do Windows quando executa o comando ScanState no Windows PE. Essa opo incompatvel com a opo /offline. Essa opo de linha de comando habilita o modo de migrao offline e inicia a migrao no local especificado. S deve ser usada em cenrios de migrao do Windows.old, nos quais a migrao est acontecendo de um diretrio Windows.old. Cria um link fsico para o arquivo de EFS em vez de copi-lo. Use apenas com as opes /hardlink e /nocompress.

/genmigxml: "path to a file"

/offlinewindir: "path to a windows directory"

/offlinewinold <Windows.old directory> /efs:hardlink

As opes de linha de comando ScanState a seguir foram alteradas na USMT 4.0. Opo na USMT 3.0

Explicao para alterao na USMT 4.0 A opo /p estima o espao necessrio para conter o armazenamento de migrao compactado e descompactado. Quando um local de arquivo opcional especificado, a opo de linha de comando /p:"caminho para um arquivo" usa os novos algoritmos de estimativa de espao. Voc pode especificar um parmetro para definir o nvel de criptografia para o armazenamento de migrao. Agora, a opo /genconfig gera exemplo de sees <ErrorControl> e <ProfileControl> no arquivo Config.xml que habilitam o novo comportamento de migrao de grupo e de controle de erro. Agora, a opo /o necessria para substituir o armazenamento de migrao e o arquivo Config.xml. 152

/p

/encrypt: "encryption strength"

/genconfig

/o

A USMT 4.0 contm novas opes de linha de comando LoadState. Alm disso, algumas opes de linha de comando mudaram. A tabela a seguir lista as novas opes de linha de comando LoadState. Opo Explicao Permite restaurar os dados de estado de usurio de um armazenamento de migrao de link fsico. A opo /nocompress deve ser especificada com a opo /hardlink. Essa opo permite que voc especifique o local padro dos arquivos .xml e depois inicialize a migrao. Se nenhum caminho for especificado, a USMT far referncia ao diretrio onde os binrios da USMT esto localizados. A opo /auto inclui as opes /i:MigDocs.xml /i:MigApp.xml /v:13 a seguir.

/hardlink

/auto: "path to script files"

As opes de linha de comando LoadState a seguir foram alteradas na USMT 4.0. Opo na USMT 3.0 /decrypt: "encryption strength" /targetxp

Explicao para alterao na USMT 4.0 Agora, a opo /decrypt aceita um parmetro de linha de comando para definir o nvel de criptografia especificado para a criptografia do armazenamento de migrao. A opo de linha de comando /targetxp no mais vlida na USMT 4.0 porque o Windows XP no tem suporte em um computador de destino. O arquivo MigSys.xml no mais vlido. Esse arquivo foi usado apenas em migraes do Windows XP, onde o Windows XP era o sistema operacional no computador de destino. A opo /q no tem mais suporte, porque os comandos ScanState e LoadState requerem privilgios do administrador para serem executados.

MigSys.xml

/q

A tabela a seguir lista todas as novas opes de linha de comando Usmtutils.exe na USMT 4.0. Nova opo na USMT 4.0 /ec

Descrio Essa opo retorna uma lista de algoritmos criptogrficos (AlgIDs) 153

com suporte no sistema atual. Remove o caminho do diretrio especificado pelo argumento <storeDir> em todas as unidades fixas. Esse comando til para excluir armazenamentos de link fsico que no podem ser excludos devido a um bloqueio de compartilhamento. Por exemplo: usmtutils /rd D:\MyHardLinkStore

/rd <storeDir>

3.8 - Implantao da rea de Trabalho do Windows 7 Criando em tecnologias introduzidas no sistema operacional do Windows Vista, o Windows 7 facilita a implantao da rea de trabalho. As tecnologias dentro do Windows 7 melhoram a compatibilidade do aplicativo e as novas ferramentas no Windows 7 ajudam voc a reduzir a avaliao e o ciclo da preparao. Outras melhorias no Windows 7 incluem o seguinte:

Incluir mais opes para a engenharia e implantao de imagens, o que ajuda voc a oferecer servios a imagens em toda a vida til do sistema operacional usando um nico conjunto de ferramentas consolidado.

