Os arquivos da área de trabalhoComputação compartilhada com o Windows SteadyState
Wes Miller
Sei que, se você esteve próximo a um laboratório de computação nos últimos 10 anos, já está familiarizado com esse problema. Eu vi isso pela primeira vez quando estava na faculdade. Na época, os laboratórios ficavam abertos o tempo todo (bastava apresentar a carteira de estudante) e não tinham uma vigilância efetiva, já que faziam parte da biblioteca. Os alunos viciados em jogos nessa época
entravam e faziam modificações nos principais arquivos do Windows® e do MS-DOS® para executar seus jogos. O resultado final era um computador que podia executar jogos bem, mas não executava o Windows corretamente – quando executava. Todos nós passamos por isso em alguma fase. O uso compartilhado foi desencorajado a tal ponto que tentar utilizá-lo não é considerado mais um uso eficiente do tempo.
Recentemente, passei férias em South Padre Island, aqui no Texas. O hotel onde me hospedei tinha três computadores com o Windows XP em uma "sala de computadores para hóspedes". Qualquer pessoa que usasse esses sistemas Windows era administrador e não havia diretivas implantadas, ou seja, cada um desses pobres computadores tinha sido usado e abusado por visitantes que instalavam software não autorizado e removiam ou alteravam aplicativos básicos. Muito provavelmente, essa não era a intenção inicial do hotel. Seja em um laboratório ou em um hotel, a verdade é que computadores de uso compartilhado em um ambiente público são expostos a uma “vida de cão” que nem de longe lembra a dos computadores domésticos.
Soluções para o problema
Obtendo e usando o SteadyState
O Windows SteadyState está disponível para download gratuito em go.microsoft.com/fwlink/?LinkId=104721. Mais informações sobre o SteadyState estão disponíveis em microsoft.com/windows/products/winfamily/sharedaccess.
O Windows SteadyState será executado em qualquer sistema que possa executar o Windows XP. O aprimoramento mais significativo em relação ao SCT é que o SteadyState não requer uma segunda partição para funcionar, como o SCT fazia para a Proteção de Disco do Windows.
A tabela a seguir fornece uma visão geral dos requisitos do sistema para o SteadyState. Observe que ele não precisa de um sistema de arquivos formatado com NTFS, embora haja suporte para qualquer versão do Windows XP. Atualmente, o SteadyState não funciona com o Windows Vista®.
| Componente | Requisito |
| Processador | 300 MHz ou superior (233 MHz, no mínimo). |
| Memória | 128 MB de RAM ou superior (64 MB, no mínimo; pode limitar o desempenho e alguns recursos). |
| Disco rígido | Mínimo de 1,5 GB de espaço em disco rígido sem a Proteção de Disco do Windows, ou um mínimo de 4,0 GB de espaço em disco rígido com a Proteção de Disco do Windows. |
| Sistema operacional | Windows XP Home Edition, Windows XP Professional ou Windows XP Tablet PC Edition. O Windows XP SP2 deve estar instalado. |
| Idiomas localizados com suporte | Inglês, alemão, francês, italiano, japonês, português (Brasil), chinês simplificado e espanhol. |
| Sistema de arquivos | Sistema de arquivos formatado com NTFS |
| Acesso | Acesso no nível de administrador |
Se você tem lido minha coluna no último ano ou está familiarizado com a implantação do Windows em geral, pode estar pensando: "grande coisa... vou simplesmente recriar a imagem dos sistemas". Mas aqueles que têm vivido o mesmo que eu sabem que nem sempre é tão simples. Pressionar o botão grande vermelho de recriação de imagens todo dia ou toda semana não dimensiona realmente.
Anos atrás, um amigo e eu pensamos em abrir um cibercafé. Isso foi nos idos de 1995, quando ainda era uma idéia original. Minha maior preocupação era garantir a confiabilidade e a disponibilidade do sistema. Infelizmente, as opções naquela época eram basicamente recriação total de imagens ou soluções ligeiramente mais robustas; não havia nada plug-and-play para resolver o problema.
