Komma igång med AD RMS

Publicerat den 1 november, 2012 av Anders

AD RMS står för Active Directory Rights Management Services och med den kan du styra vem som får ta del av dokument du författat och även vad personen i fråga får göra med dokumentet. Du kan avgöra om man får se, editera, kopiera innehåll eller skriva ut dokumentet, för att förhindra att informationen kommer på villovägar. Med AD RMS kan du skriva ett dokument och se till att enbart de personer du vill kan få ta del av informationen oavsett vart filen (dokumentet) befinner sig. Du kan också tidsbegränsa hur länge informationen ska vara tillgänglig och på ett ”Mission Impossible-liknande” sätt styra så informationen inte längre är nåbar efter ett visst datum.

Tekniken är integrerad i Officepaketet men även i SharePoint och Exchange, vilket ger möjlighet att dels automatisera så alla dokument som sparas på en viss SharePoint site blir RMS-skyddade med rätt säkerhetskrav och exempelvis inte är läsbar för icke anställda. Integrationen i Exchange och Outlook ger möjlighet att RMS-skydda hela mail där intern säkerhetsklassad information som går ut till anställda förhindras från att vidarebefordras, kopieras, ta printscreens eller skrivas ut.

Hur kommer man igång med AD RMS då?

Först och främst behöver vi en (eller helst två för redundans) AD RMS-server och det här är en roll du installerar på förslagsvis en Windows Server 2012 (alternativt Windows Server 2008 R2 med SP1 för att stödja högre kryptering med SHA-2/RSA 2048 bitars).
clip_image001

På AD RMS-servern kan vi konfigurera färdiga mallar som förenklar för användarna när de vill skydda sina olika typer av dokument.

AD RMS-stöd är integrerat i Office (Enterprise, Professional Plus eller Ultimate) från 2003 och framåt, det finns även tredjepartsprodukter som ger möjlighet att RMS-skydda andra typer av dokument exempelvis pdf och cad-filer.

Användaren styr sedan rättigheterna till sitt dokument direkt från Office och kan här antingen styra exakt mottagare av dokumentet eller välja någon av de mallar som företaget fördefinierat.clip_image002

clip_image003

Om mottagaren har rätt att öppna dokumentet redovisas även behörigheterna på dokumentet och ger även möjlighet för användaren att begära ytterligare behörighet.
clip_image004

En mottagare som har fått ett AD RMS-skyddat mail där man enbart tillåter att läsa informationen har ingen möjlighet att vidarebefordra eller kopiera informationen. Naturligtvis kan man inte hindra användaren att fotografera skärmen men man minskar risken för informationsspridning och det skulle i så fall vara en medveten handling om att man gjorde något otillåtet.

clip_image005

Användaren kan styra vem mottagaren av dokumentet är baserat på användarkontot i Active Directory, både den egna domänen och federerade domäner. Det är även möjligt att ge en extern mottagare behörighet att läsa dokumentet, genom att använda Microsoftkonton som tillexempel Office365 eller Hotmail/Live-adresser.

Under ett införande projekt är AD RMS själva tekniken, men det största arbetet handlar om att identifiera och klassificera  informationen för att få ut så mycket som möjligt av AD RMS som verktyg.

Publicerat i RMS | Märkt , | Lämna en kommentar

Konfigurera DirectAccess 2012 och anslut en workgroup dator på 10 steg

Publicerat den 26 oktober, 2012 av Anders

Idag lanseras Windows 8 och vi har även nya Windows Server 2012. Här finner vi mycket intressanta och användbara nyheter som hjälper oss i vardagen.

Naturligtvis tänker jag på favoritfunktioner som ökar säkerheten, men framförallt användarvänligheten. En av dessa funktioner är DirectAccess, men vi har också en annan intressant funktion vid namn Offline Domain Join som kom redan i 2008 R2 som vi kan kombinera till något riktigt snyggt.

Tänk dig följande scenario… Du har en verksamhet med flera resande klienter där det kontinuerligt skall in nya klienter till din infrastruktur som även skall få möjlighet att jobba på distans.

Tidigare har man bett klienterna komma till ett kontor med företagsnätverk (vilket kan innebära långa resor för många) för att ansluta sin dator, gå med i domänen och på så sätt få bland annat DirectAccess polices applicerade på maskinen.

Tänk om vi kunde slippa detta, att istället kunna ge ut en fil till användaren som då skulle kunna konfigurera en klientdator som aldrig varit i kontakt med företagsnätverket att både gå med i domänen och även få allt som behövs för att ansluta till din domän?