Otimizar implantao no manuseio melhorado do driver em todo o Provisionamento de Driver Dinmico, que reduz tamanhos de imagens correspondendo drivers dinamicamente a IDs Plug-and-Play e propriedades de BIOS durante a implantao e depois as tira de um armazenamento central.

Melhorar a entrega com os Servios de Implantao do Windows, reduzindo o consumo de largura de banda e aumentando a velocidade e a flexibilidade usando o Multicast com Transferncia em Vrios Fluxos.

Melhorar a experincia de instalao com configurao mais rpida e consistente, ferramentas de sequenciamento de tarefas de instalao eficientes e transferncia mais rpida de arquivos e configuraes do usurio.

O Windows 7 aproveita os investimentos da compatibilidade de hardware e aplicativos do Windows Vista que as organizaes fizeram. Alm disso, o Windows 7 e suas ferramentas melhoram o ciclo de avaliao e preparao para profissionais de TI:

Recursos inclusos O Windows 7 mitiga nativamente uma lista estendida e priorizada de aplicativos. Ele tambm oferece mais meios para usurios aplicarem modos de compatibilidade usando os recursos de soluo de problemas para ajudar a mitigar aplicativos imcompatveis ou desconhecidos. Alm disso, o Windows 7 usa o mesmo modelo de driver e critrios de 154

desempenho do Windows Vista, de forma que a maioria dos hardwares produzidos depois que o Vista foi lanado so compatveis com o Windows 7.

Kit de Ferramentas de Compatibilidade de Aplicativos (ACT) Voc pode usar o ACT para criar um inventrio de hardwares e aplicativos abrangente. Voc tambm pode usar as ferramentas ACT para testar e mitigar problemas de compatibilidade.

Microsoft Assessment and Planning (MAP) Toolkit O MAP Toolkit uma soluo de inventrio de hardware e aplicativo sem agente que oferece um relatrio de compatibilidade detalhado.

Central de Compatibilidade do Windows A Central de Compatibilidade do Windows uma central de compatibilidade online unificada que oferece informaes de compatibilidade de aplicativos e dispositivos.

O Windows 7 facilita e estende as ferramentas que voc usa para editar e implantar imagens do sistema operacional. Com o Windows 7, voc tem mais opes para criar imagens e pode oferecer servios a imagens em todo o ciclo de vida do sistema operacional. As seguintes sees descrevem os recursos do Windows 7 e as ferramentas relacionadas que melhoram a experincia de implantao.

Gerenciamento e Manuteno de Imagens de Implantao Gerenciamento e Implantao de Imagem de Disco Rgido Virtual Provisionamento de Driver Dinmico Transferncia de Vrios Fluxos de Multicast

A ferramenta de Gerenciamento e Manuteno de Imagens de Implantao (DISM) uma ferramenta unificada para criar e fazer a manuteno de imagens do Windows 7 offline, incluindo arquivos de imagens de WIM e disco rgido virtual (VHD). DISM uma ferramenta de comando de linha programvel que combina e estende as funes de diversos utilitrios de imagens offline do Windows Vista, incluindo ImageX, Configurao de Definies Internacionais (IntlDfg.exe), PElmg e Gerenciador de Pacotes (PkgMgr.exe). O DISM tambm melhora o suporte emisso de relatrios de erros e soluo de problemas. Com o DISM, voc pode montar e desmontar imagens de sistemas e atualizar componentes do sistema. Voc tambm pode adicionar, numerar e remover drivers de dispositivos No Microsoft. Voc pode adicionar pacotes de linguagens e aplicar configuraes internacionais. O mais importante, voc pode facilmente manter um inventrio de imagens offline que incluem atualizaes de drivers, pacotes, recursos e software. 155

