Windows Intune

Publicerat den 7 januari, 2011 av Anders

Windows Intune är Microsofts molntjänst för klient managering och framför allt säkerhet. Intune tjänsten kommer lanseras under 2011 men jag har haft äran att testköra lösningen.

Tanken är att helt enkelt kunna övervaka och hantera din klientplattform via en webbläsare mot Microsofts molntjänst och slippa ha lokala servrar för bland annat hantering av antivirus och Microsoftuppdateringar.

Några av funktionerna i nuvarande beta är:

  • Antimalware Protection
  • Windows Firewall Configuration
  • Microsoft Update
  • Applikations Inventering
  • Remote Assistant

Notera att allt i denna artikel bygger på en betarelease och därmed inte fastställt att motsvarande funktionalitet finns i skarp release. Den här artikeln har till syfte att ge en överblick i hur Intune är tänkt att fungera, men det uppskattas också att få kommentarer på vilka funktioner som önskas till den skarpa releasen.


Översikt

När du loggar in mot din Intune konsol möts du av en nulägesbild över din miljö, bland annat status över virusutbrott, Microsoft uppdateringar och hälsan på dina Intune Agenter.

image

Klientinstallation

Efter att du loggat in i din Intune konsol kan du också ladda ner en Intuneklient som då också innehåller kopplingen till din unika Intune konsol. Intune agenten finns för både 32 och 64 bitars klientoperativ från Windows XP till Windows 7. Krav för Windows XP är SP2 med uppdateringen FCS Filter Manager och MSXML 6.0 eller rekommenderat SP3. För XP stöds i dagsläget enbart Professional Edition och för Vista är det Enterprise, Ultimate och Business Edition och Windows 7 Enterprise, Ultimate och Professional Edition.

Installationsfilen är en MSI fil som du enkelt kan trycka ut via en GPO i Active Directory, efter att agenten har blivit installerad kommer Windows att ladda hem ett antal uppdateringar vid nästa uppdateringstillfälle. Eller som i det här fallet där jag installerar komponenterna manuellt.

image

Du kan även skapa olika typer av grupper där du placerar dina olika klienter för att på så sätt kunna konfigurera klienterna på olika sätt beroende på din verksamhet och krav.

Policy och Uppdateringsfunktion

Nästa steg är att konfigurera vilka produkter och uppdateringar som skall skötas via Intune. Jag skulle rekommendera att styra alla Microsoftprodukter via konsolen och även skapa en så kallad “Automatic Approval rule” för att automatiskt godkänna följande klassificeringar: Critical, Security och Definition Updates. Definitions Updates är extremt viktig då det är alla antivirus och antispyware definitioner till Intune men även om det finns några Defender eller andra Microsoft antimalwareprodukter i miljön.

Genom att skapa Policys styr vi både konfiguration av antimalware och Windows brandväggen samt supportinformation till dina användare.

Windows Firewall Settings

Tack vare ett färdigt gränssnitt med alla undantag vi känner igen från konfiguration av den lokala Windows brandväggen kan vi enkelt skapa en enhetlig policy för en grupp av datorer.

Ett undantag som är att rekommendera är “Remote Assistance” för att nyttja en riktigt smidig fjärrhjälpsfunktion som ingår i Windows Intune.

image

Intune Agent Settings

I den här policyn konfigureras Malware Protection i Intune. Du har även ett val att enbart aktivera antimalware i Intune om inte Windows redan identifierat ett installerat antimalware vilket kan vara bra om man rullar ut Intune i en organisation där man inte hunnit avveckla tidigare antiviruslösning. På det sättet kan man nyttja övrig Intune funktionalitet utan att det blir några konflikter med dubbla antimalware.

Här konfigurerar du också schemaläggning av quick och full scan samt undantag av mappar, filer med mera.

image

 

Konfiguration av Alerts och Remote Assistance

Genom att konfigurera olika typer av Alerts underlättar du för administratören genom att denna får ett mail om till exempel ett virusutbrott eller en fjärrhjälpsförfrågan. Idag har de flesta mail i telefonen vilket gör att vi kan hålla en 24/7 övervakning vart vi än befinner oss.