Det här är precis vad vi kan åstadkomma med Windows Server 2012 DirectAccess och funktionen Offline Domain Join.
Jag har skrivit ihop en enkel guide på endast 10 steg över hur du kan testa den här lösningen och göra en pilot i din egen miljö.
Den här guiden bygger på att jag har en Windows Server 2012 domänkontrollant samt ännu en Windows Server 2012 member server med dubbla nätverkskort, ett externt och internt. Till skillnad från UAG så räcker det med en publik IPv4 adress på denna DA server.
Mycket i Server 2012 är automatiserat för att göra det så enkelt som möjligt. När det kommer till DirectAccess, appliceras DA klientinställningar på alla members/datorer i domänen och i detta exempel så väljer vi att definiera en grupp av datorer för att kunna styra vilka maskiner som skall ha denna möjlighet.

I detta exempel kommer vi även nyttja en nyhet som bygger SelfSign Certifikat för IP-HTTPS trafiken, vilket gör det busenkelt att implementera DirectAccess i Server 2012. Dock är rekommendationen att bygga upp detta med en egen intern PKI lösning för öka säkerheten.

För att göra denna guide ännu enklare har jag även lagt in PowerShell kommandon för många av de steg som krävs.

image

Pilot av Windows Server 2012 DirectAccess och Offline Domain Join

Konfigurera DirectAccess

  • Börja med att skapa en säkerhetsgrupp för kommande DA klienter på en Server 2012 DC:
    New-ADGroup -GroupScope global -Name DAKLIENTER
  • Installera Remote Access rollen som inkluderar Direct Access och en traditionell VPN på en Server 2012:
    Install-WindowsFeature RemoteAccess –IncludeManagementTools

  • Kör Getting started Wizard för att enkelt konfigurera DA Rollen på servern.
    Ange att detta skall vara en Edge server och ange den externa IPv4 adressen på DA servern. Välj därefter att editera Wizard inställningarna för remote clients och ändra så att den här policyn dels inte slår för Mobile computers only (vilket är ett WMI filter för att hantera alla mobila klienter)  

  • Ändra också så att denna policy inte slår för ”Domain Computers” utan istället för den grupp du skapade (DAKLIENTER).

  • Under DA Client Setup välj Ping i drop down listan och peka ut din Server 2012 DC och ange ett passande namn för DA Anslutningen exempelvis ”Connection to my Company”

Sådär nu har vi gjort färdigt inställningarna för vår DA lösning, svårare än så är det inte Smile

Konfigurera Offline Domain Join

  • För att skapa ett offline domain join script logga in på din Windows Server 2012 DC och kopiera Unique ID för GPOn ”Direct Access Client Settings” som skapades av DA wizarden.
  • Kör sedan nedanstående PowerShellskrip på din DC:
    Djoin.exe /provision /domain <din domän> /machine <namn ny klient> /savefile offlineDAKonfig.txt /policynames “DirectAccess Client Settings” /POLICYPATHS “c:\windows\SYSVOL\sysvol\<din domän>\policies\<klistra in GPOns Unique ID>\Machine\Registry.pol”

  • Två saker har hänt nu, vi har dels fått ett nytt datorobjekt i Active Directory, detta lägger du med i den grupp som skapade tidigare, exempelvis även här med PS:
    Add-ADGroupMember -Identity DAKLIENTER -Members <datornamn>$

Vi har även fått en txt fil vid namn offlineDAKonfig som vi på ett eller annat sätt kan få ut till klienten

OBServera att denna txt fil bör hanteras med försiktighet, det är visserligen oläslig base64 metadata men den innehåller dock känslig information om din infrastruktur med bland annat SIDen till din domän och lösenordet till datorkontot för den kommande domänklienten.

Förslagsvis krypterar du denna fil och lägger den på en webbserver som kräver inloggning och laddas hem över SSL.
På det sättet kan du låta användaren själv ladda hem denna fil och även bifoga script som automatiserar nedanstående kommando.

  • När klient väl har fått denna fil kör följande kommando på klienten: Djoin.exe /requestodj /loadfile <sökväg till filen>\offlineDAKonfig.txt /windowspath %systemroot% /localos

Verifiera att du fått nedanstående resultatclip_image002

  • Starta sedan om klienten och vid nästa inloggning kan du nu logga in direkt över internet med en domänanvändare och tittar du på dina anslutningar ser du följande

clip_image003

Du kan nu också se i din DirectAccess server att det finns en ansluten klient över DA mot din domän.

image

Vi har nu alltså full kontroll på den här klienten och kan med andra ord applicera fler group policies samt rulla ut allt ifrån Endpoint Protection till andra programvaror.

Riktigt snyggt! Smile

Publicerat i Windows 8, Windows Server 2012 | Märkt | Lämna en kommentar

Forefronts framtid

Publicerat den 13 september, 2012 av Anders

Igår gick Microsoft ut med information om Forefronts framtid. Det handlar inte om vilka produkter som kommer, utan information om de produkter som finns idag. Bland annat så nämns det att Forefront Threat Management Gateway (TMG) kommer försvinna.

