WAP Problem 0x8007520C

Publicerat den 12 december, 2014 av Anders

Då jag sitter med en flertal olika labb och demomiljöer kan man ibland drabbas av en hel del fel när virtuella maskiner varit avstängda under längre tider eller flyttas mellan datorer.
Idag startade inte min WAP server utan visade ett prydligt felmeddelande i form av 0x8007520C

Det här visade sig vara certifikatsrelaterat och berodde på att WAP tjänsten inte längre var knytet till det certifikat jag använde när jag konfigurerade WAP. Fungerar inte autentiseringen mellan ADFS och WAP så ligger tjänsten helt enkelt nere, då WAP är beroende av sin ADFS

För att lösa detta var jag först tvungen att ta reda på Thumbprinten  för det korrekta certifikatet. Där efter kunde jag använda PowerShellkommandot Install-WebApplicationProxy för att knyta det till WAP konfigurationen på nytt enligt bilden nedan:

image

Hoppas det hjälper någon Ler

Trevlig helg

Publicerat i Okategoriserade | Märkt | Lämna en kommentar

Använda Azure RMS med minimalt i Azure

Publicerat den 28 november, 2014 av Anders

Azure Rights Management har kommit med revolutionerande nyheter jämfört med tidigare AD RMS. Den absolut största fördelen med RMS som molntjänst är att vi numera kan dela känslig information med så gott som vem som helst på ett säkert sätt. Till skillnad från AD RMS där vi tidigare behövt federationer och höga krav på en extern part för att kunna dela information.

Ett krav för att köra Azure RMS är att vi behöver få upp våra användare och grupper som skall nyttja RMS tjänsten till Azure Active Directory. Självklart vill vi leverera en SSO-lösning åt våra användare för att de skall få ett användarvänligt arbetssätt.

Vissa är restriktiva över att  lägga upp information till molnet av olika anledningar och i denna artikel beskrivs hur man idag kan komma igång med Azure RMS med så lite information som möjligt i Azure.

För att komma igång med Azure RMS krävs följande två steg:

Steg 1: Synkronisera de användare och grupper som skall nyttja RMS till Azure Active Directory

Tidigare har man använt sig av verktyget DIRSYNC för att synkronisera AD objekt till Azure AD. Nackdelen med DirSync är att det saknats möjlighet att skräddarsy vilka AD-attribut som skall synkroniserats till Azure AD. Sedan några månader tillbaka har vi ett nytt verktyg vid namn Azure AD Sync. Via detta verktyg får vi möjlighet att välja vilka/vilken Azure-tjänst som vi tänkt använda, vilket ger oss en lista på rekommenderade attribut. Vi har även möjlighet att modifiera dessa vid behov.

clip_image002clip_image004

Rent krasst synkroniserar vi enbart upp lika mycket information till molnet som vi redan lämnar ifrån oss när vi skickar ett epost till en mottagare!

Steg 2: är att se till att autentisera våra användare. Ett alternativ är att synkronisera våra AD-lösenord till Azure Active Directory. Vill vi där emot behålla lösenordet i vårat lokala Active Directory löser vi detta genom att sätta upp en federation där vi styr autentiseringen mot det lokala ADt.
För att åstadkomma detta behövs Active Directory Federation Services (ADFS) sättas upp i vår lokala miljö. För att vår ADFS skall vara nåbar från Internet vill vi skydda denna med en ADFS proxy vid namn Web Application Proxy (WAP).

Med den här designen ställer vi höga tillgänglighetskrav på vår lokala miljö och därför bör både ADFS och WAP implementeras med redundans och minst två ADFS och WAP servrar.

Azure RMS och dess krypteringsnycklar

Krypteringsnycklarna för Azure RMS behöver i nuläget finnas i Azure, och idag finns även alternativ för att skapa egna nycklar på egen HSM och via det som kallas BYOK (Bring Your Own Key) överföra dessa krypterat till motsvarande HSMer hos Microsoft. Av förklarliga skäl behöver nycklarna finnas i Azure för att kryptering/dekryptering skall vara möjlig.