I dagsläget har Intune 379 fördefinierade alert typer, allt ifrån om disken håller på att bli full till ett virusutbrott. Genom att konfigurera så kallade Notification Rules bestämmer du vilka typer av Alerts som du vill ha notifiering via mail. Du även lägga till fler mailadresser till exempelvis en gruppbrevlåda för service desk.

Vid en remote assistance förfråga anländer ett mail med information om vilken dator och användare som önskar hjälp samt en länk till Remote Assistance sessionen.

Klientupplevelse

Direkt efter utrullning av klienten får användaren en Intune ikon på skrivbordet. Från denna kan användaren övervaka Windows Update, Malware Protection eller begära fjärrhjälp. Det är tydligt och lätthanterligt.

image

När klienten klickar på “Request remote assistance from your system administrator” anländer ett mail till en eller flera utpekade administratörer, som standard redovisas också detta på startsidan i Intune gränssnittet.

Administratören väljer att ta action på denna fjärrhjälpsförfrågan, anger sitt namn och där efter startas Microsoft Eeasy Assist där administratören kan starta en live chat med användaren och skicka begäran om att se eller ta över användarens skrivbord eller applikation.

image

Förutom att ta över användarens gränssnitt har du bland annat möjlighet att skicka över filer, välja att starta om datorn och ansluta på nytt till användaren.

image

Fördelen med Intune är att det inte ställer några krav på domänmedlemskap eller liknande utan du kan ansluta alla Windows klienter till Intune (utefter kraven ovan). Din manageringsmiljö ligger i molnet och du ansluter via en webbläsare via en https session vart du än befinner dig.

Jag skulle rekommendera den här lösningen för något mindre företag och organisationer som inte har för avsikt att ha någon serverdrift men ändå vidhålla en managerad och övervakad klientmiljö.

Du finner mer information om Intune här:

– Windows Intune Home

– Windows Intune Help

– Windows Intune video demos

Publicerat i Microsoft Windows | Märkt | Lämna en kommentar

Bra start på nya året som nybliven MVP

Publicerat den 2 januari, 2011 av Anders

image

Det blev en riktigt bra start på år 2011 när följande dök upp i mailboxen 1/1-2011:

It is with great pride we announce that Anders Olsson has been awarded as a Microsoft® Most Valuable Professional (MVP) for 1/1/2011 – 1/1/2012.

Nu är det bara att fortsätta köra på och sprida information och kunskap inom Microsoft Forefront. Gott nytt år mina vänner!

Publicerat i Forefront | Märkt | 3 kommentarer

Nya TMG och ISA uppdateringar för specifika problem

Publicerat den 30 december, 2010 av Anders

image_thumb2

Det har nu släppts en uppdatering till Forefront TMG Service Pack 1, Update 1. Precis som Update 2 som nyligen släpptes till TMG SP1 Update1 så är uppdateringen enbart för de som har stött på det specifika problem som specificeras i kb-artikeln.

Såvida du inte har några specifika problem som nämns i de Rollups som släppts skall du köra Forefront TMG med Service Pack 1 och Update 1 för att få full funktionalitet.

Om du har något av de nedanstående problemen bör du begära Rollup2 till TMG Service Pack 1, update 1:

2452980 (http://support.microsoft.com/kb/2452980)
Upload speed through Forefront TMG 2010 is very slow on a high speed Internet connection

2478286 (http://support.microsoft.com/kb/2478286)
Connection does not time out after inactivity time elapses in an OWA 2010 client connected to Exchange Server 2010 if published by using Forefront TMG 2010

2484988 (http://support.microsoft.com/kb/2484988)
A DNS server publishing rule stops working for a DNS server that is published by using Forefront TMG 2010

2478297 (http://support.microsoft.com/kb/2478297)
User Activity reports that are created by Forefront TMG 2010 show a wrong value in the reported data range

Mer om denna rollup specificeras i KB2475183

 

Uppdatering till ISA 2006 Service Pack 1

Om du har några av de problemen som specificeras nedan har det nu också släpps en uppdatering till ISA

2478307 (http://support.microsoft.com/kb/2478307)
MAPI client does not connect to an Exchange server on an internal network through an ISA Server 2006-based VPN connection on a computer that is running Windows 7

2481980 (http://support.microsoft.com/kb/2481980)
Unexpected authentication prompts while you use an OWA website that is published by using ISA Server 2006 SP1 if RSA authentication and FBA are used

Mer om denna rollup specificeras i KB2475184

 

Det är kul att se Microsoft satsar på Forefront Edge -området och kontinuerligt släpper både uppdateringar och information även om en hel del är sällsynta problem.

