Microsoft Security Essentials Ongoing Beta auf Microsoft Connect

Hi,

der Microsoft Security Essentials build 1.0.1611.0 wurde ja September für die Öffentlichkeit zur Verfügung gestellt. Die kostenlose Anti-Viren Lösung für Privatanwender gibt es für Windows XP, Vista und Windows 7. Es wurde aber von Microsoft eine kommende Version von MSE angekündigt mit mehr Funktionen.

Daher akzeptiert Microsoft weitere Betatest für das „ongoing beta“ Programm von  Security Essentials (MSE). Der Beta Testbuild  trägt die Versionsnummer 1.0.1676.0 und nach einem Updates wird diese weiter auf 1.0.1743.0 erhöht.

Microsoft Security Essentials ongoing beta auf Microsoft Connect

Na dann, Viel Spass beim selber Testen!
CU

Avira Version 10 Beta Test Program

Hi,

diese Mail zum Start des neuen Avira Beta Test Program erhielt hier heute Nacht:

Hallo joerg,

Am 2.11.2009 24.11.2009 beginnt der Betatest für die Avira Produkte Premium Security Suite und AntiVir Professional. Zum Test bereit steht dann die Version 10 dieser Produkte, die im Frühjahr 2010 veröffentlicht wird.

Mit der Teilnahme am Betatest haben Sie also die Gelegenheit, die neuen Features dieser Produkte schon vor dem offiziellen Release kennenzulernen und zu testen. Zu einem späteren Zeitpunkt wird auch der Avira AntiVir Server (Windows) in den Betatest einbezogen.Die Betaversionen sind in deutscher und englischer Sprache und in 32 Bit Versionen verfügbar. Die Produkte können auf Windows Desktop Platfformen von Windows 2000 bis Windows 7 eingesetzt werden.

Im Vordergrund des Testes stehen das neue proaktive HIPS-System (=host based intrusion prevention system), die neu in die Avira AntiVir Professional integrierte Firewall und die Konfiguration der Produkte.

Sie sollten also ihre Aufmerksamkeit zunächst auf diese neuen Funktionen und Bereiche richten. Bitte beachten Sie, dass das HIPS System nur in der 32 Bit Variante zur Verfügung steht.

Melden Sie Probleme, Auffälligkeiten und Fehler wie üblich über den Betaportal Menüpunkt „Bug melden“ an unsere Betatest-Abteilung.

Mit freundlichen Grüßen

Avira Beta-Test-Team

Avira GmbH

Lindauer Str. 21, D-88069 Tettnang, Germany

Telefon: +49 (0) 7542 500-0

Telefax: +49 (0) 7542 525-10

Internet: http://www.avira.de

Geschäftsführender Gesellschafter: Tjark Auerbach Sitz der Gesellschaft: Tettnang

Handelsregister: Amtsgericht Ulm, HRB 630992

==================================================

ALLGEMEINE GESCHÄFTSBEDINGUNGEN

Es gelten unsere Allgemeinen Geschäftsbedingungen (AGB). Sie finden sie in der jeweils gültigen Fassung im Internet unter http://www.avira.de/agb ==================================================

Na dann, Viel Spass beim selber Testen!
CU

Anti-Vir CHKDSK-Bug auf Windows 7 Systemen

Hi,

wer zur Zeit den Avira Virenscanner "Antivir" in der kostenlosen wie auch der Professional Version (9.0.0.415) unter Windows 7 nutzt, muss ggf. nach jedem Neustart des Rechner, eine Überprüfung der Datenträger (chkdsk), über sich ergehen lassen, obwohl nichts kaputt ist. Das Problem tritt nur auf, wenn die Echtzeitprüfung von Avira aktiviert ist. Antivir zwingt dann Windows 7, bei jedem Neustart des Rechners, zu einem ständigen Ausführen des Programms CHKDSK.

Im Avira Forum ist die Empfehlung, die Einstellungen des Scanners "Guard" so zu ändern, dass nur noch Lesezugriffe überprüft werden. Laut Avira ist das Verhalten reproduzierbar und Avira arbeite bereits an einer Lösung des Problems. Bis dahin gibt es nur einen Workaround: nicht booten. Also z.B. Standby oder Ruhezustand nutzen.