Voltando ao assunto, ao proteger computadores de uso compartilhado, você vai querer fazer três coisas:
- Garantir que os usuários executem somente como não-administradores. Esse deve ser sempre o caso em computadores compartilhados.
- Implantar diretiva para que os sistemas sejam o mais seguro possível. Dessa forma, é pequena a possibilidade de os usuários poderem manipular áreas do sistema às quais não deveriam ter acesso.
- Poder reverter qualquer alteração aleatória feita por usuários. Mesmo executando como não-administradores, os usuários ainda podem fazer alterações não autorizadas em menus, favoritos, etc.
Felizmente, a Microsoft vem trabalhando há anos em um conjunto de ferramentas criado para ajudar exatamente nessa situação.
História do SteadyState
Pouco mais de um ano atrás, a Microsoft lançou o Windows Shared Computing Toolkit (SCT). Disponível para download gratuito para sistemas verificados pelo programa Vantagens do Windows Original, o kit de ferramentas foi projetado visando especificamente bibliotecas, cibercafés, laboratórios e outros ambientes de computação compartilhada. Talvez você tenha visto a cobertura do SCT na edição de julho de 2006 da TechNet Magazine (technetmagazine.com/issues/2006/07/UtilitySpotlight).
Uma nova versão, agora renomeada como Windows SteadyStateTM (microsoft.com/windows/products/winfamily/sharedaccess), foi lançada em junho de 2007. Sua renomeação se deve, em parte, ao fato de o conjunto de ferramentas ter sido consideravelmente alterado de uma versão para outra. Ele continua executando as mesmas tarefas, que detalharei daqui a pouco, mas a equipe se concentrou na facilidade geral de uso na versão mais recente. Conseqüentemente, o SteadyState está totalmente integrado a um novo console e é mais fácil de instalar e gerenciar. Ele é mais eficiente e flexível, além de oferecer suporte à integração do Active Directory® para um de seus principais componentes, o que significa maior flexibilidade em vários cenários empresariais completamente novos. Agora ele também dá suporte à integração do Windows Update para que o SteadyState saiba quando desativar a Proteção de Disco do Windows para aplicar atualizações em si mesmo. Isso reduz a sobrecarga de gerenciamento que você precisa dedicar aos sistemas gerenciados pelo SteadyState.
Recursos do SteadyState
O Windows SteadyState consiste em quatro componentes principais: Restrições de Computador bloqueia opções de configuração e de segurança por computador; Proteção de Disco do Windows armazena em cache (e reverte) alterações na partição do sistema Windows; Gerenciador de Contas de Usuário cria, edita, importa ou exporta um usuário; e finalmente, Configurações e Restrições de Usuário bloqueia opções de configuração e de segurança por usuário.
Um aprimoramento imediato que pode ser observado no Shared Computing Toolkit é a ajuda ao usuário. Um guia de introdução ajuda você a colocar o SteadyState em funcionamento. O SteadyState oferece quatro tarefas-chave mais detalhadas (refletindo os recursos principais que descrevi acima):
- Definir Restrições de Computador (Restrições de Computador).
- Agendar Atualizações de Software. (Permite que você especifique se o SteadyState aplicará automaticamente as Atualizações do Windows. Esse é o procedimento recomendado, já que ele controla a Proteção de Disco do Windows para você e atualiza as assinaturas de vários programas antivírus populares.)
- Proteger o Disco Rígido (Proteção de Disco do Windows).
- Adicionar Usuário (Gerenciador de Contas de Usuário)
Em Adicionar Usuário, você encontrará Configurações e Restrições de Usuário, que oferece uma opção de configuração por usuário.
Configurações e restrições de computador e de usuário
Se você está familiarizado com a Diretiva de Grupo, também já conhece estes aspectos do SteadyState: Configurações e Restrições de Usuário e Definir Restrições de Computador. Em vez de forçar os administradores do SteadyState a usar o Editor de Objeto de Diretiva de Grupo (GPEdit.msc), que não é um recurso disponível no Windows XP Home Edition (embora o SteadyState se baseie nele), o SteadyState faz surgir diversas opções de configuração e segurança que são comuns no cenário de computação compartilhada.