O DISM suporta o uso de scripts do Windows Vista em imagens do Windows 7 convertendo os comandos do Gerenciador de Pacotes para comandos DISM. O DISM tambm pode gerenciar imagens do Windows Vista. Os discos rgidos virtuais (VHDs) normalmente exigem solues de gerenciamento e implantao isoladas de imagens do Windows com base em arquivoss nativos (WIM). Voc pode usar o Windows 7 para gerenciar imagens de VHD com base no Windows 7 usando o DISM e para implantar arquivos VHD usando os Servios de Implantao do Widnows. Voc beneficiado com o consumo de largura de banda de rede reduzido ao realizar implantaes de rede automatizadas. Voc tambm pode implantar arquivos de VHD, como arquivos WIM para cenrios de implantao automatizados. Essas capacidades so especialmente valiosas ao usar ferramentas para implantao no data center. Com o Provisionamento de Driver Dinmico do Windows 7, voc pode reduzir o tamanho de suas imagens e o nmero de imagens que voc mantm. Voc no precisa atualizar imagens quando introduzir novos hardwares em seu ambiente. Armazenando centralmente drivers em servidores de implantao, separados de imagens, voc pode instalar drivers dinamicamente ou atribuir conjuntos de drivers com base em informaes contidas na BIOS. Se voc instalar drivers dinamicamente, o Windows 7 enumera os dispositivos Plug-and-Play durante a instalao e depois escolhe drivers com base nos IDs Plug-and-Play de dispositivos reais do computador. Reduzir o nmero de dispositivos nos computadores individuais reduz o nmero de potenciais conflitos de driver. Isso diminui completamente o tempo de instalao e configurao e melhora a confiabilidade do computador. Voc pode usar a opo de Transferncia de Vrios Fluxos no Multicast do Windows 7 para implantar imagens em todas as redes mais eficientemente. Em vez de exigir que cada cliente se conecte diretamente a um servidor de implantao, o Multicast permite que os servidores de implantao disponibilize imagens a diversos clientes simultaneamente. No Windows 7, A Transferncia de Vrios Fluxos permite servidores a clientes de grupos que possuem capacidades de largura de banda semelhantes em fluxos de rede, garantindo a taxa de transferncia mais rpida possvel. No modo padro do Multicast, introduzido no Windows Server 2008, o computador mais lento define a taxa de transferncia de arquivo para outros computadores clientes. No modo padro do Multicast sem usar a Transferncia de Vrios Fluxos, voc pode definir os limites de desempenho de transeferncia mnima para remover automaticamente computadores mais lentos do grupo multicast. O Windows 7 melhora a experincia de instalao com configurao mais rpida e consistente, ferramentas de sequenciamento de tarefas de instalao eficientes e transferncia mais rpida de arquivos e configuraes do usurio. O Windows 7 oferece mais ferramentas para reduzir ou eliminar o impacto da implantao para usurio A Ferramenta de Migrao de Estado do Usurio (USMT) possui novos recursos para melhorar o desempenho do Windows 7. O USMT uma ferramenta de linha de comando que voc usa para migrar arquivos e configuraes dos usurios, como 156

configuraes de aplicativos e sistema operacional, de uma instalao do Windows para outra. Por exemplo, o USMT adiciona o recurso de migrao de link fsico, que migra arquivos e configuraes sem mover fisicamente esses arquivos no disco quando atualizar o computador com uma instalao limpa. Esse recurso melhora significantemente o desempenho da migrao. As melhorias adicionais do USMJ para o Windows 7 incluem o seguinte:

Reduzir sua necessidade de gravar arquivos XML de migrao personalizada fornecendo um algoritmo dinmico para descobrir documentos do usurio durante a implantao.

Permitir a migrao de estado de usurio offline, que aumenta a flexibilidade e desempenfho para coletar arquivos e configuraes do usurio.

A migrao de arquivos em uso usando o servio de Cpia de Sombra de Volume.

Para o Windows 7, a Microsoft realizou diversas melhorias que facilitam a implantao da imagem. Essas melhorias incluem migrao de compatibilidade nativa para faixas estendidas de aplicativos, ferramentas de engenharia de imagem novas e melhoradas que melhora a experincia de implantao e melhorias que facilicam a migrao de arquivos e configuraes de usurios.

157

4 - SEGURANA E PROTEO

Neste captulo trataremos de informaes detalhadas sobre recursos de segurana para o profissional de TI desenvolver, implantar e manter o Windows 7.

