The article has been updated successfully.Configurando o Windows XP SP2 e Windows 2003 Server SP1 para aplicações Elipse
1) Introdução
Aguardado ansiosamente pelos usuários do Windows XP, o Service Pack 2 trouxe uma série de atualizações e melhoramentos a este sistema operacional, principalmente no que tange à segurança de dados. Uma das grandes novidades foi o acréscimo de um software firewall, agora integrado ao próprio sistema operacional.
Firewalls são barreiras interpostas entre a rede privada e a rede externa com a finalidade de evitar ataques ou invasões; ou seja, são mecanismos (dispositivos) de segurança que protegem os recursos de hardware e software da empresa dos perigos aos quais o sistema está exposto. Estes mecanismos de segurança são baseados em hardware e software e seguem a política de segurança estabelecida pela empresa.
Além deste acréscimo, os modelos COM e DCOM também sofreram mudanças. O COM (Component Object Model) da Microsoft é um sistema orientado a objetos, distribuído e independente de plataforma, destinado à criação de componentes de software binários que podem interagir entre si. O DCOM (Distributed Component Object Model) permite que os aplicativos sejam distribuídos entre os locais mais relevantes para você e para o aplicativo. O protocolo de conexão DCOM oferece suporte de forma transparente, visando a comunicação confiável e eficiente entre os componentes COM. Por este motivo, os drivers de comunicação OPC utilizam este protocolo.
Com estas modificações no Windows, fazem-se necessárias algumas configurações para que os sistemas Elipse possam funcionar adequadamente, como veremos a seguir.
2) Fazendo ajustes para os sistemas Elipse
Windows Firewall
Na primeira inicialização após o Service Pack 2 ter sido instalado, um assistente perguntará se a partir desta seção o Firewall deverá ser ativado, ou seguir desabilitado. A partir de então, um novo atalho estará disponível no painel de controle, denominado Windows Firewall, na figura 1.
Figura 1 – Ativando o Firewall
Escolhendo por desabilitar o Firewall, nenhuma outra providência será necessária a nível de firewall para o funcionamento do OPC Server ou qualquer outra funcionalidade dos produtos Elipse (Note que mesmo assim é necessário seguir as instruções contidas na sessão DCOM). No caso de necessidade de ativação do Firewall, alguns passos deverão ser seguidos. Em primeiro lugar, é imperativo que a opção Não permitir exceções fique desmarcada. Caso contrário, todas as exceções seriam ignoradas, e o funcionamento do DCOM, objeto deste artigo, se tornaria inviável através da rede. Tomada esta precaução, será necessário informar algumas exceções na guia Exceptions, na figura 2.
Figura 2 – Incluindo exceções
Basicamente, deve-se informar as portas TCP e UDP de número 135, estas utilizadas pelo DCOM, além da porta TCP de número 6515, responsável pela conexão do Viewer com o E3Server e Hot-Standby e conexão do Studio a um E3Server remoto. Quanto às exceções de programas, informe o E3Server.exe e E3Run.exe, ou Elipse32.exe no caso do Elipse SCADA. No caso do Elipse Drivers OPC, informe o ED_OPC.exe. Feito isto, a aplicação está pronta para funcionar com o Firewall.
DCOM
Há muito os usuários do Windows XP e Windows 2003 Server para aplicações stand-alone e domésticas se questionam sobre a real utilidade do DCOM em seu dia-a-dia. Entretanto, aplicações especiais como SCADA e afins não podem abrir mão desta funcionalidade. As modificações no DCOM foram feitas para contornar falhas de seguranças evidenciadas com a proliferação de ataques de worms e vírus baseadas neste protocolo de comunicação, sem prejudicar aplicações que necessitam efetivamente do DCOM. Um exemplo da evolução do DCOM no lançamento do Service Pack 2 é que as versões mais antigas do aplicativo servidor COM não têm como restringir um aplicativo para que ele só possa ser usado localmente sem ser exposto na rede por meio do DCOM. Quando os usuários têm acesso a um aplicativo servidor COM, eles têm acesso tanto ao uso local como remoto.
Então, algumas medidas devem ser tomadas para que a aplicação não deixe de funcionar como antes: para configurar esta opção a partir da interface do usuário, o administrador deve abrir o gerenciador de Serviços de componente (dcomcnfg) e selecionar Propriedades no menu de contexto do computador a ser configurado, mostrado na figura 3.
Figura 3 – Selecionando o computador a ser configurado
Será exibida a caixa de diálogo como na figura 4, e a segurança deverá ser configurada na guia Segurança COM.