A Figura 1 mostra a tela de configuração referente a Definir Restrições de Computador. Observe que se trata de configurações genéricas que serão aplicadas ao computador inteiro. Essas configurações são selecionadas basicamente para minimizar os riscos de segurança no sistema – e, no caso de acesso à unidade USB, a capacidade de remover coisas do sistema. (Quando você examinar as configurações por usuário, verá também uma forma de bloquear o acesso de leitura a todas ou algumas unidades.)
Figura 1** Restrições de computador no SteadyState **(Clique na imagem para aumentar a exibição)
É importante observar que a configuração USB só ficará ativa enquanto estiver sendo executada na instalação real do Windows em que o SteadyState foi configurado. Para se proteger contra ataques offline, você deve configurar corretamente o BIOS para impedir a inicialização de dispositivos USB ou de CD e proteger por senha o próprio BIOS.
Claro que isso não é infalível. Lembre-se da terceira lei citada em "10 Immutable Laws of Security" (microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx): "Se uma pessoa mal-intencionada tiver acesso físico irrestrito ao seu computador, o computador não é mais seu." Um indivíduo dedicado, com tempo suficiente e as ferramentas certas, consegue ignorar uma senha de BIOS.
Proteção de Disco do Windows
Se você já usou o Windows XP Embedded a partir de um CD ou o Windows PE 2.0, o que vou descrever lhe parecerá familiar, e por uma boa razão: eles têm uma história em comum. A Proteção de Disco do Windows trabalha para fornecer um "desfazer" completo da partição do sistema Windows salvando todas as alterações feitas na partição do sistema em um cache na mesma partição. Esse aspecto do SteadyState é fundamental, já que ele é o componente que permite desfazer as alterações feitas por usuários do sistema ao longo do tempo.
A Proteção de Disco do Windows é útil principalmente se você quiser garantir que, com o tempo, poderá reverter rapidamente (após uma reinicialização não agendada ou em um intervalo agendado) para o estado implantado inicial do sistema. Ela tem quatro modos que podem ser definidos na caixa de diálogo exibida na Figura 2:
Figura 2** Configurando a Proteção de Disco do Windows **(Clique na imagem para aumentar a exibição)
Desativado A Proteção de Disco do Windows está completamente desativada, e todas as alterações são gravadas normalmente no disco.
Ativado – Descartar alterações na inicialização A Proteção de Disco do Windows está desativada, e as alterações serão descartadas toda vez que o computador for reiniciado. Basicamente, isso significa que o sistema reverterá exatamente para o que era quando você verificou e salvou esta opção.
Ativado – Descartar alterações na hora definida Quase idêntica às opções anteriores, exceto pelo fato de que as alterações são descartadas em uma hora definida, e não na próxima reinicialização. Esta seria uma escolha lógica se você quisesse descartar alterações diária ou semanalmente.
Ativado – Reter alterações permanentemente Embora conceitualmente confundido com Desativado, a diferença está no fato de que este é um modo temporário. Por exemplo, você pode usar este modo se quiser aplicar atualizações de aplicativo, instalar novos aplicativos ou configurar o sistema. Não é um modo a ser executado durante um período de tempo significativo.
Observe que a Proteção de Disco do Windows requer uma reinicialização para alterar entre qualquer um desses modos.
Agendar Atualizações de Software
A configuração Agendar Atualizações de Software é útil sob o aspecto de que o SteadyState agora pode ativar ou desativar a Proteção de Disco do Windows automaticamente. Se você deixar o SteadyState controlar suas atualizações, ele definirá a Proteção de Disco do Windows para manter as alterações durante a atualização e depois retornar a Proteção de Disco do Windows ao que estava definido anteriormente. Eu recomendo enfaticamente esta configuração, pois ela tira um fardo da sua lista de tarefas de gerenciamento.
Os softwares de segurança a seguir têm suporte por meio do recurso de atualização em Atualizações de Software: Computer Associates eTrust 7.0, McAfee VirusScan, Windows Defender e TrendMicro 7.0.