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Security Essentials Ongoing Beta Programm

Hi,

Microsoft hat den Windows 7 Beta Testern eine Mail zugeschickt in sie die Möglichkeit haben am neuen “Microsoft Security Essentials Ongoing Beta Program” teilzunehmen. Leider ist es Private Beta, d.h. nicht jeder hat die Möglichkeit an dem Programm teilzunehmen. Die Build Version der neuen Beta lautet Build 1.0.1676.0.

Auf Microsoft Connect steht zur Zeit noch die Beta Version Build 1.0.1500.0 zur Verfügung, als RTW Version wurde die Final Build 1.0.1611.0 veröffentlicht.

The Microsoft Security Essentials Ongoing Beta Program needs you!

Interested in joining the fight against viruses, spyware, and other PC health dangers? Help improve Microsoft Security Essentials, Microsoft’s new antimalware solution for consumers, by becoming an Ongoing Beta program tester. As part of the Microsoft Security Essentials Ongoing Beta program, you will have the opportunity to explore new builds before the public sees them, submit bugs, and give feedback. Your feedback helps Microsoft to make its software and services the best that they can.

If you are interested, please click on the link below, sign-in with Live ID/password and install the Ongoing Beta build.

CLICK HERE TO JOIN THE Microsoft Security Essentials Ongoing Beta Program

Best Regards,

Microsoft Security Essentials Team

Nach der Teilnahme an einer Umfrage zum eingesetzten Betriebssystem erfolgt dann noch der Hinweis zur Deinstallation einer ggf. älteren MSE Version:

Microsoft Security Essentials is already installed on your computer. To install this version of the program on your computer, you’ll need to remove the existing version first, and then try to run this setup wizard again.

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Security Essentials verfügbar (RTW)!

Hi,

laut dem Forefront Team Blog ist “Microsoft Security Essentials”, die speziell für Heimanwender entwickelte und kostenlose Sicherheitslösung ab heute verfügbar!

Microsoft Security Essentials ist der Nachfolger von Windows Live OneCare und setzt dabei auf die gleiche (mehrfach ausgezeichnete) Erkennungstechnik. Zudem ersetzt der Virenschutz auch den Windows Defender.

MSE schützt sehr zuverlässig vor Viren, Würmen, Rootkits und anderer, unerwünschter Schadsoftware, das konnte ich schon selbst erleben. MSE hat in diesem Fall eine Schadsoftware erkannt, als ich eine Internetseite auf meinem Rechner mit einem frisch installierten Windows 7 besuchte, ich glaube es war GMX. Allerdings schien das Werbepopup aber nicht sauber zu sein.

MSE wird ab Windows XP SP2, also auch für Windows Vista und Windows 7 unterstützt und arbeitet besonders ressourcenschonend.

Wer noch die Beta Version von Microsoft Security Essentials installiert hat, muss diese vorher deinstallieren!

Download: http://www.microsoft.com/security_essentials/market.aspx

Vollständiges Album anzeigen

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Security Essentials Beta endet, final in den nächsten Wochen!

Hi,

heute erreichte mich folgende Mail vom Microsoft Security Essentials Beta Team:

Dear Beta User,

Thank you for participating in the Microsoft® Security Essentials Beta. Your participation has been instrumental to ensuring the best possible product release quality.

The final version of Microsoft Security Essentials will be released to the public in the coming weeks. If you are running the older version of the beta (1.0.1407.0), we encourage you to upgrade to a newer version of the beta (1.0.1500.0). To ensure a smoothest possible experience, please follow one of these options:

• · Click on the ‘Upgrade Now’ button on the Microsoft Security Essentials Home tab. OR
• · Select ‘Upgrade Microsoft Security Essentials’ under the Help drop-down menu

Thank you again for your participation in the Microsoft Security Essentials Beta!

Best regards,

Microsoft Security Essentials Team

Es wird also in den nächsten Wochen die Final Version von Microsoft Security Essentials erscheinen, ich tippe mal auf den 22. Oktober (Windows 7 Launch auch für die Allgemeinheit) …

Na dann, Viel Spass beim selber Testen!
CU

Forefront Client Security: Support von Windows 7 und Windows Server 2008 R2

Hi,

die Anti-Viren Lösung Microsoft Forefront teste ich ja nun schon seit dem Release Candidate auf Windows 7 und Windows Server 2008 R2 Systemen. Nun ist es auch offiziell, dass ein einen Forefront Client Security Support von Windows 7 und Windows Server 2008 R2 gibt. Dazu hat Manuel Stix von Microsoft Deutschland einen Artikel geschrieben und auf den Forefront Team Blog verwiesen!