BYOK konceptet ställer höga krav på organisationen runt rutiner och processer för HSM hantering. Återkom om ni önskar stöttning runt detta införande.

Publicerat i Informationssäkerhet, RMS | 1 kommentar

Microsoft Techdays nästa vecka!

Publicerat den 11 november, 2014 av Anders

image

Ni har väl inte missat att TechDays är tillbaka igen efter ett års uppehåll. Det är högaktuellt med en mässa nu med alla nyheter som släppts både med Windows 10 men även via Azure. Det vi på Onevinn vill förmedla är hur IT skall bemöta den nya verkligenheten. Vi har lämnat den traditionella IT-miljön, våra användare finns överallt med både enheter, appar, konton, molntjänster och det som betyder mest för det flesta verksamheter finns nu överallt… informationen.
Jag tillsammans med min kollega Jörgen Nilsson kommer hålla en presentation om Enterprise Mobility Suite (EMS).
Mer om vad EMS innefattar finns här i tidigare artikel https://itsakerhetsguiden.se/2014/06/11/enterprise-mobility-suite/

EMS är i stort sett en bundlad licensform för tre produkter och med alla nyheter som kommer i exempelvis Windows 10 kommer denna kompletterande licens göra underverk. En av anledningarna är att de kommande operativsystemen och även molntjänster kommer inneha ett inbyggt DLP (Data Loss Prevention) som begränsar och loggar var information kan sparas/kopieras och med automatik kunna kryptera känslig information. Vid delning av informationen kommer EMS-tjänsterna knyta ihop säcken och lösa många tidigare säkerhetsproblem.

… det här var bara en liten aptitretare. Vill ni veta mer besök TechDays, Onevinns monter och sessionen: http://www.techdays.se/Program/Sessioner/Hantera-enheter-och-skydda-kanslig-information-med-Enterprise-Mobility-Suite-EMS

Publicerat i Informationssäkerhet, Microsoft Event, RMS | Märkt | Lämna en kommentar

Konsumera krypterade Officedokument på alla enheter med enkel spårbarhet

Publicerat den 19 september, 2014 av Anders

Efter att ha kommit tillbaka från 3 månaders föräldraledighet möttes jag av fantastiska nyheter runt RMS som kom för drygt två veckor sedan.

Ett tidigare problem har varit att konsumera krypterade Officedokument på exempelvis en iPhone, då RMS Sharing Appen inte kunnat öppna rena word och excelfiler som varit RMS-krypterade. Det har också varit relativt krångligt att få spårbarhet för slutanvändarna.

Det har nu kommit nyheter i ”Microsoft Rights Management Sharing Application” som löser detta.
Ni som redan kör RMS har idag en funktion i Office som på svenska heter ”Dela skyddat” på svenskt Office.

clip_image001

På engelska ”Share Protected” och om du inte använt den här funktionen på två veckor kommer du få följande när du klickar på knappen:

image

Klickar du på Yes kommer du till den site som man laddar ner RMS applikationen ifrån, vilket är samma adress för dig som vill testa den här funktionen: https://portal.aadrm.com/home/download

clip_image004

Klicka på Windows för din Windows-dator (applikationen för iOS är färdig och väntar på att bli godkänd)

Installationen kommer installera/konfigurera eller uppdatera RMS och dess Office-plugin.

image

När vi sedan klickar på ”Share Protected” startas wizarden “Share Protected” precis som tidigare, men med vissa nyheter:

  • Allow consumption on all devices är nu utgråat (när vi startar wizarden via office)
  • Längst ner finner vi en ny kryssruta ”Email me when someone tries to open this document”

image

Precis som tidigare skapas ett e-postmeddelande till de mottagare man angivit, men till skillnad från tidigare är det nu två bifogade filer.

