Jag kommer framöver köra några kurser på Cornerstone, initialt är det en Forefront TMG kurs som är på G och kommer köra igång i början på nästa år.
Så skall “jag lära dig allt jag kan” om TMG så är det bara att boka in en kurs. Naturligtvis kontrar man med “Nåja, det går väl ganska fort” vilket stämmer, kursen är planerad till tre dagar 
http://www.cornerstone.se/sv/Om-Cornerstone/Instruktorer/Anders-Olsson/
Allt för ofta när jag kommer ut till en befintlig Forefront TMG eller UAG lösning hittar jag larm som ser ut enligt bilden nedan och får även höra att det är problem att nå vissa enheter eller tjänster.
Därför tänkte jag reda ut hur man hanterar interna nät och routing en gång för alla.
I både TMG och UAG får man specificera vilka nät som skall klassificeras som interna nät. Problematiken i det här har att göra med det saknas en intern gateway på det interna nätverkskortet då det enbart går att ha en default gateway och den skall alltid vara konfigurerad på det externa nätverkskortet. Det här gör att det krävs ett extra moment där man specificerar en route över hur TMG/UAG skall nå det här nätverket från det interna nätverkskortet.
Felmeddelandet ovan beskriver det här klart och tydligt. Det finns ett specificerat internt nät där det saknas routing från det interna nätverkskortet vilket då betyder att det är det externa nätverkskortets default gateway som då kommunicerar med detta subnät, vilket blir tokigt.
För att se till att de här uppgifterna alltid stämmer när man skall lägga till ett nytt nät finns det ett bra tillvägagångssätt att följa:
Steg 1.
Definiera routing till det nya nätet.
I tidigare ISA/IAG lösningar var man tvungen att använda “Route Add kommando” på varje ISA/IAG i exempelvis ett kluster men i TMG finns nu ett mer enkelt och användarvänligt sätt att hantera Steg 1 i detta tillvägagångsätt.
I TMG konsolen gå in under Networking och fliken Routing där du klickar på Create Network Topology
Definiera nät och subnät samt den gateway som är nåbar från det subnät som är specificerat på det interna nätverkskortet.
Tryck Apply och vänta någon minut så ändringarna slår igenom.
Det kommer nu läggas till en route för detta nät och är det en Enterpriselösning med flera TMG/UAG så sker detta på samtliga servrar med automatik.
Steg 2.
Se till att det nya nätet som du specificerat routing för också definieras som ett internt nät av TMG/UAG.
I TMG konsolen gå in under Networking och fliken Networks. Dubbelklicka på Internal Network och till fliken Addresses, välj Add Adapter..
Klicka på Internal och klicka på Ok. Alla nät kommer nu läggas till under Internal Addresses.
Under Network adapter details i bilden ovan specificeras alla nät som är routade från det interna kortet.
Fördelen med det här tillvägagångssättet är att TMG själv bygger upp IP Adresslistan baserat på vilka nät som den kan routa till och på det sättet kommer konfigurationen alltid att fungera.
Observera att det kan komma en Alert om IP spoofing eller Configuration Error under tiden som steg 1 har genomförts då det finns routing för ett icke specificerat internt nät under den tidpunkten. Såvida steg 2 genomförs kan detta ignoreras.
Jag fick nyligen förfrågan att göra en inspelning för MEET gällande ett aktuellt ämne inom säkerhet. Något som vi på Onevinn ofta stöter på när vi är ute och träffar ett (för oss) nytt företag, är att det sitter en eller flera runt bordet med någon form av platta, smart phone eller dyligt. När sedan den naturliga frågan kommer upp om vilka utmaningar de står inför, så kommer diskussionen förr eller senare alltid fram till hantering av icke managerade enheter.
Det som många missar är att du faktiskt kan nyttja Microsofts säkerhetslösningar i exempelvis Forefront för att supportera även övriga enheter.
En tydlig trend som vi ser just nu är att Microsoft satsar mer och mer på att supportera övriga enheter än sina egna. Ett exempel är senaste uppdatering till Forefront Unified Access Gateway (UAG) där vi fått utökad stöd för både Apples och Androids enheter (http://technet.microsoft.com/en-us/library/hh490321.aspx)
Jag har skrivit en artikel över hur du kan nyttja Microsofts teknik för att både supportera fler enheter i din infrastruktur men också för att skydda företagsinformation från icke managerade enheter.
Artikeln kan du läsa på Microsoft TechNet
Tillsammans med Michael Bohlin på Microsoft spelade vi även in en video om samma ämne
Klicka på bilden för att komma till videon
Nu har äntligen Service Pack 2 till Forefront TMG släppts. Det är extremt kul och se utvecklingen av Forefront TMG och till skillnad från tidigare ISA Server så märker man nu hur Microsoft nu mer kontinuerligt kompletterar produkten med mer och mer nyttiga funktioner. Det som också är roligt är att bakgrunden till en del nya funktioner är rena förfrågningar från befintliga TMG kunder vilket visar på vilket gehör teamet har och hur man strävar att tillgodose kundernas behov.