Dazu wird unter Windows 7 und Windows Server 2008 R2 das Update des KB-Artikel 974253 (Definition Update for Microsoft Client Security (Security State Assessment 1.0.1710.103 Full) installiert.

Na dann Viel Spass beim selber Testen!
CU

Microsoft Security Essentials Update veröffentlicht!

Hi,

ohne große Vorankündigung per Mail oder auf Microsoft Connect hat Microsoft für Security Essentials ein Update veröffentlicht!

Der KB article 972958 ist noch nicht verfügbar. Allerdings ist durch das Update die Build Version auf 1.0.1500.0 erhöht wurden

Ebenso hat sich Tray Icon verändert:
 
MSE wird für Windows XP 32-bit, Windows Vista/7 32-bit und Windows Vista/7 64-bit im Oktober zur Verfügung stehen. Bis dahin sind mehrere Beta Phase angedacht, bei der nach und nach der Beta Download in verschiedenen Ländern möglich ist.

[UPDATE:] Hier noch ein paar Screenshots, wenn MSE selbst das Upgrade auf den neuen Build vorschlägt:

Vollständiges Album anzeigen

[/UPDATE]

Na dann, Viel Spass beim selber Testen!
CU

Demo Umgebung Part 2 Forefront Client Security

Hi,

nach meinem 1. Arikel mit Forefront TMG Impressionen und der Vorstellung meiner “kleinen” Demo Umgebung hier der nächste Artikel und Impressionen zu meiner Forefront Client Security Installation.

Nach dem ich auf meinem Notebook mit Windows Server 2008 R2 RC schon die Hyper-V Rolle und 2 VM´s (W2K8 R2 RC DC & Forefront TMG Beta 3 auf W2K8 R2 RC) installiert hatte, baute ich mir einen Windows Server 2003 R2 SP2 Grundimage, welches ich dann nach dem SysPrep nicht mehr benutzte, sondern eine Differential Disk anlegte und dort dann den Rest der Installation/Konfiguration vollzog.

Als Vorbereitung zur Installation von Forefront Client Security muss der Server 2003 folgende Punkte erfüllen:

1. ein IIS + ASP.NET (Microsoft .NET Framework ab 2.0)
2. Microsoft SQL Server 2005 Enterprise Edition oder Standard Edition mit Service Pack 1 Einschließlich: Datenbankdienste, Reporting Services, Arbeitsstationskomponenten und Integration Services
3. Microsoft Management Console 3.0
4. Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 (dazu ist ggf. das .NET1.0 bzw. 1.1 notwendig)
5. Windows Server Update Services 2.0 mit Service Pack 1 oder Windows Server Update Services 3.0

Also habe ich erst mal per Microsoft Update das .NET Framework 3.5 installiert. Danach den IIS mit ASP.NET über die Systemsteuerung / Software, die MMC 3.0 ist ja schon mit im R2 von Server 2003 mit drin. Zusätzlich muss man die GPMC SP1  installieren, da die Forefront Security Policys per Gruppenrichtlinien (GPO´s bereitgestellt werden).

Jetzt folgte die Installation eines SQL Server 2005 in der Standart Edition, danach sofort das Service Pack 3 für SQL2005.

Vollständiges Album anzeigen

Nach kurzer Konfiguration (Zulassen von Remote Verbindungen, Änderung der Standart Datenbank Speicherpfade usw.) installierte ich dann gleich die WSUS 3 SP2 Version von Microsoft Download Center.

Der WSUS 3 kann natürlich auch auf einem anderem Server laufen oder man kann auch den in System Center Essentials integrierten WSUS 3 nutzen, ganz wie man möchte.

Wichtig noch zur Vorbereitung auf das Forefront Client Security Setup ist das WSUS 3 sich gesynct hat und somit auch ALLE aktuellen Produkte kennt. Desweiteren kann man die Gelegenheit auch gleich nutzen um eine Auto-Approval Regeln für Produkte Forefront Client Security und Bedingung Definition Update erstellen, damit die Clients über den WSUS immer die aktuellen Malwaredefinitionen erhalten. Also am besten vor dem FCS Setup nochmal den WSUS manuell syncen lassen.