Att vi inte längre har möjlighet att välja att konsumera på alla enheter är för att den funktionen nu alltid ingår.

image

Bifogat är en Excel fil som har inbyggt RMS stöd och kommer kunna hanteras/redigeras utefter de rättigheter som är definierade. Detta format begränsat till Office.

Den andra bifogade filen är .ppdf som precis vad förkortningen avslöjar är en protected-pdf och som då supporteras av RMS Sharing Application oavsett plattform.

När mottagaren får mailet och öppnar det t.ex. på sin telefon ser det ut enligt följande

image

Vi har två ikoner för dessa filer där vi ser att det ena är en ren Excel fil och det andra är en fil associerat för RMS Appen. I detta fall hade Lisa en Windows telefon men det hade lika gärna kunna varit en Iphone eller Android-lur.

Excel filen är RMS skyddad och hon kan öppna den i Office precis som tidigare begränsad till de rättigheter som är definierade av RMS.

image

Öppnar hon ppdf filen så öppnas denna av RMS appen och hon kan se innehållet i en krypterad pdf. Oavsett definierade RMS-rättigheter kommer hon inte kunna editera innehållet men där emot kommer hon kunna läsa innehållet oavsett vilken typ av telefon eller platta hon har.

image

Andra nyheten var att den som krypterar dokumentet enkelt får spårbarhet både vilka som öppnar men även försöker öppna dokumentet.
När denna funktion är aktiverad kommer avsändaren få ett mail när någon öppnar eller försöker öppna dokumentet:

image

Lysande nyheter helt enkelt, installera eller uppdatera och testa direkt vettja Smile

Publicerat i RMS | Lämna en kommentar

Enterprise Mobility Suite

Publicerat den 11 juni, 2014 av Anders

image

Den största utmaningen som de flesta IT-avdelningarna nu står inför är att hantera alla våra användares olika enheter och konton.

Drömscenariot är att ha ETT konto till respektive användare för att slippa logga in med flera konton och flera olika lösenord som har försvårat för våra användare och tar resurser från Helpdesk. Tänk istället att varje användare har ett konto och baserat på känsligheten på tjänsten de skall nå väljer IT om de skall logga in med flerfaktor, smardcard eller endast användarnamn och lösenord.

Drömscenariot gällande enheter är att kunna låta användaren använda vilken enhet som helst men ändå kunna styra om den aktuella enheten skall få tillgång till kritiska system eller få konsumera känslig information.

Tidigare har detta bara varit en dröm eller något man kunnat skapa med hög komplexitet, extremt kostsamt och i stort sett omöjligt att administrera.

Microsoft satsar nu stenhårt på Enterprise Mobility Suite (EMS) där de kombinerar tre olika molntjänster för att lösa dessa utmaningar, göra det enkelt för både användare och administratörer och till ett lågt pris.

Tjänsterna som innefattas av EMS är

  • Azure Active Directory Premium
    (För en hybrid identitetslösning)
  • Windows Intune
    (För hantering av olika typer av enheter)
  • Azure Rights Management Services
    (För att skydda känslig information)

För att skydda känslig information är självklart RMS en stark spelare och det lär ju ingen som följer ITSäkerhetsGuiden missat. Det finns fler exempel inom EMS som skyddar företagsdata.
För borttappade/förlorade mobiltelefoner, plattor och telefoner används Windows Intune – Med funktionen Selective Wipe Devices är det möjligt att på distans kunna rensa enheten från känslig data oavsett om det är en Windows, IOS eller Android-enhet.

De tre tjänsterna är placerade i molnet och kräver med andra ord ingen som helst underhåll. Tjänsterna kan även med fördel kombineras med lokala tjänster.

