Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

Posts Tagged ‘ISA Server’

ISA 2006: Failed Connection Attempt, 13 The Data is invalid (Web Proxy)

Posted by JoergS - 11. August 2011

Hi,

ein Kunde hatte heute ein Problem mit seinem ISA 2006. Ein User wollte per HTTPS von seinem Rechner aus der Zentrale auf einen Server im Branch Office zugreifen. Die beiden Standorte sind per 3rd Party Firewalls zusätzlich vor dem ISA abgesichert, welche auch durch einen VPN (AES) Tunnel mitinander verbunden sind.

Im ISA Log tauchten dann immer Fehler auf:

Failed Connection Attempt, 13 The Data is invalid (Web Proxy)

  

Lösung war dann:  Cannot access HTTPS web site if Web Proxy Filter is bound to HTTPS protocol

Detach web proxy filter from HTTPS protocol.

To do so, please follow the
steps below:

1. Go to Firewall Policy, on the right pane, click Toolbox
tab, expand Protocols.

2. Right click HTTPS protocol, click Properties,
uncheck Web Proxy Filter.

Na dann, Viel Spass beim selber Testen!
CU

Advertisements

Posted in Edge, Fehler, Forefront | Verschlagwortet mit: , , , , | Leave a Comment »

ISA2006 TMG Migration Guide

Posted by JoergS - 7. Dezember 2009

Hi,

die TMG experten von Microsoft, Jim und Mohit, geben im Webcast ISA to TMG Migration Guidance auf Technet Edge Tipps zur Migration vom ISA Server 2004 oder 2006 zum Forefront Threat Management Gateway 2010.

image

Microsoft’s TMG experts Jim and Mohit, give us essential information about how to migrate over to Forefront Threat Management Gateway from ISA 2004 or 2006. Jim starts out by giving us various supported migration scenarios and at [13:38], Mohit steps in and walks us through typical steps for migration. At end they provide some general tips on your migration.

Der ISA to TMG Migration guide im Microsoft TechNet Portal beschreibt auch diese Szenarien.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Forefront, TechNet | Verschlagwortet mit: , , , , , | Leave a Comment »

Demo Umgebung Part 7 Windows Server 2008 TS Web Access Publishing mit ISA Server 2006

Posted by JoergS - 25. September 2009

Hi,

wie schon in meinen letzten 6 Artikeln meiner Demo Umgebung nun mein nächster Artikel.

Dieses mal zum Thema Windows Server 2008 Terminal Services Web Access (TS Web Access) Publishing mit ISA Server 2006, womit ich von extern per Browser über HTTPS eine RDP Verbindung auf die Server meiner bestehende Demo Umgebung auch von außer Testen kann oder per Remote Sogar nur einzelne Anwendungen starten kann.

Als erstes bereite ich den Windows Server 2008 (R2) mit der Terminal Services Rolle auf seine Aufgabe vor, d.h. die TS Rolle installieren und dafür den Role Service TS Web Access auswählen. Als Abhängige Rolle muss dazu auch der Webserver IIS mit installiert werden.

Zunächst erstelle ich mir ein SSL-Zertifikat für den externen DNS Namen (ts.demolocal.de) oder beantrage es von einer 3rd Party Zertifizierungsstelle (CA) (z.B. Thawte oder Verisign). Da es sich bei mir nur um Demo handelt erstelle ich ein internes Webserver Zertifikat, was meine interne Demo RootCA ausstellt und signiert. Dieses SSL-Webserver muss man dann in den internen Zertifikatsspeicher des ISA Server importieren und zwar in “Eigenen Zertifikate” des Computers (!), nicht des Benutzers. Natürlich sollte im Zertifikatsstore “Vertrauenswürdige Zertifizierungsstellen” das RootCA Zertifikat des internen CA liegen.

Nun folgt als nächstes die Erstellung des TS Web Access HTTPS Listeners. Man vergibt einen Namen z.B. TSWA HTTPS Listener und wählt “Require SSL secured connections with clients” aus. Auf der nächsten Seite wählt man die externe IP aus, auf die der ISA Server HTTPS anfragen zu TSWA entgegen nehmen soll und weißt dem Listener, als nächstes das eben erstellte SSL-Webserver Zertifikat zu. Als Letztes wählt man noch die als Authentication Settings “No Authentification” aus. Somit erhält man beim Aufruf der TSWA Seite eine Anmeldebox zur Eingabe von Usernamen und Passwort, natürlich alles über SSL (HTTPS) abgesichert. Single Sign On (SSO) kann man nicht aktiviern, weil man auf dem Listener ja keine Authentifizierung eingeschaltet hat.