Gerenciador de Contas de Usuário
A opção Adicionar Usuário permite configurar novos usuários para o sistema. A Figura 3 mostra as opções disponíveis para o novo usuário: nome, senha, uma imagem para representar o usuário e o local do perfil do usuário. Depois de criar os usuários, você poderá definir Configurações e Restrições de Usuário para cada uma dessas contas locais. O bom é que, uma vez adicionada e configurada uma conta no sistema, é possível exportá-la e depois importá-la para outro sistema, conforme necessário (ou arquivá-la).
Figura 3** Adicionando contas de usuário **(Clique na imagem para aumentar a exibição)
Um aspecto útil do Gerenciador de Contas de Usuário é que os perfis de usuário podem ser criados em uma partição secundária através do menu Local do Usuário mostrado na Figura 3. Normalmente, os perfis devem ser criados na partição do Windows, a menos que você tenha especificado manualmente um local diferente em Documents and Settings durante a instalação, por meio de um arquivo unattend.txt. Essa abordagem é particularmente útil com o SteadyState já que descarta alterações feitas na partição do sistema Windows quando a Proteção de Disco do Windows está habilitada. Se você quiser que o perfil de um usuário permaneça consistente através de limpezas de cache da Proteção de Disco do Windows, basta especificar o perfil do usuário a ser armazenado em outra partição local ao criar o usuário usando o Gerenciador de Contas de Usuário.
Esse processo funciona reinicializando para limpar o cache da Proteção de Disco do Windows, aplicando as atualizações e depois reinicializando novamente para reiniciar a Proteção de Disco do Windows. Além do Windows Update, o SteadyState atualizará os arquivos de assinatura de vários aplicativos antivírus populares com suporte (consulte a barra lateral "Obtendo e usando o SteadyState"). Caso não haja suporte para o seu aplicativo ou seja necessário executar outro atualizador, você poderá fazer a atualização manualmente – basta verificar se a Proteção de Disco do Windows está desabilitada quando fizer isso; caso contrário, a atualização da assinatura será perdida.
Configurações e Restrições do Usuário
Depois que você tiver selecionado um usuário, o SteadyState dividirá as Restrições de Usuário em quatro categorias. Elas derivam das configurações de Diretiva de Grupo e provavelmente lhe parecerão familiares.
As configurações Geral controlam perfis de usuário e configurações de logoff forçadas. Isso inclui configurações para bloqueio do perfil e definição de intervalos de tempo limite para fazer logoff após uma duração configurada de uso ou um tempo ocioso.
As configurações Restrições do Windows, mostradas na Figura 4, controlam itens de configuração específicos do Windows. Alguns exemplos são a funcionalidade do Windows Explorer e a remoção de acesso a itens da interface do usuário do Windows, como componentes do Menu Iniciar. A capacidade de bloquear o acesso a unidades específicas por letra de unidade também está disponível, assim como a capacidade de desabilitar a gravação de CD.
Figura 4** Restrições de usuário específicas ao Windows **(Clique na imagem para aumentar a exibição)
A guia Restrições de Recurso, mostrada na Figure 5, controla o acesso granular à maior parte da funcionalidade do Internet Explorer® e permite que você defina a home page do Internet Explorer e controle a funcionalidade do Microsoft® Office até um certo grau – basicamente, controlando a capacidade de execução de scripts do Visual Basic® for Applications (VBA).
Figura 5** Restrições de recurso **(Clique na imagem para aumentar a exibição)
As configurações Bloquear Programas (consulte a Figura 6) controlam a capacidade de executar aplicativos específicos – basicamente, você cria uma lista negra. Ela é preenchida com vários aplicativos comuns, e é possível adicionar outros. Observe que esses itens são bloqueados com base em uma definição do caminho deles. Se um usuário tiver permissão para mover um aplicativo para outro lugar no sistema, a regra do caminho não será mais aplicada. Contudo, as restrições de acesso ao sistema, as ACLs de diretório e o arquivo aplicado corretamente de outras formas impedirão a facilidade de fazer isso.