4.1 - Segurana do Cliente Aqui voc ver onde podem ser obtidas mais informaes sobre os novos recursos de segurana do Windows 7 e sobre as alteraes nos recursos e tecnologias de segurana do Windows Vista.

4.1.1 - Alteraes no Servio Instalador do ActiveX O Servio Instalador do ActiveX permite que os profissionais de TI gerenciem a implantao de controles ActiveX usando a Diretiva de Grupo em computadores da organizao. Os controles ActiveX so objetos COM com registro automtico. Eles so usados para proporcionar uma experincia de usurio mais interativa com o uso do Internet Explorer. Os controles ActiveX so normalmente distribudos em arquivos .cab. Por padro, as contas de usurio padro no tm permisso para instalao de controles ActiveX. As sees a seguir descrevem os novos recursos no Instalador do ActiveX no Windows 7. O Servio Instalador do ActiveX instalado por padro em todas as verses do Windows 7. Ele ativado e configurado para iniciar quando solicitado pelos sites da Web que fornecem controles ActiveX. Os administradores podem especificar diretivas para permitir que os controles ActiveX sejam instalados dos sites na lista Sites confiveis do Internet Explorer. A lista oferece suporte a caracteres curinga nas URLs para subdomnios. Isso possibilita que as organizaes com farms de servidores em diversos domnios confiveis permitam que contas de usurio padro instalem controles ActiveX de qualquer site na lista Sites confiveis. Para ajudar a garantir que somente os sites de confiana (de um ponto de vista organizacional) tenham permisso para instalar controles ActiveX, as zonas confiveis do Internet Explorer devem ser configuradas, de modo que os usurios no possam modificar a lista Sites confiveis e de modo que a lista Sites confiveis seja preenchida de uma das seguintes maneiras:

Instalao de sites confiveis ativada pela Diretiva de Grupo.

158

O Internet Explorer est configurado para ler a lista de sites confiveis na chave de registro HKLM\Configurao do Computador\Modelos Administrativos\Internet Explorer\Zona de Segurana: Usar Apenas as Configuraes da Mquina est ativado. A Diretiva de Grupo Lista de Sites a Zonas localizada em Configurao do Computador\Modelos Administrativos\Internet Explorer\Painel de Controle de Internet\Pgina de Segurana contm a lista de sites confiveis implantados pela Diretiva de Grupo.

Se voc decidir usar esse recurso para permitir a instalao de sites confiveis, a Diretiva de Grupo Lista de Sites a Zonas dever ter pelo menos uma entrada para os sites confiveis, a fim de evitar que os usurios padro instalem controles ActiveX arbitrrios. O uso de subdomnios com caracteres curinga permite que um usurio padro instale programas e aplicativos de qualquer servidor em um subdomnio que use caracteres curinga. Isso pode incluir malwares e softwares potencialmente indesejveis. Verifique se todos os servidores no subdomnio so totalmente confiveis antes de ativar esse recurso.

4.1.2 - Alteraes na Criptografia de Unidade de Disco BitLocker No Windows 7, a tecnologia de Criptografia de Unidade de Disco BitLocker foi ampliada. Agora, alm de unidades do sistema operacional de unidades de dados fixas, ela tambm oferece suporte a dispositivos de armazenamento removveis, como discos rgidos portteis e unidades flash USB. Isso permite que voc mantenha seus dados protegidos ao viajar ou usar qualquer computador que esteja executando Windows 7. As unidades de disco so preparadas automaticamente para uso pelo BitLocker. No h necessidade de criar parties separadas antes de ativas o BitLocker. A partio do sistema criada automaticamente e no possui uma letra de unidade. Portanto, ela no fica visvel no Windows Explorer, o que impede a gravao no intencional de arquivos de dados. Em uma instalao padro, um computador ter separadamente uma partio do sistema e uma unidade do sistema operacional. A partio do sistema menor no Windows 7 do que no Windows Vista. Ela s precisa de 100 MB de espao. O BitLocker pode ser usado para criptografar as unidades do sistema operacional, as unidades de dados fixas e as unidades de dados removveis no Windows 7 e no Windows Server 2008 R2. Quando o BitLocker usado com unidades de dados, a unidade pode ser formatada com sistema de arquivos exFAT, FAT16, FAT32 ou NTFS. Para isso, ela deve ter pelo menos 64 MB de memria disponvel. Quando o BitLocker usado com unidades do sistema operacional, a unidade deve ser formatada com o sistema de arquivos NTFS. possvel criptografar mdia removvel. Para isso, necessrio abrir o Windows Explorer, clicar com o boto direito na unidade e clicar em Ativar BitLocker. O sistema solicitar a escolha de um mtodo de desbloqueio da unidade. As opes incluem: 159

Senha. Combinao de letras, smbolos e nmero que o usurio deve digitar para desbloquear a unidade.