Publicerat i Forefront TMG, ISA Server | Märkt | Lämna en kommentar

Microsoft Security Essentials 2.0

Publicerat den 20 december, 2010 av Anders

Jag uppmärksammade precis på min kollegas blogg (itblogg.aafloen.se) att det har släppts en ny version av Microsoft Security Essentials, vilket då är Microsofts antivirus för privatpersoner.
En perfekt antimalwarelösning för privatpersoner som dessutom är gratis Ler

Publicerat i Microsoft Windows | Märkt | 1 kommentar

Forefront Protection Server Management Console Release Date 17e December

Publicerat den 8 december, 2010 av Anders

Forefront Protection Server Management Console (FPSMC) har nu fastställt releasedatum… Nästa fredag den 17 December kommer den finnas för nedladdning och är kostnadsfri för alla Forefront Protection kunder.

image

En management konsol för central hantering av Forefront Protection för Exchange (FPE)och Sharepoint (FPSP).

Konsolen är webbaserad och lätthanterlig. Den identifierar själv vilka Forefront Protection installationer som finns i ditt Active Directory och ger möjligheten att importerar dessa till konsolen. Från konsolen installerar du agenter på de FPE, FPSP du vill managera, vilket ger möjlighet att importera befintlig konfiguration och gå över till en central konfiguration.

Filer och E-post som är placerade i karantän på respektive server kommer fortfarande ligga kvar men monitoreras och administreras från konsolen vilket ger en bättre översikt.

Genom centraliserad monitorering och konfigurering får vi en bättre spårbarhet och ser till att vi har en enhetlig konfiguration på exempelvis våra lastbalanserade Exchange roller.

Publicerat i Forefront, Forefront Protection | Lämna en kommentar

Problem med publicering av TMG rapporter

Publicerat den 24 november, 2010 av Anders

Många utav mina ISA kunder har publicerat sina vecko och månadsrapporter på IT avdelningens internwebb.
En perfekt lösning för att få en tydlig översikt över trafikflödet, attacker med mera. Nu i TMG är intresset ännu större med tanke på alla nya funktioner så som URL kategorisering, Malware och Network Inspection.

Problemet som har uppstått efter att de uppgraderat till Forefront TMG är att rapporterna som är publicerade via deras IIS servar inte längre visar några bilder.
Genom att använda en UNC sökväg (\\server\rapport) så har det fungerat men inte en via en URL (http://server/rapport)

Det här har att göra med att bilderna inte har något filformat och IISen vet därav inte vad man skall göra med bilderna.
Jag hade idag en diskussion med en i TMG Support Team hos Microsoft och fick upp deras attention på detta problem.

Resultatet är en lysande artikel som precis kommit upp på deras Team blogg och förklarar hur man med en IIS MIME-inställning kan få det här att fungera:

http://blogs.technet.com/b/isablog/archive/2010/11/24/when-accessing-tmg-report-hosted-on-iis-images-are-not-displayed.aspx

Ett exempel på att det lönar sig att påpeka brister och nya idéer! Blinkar

Publicerat i Forefront TMG | Lämna en kommentar

Update 2 till Forefront TMG (SP1)

Publicerat den 18 november, 2010 av Anders

image

Igår kväll släpptes ännu en uppdatering till Forefront TMG.

Den här innehåller inga nya funktioner utan löser enbart vissa problem i TMG.
Bland annat hotfix för Exchange SP1 på din TMG, NLB problem och instabilitet i L2TP VPN.

 

Observera att Service Pack 1 och Update 1 måste vara installerat innan du försöker installera update 2.

http://support.microsoft.com/kb/2433623/

Publicerat i Forefront, Forefront TMG | Lämna en kommentar

Bland det populäraste på TechEd 2010

Publicerat den 12 november, 2010 av Anders

image

Det går inte att ta miste på vart fokuset ligger i år. Forefront Endpoint Protection har sessioner i stort sett varje dag, allt ifrån mer avancerade sessioner till mer översiktsdragningar.