Figura 4 – Configurando a segurança
Em Editar Limites, na área Permissão de acesso, é necessário adicionar os usuários LOGON ANÔNIMO, TODOS e SYSTEM, e marcar a opção Acesso Local e Acesso Remoto de cada um deles, como visto na figura 5:
Figura 5 – Definindo permissões de acesso
Em Editar Limites, na área Permissões de Inicialização e Ativação, é necessário adicionar o usuário LOGON ANÔNIMO e SYSTEM, e marcar as opções Inicialização Remota e Ativação Remota. Deve-se também marcar as opções Inicialização Remota e Ativação Remota de TODOS, como visto na figura 6:
Figura 6 – Definindo permissões de acesso em Permissão para iniciar
Também é necessário dar permissão de acesso, inicialização e ativação remota ao E3Server para o usuário LOGON ANÔNIMO. Para tanto, selecione as propriedades através do menu de contexto do E3Server (clicando com o botão direito do mouse sobre o E3Server), mostrado na figura 7:
Figura 7 – Selecionando as propriedades do E3Server
As configurações deverão ser feitas na guia Segurança, mostrada na figura 8 abaixo:
Figura 8 – Configurando a segurança do E3Server
Em Editar, na área Permissões de Inicialização e Ativação, é necessário adicionar o usuário LOGON ANÔNIMO, e marcar as opções Inicialização Remota e Ativação Remota, como mostrado na figura 9 abaixo:
Figura 9 – Definindo permissões para iniciar o E3Server
Em Editar, na área Permissões de Acesso, também é necessário adicionar o usuário LOGON ANÔNIMO, e marcar a opção Acesso Remoto, como mostrado na figura 10 abaixo:
Figura 10 – Definindo permissões de acesso para o E3Server
Agora se deve dar permissão de acesso, inicialização e ativação remota ao E3Run para o usuário LOGON ANÔNIMO. Para tanto, selecione as propriedades através do menu de contexto do E3Run (clicando com o botão direito do mouse sobre o E3Run), mostrado na figura 11:
Figura 11 – Selecionando as propriedades do E3Run
As configurações deverão ser feitas na guia Segurança, mostrada na figura 12 abaixo:
Figura 12 – Configurando a segurança do E3Run
Em Editar, na área Permissões de Inicialização e Ativação, é necessário adicionar o usuário LOGON ANÔNIMO, e marcar as opções Inicialização Remota e Ativação Remota, como mostrado na figura 13 abaixo:
Figura 13 – Definindo permissões para iniciar o E3Run
Em Editar, na área Permissões de Acesso, também é necessário adicionar o usuário LOGON ANÔNIMO, e marcar a opção Acesso Remoto, como mostrado na figura 14 abaixo:
Figura 14 – Definindo permissões de acesso para o E3Run
No caso da aplicação utilizar OPC, também é necessário dar permissão de acesso, inicialização e ativação remota ao OpcEnum para o usuário LOGON ANÔNIMO. Perceba que o procedimento é o mesmo que o utilizado no E3Server e E3Run. Para tanto, selecione as propriedades através do menu de contexto do OpcEnum (clicando com o botão direito do mouse sobre o OpcEnum), mostrado na figura 15:
Figura 15 – Selecionando as propriedades do OpcEnum
As configurações deverão ser feitas na guia Segurança, mostrada na figura 16 abaixo:
Figura 16 – Configurando a segurança do OpcEnum
Em Editar, na área Permissões de Inicialização e Ativação, é necessário adicionar o usuário LOGON ANÔNIMO e SYSTEM, e marcar as opções Inicialização Remota e Ativação Remota, como mostrado na figura 17 abaixo:
Figura 17 – Definindo permissões para iniciar o OpcEnum
Em Editar, na área Permissões de Acesso, também é necessário adicionar o usuário LOGON ANÔNIMO e SYSTEM, e marcar a opção Acesso Remoto, como mostrado na figura 18 abaixo:
Figura 18 – Definindo permissões de acesso para o OpcEnum
As alterações realizadas no gerenciador de Component Services agora fazem o DCOM trabalhar exatamente da mesma forma como no Windows XP antes do Service Pack 2
Importante: É indispensável que todos os computadores da rede com o Service Pack 2 ou Windows 2003 Server SP1 instalado devem receber as mesmas configurações sugeridas acima, caso contrário estes também recusarão a conexão com o Servidor OPC.
3) Conclusão
Entendendo o funcionamento do Windows Firewall, que garante proteção extra para o computador na rede, e o DCOM, importante protocolo usado pelos drivers OPC, é possível realizar uma configuração que garante o funcionamento dos drivers OPC Elipse da mesma forma que na edição anterior do Windows XP.
As modificações sugeridas não representam uma única alternativa para a solução do problema em questão. Para soluções mais específicas, que exponham ainda menos a rede, consulte: http://download.microsoft.com/download/8/7/9/879a7b46-5ddb-4a82-b64d-64e791b3c9ae/02_CIF_Network_Protection.DOC.