Carto inteligente. Na maioria dos casos, um carto inteligente emitido pela organizao do usurio. Ele deve digitar o PIN do carto inteligente para desbloquear a unidade.

Aps selecionar os mtodos de desbloqueio, o sistema solicitar que o usurio imprima ou salva a senha de recuperao. Ela uma senha de 48 dgitos que tambm pode ser armazenada no AD DS (Servios de Domnio Active Directory) e usada caso os outros mtodos de desbloqueio no funcionem (por exemplo, caso a senha seja esquecida). Por fim, o sistema solicitar que o usurio confirme as selees de desbloqueio e inicie a criptografia. No momento em que voc inserir uma unidade protegida pelo BitLocker no computador, o Windows detectar automaticamente a criptografia da unidade e solicitar seu desbloqueio. Apesar de a criptografia de unidades estar disponvel somente em algumas verses do Windows 7, todas as verses permitiro o desbloqueio de unidades protegidas pelo BitLocker. O BitLocker do Windows 7 apresenta uma grande variedade de novas configuraes de Diretiva de Grupo, que facilitam o gerenciamento de recursos. Por exemplo, os administradores podero:

Exigir que todas as unidades removveis sejam protegidas pelo BitLocker para que seja possvel salvar dados.

Exigir ou no permitir certos mtodos de desbloqueio de unidades protegidas pelo BitLocker

Configurar mtodos de recuperao de dados de unidades protegidas pelo BitLocker, caso as credenciais de desbloqueio do usurio no estejam disponveis.

Alm das senhas de recuperao, os administradores podem usar a Diretiva de Grupo a fim de configurar uma chave pblica para todo o domnio. Essa chave chamada de agente de recuperao de dados e permite que um administrador desbloqueie qualquer unidade criptografada com o BitLocker. Antes de utilizar um agente de recuperao de dados, necessrio adicion-lo, acessando-o no item Diretivas de Chave Pblica, que pode ser encontrado no GPMC (Console de Gerenciamento de Diretiva de Grupo) ou no Editor de Diretiva de Grupo Local. Para usar um agente de recuperao de dados com o BitLocker, necessrio ativar a configurao de Diretiva de Grupo apropriada para as unidades que esto sendo usadas com o BitLocker. Essas configuraes so: Configurar o modo como as 160