Jetzt erstelle ich erst die eigentliche TSWA Publishing Rule ebenso wie im Listener wähle ich auch hier “Use SSL to connect to published Web Server” aus und definiere auf der nächsten Seite meinen internen Terminal Server mit FQDN, also ts1.demo.local. Auf der nächsten Seite definiere ich den externen DNS Namen unter dem ich TSWA erreichen möchte, welche natürlich derselbe wie im zuvor ausgestellten SSL-Zertifikat (ts.demolocal.de) sein muss. Nun folgt die Auswahl des zuvor angelegten TSWA HTTPS Listeners, welche auch gleicht prüft, ob der DNS Name mit dem SSL-Zertifkat übereinstimmt. Nun folgt noch die Auwahl der Authentifizierungsmethode, “No Authentication Delegation, but Client can authenticate directly”. Wer jetzt Angst hat dass dann ja die Kennwort in Klartext übermittelt werden, brauch an dieser Stelle keine Angst haben, denn die Verbindung ist ja per SSL (HTTPS) verschlüsselt. Als letztes sucht man noch die Gruppe der User aus, die sich per ISA anmelden und TSWA nutzen darf, in der Regel sind das nur "Authentifizierte User” oder eine spezielle TSWA-Gruppe.

Nun kann man per Browser in TSWA auf seine Terminal Server oder Terminal Services Applikationen zugreifen!

Hier noch ein paar Impressionen zu Windows Server 2008 TS Web Access Publishing mit ISA Server 2006:

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Forefront, Windows Server 2008 | Verschlagwortet mit: , , , , , | Leave a Comment »

Demo Umgebung Part 6 Exchange 2007 OWA Publishing mit ISA Server 2006

Posted by JoergS - 24. September 2009

Hi,

wie schon in meinen letzten 5 Artikeln meiner Demo Umgebung nun mein nächster Artikel.

Dieses mal zum Thema Exchange 2007 Outlook Web Access (OWA) Publishing mit ISA Server 2006, womit ich von extern per Browser über HTTPS meine bestehende Demo Umgebung auch von außer Testen kann für Mail Verkehr.

Als erstes bereite ich den Exchange 2007 mit der CAS-Server Rolle auf seine Aufgabe vor, OWA Verbindungen anzunehmen. Dazu wählt man in der Exchange Management Console die “Server Configuration” und dort “Client Access”. Gleich auf der ersten Registerkarte steht OWA, was man mit der rechten Maustaste und “Properties” konfiguriert. So muss man eine URL eingegeben und die Authentifizierungsmethode z.B. “Form-based Authentification” auswählen. Weiterhin kann man noch den Zugriff auf OWA Elemente oder den Zugriff von öffentlichen/privaten Computern einschränken bzw. auch den Zugriff auf Remote File Sharing Server zulassen bzw. verweigern.

Zunächst erstelle ich mir ein SSL-Zertifikat für den externen DNS Name oder beantrage es von einer 3rd Party Zertifizierungsstelle (CA) (z.B. Thawte oder Verisign). Da es sich bei mir nur um Demo handelt erstelle ich ein internes Webserver Zertifikat, was meine interne Demo RootCA ausstellt und signiert. Dieses SSL-Webserver muss man dann in den internen Zertifikatsspeicher des ISA Server importieren und zwar in “Eigenen Zertifikate” des Computers (!), nicht des Benutzers. Natürlich sollte im Zertifikatsstore “Vertrauenswürdige Zertifizierungsstellen” das RootCA Zertifikat des internen CA liegen.

Nun folgt als nächstes die Erstellung des OWA HTTPS Listeners. Man vergibt einen Namen z.B. OWA HTTPS Listener und wählt “Require SSL secured connections with clients” aus. Auf der nächsten Seite wählt man die externe IP aus, auf die der ISA Server HTTPS anfragen zu OWA entgegen nehmen soll und weißt dem Listener, als nächstes das eben erstellte SSL-Webserver Zertifikat zu. Als Letztes wählt man noch die als Authentication Settings “Form-based Authentication” mit Active Directory aus. Somit erhält man beim Aufruf der OWA Seite ein Exchange 2007 Anmeldeformular zur Eingabe von Usernamen und Passwort, natürlich alles über SSL (HTTPS) abgesichert. Single Sign On (SSO) aktiviere ich nicht, da ich es in meinem Szenario nicht benötige.

Jetzt erstelle ich erst die eigentliche OWA Publishing Rule und wähle meine Exchange Server Version 2007 und “Publish single Web site” aus. Ebenso wie im Listener wähle ich auch hier “Use SSL to connect to published Web Server” aus und definiere auf der nächsten Seite meinen internen Exchange Server mit FQDN, also Ex07.demo.local. Auf der nächsten Seite definiere ich den externen DNS Namen unter dem ich OWA erreichen möchte, welche natürlich derselbe wie im zuvor ausgestellten SSL-Zertifikat sein muss. Nun folgt die Auswahl des zuvor angelegten OWA HTTPS Listeners, welche auch gleicht prüft, ob der DNS Name mit dem SSL-Zertifkat übereinstimmt. Nun folgt noch die Auwahl der Authentication Delegation, “Basic (HTTP)”. Wer jetzt Angst hat dass dann ja die Kennwort in Klartext übermittelt werden, brauch an dieser Stelle keine Angst haben, denn die Verbindung ist ja per SSL (HTTPS) verschlüsselt. Als letztes sucht man noch die Gruppe der User aus, die sich per ISA anmelden und OWA nutzen darf, in der Regel sind das nur "Authentifizierte User” oder eine spezielle OWA-Gruppe.