TMG

Vad betyder då detta för alla som sitter med en Forefront TMG idag?
Egentligen så är svaret, idag har det ingen betydelse.
Produkten är supporterad till 2015 och extended support till 2020, vilket betyder att Microsoft kommer leverera säkerhetsuppdateringar med mera till produkten i 8 år till!

Microsoft Reputation Services (MRS) är den onlinetjänst som levererar URL kategorisering och Malware inspection av webtrafiken. Det som är sagt idag är att denna kommer vara levande till 2015. Vad som gäller från Microsoft efter detta är inte uttalat men om man vill garantera motsvarande funktionalitet efter 2015 redan idag finns det plugins som exempelvis Websense för URL filtrering.

Än så länge finns det inte så mycket information om hur framtiden ser ut men om man tittar på Microsofts roadmap för övriga produkter så är det ett genuint säkerhetstänk där man bakar in fler och fler säkerhetsfunktioner direkt i produkten. Som exempelvis där Forefront Endpoint Protection har blivit System Center Endpoint Protection.
Ett annat exempel kan vi se i Exchange 2013 Preview där det ingår ett antimalware för e-postfiltrering.

Är det fel att köpa en Forefront TMG idag? Som jag skrev ovan är den supporterad i 8 år till och är en extremt prisvärd brandvägg, så enligt mig är det en bra investering. Observera att produkten inte går att köpa efter 1/12-2012.

Publicerat i Forefront TMG | 1 kommentar

Migrera DirectAccess från UAG till Server 2012

Publicerat den 26 augusti, 2012 av Anders

Windows Server 2012 är på ingång och de som sitter med volymavtal med Microsoft har redan fått tillgång till det nya server operativet.

image

En av nyheterna är den utökade Remote Access rollen där vi har alla anslutningsfunktioner från DirectAccess till traditionell VPN och Site-to-Site anslutningar.

Det finns även färdiga guider som beskriver vilka steg som krävs för att migrera DirectAccess konfiguration från din Forefront UAG till Windows server 2012. Observera att reverse proxy funktioner så som webb publiceringar och övrigt INTE stöds i Windows Server 2012, för detta ändamål krävs UAG även i fortsättningen.

Vad är då fördelarna med att köra DirectAccess från Windows Server 2012?
Dels så är det mer kombatibelt, bland annat har vi nu stöd för NAT där alltså DA servern kan placeras bakom en brandvägg med NATad förbindelse.
Protokollet som gör att du kan köra DirectAccess över HTTPS (IP-HTTPS) har blivit betydligt snabbare.
Vi har även en uttökad kompatibilitet med Windows 8 klienter

Förutsättningar för att kunna genomföra en migrering är att du har (minst) Service Pack 1  installerat på UAG servern. Om du idag användare ISATAP så bör du gå över till NAT64 då ISATAP inte är en rekommenderad IPv6-IPv4 översättare i Server 2012.

Om man idag använder Network Access Policy (NAP) med NPS rollen konfigurerad på UAG servern så skall du exportera detta till en fristående intern server och alltså inte på samma server som DirectAccess rollen.

För mer information läs följande Technetartikel:

http://technet.microsoft.com/en-us/library/hh831658.aspx

Publicerat i Forefront UAG, Windows Server 2012 | Lämna en kommentar

Forefront UAG Service Pack 2 lanserat!

Publicerat den 7 augusti, 2012 av Anders

Igår släpptes service pack 2 till Forefront Unified Access Gateway (UAG) 2010 .

Microsoft_Forefront_UAG

Vi har fått flera trevliga nyheter, bland annat:

  • stöd för senaste ADFS 2.0
  • SharePoint 2010 autentisering tillsammans med Microsoft Office Forms-Based Authentication (MSOFBA) och ADFS 2.0
  • Utökat stöd för mobila enheter som
    • Windows Phone 7.5
    • iOS 5.x  iPad/iPhone
    • Android 4.x platta/telefon
  • Nya endpoint detection skydd för att hålla ute fler typ av skadliga klienter

Som vanligt så innehåller även service pack en hel del fixar så oavsett om du är i behov av ovanstående är det bra att installera SP2.

Notera att SP2 kräver Service Pack 1, Update 1.

SP2 finns att ladda ner här:
http://www.microsoft.com/en-us/download/details.aspx?id=30459

Publicerat i Forefront UAG | Lämna en kommentar

TMG Firewall Service som stannar

Publicerat den 28 juni, 2012 av Anders

Om Forefront Threat Managment Gateway (TMG) Servern stannar och du märker att Firewall tjänsten (wspsrv.exe) har stoppats är det sannolikt att det beror på ett känt problem som beskrivs i KB2658903

Du bör ha ett av eller båda eventen:
Source: Microsoft Forefront TMG Firewall
Event ID: 14057

Source: Service Control Manager
Event ID: 7034

Detta problem har uppmärksammats på TMG med Service Pack 2 som även publicerat någon webb över SSL.