unidades de sistema operacional protegidas pelo BitLocker podem ser recuperadas, Configurar o modo como as unidades de dados removveis protegidas pelo BitLocker podem ser recuperadas, Configurar o modo como as unidades de dados fixas protegidas pelo BitLocker podem ser recuperadas e Configurar o modo como as unidades protegidas pelo BitLocker podem ser recuperadas (Windows Server 2008 e Vista). Ao ativar a configurao da diretiva, marque a caixa de seleo Ativar agente de recuperao de dados. H uma configurao de diretiva para cada tipo de unidade. Assim, possvel configurar diretivas de recuperao especficas para cada tipo de unidade em que o BitLocker ativado. Voc tambm deve ativar e configurar a configurao de diretiva Fornecer identificadores exclusivos para sua organizao a fim de associar um identificador exclusivo a uma nova unidade protegida pelo BitLocker. Os campos de identificao so obrigatrios para o gerenciamento dos agentes de recuperao de dados nas unidades protegidas pelo BitLocker. O BitLocker cuidar do gerenciamento e da atualizao dos agentes de recuperao de dados somente se um campo de identificao estiver presente em uma unidade e for idntico ao valor configurado no computador. No Windows 7, as configuraes de Diretiva de Grupo do BitLocker foram ampliadas a fim de incluir opes configurveis para unidades de dados removveis e unidades de dados fixas. A maioria das configuraes de Diretiva de Grupo possuem definies especficas para aplicao em unidades de sistema operacional, unidades fixas e unidades removveis, conforme apropriado. As configuraes de Diretiva de Grupo do BitLocker podem ser exibidas com o Editor de Diretiva de Grupo Local ou com o GPMC. O uso dessas configuraes auxilia na imposio da implantao da Criptografia de Unidade de Disco BitLocker em sua organizao. As configuraes de Diretiva de Grupo que afetam o BitLocker esto localizadas em Configurao do Computador\Modelos Administrativos\Componentes do Windows\Criptografia de Unidade de Disco BitLocker. As configuraes de Diretiva de Grupo do BitLocker que so aplicadas globalmente esto localizadas nesta pasta. As subpastas das unidades de dados fixas, unidades do sistema operacional e unidades removveis oferecem suporte configurao de configurao de diretivas especficas para essas unidades. Caso queira usar o BitLocker para proteger um drive de sistema operacional em um computador que no possua TPM (Trusted Platform Module), ser necessrio ativar a configurao de Diretiva de Grupo Exigir autenticao adicional na inicializao e, na configurao, clicar em Permitir BitLocker sem um TPM compatvel.

4.1.3 - Alteraes no EFS O EFS (Sistema de Arquivos com Criptografia) fornece a tecnologia de criptografia de arquivos principal usada para armazenar arquivos criptografados em volumes com sistema de arquivos NTFS. Os arquivos criptografados no podem ser usados, a no ser que o usurio tenha acesso s chaves necessrias para decodificar as informaes. O EFS oferece suporte aos algoritmos de criptografia padro do setor, inclusive AES (Padro Avanado de Criptografia), SHA (Secure Hash Algorithm), ECC (criptografia de curva elptica), criptografia com base em cartes inteligentes e outros recursos. Conforme os padres de criptografia continuam a evoluir e os algoritmos antigos tornam-se menos seguros, os novos algoritmos de criptografia devem ser incorporados a fim de auxiliar os usurios na proteo de seus dados. 161

No Windows 7, a arquitetura do EFS foi alterada para incorporar ECC. Isso permite que o EFS esteja em conformidade com as exigncias de criptografia Suite B, conforme definido pela Agncia de Segurana Nacional, a fim de atender s necessidades dos rgos do governo norte-americano para proteo de informaes confidenciais. Para estar em conformidade com a Suite B, necessrio o uso de algoritmos de criptografia AES, SHA e ECC a fim de proteger os dados. A Suite B no permite criptografia RSA. O EFS oferece suporte a uma operao "mista" de algoritmos ECC e RSA. Isso possibilita compatibilidade reversa com arquivos EFS criados com o uso de algoritmos permitidos em verses anteriores do Windows. Esse recurso pode ser til em organizaes que usam RSA e tambm querem usar algoritmos ECC a fim de se prepararem para entrar em conformidade com Suite B. A configurao padro das diretivas de chave pblica EFS permite que o EFS gere certificados autoassinados quando uma CA (autoridade de certificao) no est disponvel. Algumas organizaes no permitem o uso de certificados autoassinados em funo das preocupaes a respeito dos riscos de segurana das informaes. Se voc desativar essa configurao, os usurios devero receber um certificado de uma CA confivel antes de usar o EFS. Se voc permitir o uso de certificados autoassinados, ser possvel especificar a extenso da chave de criptografia usada para criptografar arquivos e pastas. Por padro, o EFS usa chave de 2048 bits para certificados RSA autoassinados e chave de 256 bits para certificados ECC. As seguintes chaves RSA e ECC esto disponveis:

RSA de 1024 bits RSA de 2.048 bits RSA de 4.096 bits RSA de 8.192 bits RSA de 16.384 bits ECC de 256 bits ECC de 384 bits ECC de 531 bits