Hier die WSUS 3 SP2 Screenshots dazu (noch mit der RC Version):

Vollständiges Album anzeigen

Erst jetzt konnte ich das Setup von Forefront Client Security starten. Nach dem obligatorischen Eintragen von Name & Firma, dem sorgfältigen Lesen der Lizenzbestimmungen steht man vor der WICHTIGEN Auswahl der Installationstopologie. Dazu sollte man sich den Planungsguide für Forefront Client Security auf TechNet durchlesen und seinen Anforderungen definieren und dagegen abwägen. In meiner kleiner Test/Demo Umgebung kann ich ALLE 4 Rollen (Management, Collection, Collection Database & Reporting Server) auf einer Maschine (VM) installieren. Die Distribution Server Rolle installiere ich NICHT mit, da dahinter ein WSUS 2 steckt und ich ja schon einen WSUS 3 als Vorbereitung installiert habe.

Je nach Topologie richten sich auch die Hardwareanforderungen an den 1 oder mehreren Servern. Bei der 1 Server Topologie hätte Forefront Client Security gerne einen Dual-Core-Prozessor mit 2,85 GHz oder höher besser 2 Prozessoren Min.  1 besser 4 GB Arbeitsspeicher und min. 30 GB besser mehr Platz auf dem Datenbank- und Logvolume.

Als Mgmt Server wurden nur Windows Server 2003 in der x86 Edition unterstützt, ebenfalls wie SQL Server 2005 als Datenbankserver. Windows Server 2003 x64, Windows Server 2008 x86 & x64 werden NUR als Clients unetrstützt NICHT als Mgmt Server Plattform. Support für SQL Server 2008 wird event. mit einem weiteren Service Pack nachgeliefert.

Nach der Auswahl der Installationstopologie folgt die Angabe des Collection Server´s sowie der Name der späteren ManagementGroup & des DAS Account´s (Zugriff auf die Collection Database auf dem Collection DB Server). Dieser Account muss ein Domain Account sein und sollte in der DB Später auch Schreibrechte besitzen. Als nächstes folgt die Definition der Collection Database (Name: Onepoint). Hier muss ein DB Name und eine Größe definiert werden. Standart sind hier 15 GB. Es MUSS also auf dem Volume wo Forefront Client Security installiert werden min 20-30 GB freier Speicherplatz vorhanden sein oder man hat dafür in seinem SQL Server 2005 entsprechende Datenbank Pfade definiert, die nicht auf dem System Volume sondern ganz nach Best Practice die Datendateien auf einem Volume und die Logdateien auf einem Volume getrennt. Ebenfalls muss hier wieder Domain User definiert werden, welche SQL Server Rechte zum Erstellen einer DB haben muss, man kann aber auch den DAS User wieder nutzen, diesen sollte man dann zur SQL Server Admin Rolle hinzufügen, ebenfalls sollte der User natürlich zur Installation auch lokale Adminrechte auf dem Server haben! Danach definiert man die Reporting Datenbank (Name: SystemCenterReporting, Standart 1GB) inkl. des Reporting User´s welcher wieder ein Domain Account sein muss. Auch hier kann man wieder den DAS Account nutzen. Im nächsten Schritt definiert man die URL´s des SQL Server Reporting Servers, man nimmt aber am besten die Standart´s. Jetzt folgt der Action Account unter dem später Aktion, wie Scan´s usw. auf den Server & Clients durchgeführt werden können. Man sollte also einen Domänen User definieren und der Gruppenrichtlinien zum lokalen Admin auf allen Servern & Clients machen. Zum Schluss legt man noch den Installationspfad der Forefront Client Security Binary´s fest.

Es folgt die Überprüfung der Hard- & Softwarevorraussetzungen und angaben zu den User Accounts, Datenbank Eigenschaften und Reporting URL´s die man zuvor definiert hat. ACTUNG: Die Default Web Site (Standartwebsite) des IIS darf zu dem Zeitpunkt des FCS-Checks/der FCS-Installation KEIN SSL Zertifikate zugewiesen haben, sonst erhält man den Fehler das http://servername/reportserver und http://servername/reports nicht verfügbar sind! Danach folgt die Installation. Aus einem Problem, welches ich mal bei einer Installation hatte sollte man sicherstellen, das die temp. Verzeichnisse (C:\temp, C:\Windows\temp, %userprofile%\lokale einstellungen\temp, usw.) alle möglichst leer sind!