En stor nyhet i FEP är Network Vulnerability shielding vilket är motsvarande Network Inspection System (NIS) i Forefront TMG. Ett signaturbaserat network protection som inspekterar pågående nätverksströmmar och känner av attacker mot identifierade sårbarheter. FEP känner av vilka säkerhets uppdateringar som saknas på klienten och aktiverar då den signatur som används för att identifiera och blockera just den typen av attack. På det här sättet har klienten ett skydd i samma stund som Microsoft offentliggör en sårbarheten och minskar glappet tills det att uppdateringen är installerad.

Vi måste alltså fortsätta installera våra säkerhetsuppdateringar men på det här sättet höjer vi säkerheten och skyddar oss mot “zero-days attacks”.

Publicerat i Forefront | Märkt | 1 kommentar

Keynote och första sessionen avverkad

Publicerat den 9 november, 2010 av Anders

Efter en keynote där man satt med ett leende på läpparna i nästan två timmar. Efter att ha sett en live demo av Xbox 360 kinect körde Brad igång och precis som jag hade hoppats lanserades Forefront Endpoint Protection.

IMG_0453

För de som missat det bygger FEP på SCCM vilket gör att det blir integrerat i den befintliga plattformen på ett naturligt sätt.
Många reagerar naturligtvis på det här och funderar på hur de som inte användare sig av SCCM skall hantera sitt antivirus. Svaret är Windows Intune, en molntjänst där du helt enkelt administrerar företagets datorer via en webbläsare och dina management servrar placeras i molnet.

Förutom säkerhet var det även stort fokus på Windows Phone 7. En demonstration över hur enkelt det är att göra egna snygga applikationer till telefonen inspirerade säkert många utvecklare. Till och med jag blev ju intresserad av den typ av utveckling… Ler

IMG_0446IMG_0449

 

Dagens första session för min del handlade om Forefront UAG Service Pack 1 och Active Directory Federation Services 2.0
UAG SP1 tillsammans med AD FS 2.0 ger ett användarvänligt sätt att nå applikationer och tjänster från ett helt annat företag.
Genom att låta Forefront UAG med SP1 ersätta en AD FS proxy kan Företag 1 publicera sina applikationer och autentisera via AD FS på Företag 2.

En relativt avancerad teknik i bakgrunden men ger ett användargränssnitt som gör att användaren inte behöver bry sig om var applikationerna finns, hur eller var den autentiseras, det bara fungerar!

Publicerat i Microsoft Event | Lämna en kommentar

TechEd Berlin 2010

Publicerat den 8 november, 2010 av Anders

Då är man på plats i ett regnigt Berlin. Efter att ha gjort en rundvandring till Berlins sevärdheter fick vi mellanlanda på hotellet för att torka innan det var dags att anlända till Messe Berlin och TechEd 2010.

IMG_0437

Första dagen består av många Pre-Conference seminarier som många verkar sakna behörighet till. Istället utnyttjar man tillfället att få labba och testa den senaste Microsoft tekniken. Ofta handlar det om att kunna ta sig tid för att ostört få laborera med de ny produkterna, vilket du borde ha när du till och med lämnat landet. Förhoppningsvis är det många som stänger av mail och telefon för att grotta ner sig i nya snygga lösningar.

IMG_0438

Klockan 16 börjar Keynoten vilket brukar vara en bra start på en inspirerande vecka. Detta år är det bland annat Brad Anderson, Corporate Vice President för Management & Security Division på Microsoft som står för keynoten, vilket låter lovande.

Själv hoppas jag få se mycket av Microsofts senaste klientantivirus Forefront Endpoint Protection (FEP). Microsoft fortsätter sin satsning inom Business Ready Security där FEP är klockrent nästa steg!

IMG_0441

Hoppas få träffa några säkerhetsmedvetna bloggläsare här i Berlin. T.ex. på Solar sky-lounge på onsdag kväll där Microsoft och Specops ordnar en svensk träff.

Publicerat i Microsoft Event | Märkt | Lämna en kommentar