As etapas para ativar o EFS no sofreram alteraes em virtude do suporte a ECC; no entanto, foram adicionadas mais opes administrativas relacionadas a ECC. Especificamente, as configuraes de Diretiva de Grupo podem ser usadas pelos administradores para negar a criao de arquivos EFS usando algoritmos que no estejam em conformidade com Suite B. A configurao de diretiva para EFS est localizada no Editor de Diretiva de Grupo Local, em Diretiva do Computador Local\Configuraes do Windows\Configuraes de Segurana\Diretivas de Chave Pblica\Sistema de Arquivos com Criptografia. Aps a ativao e a configurao das configuraes da diretiva EFS, use as configuraes da Diretiva de Grupo para especificar o modo como o suporte a ECC ser realizado. Em Diretivas de Chave Pblica, abra as propriedades do Sistema de Arquivos com Criptografia. Em seguida, na guia Geral, em Criptografia de Curva Elptica, selecione a opo apropriada: Permitir para ativar o uso de algoritmos ECC e RSA, Solicitar para permitir somente o uso de algoritmos de criptografia ECC ou No permitir para usar somente criptografia RSA. 162

Essas configuraes de diretivas so vlidas somente nos casos em que o arquivo ou a pasta est sendo criptografado pela primeira vez. Se um arquivo ou uma pasta j tiver sido criptografado antes do ajuste dessa configurao, o usurio ainda ter acesso ao contedo e continuar sendo criptografado usando o algoritmo que foi imposto na ocasio. Selecionar Solicitar no impe o uso de AES na chave de criptografia do arquivo; impe somente o uso de um algoritmo ECC. Alguns algoritmos ECC esto em conformidade com a Suite B; outros, no. As opes /K e /R do Cipher.exe incluem um parmetro /ECC:length opcional, que permite a gerao de chaves ECC. A extenso das chaves ECC pode ser especificada como 256, 384 ou 521. Esse parmetro ser ignorado a no ser que um certificado autoassinado esteja sendo gerado.

4.1.4 - Alteraes na Autenticao Kerberos Este tpico de avaliao de produto para profissionais de TI descreve os aprimoramentos de criptografia na implementao da Microsoft do Kerberos v5 no Windows 7 e no Windows Server 2008 R2. Os conjuntos de codificao a seguir so permitidos no Windows 7 e no Windows Server 2008 R2:

AES256-CTS-HMAC-SHA1-96 AES128-CTS-HMAC-SHA1-96 RC4-HMAC DES-CBC-MD5 DES-CBC-CRC Os conjuntos de codificao DES esto desativados por padro no Windows 7.

necessrio configurar os computadores para que eles usem conjuntos de codificao DES-CBC-MD5 ou DES-CBC-CRC. Essas configuraes podem afetar a compatibilidade com computadores clientes ou servios e aplicativos em seu ambiente. A configurao de diretiva Configurar tipos de criptografia permitidos pelo Kerberos est localizada em Configurao do Computador\Configuraes de Segurana\Diretivas Locais\Opes de Segurana. O Kerberos oferece suporte a ECC (criptografia de curva elptica) para logon de cartes inteligentes. So utilizados certificados X.509. Por mais que essa mudana no seja aparente para os usurios finais, eles sero beneficiados com criptografia mais avanada para seus cartes inteligentes. No necessrio realizar configuraes para obter o suporte ECC no Kerberos. No entanto, os cartes inteligentes e os dispositivos de leitura devem oferecer suporte a ECC.

163

5 VERSES

O produto disponibilizado para o pblico possui as seguintes edies:

WINDOWS 7 STARTER: verso muito mais leve e de baixo custo do sistema destinado para usurios que esto iniciando no uso de um computador. Sem recursos como o Glass, Aero, Windows Touch e outros. WINDOWS 7 HOME BASIC: esta verso uma das mais enxutas do Windows 7 que destinado para grande maioria dos usurios domsticos. WINDOWS 7 HOME PREMIUM: destinado a uma outra parte dos usurios domsticos, e vem com o Media Center. Entretanto, carece de recursos como o desktop remoto, backup avanado e central de mobilidade. WINDOWS 7 PROFESSIONAL: esta a verso onde sai a nomenclatura Business e entra a Professional novamente, que apesar de atender a maioria do mercado corporativo, no possui alguns recursos como o BitLocker, Direct Access e pacotes de idiomas. WINDOWS 7 ENTERPRISE: a verso destinada a usurios corporativos e licenciada somente em contratos de volume. Ela possui todos os recursos que no esto presentes no WINDOWS 7 PROFESSIONAL. WINDOWS 7 ULTIMATE: verso mais completa e destinada a usurios entusiastas.