Nach der erfolgreichen Installation von Forefront Client Security hat man auch gleich das Icon von Forefront Client Security im Systray, welches orange ist weil noch keine aktuellen Definition geladen wurden. Das sollte aber einen nicht stören, denn man startet die Forefront Client Security Management Console und führt die initiale Konfiguration von Forefront Client Security durch. Das sind Collection & Collection Database Server sowie Management Group Name. Dann noch die Angabe des SQL Server Reporting User´s und der Reporting URL´s. Jetzt hat man es geschafft und kann neuen Policy´s definieren.

Die Policy´s habe ich meist nach OU´s definiert und an eben diese gelinkt. Das ist auch der Grund für die Installation der GPMC. Forefront Client Security erstellt GPO´s und linkt diese an Domänen, Security Groups, OUs oder Sites. Ich habe zuerst mal eine Policy für meine DC erstellt und die üblichen Einstellungen wie Schutzlevel, Scanzeitpunkt nach Viren und Scanzeitpunkt für die Security Level Prüfung gemacht. Unter dem Advanced Tab finden sich dann die für Domain Controller  wichtigen Auschlüsse (aber auch SQL, MOSS, WSS & Exchange usw.). Overrides (für falsche erkannte Malware) musste ich bis jetzt noch nie definieren. Auf dem Reporting Tab stellt man noch das Log Level sowie event. einen Proxy ein falls man mit seinem Ergebnissen anonym am Spynet Netzwerk teilnehmen möchte.

Nun hat man eine Forefront Client Security Policy definiert und klickt auf Deploy oder Bereitstellen und verküpft die Policy mit einer Domain, OU, Gruppe oder Site. In der Policy, welche ja eine Gruppenrichtlinien (GPO) ist werden dann die Einstellungen auf die Clients & Server gebracht. Das Deployment des Forefront Client Security Agent & Scanners erfolgt ebenfalls über diese Policy. In der GPO die dadurch erzeugt wurde ist in der Computerkonfiguration und Software das Forefront Packet hinterlegt und installiert sich somit ohne weiteres Zutun des Anwenders oder Admin´s. Alternativ kann man von Codeplex auch die Forefront Client Security Tools runterladen, welche bei der nicht unwichtigen Deinstallation der alten/anderen Anti-Viren Lösung unterstützen.

Als Clients (Server & Clients) werden unterstützt:

• Microsoft Windows® 2000 Server mit Service Pack 4 (SP4) und Update-Rollup 1
• Windows XP Professional mit Service Pack 2 (SP2) oder höher (x64 Editions )
• Windows Server 2003 mit SP1 oder höher (auch x64 Editions)
• Windows Vista™ Business, Enterprise oder Ultimate (x64 Editions)
• [UPDATE:] ab 31.08.09 werden auch Windows 7 und Windows Server 2008 R2 untertsützt![/UPDATE]

Auf dem Mgmt Server wird auch ein Microsoft Operations Manager 2005 installiert, über den die Verwaltung der Clients passiert. Dazu wird auf dem Client (& Server) auch ein MOM 2005 Agent installiert.

Auf dem Client arbeiten neben dem MOM Agent 2 Forefront Dienste. Der Microsoft Forefront Anti-Malware Service, der eigentliche “Virenscandienst” und der Microsoft Forefront State Assessment Service, der das Reporting an der Mgmt Server übernimmt und nicht nicht Malware, sondern auch fehlende Updates eine nicht konfigurierte Firewall oder zuviele lokale Administratoren als Warnung in den Forefront Reports anzeigt. Eine ganzheitliche Securitylösung also, die nicht nur Anti-Viren/Malware Schutz wahrnimmt.