Följande är nya funktioner i TMG Service Pack 2.
De funktioner som jag kommer beskriva i det här artikeln är Site Activity Report och nya “error pages” annars finns det risk att artikeln blir lite väl lång.
Site Activity Report
En av de nya funktionerna i Service Pack 2 är Site Activity Report.
Det här är en funktion som gör att du kan ta ut rapporter för att se hur mycket trafik som genereras mot en viss URL. Det gör att man enkelt kan få ut statistik på hur mycket belastning av nätet det går åt en viss URL samt vilka användare det är som besöker webbsidan.
Du hittar Site Activity Report bland de övriga rapporterna under “Reporting”-fliken (under Logs & Reports).
Rapporten kan du basera på den senaste timmen, dygnet, veckan eller månaden beroende på vilken statistik du efterfrågar. Du anger därefter vilken webbsite/URL som du vill få ut en rapport över
I den här rapporten tittar jag på hur mycket trafik som genererats mot facebook.com den senaste timmen och i det här fallet var det två användare som besökt facebook där vi ser vilka underdomäner som nyttjas och hur mycket data som gått till respektive URL.
Nya “Error/Deny Page”
(Jag gjorde ett tappert försök att skriva “Error page” på svenska men felmeddelandesidan eller Blockeringssidan lät helt enkelt inte bra 
)
Något som många stört sig på är att de klassiska “Error/Deny”-sidorna följde med från ISA till TMG och jag får väl erkänna att det helt enkelt inte ser särskilt roligt ut:
Naturligtvis har vi kunnat editera dessa error-html filer men det är inte alla som har tagit sig tid att göra det här och det har även funnits en del begränsningar runt editeringen.
Nu har det släppts helt nya fräscha html filer och det har även kommit mallar som är enklare att anpassa med stöd för flera webbtekniker, exempelvis embedded objects.
Det smarta är att de gamla html filerna finns fortfarande kvar, vilket gör att om du har anpassat de gamla sidorna så kommer inget av det att försvinna. De gamla filerna ligger under TMGns installationsmapp \ErrorHtmls och de nya sidorna är placerade under installationsmappen och \Templates\WebObjectsTemplates\ISA\
För att byta till de nya sidorna går du in under egenskaper på din TMG server i Managementkonsolen. Under fliken Error Pages kan du alltså välja mellan de nya och gamla sidorna, vilket gör att du kan testa de nya sidorna och ändå enkelt kunna gå tillbaka till dina editerade sidor om du har sådana.
Observera att den här förändringen gör att TMG måste starta om Firewall tjänsten så rekommenderat är att aktivera detta under ett planerat driftsstopp.
Den nya sidan kommer se ut enligt följande
Din fritext för respektive deny-regel redovisas under explanation precis som vanligt men nu i ett mycket fräschare gränssnitt
Här hittar du Service Pack 2 http://www.microsoft.com/download/en/details.aspx?id=27603
Som vanligt är min rekommendation att du startar installationen (exe filen) från en kommandoprompt med administratörsrättigheter.
Ha´de så kul med alla TMG nyheter!
Här kommer ett kort inlägg runt ett installationsproblem som kan uppstå både med TMG och UAG. Trots att du följt alla krav och riktlinjer för hur plattformen skall vara konfigurerad för att installera TMG eller UAG så misslyckas installationen och du finner följande felkoder i loggarna: 0x80070643, 0x643
I det flesta fall så betyder det här felmeddelandet att du försöker installera på en icke supporterad plattform, exempelvis ett 32 bitars system av Windows. Det kan också ha att göra med att det media du installerar ifrån inte är supporterat, exempelvis en tidig betarelease eller liknande.
Det finns även andra scenarier som kan ge motsvarande fel. I det här fallet var det en extraherad image-fil av UAG, Imagefilen var alltså hemladdad från Microsofts Volym licens site och sedan hade man extraherat och kopierat över installationsfilerna till UAG servern.
Det som hände här var att under extraheringen tappade flera filer sin digitala signatur och därav ansåg inte UAG att det var ok installationsmedia då den var manipulerad. Exakt samma scenario beskrivs här: http://blogs.technet.com/b/isablog/archive/2010/07/13/another-tmg-2010-installation-failure-with-error-0x80070643.aspx
Nu kommer vi till nästa steg i den här installation, man testar sedan att köra installation direkt från en installationsDVDn och får fortfarande exakt samma fel.
Problemet i det här fallet var att under den tidigare installationen så hade Server rollerna IIS, NPS och ADLDS lagts till på servern och därav klagade installationen på att plattformen inte var ok men med exakt samma felkod.