164

RESUMO O Windows 7 foi projetado para reduzir custo e aumentar a produtividade do departamento de TI aumentando a automao e fornecendo ferramentas para diagnstico e resoluo rpida dos problemas. O Windows PowerShell 2.0, um mecanismo de gerao de scripts corporativo, est includo no Windows 7 e permite que profissionais de TI automatizem praticamente cada aspecto do gerenciamento do sistema. possvel inclusive automatizar a criao e configurao dos objetos de Diretiva de Grupo simplificando a definio de poltica para organizaes com uma estrutura complexa de diretivas. O Windows 7 tambm ajuda usurios a serem mais produtivos. Em especial, os profissionais de TI podem usar o PowerShell para criar Pacotes personalizados de Soluo de Problemas do Windows, desenvolvidos para resolver os erros comuns de um ambiente especfico. Como a soluo de problemas extensvel, os profissionais de TI e os desenvolvedores dos aplicativos da linha de negcio podem projetar solues para que os usurios diagnostiquem e resolvam problemas nos aplicativos internos. E usurios que resolvem seus prprios problemas, usando a Plataforma de Soluo de Problemas do Windows, no precisam chamar o centro de suporte. Para os problemas que ainda necessitam do centro de suporte, o Windows 7 permite que os profissionais de TI os diagnostiquem e resolvam com rapidez. Qualquer um que tenha dificuldade de reproduzir um problema descrito por um usurio adorar o Gravador de Passos para Reproduo de Problemas, que coleta capturas de telas clique a clique mostrando as aes do usurio que levaram ao problema. Os aprimoramentos no Monitor de Recursos e no Monitor de Confiabilidade permitiro que profissionais de TI identifiquem rapidamente que processos esto causando problemas e quais alteraes no sistema podem t-los causado. Com as atualizaes na Restaurao do Sistema, usurios ou profissionais de TI podem identificar que aplicativos e drivers sero afetados antes de ativar um ponto de recuperao. O Ambiente de Recuperao do Windows instalado por padro para que possa ser acessado em casos de emergncia ou quando o DVD de instalao no estiver disponvel. O Windows 7 inclui aprimoramentos significativos na Diretiva de Grupo, a ferramenta utilizada pelos departamentos de TI para gerenciar centralmente os computadores que executam o Windows. Se voc busca um ambiente de rea de trabalho mais gerencivel e seguro, que restrinja o que os usurios dos aplicativos podem executar, o AppLocker permitir a criao de regras mais flexveis que podem ser aplicadas a qualquer verso de um aplicativo, mesmo as que ainda no foram liberadas. As Preferncias da Diretiva de Grupo definem configuraes padro para os usurios, fornecendo um meio para o estabelecimento de uma configurao inicial que possa ser atualizada por eles, sem a necessidade de modificar imagens de implantao. Tambm possvel usar a Diretiva de Grupo para exigir a criptografia BitLocker, mesmo para dispositivos de armazenamento removveis como unidades flash USB. Finalmente, com a ativao do DirectAccess, os computadores mveis podero continuar a ser gerenciados, recebendo regularmente as configuraes atualizadas da Diretiva de Grupo, sincronizando arquivos de dados com o servidor e baixando atualizaes de software, uma vez que sero automaticamente conectados sua rede interna sempre que se conectarem Internet. Essas tecnologias permitem que o Windows 7 alcance um objetivo simples e universal: a reduo dos custos de suporte na rea de trabalho tornando os profissionais de TI mais produtivos. 165

REFERNCIAS

MARQUES, Antnio Eduardo. O Guia Prtico do Windows 7. 1. ed. Famalico, Portugal: Centro Atlntico Lda., 2009. WINDOWS CLIENT TECHCENTER. Microsoft TechNet. <www.technet.microsft.com>, Microsoft Co., 2010.

166

Você também pode gostar