In der Forefront vNEXT Version “Stirling” wird dieser Ansatz noch fortgesetzt, in dem z.B. das TMG einen Malware Download erkennt und der Forefront Stirling Mgmt Server, sofern in einer Policy definiert, sofort Gegenmassnahmen wie Updates, Manuelle Scan´s oder sogar Ausschluss des möglichen Malware Rechners aus dem Netzwerk (z.B. über NAP Integration) reagiert

Hier dann die Forefront Client Security Screenshots:

Vollständiges Album anzeigen

Na dann, Viel Spass beim selber Testen!
CU

Forefront TMG Beta 3 Impressionen

Hi,

dieses Wochenende habe ich mir Zeit genommen und ein eigene kleine Testumgebung für mich aufgebaut. Diese beinhaltet:

1. Mein ASUS R1E (4 GB RAM) mit Windows Server 2008 R2 RC als Hyper-V Host
2. Ein Windows Server 2008 R2 RC Domain Controller  Gast (512 MB RAM) mit R2 Schema
3. das Forefront Thread Managment Gateway Beta 3 Gast auf einem Windows Server 2008 R2 RC (2 GB RAM)

Hier das ganze mal als Übersicht:

forefront_demo_test

Als erstes habe ich mein ASUS R1E mit Windows Server 2008 R2 + Hyper-V Rolle installiert. Die Hyper-V Guest´s und VHD liegen auf meiner externen 2,5” WD500GB. Dann ging es an die Erstellung der Hyper-V Netzwerke, wo ich ein Externes Netzwerk (Zugriff über LAN auf Internet) mit Bindung auf die physische LAN-Verbindung eingerichtet habe. Als 2. Netzwerk habe ich dann noch ein Internes Hyper-V Netzwerk (nur internes Netz für Guest´s) eingerichtet.

Nun ging es an die Erstellung der VM´s. Den Demo-DC1 habe ich mit 512 MB und 40 GB VHD erstellt. Mit dieser habe ich einen Windows Server 2008 R2 installiert und nach dem Setup die VM runtergefahren. Die bisher erzeugte VHD habe ich dann als Vorlage für weitere Windows Server 2008 R2 VM´s schreibgeschützt.

Für den Demo-DC1 habe ich nun eine weitere diffenzierende VHD mit Bezug auf die Win2k8_r2_base.vhd erstellt und den Demo-DC1 damit fertig durch installiert. Den DC hatte ich bis dahin auf dem Externen Hyper-V Netz eingerichtet, damit ich die Windows Updates installierten konnte. Nach der Umstellung des DC auf das interne Hyper-V Netz, der Konfiguration und Vorbereitung, in dem ich dem DC die IP 10.0.0.10/24 mit Gateway 10.0.0.1 und dem DNS 10.0.0.10 eingerichtet habe, wurde die Active Directory Domain Services Rolle (AD DS) von mir installiert. Nach Fertigstellung der Rolleninstallation erfolgte die Promotion zum DC mit “dcpromo”, in der ich eine neue Gesamtstruktur und Domäne im Windows Server 2008 R2 Modus erstellt habe und auch gleich den DNS Server mit installiert habe. Nach dem DC Neustart ging es an die weitere Einrichtung des DNS, wo ich die Weiterleitung zu 10.0.0.1 und die Reverse Lookup Zone für das Netz 10.0.0.x eingerichtet habe. Als OU Struktur habe ich unter der Domain Root eine Computer-, Server- und User-OU erstellt.

Nun konnte ich auch das Forefront TMG mit einer weiteren diffenzierenden VHD mit Bezug auf die Win2k8_r2_base.vhd erstellt und den das Demo-TMG damit fertig durch installiert. Den TMG hat 2 Hyper-V Netzwerke konfiguriert. Das Externe Hyper-V Netz (IP 192.168.150.19/26, Gateway 192.168.150.1, DNS 192.168.150.1), zur Verbindung über mein Home-LAN ins Internet und das interne Hyper-V Netz,  IP 10.0.0.1/24 OHNE Gateway 10.0.0.1 und dem DNS 10.0.0.10 hatte ich über den Hyper-V Manager schon vorher zugewiesen.