Lösningen i det här fallet var alltså att ta bort ovanstående serverroller, starta om servern och installera från korrekt media…
För vissa är det här uppenbart och andra står som frågetecken när jag nämner MEET och förklarar att det står för Microsoft Extended Expert Team. Därför tror jag att det är på sin plats för en liten summering om vad MEET egentligen är.
På vår site kan man bland annat läsa följande:
“Medlemmarna i MEET är utvalda för sitt kunnande och sin kompetens inom respektive specialområde och de är också erkänt goda kommunikatörer.”
MEET består utav både av utvecklare och specialister inom infrastruktur och syftet är alltså att MEET skall vara ett bollplank och inspirera inom Microsofts olika tekniker och lösningar. Du kan hitta oss på olika event exempelvis Microsoft TechDays där vi finns för att föreläsa men även för att mingla och svara på frågor runt våra respektive områden.
Vi skriver även för nyhetsbreven som kommer ut från både TechNet och MSDN.
Inom kort kommer även MEET-tv där vi gör olika typer av inspelningar som publiceras på webben så att du när som helst kan ta del av det senaste inom varje teknikområde. Mer information om detta kommer inom kort.
Om du har missat denna magnifika källa med nyttig information så kan du läsa mer nedan:
Besök MEET siten: http://technet.microsoft.com/sv-se/cc299419
Anmäl dig till nyhetsbreven: Nyhetsbrev för it-proffs och tekniker
Igår publicerade vi en intressant artikel om Server Domain Isolation (SDI) –konceptet på bloggen: http://blogg.onevinn.se/
Jag sitter nu också och förbereder en videopodcast som handlar om hur man skall hantera främmande enheter som t.ex. alla plattor och smartphones som nu vill in i vår infrastruktur. Naturligtvis finns det snygga lösningar även för detta med bland annat SDI konceptet och Forefront Edge produkterna. Mer information om denna podcast så fort den finns publicerad på Microsoft TechNet.
Efter att ha hårdtestat den lokala Windows brandväggen och konfigurerat den via grupp policys från Active Directory samt Windows Intune, Forefront Endpoint Protection 2010 och 2012 beta på en och samma Windows 7 maskin lyckades jag åstadkomma ett roligt problem.
Trots att det inte längre finns varken någon Windows Intune installation kvar på klienten eller någon central eller lokal Policy som styrde brandväggen så kunde inte ens en lokal administratör längre editera brandväggen. Det enda man möttes av var följande:
Nu är det här förhoppningsvis inget vanligt scenario att man har testkört så många produkter och lösningar på en och samma Windows 7 maskin men lösningen på det här problemet kan säkert komma till användning i flera scenarion.
Genom att gå in under Local Security Policy (snabbkommando secpol.msc) kan du högerklicka på Windows Firewall och välja “Clear Policy” för att få bort eventuella rester av gamla policys.
I mitt fall fanns inte ens någon lokal brandväggspolicy men genom att rensa den här nollställdes brandväggskonfigurationen.
En annan lösning hade varit att trycka ut en policy som konfigurerade brandväggen vilket då skriver över de gamla resterna av konfigurationen men i det här fallet ville jag kunna editera brandväggen lokalt.
Efter sju fantastiska år på WM-data/Logica har jag nu hittat mitt nya dream-team hos Onevinn
Onevinn är ett mindre konsultföretag med handplockade specialister inom just IT och Informations-säkerhet och är det företag som har flest Forefrontspecialister i Sverige.
Jag har nu 14 kollegor som brinner lika mycket för säkerhetsområdet som mig själv och med motsvarande kompetens vilket gör att jag nu har fler kollegor att bolla mina Forefront diskussioner med.
Huvudkontoret är i Göteborg men jag kommer sitta med min nygamla kollega Tom Aafloen (itblogg.aafloen.se) i Karlstads inre hamn.
Läs mer på: www.onevinn.se
Det här året tog jag en något längre semester än vanligt och i vecka fyra kunde jag inte längre hålla fingrarna i styr. System Center Configuration Manager 2012 beta 2 har släpps och till det finns också en Forefront Endpoint Protection 2012 beta… Den där känslan av att inte ha kontroll infinner sig ganska snabbt, dels finns det en ny version av FEP att tillgå och sedan måste jag också erkänna att jag inte har full koll på System Center Configuration Manger och absolut inte versionen 2012.
Jag lär mig bäst av att testa själv, därav ger jag mig igång med ConfigMgr installationen på egen hand utan några som helst guider eller liknande. Det dröjde inte länge förrän jag började slita mitt hår och undra hur fasiken har Microsoft tänkt nu? Ok att det enbart är en beta jag sitter med, men visst är det väldigt mycket special.