Figura 6** Impedindo a execução de programas **(Clique na imagem para aumentar a exibição)
Outro recurso novo importante do SteadyState se baseia nos modelos pré-configurados que especificam Níveis de Restrição relacionados tanto a Restrições do Windows como Restrições de Recurso. Os modelos facilitam a obtenção de um trabalho de configuração de linha de base, dependendo do nível desejado de bloqueio de função/recurso. Claro que também é possível criar modelos personalizados.
Limitações do SteadyState
O SteadyState é excelente para ajudar uma organização a estabilizar seus sistemas de computação compartilhada. Para uma ferramenta comercial, seria bom. Para uma ferramenta livre, é admirável. Mas lembre-se: ele não faz tudo.
Sistemas de computação compartilhada são alvos fáceis de ataque ou até de abuso não intencional. Você deve garantir que esses sistemas fiquem isolados de informações às quais eles não precisam ter acesso. Embora o SteadyState tenha a capacidade de bloquear o acesso a aplicativos, essas imposições são controladas pelas Diretivas de Restrição de Software. E, como Mark Russinovich observou alguns anos atrás, há técnicas por meio das quais um usuário experiente pode montar um aplicativo que pareça inofensivo, mas mesmo um Usuário Limitado é capaz de permitir que essas diretivas sejam ignoradas (blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx). Sem bloquear o acesso à Internet e o acesso a todos os dispositivos, essa é uma vulnerabilidade que você precisará ter em mente. Lembre-se sempre da Lei nº 3...
Obviamente, o SteadyState é apenas um componente de um sistema de computação compartilhada bem-configurado. A aplicação regular de atualizações através do Windows Update e a configuração correta do Firewall do Windows (ou algum outro firewall) são importantes. Além disso, não deixe de instalar e configurar antivírus, anti-spyware e outras contramedidas de segurança necessárias para a análise dos possíveis riscos ao computador. Da mesma forma, controle o acesso ao computador – se não for possível, controle o que o computador pode ver. E não armazene dados confidenciais localmente.
Finalmente, ao qualificar sua plataforma, verifique se o teste inclui o uso do SteadyState (com a Proteção de Disco do Windows habilitada, a menos que você não pretenda usá-la) e todos os softwares adicionais que você planeja executar no sistema. Convém garantir que o software e o SteadyState funcionam juntos sem problemas.
Suporte ao SteadyState
Os comentários dos usuários sobre o SteadyState que eu li foram muito positivos. Pelo que ouvi dizer até agora, existem algumas armadilhas envolvendo a ordem em que os usuários precisam ser adicionados. Muitas dessas armadilhas (junto com outras dicas e truques) são discutidas na Comunidade do Windows SteadyState (convenientemente vinculada a vários locais na documentação e no aplicativo SteadyState) em forums.microsoft.com/windowstoolsandutilities.
Antes de começar, recomendo também que você reveja o manual do SteadyState, que está disponível em go.microsoft.com/fwlink/?LinkId=104722. Ele fornece algumas dicas e truques para usar o SteadyState com sucesso.
Conclusão
O SteadyState oferece – gratuitamente! – um excelente pacote de recursos para qualquer sistema Windows XP ao qual você precise controlar o acesso. O recurso Proteção de Disco do Windows consideravelmente aprimorado e os aperfeiçoamentos na interface do usuário significam mais facilidade na implantação e no gerenciamento dos sistemas de acesso compartilhado.
Sejam as suas necessidades para sistemas de laboratório de computadores, quiosques de acesso compartilhado para visitantes ou funcionários, salas de treinamento ou qualquer outra necessidade de computação compartilhada, o SteadyState pode ajudá-lo a obter – e manter – os sistemas em funcionamento com mais facilidade. E isso não vai exigir que você faça mais nenhuma recriação de imagens semanal apenas para dar o salto inicial em um sistema novamente. Isso é um aprimoramento enorme, a meu ver.
Wes Milleré gerente de produto técnico da Initiate Systems (InitiateSystems.com) em Austin, no Texas. Antes disso, ele trabalhou na Winternals Software e como gerente de programas na Microsoft. Você pode contatá-lo pelo email technet@getwired.com.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..