Nach der Konfiguration und Vorbereitung (Umbennung der Netzwerkkarte von LAN-Verbindung in Internal und External), in dem ich das Demo-TMG erst mal ebenso per Windows Update auf den aktuellen Stand gebracht. Danach startete ich das Forefront Beta 3 Setup, welches  durch das TMG Preparation Tool unter anderem die Rollen Actice Directory Lightweight Directory Service (AD LDS), den Netzwerk- und Policyserver und das .NET3.5 Feature nachinstalliert hat. Als die Vorbereitung beendet war startet das TMG Setup. Komisch dass im TMG Setup der Pfad “Microsoft ISA Server” verwendet wird, aber egal. Nach Auswahl der internen Netzwerkkarte im Setup wurden die TMG Services installiert. Als das TMG Setup fertiggestellt war, konnte ich über den Wizard in 3 Schritten das TMG einrichten. Dazu startet mal als erste den Network Wizard, in dem ich das Edge Network Template und die richtigen Netzwerkkarten für die Netzwerke External und Internal ausgewählt habe. Als nächstes konfiguriert man die System Settings des TMG. Hier kann man auch gleich das TMG einer Domäne beitreten, womit man schon zum letzten, dem Deployment Wizard übergehen kann. Hier definiert man Windows Update, das neue Network Inspection System (NIS), Customer Feedback und die Telemetry Mitgliedschaft (ähnlich dem Defender SpyNet). Nun ist das TMG Initial fertig eingerichtet.

Im TMG Management kann man unter System gleich ein Zertifikate für den TMG-Server erstellen oder von seiner internen Root CA anzufordern. Nun habe ich das Internal Netzwerk von TMG konfiguriert, wo ich noch die Domäne und das Autodiscovery für den Web Proxy einrichten musste. Neu ist, dass auch auf dem Local Host Netzwerk ein Proxy definiert ist. ACHTUNG! Dadurch MUSS auch im IE des TMG ein Proxyserver (also das TMG selbst) eingerichtet sein!

Nun kann man die Access Rules für DNS und NTP einrichten, damit der Demo-DC1 auch externe DNS und NTP Server einrichten kann. In den neuen Web Access Rules definiert man den Internet Zugang für die Benutzer und auch das neue Feature der Outgoing HTTPS Inspection. Wenn man dieses Feature nutzen möchte, muss dies mit dem ggf. Betriebsrat abgestimmt werden, da hier am TMG eine Inspizierung des kompletten eingehenden und ausgehenden HTTPS Verkehrs statt findet. Dazu wird am TMG der SSL Tunnel mit dem eigentlichen Zertifikat (z.B. von seiner Online Banking Hausbank) terminiert wird und mit einem neuen TMG Zertifikat wieder verschlüsselt wird, also eine ähnlich einer “Man-in-the-Middle” Attacke. Also vorher genau planen und alles schriftlich festlegen bevor man die HTTPS Inspection nutzt.

Zu Schluss habe ich noch eine Web Access Rule (HTTP/HTTPS/FTP) für die DC´s selbst erstellt, damit später die DC´s als anonyme Clients auch Windows Update nutzen können und sonst nur Authentifizierte User in Internet dürfen. Achtung TMG lässt kein Active Mode FTP zu. TMG ändert den FTP-Filter so, dass per Default kein Active Mode FTP erlaubt ist. Diesen Filter muss man verändern um Active Mode FTP zu nutzen. (Danke an Marc Grote für den Tipp)

Neu ist auch das Logging der Web Proxy und Firewall Engine in eine lokale SQL 2005 Express Instanz. Das Remote SQL Logging ist wieder möglich, neu ist hier aber nun auch, dass in TMG der Lockdown Modus (vom ISA2004 oder ISA2006) entschärft wurde. Die Logdaten des TMG werden während der SQL Server nicht erreichbar ist (Verbindung zur Remote SQL-Intanz) oder nur sehr langsam reagiert,  in eine binaere Datei (eine Queue) geschrieben, welche sich LLQ (Large Logging Queue) nennt. Wenn der SQL Server wieder Online ist, werden die LLQ-Daten wieder in die SQL Datenbank geschrieben. Die LLQ-Settings sind über die Registry konfigurierbar, einige Funktionen kann aber auch direkt in der TMG MMC konfigurieren.(Danke an Marc Grote für die Infos)

Hier das Ganze in einer Screenshot Galerie:

Vollständiges Album anzeigen

Später folgt noch eine UAG und Forefront Client & Server Security bzw Forefront Stirling Installation in der jetzt geschaffenen Demo Umgebung.

Na dann, Viel Spass beim selber Testen!
CU