Problemet som beskrivs i KB artikeln ovan omfattas av TMG SP2 Rollup 1, dock är min rekommendation om detta inträffar att installera Rollup 2 (som är kumulativ och ersätter Rollup1). Observera att både Rollup 1 och Rollup 2 kräver Service Pack 2.

Här kommer även en lista med länkar och versionsnummer till de olika uppdateringarna
till Forefront Threat Management Gateway:

Publicerat i Forefront TMG | Lämna en kommentar

Demo av Windows 8 som VPN klient mot TMG

Publicerat den 25 juni, 2012 av Anders

Jag spelade in en kort demo där jag testkör en Windows 8 Release Preview som ansluter från Internet mot en TMG konfigurerat som VPN gateway, med NAP karantän (hälsovalidering) och web protection.

Ett exempel på att Windows 8 fungerar bra i nuvarande infrastruktur och hur användarvänligt det faktiskt är för användaren att följa en IT säkerhetspolicy.

Windows 8 och Forefront TMG
Publicerat i Forefront TMG, Microsoft Windows | Märkt | 1 kommentar

IDG rekommenderar TMG

Publicerat den 14 juni, 2012 av Anders

IDG/TechWorld testade ”virtuella brandväggar” nu i veckan

Självklart var Forefront TMG en av dessa brandväggar.

image
Personligen kan jag tycka att definition av en ”virtuell brandvägg” är något diffus. Rekommenderat i ett brandväggsscenario är att installera Forefront TMG på en fysisk maskin och rätt konfigurerad är det ingen större skillnad med det som många kallar en hårdvarubrandvägg.
Dock kan det finnas fördelar att installera TMG i en virtuell miljö med tanke på redundans då det är lättare att ta “snapshots” med mera inför större förändringar. Om man exempelvis nyttjar en TMG enbart för reverse proxy för att publicera olika webbapplikationer kan jag tycka att virtualisering är ett bra alternativ. Är det din huvudsakliga brandvägg skulle jag rekommendera en lastbalanserad lösning på egen fysisk hårdvara.

TMG fick dock inte högsta betyg och detta för att den ansågs vara fokuserad på att skydda enbart Microsoft produkter. Kommentaren “TMG är ett bra alternativ om du har en renodlad Microsoftmiljö” vill jag rätta, då klienter med Linux, IOS med mera fungerar klockrent tillsammans med TMG och kan nyttja de flesta säkerhetsfunktioner precis som övriga Windowsklienter bakom denna brandvägg.
Jag har skrivit en artikel till Technet om just detta samt en Showcase inspelning med MEET

Publicerat i Forefront TMG | Lämna en kommentar

Vår session om säkerhet från TechDays 2012

Publicerat den 31 maj, 2012 av Anders

Det här året körde jag en session på TechDays tillsammans med min kollega Tom och den byggdes upp runt ett vanligt scenario från vardagen där vi går igenom hot och risker och visar hur Microsoft-teknik kan skydda oss. Som vanligt är det demo hardcore där vi denna gång också fokuserar på användarupplevelsen med alla säkerhetsfunktioner. Det var också extra roligt att få köra en session som inte bara handlar om en produkt utan flera. I den här sessionen demar vi t.ex. säkerhetsfunktionerna i Internet Explorer, Applocker, AD RMS, EFS, Bitlocker i bland annat kommande Windows 8.

Årets session på TechDays var mer eftertraktad än väntat, trots att vi fick byta sessionssal i sista stund för att kunna ta mer folk var det upp mot hundra personer som inte fick plats.
Som tur är spelades sessionen in. Mycket nöje:

Säker infrastruktur med Microsoft från TechDays 2012
Publicerat i Active Directory, Forefront TMG, Generell Säkerhet, Microsoft Event, Microsoft Windows | Märkt | Lämna en kommentar

TMG Service Pack 2 Rollup2

Publicerat den 7 maj, 2012 av Anders

image

I fredags släpptes ännu en Rollup till Forefront TMG Service Pack 2. Detta är Rollup 2 vilket innehåller ett gäng fixar till diverse problem som man kan ha stött på i och med installation av Service Pack 2.

Har du uppmärksammat några problem (exempelvis att TMG stänger http sessioner, slutar svara på vissa webb publiceringar eller får problem med web cache) så installera denna uppdatering: http://support.microsoft.com/kb/2689195

I samband med denna lansering släpptes även en fix för just Dynamic Web Caching i ISA 2006 vilket du hittar här: http://support.microsoft.com/kb/2694478

Publicerat i Forefront TMG, ISA Server | Märkt | Lämna en kommentar