IT-Säkerhetsguiden

Vid en TMG Implementation under gårdagen uppmärksammade jag ett nytt problem. TMG hade inte möjligt att använda sin URL Kategorisering och får en log enligt följande:

Log Name: Application
Source: Microsoft Forefront TMG Web Proxy
Event ID: 31524

An error occurred while trying to communicate with the Microsoft Reputation Service server. If this Forefront TMG server is chained to an upstream server, verify that the WinHTTP proxy is set to localhost. If this issue persists, check that Internet connectivity is available.
The failure is due to error: A quota was exceeded"

Dock visar det sig att Servern kan ladda ner både Malware definitioner och NIS Signaturer, att surfa från servern via det externa interfacet är inte heller några problem.
Den här kunden kör en ISA 2006 idag med bl.a. proxy aktiverat och WPAD, jag kunde dock se att jag surfade utan någon proxy och identifierade inget problem.
Kommandot netsh winhttp show proxy gav: Direct access (no proxy server).

Lösningen här var att konfigurera TMG Servern att använda sig själv (localhost) som proxy, att enbart konfigurera webbläsaren med localhost som proxy räcker dock inte utan det krävs även att WinHTTP tjänsten får samma konfiguration. Jag konfigurerade därför IE med proxyinställningar Localhost port 8080 efter detta importerar jag inställningarna till WinHTTP tjänsten med kommandot nedan:

Efter den här åtgärden kickade det igång. Jag har dock inte hunnit gå djupare med varför just denna servern behövde styras till WinHTTP proxy

Hoppas detta hjälper någon där ute!

Anledningen till dålig aktivitet på bloggen är att jag varit och jobbat hos Microsoft i Redmond (Seattle) vilket är arbete jag inte får skriva om.
En annan anledning är att jag nu även skriver för Technet och en fortsättning runt URL filtreringen är min artikel här: http://technet.microsoft.com/sv-se/ff645218.aspx

Jag kommer dock fortsätta att skriva installation, konfigurationsanvisningar och andra tips på min blogg medans jag skriver om funktion och affärsnyttan inom Forefront hos Technet.

I fredags släpptes en ny version av Best Practice Analyzer, nu med stöd för TMGs nya funktioner så som Malware Inspection, NIS osv.

Microsoft fortsätter med ett lysande koncept med Best Practice Analyzer som vi nu finner i nästan varje Windows Server 2008 roll. En tjänst som upplyser oss om fel-konfigureringar, felloggar och andra tips för att nå en så kallad Best Practice Konfiguration.
När det kommer till ISA och TMG BPA kan jag varmt rekommendera den för att få koll på vanliga felkonfigureringar med tips på lösningar, men framför allt för att skapa snygga och tydliga dokumentationer (se tidigare inlägg om detta).

Ladda hem TMG BPA v8 här: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=8aa01cb0-da96-46d9-a50a-b245e47e6b8b

NIS består av åtskilliga signaturer för den typen av kod som kan utnyttja en sårbarhet. Här redovisas en av de signaturerna som avser sårbarheter i SMBv2.

Precis som jag skrev i mitt tidigare inlägg så släpptes TMG “release to manufacturing” måndagen den 16e november. Ladda hem den senaste versionen här: http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd&displaylang=en&hash=sEZkBGBpDkcxj4Er6iJWZXuj9HntnQi6n%2bn6c%2foKBNoUjIfJKiwg5Ls%2bRvGlEe9vRdojXq%2fkqPfBiu%2bDty2gGA%3d%3d

Jag har summerat några av de nyheter som jag gillar mest här:

Antiviruskontroll av trafiken
Forefront TMG har en inbyggd antivirusmotor som kontrollerar nerladdade filer över både http och https.
Tack vare den här funktionen identifieras och blockeras skadlig kod redan i brandväggen och säkrar filnedladdningar innan de når klienten.