I Azure Active Directory Premium ingår tjänsten att använda Multifaktorautentisering som vi kan kombinera med ADFS för att möjliggöra att användaren använder ett och samma konto för att nå olika tjänster oavsett lokation och baserat på vilken tjänst också kräva flerfaktorautentisering där ett autotelefonsamtal till användarens mobil bekräftar identiteten för användaren.

Kombinera dessa tjänster med Windows Server 2012 R2 lokalt, för att med hjälp av Dynamic Access Control samt File Classification Infrastructure klassa även lokala filer och sätta regler över vilken information som nås av vissa användare och enheter. Tillsammans med Azure RMS ser vi till att även all lokal känslig information med automatik krypteras där skyddet följer med oavsett vart filen befinner sig.

Det här var bara en bråkdel av vad EMS kan leverera och jag skulle egentligen lagt ut några demon från min egen miljö men då jag för skrivande stund är pappaledig är tiden väldigt begränsad.
Läs istället mer här http://www.microsoft.com/en-us/server-cloud/products/enterprise-mobility-suite/ eller se nedanstående film direkt

 

Publicerat i Active Directory, Informationssäkerhet, RMS, Windows Server 2012 | 1 kommentar

Azure RMS presentation från TechX

Publicerat den 5 maj, 2014 av Anders

För er som missade eventet TechX Azure hos Microsoft i april så finns det en andra chans att se alla presentationer. Min presentation heter ”Skydda din data var den än befinner sig” och handlar om en av de största utmaningarna som vi har idag… att skydda känslig information! En utmaning som blir svårare och svårare ju fler privata enheter och molntjänster som våra klienter börjar använda.

Publicerat i Informationssäkerhet, RMS | Lämna en kommentar

Skydda dig mot aktuella säkerhetshot

Publicerat den 10 april, 2014 av Anders

image

Just nu är det ett kritiskt läge säkerhetsmässigt av två olika händelser denna vecka.

Dels så upphörde supporten på Windows XP och spridningen av ny skadlig kod och attacker från och till dessa maskiner riskerar därmed att öka radikalt. Om du vill veta anledningen till det här och vilka risker det innebär att ha anslutna Windows XP maskiner i ditt nät har jag skrivit en artikel om detta. Artikeln förklarar både riskerna och hur du skall agera om du MÅSTE ha kvar någon Windows XP maskin i din miljö. Artikeln finns att läsa på Onevinns blogg Win XP – Vila i frid!

Vi har också en sårbarhet i opensource implementationen OpenSSL som hanterar SSL/TLS kryptering för exempelvis https. Sårbarheten kan innebära att om du själv nyttjar en viss version av OpenSSL för en webbtjänst, VPN eller dylikt själv är sårbar för denna attack. Vi har även publika tjänster som har nyttjat OpenSSL med denna sårbarhet vilket gör att dina inloggningsuppgifter och annan information du delat mot denna tjänst kan vara läckta. Ett exempel är Yahoo.com som haft denna sårbarhet. Som tur är används inte denna mailtjänst så ofta i Sverige. Om du har ett Yahoo-konto, bör du byta lösenord och se över så du inte har lösenordsåterställning för andra tjänster via din yahoo-adress.
Min kollega Tom förklarar på ett pedagogiskt sätt OpenSSL sårbarheten, vilka som är drabbade, hur du testar om du själv är sårbar och hur du skall åtgärda bristen.
Även Toms artikel finns på Onevinns blogg (OpenSSL buggen döpt Heartbleed)

Publicerat i Generell Säkerhet | Märkt | Lämna en kommentar

Definiera egna mallar i Azure RMS

Publicerat den 4 april, 2014 av Anders

Igår släpptes en nyhet som vi har väntat på en längre tid när det gäller Azure Rights Managment Services. Väl passande inför min Azure RMS-session som jag kommer hålla på TechX hos Microsoft i Kista på onsdag nästa veckan Smile
Till skillnad från en lokal AD RMS lösning så har vi inte via Azure RMS kunnat skapa egna mallar utan Azure RMS har enbart erbjudit två stycken mallar

  • Confidential
  • Confidential View Only

Precis som namnen antyder handlar Confidential om att ge behörighet för alla i organisationen att läsa RMS krypterad information medans ”View Only” enbart ger möjlighet för medlemmar i organisationen att läsa RMS skyddad information men inte kunna utföra några ändringar, kopiera eller skriva ut information.
Från och med igår har vi nu precis som i vår lokala RMS miljö fått möjlighet att skapa egna mallar för att styra vilka inom organisationen som skall få en viss behörighet.