Där emot lär man ju sig extremt mycket mer av en problematisk implementation, om allt fungerar direkt har man ju faktiskt inte lärt sig någonting. Jag måste också tacka några värdefulla personer som jag har bollat mycket med för att sätta mig in i Configuration Manager. Tack och bock:
Kontentan av ConfigMgr implementation: Ta in någon som verkligen har full koll på System Center Configuration Manager för att göra implementation. Du kommer vilja ta in mer och mer funktionalitet i din ConfigMgr miljö och den kommer bli en av dina mest kritiska system!
Efter många diskussioner fram och tillbaka har jag äntligen förstått logiken i all konfiguration jag gjort och har nu en felfri management miljö. Vilket är det viktigaste att verifiera innan det är dags att införa ett antimalware för hela din infrastruktur. Den beta jag använde är den som släpptes i 15e Maj (http://go.microsoft.com/fwlink/?LinkId=215917)
Installationen är smidig och flera olika alternativ ges för att passa in i ConfigMgr topologin och hur du vill hantera loggning. Ett tips i det här fallet är att lägga loggning på en separat SQL server om du sitter på en större miljö. Ofta vill man ha en ganska lång spårbarhet och den här databasen har stor tendens att växa.
Under ”Essets and Compliance” finner vi efter installation FEP Policies. Som standard ligger två förkonfigurerade policys en för Server och en för Klient. För att skapa en ny Policy starta ”Create FEP Policy Wizard”, här får du välja på tre olika Policys: standard desktop, High-security, Performance-optimized policy och en other policy templates vilket är väldigt intressant. Nu är det nämligen slut på att sitta och leta undantag för Microsofts olika standardtjänster, nu kan du nämligen själv lägga till en eller flera tjänster/roller och skapa en policy för dina olika servrar.
Efter att du valt en eller flera tjänster kan du naturligtvis gå in och editera din policy för att anpassa den ytterligare mot din verksamhet. Några bra funktioner är bland annat att du kan begränsa processor nyttjande under en scanning men också att du kan schemalägga en scanning men få den att starta slumpartat under 30 minuter. Kör man i detta fall en quickscan som går på några få minuter kan det här ha en stor positiv påverkan. Ett exempel är virtuella maskiner som ligger på samma host där man inte vill överbelasta hostens CPU.
Efter att vi skapat våra policys måste vi tilldela dessa men först måste vi se till att vi har passande ”Collections ” vilket då är grupperingar av maskiner. I de flesta Configuration Manager miljöer finns det redan specificerat ett stort antal Collection men behöver du skapa nya har du oändligt många möjligheter för att gruppera ett gäng servrar eller datorer baserat på i stort sett vad som helst. Fördelen med det här är att du kan skräddarsy Collectioner, inte bara på server/klient utan på vad de används till, vilka system som körs och av vem.
Efter att du identifierat eller skapat den Collection du skall använda tilldelar du din policy.
Efter att vi designat konfigurationen till de olika plattformarna är det dags att installera Forefront Endpoint Protection. På samma sätt här nyttjas Collections, antingen trycker man ut installation till en specificerad grupp maskiner eller till alla system.
Vid installationen av FEP kom det till en hel del färdiga FEP paket som vi finner under Program:
Här kan vi söka upp alla FEP relaterade installationer och här hittar vi även de Policies som vi skapat, i det här fallet har vi redan tryckt ut våra policies och det är Install som gäller.
Jag kommer inte gå igenom alla steg då detta är baserat på betakod men en funktion som är värd att upplysa är valet nedan ”Allow client to share content with other clients on the same subnet”. Det här är en typ av peer-to-peer teknik där man distribuerar installationen för att klienterna på samma subnät skall kunna ta del av samma data och på så sätt minska trafikmängden (Gäller för Windows 7 och senare).
Några steg senare när denna wizard har fullföljts ser vi följande på våra klienter och inom någon minut ser vi följande på våra klienter.
En kort summering över vad som nu hänt. Vi har alltså sett till att vi har korrekt FEP konfiguration för våra maskiner och även installerat FEP och från Configuration Manager.
Hur har vi då koll på hur våra klienter mår rent säkerhetsmässigt?
Helt logiskt går vi in under Monitoring och där finner vi ”FEP Status”, vilket visar och en bra översikt över vår infrastruktur och hur säkerhetsläget ser ut.
För att inte trötta ut dig som läsare inser jag att det nog är bäst att fortsätta beskriva FEP 2012 funktionalitet vid ett senare tillfälle.
För er som undrar varför jag inte skriver SCCM så kan jag tillägga att det inte är en copyright skyddad förkortning från Microsofts sida utan det är faktiskt ConfigMgr som är den korrekta förkortningen.
Ladda hem beta här http://go.microsoft.com/fwlink/?LinkId=215917
TechNet Dokumentation http://technet.microsoft.com/en-us/library/hh125874.aspx
IT-Säkerhetsguiden 