Inspektera krypterad webbtrafik (HTTPS)
Vanligaste sättet för en trojan eller hackare att ta sig förbi en brandvägg är att gå via en SSL krypterad HTTPS session. En revolutionerande nyhet i TMG är ”HTTPS Inspection” som kan terminera dessa SSL sessioner för att förhindra skadlig kod eller ett intrångsförsök.

URL Kategorisering
Med hjälp av kategorisering av webbsidor sätter man enkelt upp ett regelverk som blockerar access till sidor med exempelvis pornografiskt, drog eller skadligt innehåll. Ett annat bra exempel är att undanta HTTPS inspektion för vård och bank -kategoriserade sidor.
Tack vare TMGs rapporteringsfunktion och URL kategoriseringen får IT avdelningen en bra översikt över användarnas surfvanor.

Säker VPN access som tar sig igenom alla brandväggar
TMG har utökats med ytterligare ett VPN protokoll, SSTP (Secure Socket Tunneling Protocol) vilket är ett point-to-point (PPP) protokoll som går via en SSL tunnel. På det här sättet erbjuds ett lika stabilt protokoll som PPTP, men som nu går över SSL och därmed tillåts i de flesta brandväggar. Hälso och säkerhetskontroll av klienterna styrs med Windows Server 2008 Network Access Protection (NAP)

Detektera och blockera intrång
Forefront Threat Management Gateway är numera ett fullvärdigt Intrusion Prevetion System som består utav ”Behavioral Intrusion Detection” och ”Network Inspection System”. Det sistnämnda är ett signaturbaserat system som identifierar och blockerar kända sårbarheter. Det här betyder att TMG kan blockera en sårbarhet innan säkerhetsuppdateringen har blivit installerad på klienten och på det sättet öka skyddet mellan detekterad sårbarhet och installerad säkerhetsuppdatering.

Redundant internetaccess
Internet access blir en mer och mer affärskritisk del och denna lösning styr automatiskt över till en annan Internet leverantör om den primära får problem

Ryktet säger att TMG RTM kommer finnas för nedladdning under nästa vecka 🙂

Var igår på Forefront TMG Deep Dive event och det här är alltså Microsofts absolut vackraste produkt inom säkerhet. Stora jubel gick genom publiken när funktionerna som Network Inspection System och HTTPS Inspection nämndes.

Grattis alla säkerhetsmedvetna!

Från flera håll spreds rykten om att Forefront TMG skulle släppas under TechEd Europa, redan under “Key-Noten” misstänkte jag att så inte var fallet. Största fokuset på årets TechEd är Exchange 2010 (och Unified Communication i stort) som släpptes första dagen. En Forefront produkt släpptes i samband med Exchange och det är naturligtvis Forefront Protection 2010 for Exchange (FPE).

Lunchade med en av ISA/TMG utvecklarna idag och vad det verkade beslöt de sig att fördröja releasen av TMG för att inte ta bort alla strålkastare från Exchange 2010. TMG kommer garanterat innan årsskiftet och jag skulle gissa de kommande veckorna.

Mer information kommer…. *pust* tiden går fort i Tyskland den här veckan 😉

Ett kort blogginlägg för att underlätta för er tekniker där ute. Jag sitter med TMG release candidate och skulle knyta ett certifikat till en SSL lyssnare och får då felet “Incorrect Key Type” på mitt eget utfärdade certifikat.

Det är ett certifikat utfärdat av en Windows Server 2008 R2 CA och TMG är med i samma domän och litar därmed på utgivaren, har den privata nyckeln och allt ser ut att vara frid och fröjd.
Jag testar och reparera certifikatet och även för att leta fel med certutil –repair

 
Här visas heller inget fel.

Efter lite klurande kom jag på att certifikatmallen jag skapade för mitt “Computer Certificate” var för 2008 Enterprise, jag testade därför att skapa en ny mall men istället välja en hederlig Server 2003 Enterprise:

Importerade det nya certifikatet på min TMG, testade på nytt och till min (och kanske några andras glädje)
 

Vet ej anledningen till detta än, om det är en bugg eller rent av en feature 🙂
Återkommer med kommentar på inlägget så fort jag vet (såvida ingen annan hinner före)