För att skapa egna mallar behöver vi gå in i Azure Management Portal så om du idag använder Office 365 behöver du gå in på samma ställa som du aktiverar RMS och Registrera dig för Windows Azure vilket du gör genom att klicka på den nya knappen ”Ytterligare konfigurering”.

clip_image001

Efter att du har skapat ett konto går du till Azure Management Portal (https://manage.windowsazure.com)
På vänstra sidan väljer du Active Directory och Rights Management. Klicka på namnet för din organisation så får du upp nedanstående

image

Här kan du nu se standardmallarna och skapa egna.

image

Precis som med AD RMS kan du här skräddarsy dina mallar och döpa mallen utefter det språk som klienterna använder.

Definiera vilka användare och grupper som skall få behörighet till RMS skyddad information enligt den här mallen. Tänk på att alla objekt måste ha en definierad e-post adress vilket då blir ett krav för att kunna välja exempelvis en Security Group.

image

Definiera sedan vilka rättigheter de skall ha, förutom att välja färdigdefinierade rättigheter kan du skräddarsy rättigheterna precis utefter de behov du har och då definiera olika behörigheter baserat på användare eller grupper.

image

Custom ger dig möjlighet att välja bland följande

image

När mallen väl är skapad kan du ändra generella egenskaper på mallen för att definiera allt ifrån fler språk för mallen till om behörighet skall valideras varje gång dokument öppnas eller definiera en cachning hur länge informationen skall vara nåbar efter att behörighet verifieras.

image

För att mallen skall kunna användas behöver vi även pulicera mallen. Efter detta kommer den vara tillgänglig för våra användare.

För lokala applikationer kan det kräva en ut och inloggning i Windows och det finns även fall där det kan ta upp till sju dagar för att de nya mallarna skall synas i exempelvis Office.

För att påskynda och trigga en nedladdning av de nya mallarna kan man radera den lokala mappen %localappdata%\Microsoft\MSIPC\Templates på en klient och sedan logga ut och logga in på nytt.

Ett alternativ för att påskynda nedladdningen till Office 2013 är att definiera ett registervärde. Genom att skapa ett REG_DWORD vid namn TemplateUpdateFrequency under HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC och sätta exempelvis värde 1 för en dag.

Vi har nu förenklat för våra användare som nu kan välja organisationens skräddarsydda mallar

 

image

Publicerat i RMS | Märkt , | Lämna en kommentar

Defender Offline fungerar nu med Windows 8.1

Publicerat den 11 mars, 2014 av Anders

Vad är då Defender Offline?

Ett problem med en antimalware-produkt som körs i datorns operativsystem är att identifiera skadlig kod som angripit bootsektorn och startar innan operativsystemet startar upp.

Det finns ett antal antimalwareprodukter på marknaden som är avsedda för att identifiera den här typen av skadlig kod genom att boota upp datorn på produktens egna media.

Microsoft har erbjudit den här produkten gratis i många år, tidigare hette produkten Standalone System Sweeper men heter sedan några år tillbaka Defender Offline. Defender Offline bygger på Windows PE som operativsystem och själva antimalwareprodukten är densamma som övriga Defender och Endpoint Protection produkter.

Vanliga Defender eller Endpoint Protection kan identifiera skadlig kod och baserat på vad signaturen säger meddelar den också användaren om denne behöver använda Defender Offline för att radera det aktuella viruset. Det kan även vara värt att söka igenom känsliga system med Defender Offline med jämna mellanrum för att identifiera exempelvis rootkit eller annan typ av skadlig kod som döljer sig för ett traditionellt antimalware.

Windows Defender offline kan användas på allt ifrån Windows XP SP3 till Windows 8.
Däremot fungerar det inte om datorn kör det senaste operativsystemet Windows 8.1 utan där är det än så länge en Beta av Defender Offline som gäller.

Defender Offline är enkelt att använda (vilket är en viktig förutsättning) både för att skapa ett bootbart media och att använda själva produkten.
När du vill scanna en dator, verifiera vilket operativsystem och vilken arkitektur (32 eller 64bits) som används och ladda ner rätt installationspaket:

Se till att du kör installationen på en dator som anses vara säker (så du inte kör den från den dator du misstänker är smittad)
Du behöver:

  • ett skrivbart media såsom CD/DVD eller USB-minne som Defender Offline kan skapas på. (Observera att programmet kommer formatera enheten och göra den bootbar så du inte använder ett USB minne med befintliga filer på)
  • En Internetanslutning då den hämtar ner de senaste definitionerna.

Tänk på att det hela tiden kommer nya definitioner och att köra med ett uppdaterat media.
Du behöver dock inte skapa ett nytt media varje gång utan så länge mediat är skrivbart kan du köra en uppdatering av definitionerna i efterhand.

Starta upp den dator du misstänker vara smittad med Defender Offline mediat. Efter att Windows PE startat upp så startar Defender Offline och kör en quick Scan vilket då bl.a. går igenom registret, Windowsbiblioteket medmera vilket oftast är tillräckligt. Jag rekommenderar dock att även köra en fullscan med detta verktyg då en fullscan gör en djupare analys av alla filer än en quick scan.
Via en Custom Scan kan du specificera vilka volymer och kataloger du vill scanna.

clip_image001

Genomför Defender Offline Scan centralt med hjälp av System Center Configuration Manager 2012

I större organisationer med flera tusen datorer är det inte alltid möjligt att “springa ut” för att genomföra denna Defender Offline -scan på en dator. Vanligast är att man installerar om datorn centralt, vilket iofs är ett ännu bättre alternativ säkerhetsmässigt för den specifika datorn. Nackdelen med det är att man inte identifierar vilket virus det handlar om. I många fall kan nämligen information om viruset göra att man kan arbete proaktivt genom att identifiera och minimera sårbarheter eller användarbeteenden.

Med hjälp av System Center Configuration Manager OSD kan man centralt på samma sätt som man normalt installerar datorer köra en Defender Offline Scan.
En stor fördel är också om hårddiskarna är krypterade med Bitlocker (vilket förhindrar uppstart på annan media) då man centralt kan inaktivera bitlocker, genomföra scanningen och sedan aktivera bitlocker på nytt.

Exakt hur man genomför detta finns att läsa på produktgruppens blogg här: http://blogs.technet.com/b/configmgrteam/archive/2012/04/12/launching-a-windows-defender-offline-scan-with-configuration-manager-2012-osd.aspx

Publicerat i System Center Endpoint Protecion, Windows 8 | Märkt | Lämna en kommentar

RMS video finns nu publicerad

Publicerat den 9 januari, 2014 av Anders

Om en bild säger mer än tusen ord så måste ju en film motsvara flera miljoner ord Smile Det stämmer iallafall inom många tekniska lösningar då det alltid är intressant att se hur en teknik fungerar för att få full förståelse över nyttan med den.

Jag har därför spelat in en video över hur Rights Managment Services (RMS) skyddar känslig information, både traditionella Officefiler men även övriga filtyper. Filmen ligger under fliken ad-rms

Publicerat i Informationssäkerhet, RMS | Märkt | Lämna en kommentar