Nun kann man per Browser in OWA seine E-Mails von jedem Rechner der Welt auch einsehen und verschicken!

Hier noch ein paar Impressionen des ISA 2006 OWA Publishing:

Na dann, Viel Spass beim selber Testen!
CU

Posted in Edge, Exchange, Forefront | Verschlagwortet mit: , , , , | Leave a Comment »

Demo Umgebung Part 5 ISA 2006 DNS Publishing

Posted by JoergS - 23. September 2009

Hi,

wie schon in meinen letzten 4 Artikeln meiner Demo Umgebung nun mein nächster Artikel.

Dieses mal zum Thema DNS Server Publishing mit ISA Server 2006, womit ich einen von extern erreichbaren DNS Server habe mit dem ich meine bestehende Demo Umgebung auch von außer Testen kann, z.B. für OWA usw.

Als erstes habe ich dazu eine neue Primäre DNS Zone auf meinem internen DNS Server angelegt (man sollte natürlich den extern erreichbaren DNS in eine DMZ stellen!). Die vorhandene intern Zone hört auf “demo.local”. Die neue primäre Zone, welche von mir angelegt wurde heißt “demolocal.de”, ist NICHT Active Directory integriert und erlaubt auch keine Dynamischen Updates. Mit den gleichen Einstellungen habe ich eine neue Primäre Reverse Lookup Zone eingerichet und einem IP-Subnetz ausgestattet, was extern erreichbar ist.

Als nächstes habe ich gleich noch Host Records für mail, owa und ts angelegt.

Nun geht es auf den ISA 2006 und zur Erstellung einer “Non-Web Server” Publishing Rule. Man vergibt einen Namen, bei mir “DNS Publishing external” und geht weiter zur Eingabe der IP des zu veröffentlichten DNS Servers an sowie das Protokoll “DNS-Server” (TCP Port 53 inbound und UDP Port 53 Recieve Send) und wählt den die externe IP des aus auf dem der ISA Server auf DNS Anfragen lauschen soll.

Dann kann man auch schon von extern die Namen auflösen, wie z.B. owa.demolocal.de oder mail.demolocal.de usw.

Hier noch ein paar Impressionen des DNS Server Publishing mit ISA Server 2006:

Na dann Viel Spass beim selber Testen!
CU

Posted in Edge, Forefront | Verschlagwortet mit: , , , | Leave a Comment »

ISA 2006 Exchange 2007 Publishing per ASDL (fester IP)

Posted by JoergS - 15. August 2009

Hi,

ein Kunde hatte ein Problem mit seinem ISA 2006 und den Exchange 2007 Publishing Rules für OWA, Outlook Anywhere (RPC over HTTPS) und Active Sync. Der ISA ist per ASDL, aber mit fester IP ans Internet angebunden.

Er hatte spezielle das Problem, dass man sich nach einigen Stunden per RDP am ISA anmelden oder den ISA durchstarten musste.

Nach einigem Troubleshooting haben wir heraus gefunden, dass der HTTPS Listener über den alle 3 Exchange 2007 Publishing Rules laufen, nach einigen Stunden den Dienst einstellt. Das liegt an der Automatischen Trennung und Einwahl (alle 24 Stunden).

Als Workaround kann man die ISA Dienste (alle 24 Stunden) neustarten.

Als Problemhebung hilft nur eine “richtige” feste IP Adresse, also ein kleines Netzwrk mit z.B. 5 Adressen oder man muss einen DSL Router die ADSL Einwahl erledigen lassen und den ISA als Back-Firewall einsetzen. Dann muss der ADSL Router aber auch ggf. ALLE Ports durchlassen (In- wie Outbound), was bei VPN Verbindungen, wie IPsec oder L2TP-IPsec zum Problem werden könnte.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Forefront, Probleme | Verschlagwortet mit: , , | 3 Comments »

Microsoft Patchday August 2009

Posted by JoergS - 11. August 2009

Hi,

heute war wieder Microsoft Patchday! 9 Updates schließen damit die 19 Sicherheitslücken. Betroffen sind folgende Applikationen:

  • Microsoft Office XP
  • Microsoft Office 2003
  • Microsoft Office 2000 Web Components
  • Microsoft Office Small Business Accounting 2006
  • Microsoft Visual Studio .NET 2003
  • Microsoft Internet Security and Acceleration Server 2004 and 2006
  • Microsoft BizTalk Server 2002
  • Client for Mac
  • Microsoft .NET Framework

Betriebssysteme sind diese betroffen:

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2 and Service Pack 3 *
  • Windows Server 2003 (32bit, 64bit and Itanium-based systems)
  • Windows Server 2008 (32bit, 64bit and Itanium-based systems)
  • Windows Vista *
  • Windows Vista Service Pack 1 and Service Pack 2 *

Microsoft Security Bulletin Summary für August 2009

KB957638: Sicherheitsanfälligkeiten in Microsoft Office Web Components können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt mehrere vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office Web Components, die Remotecodeausführung ermöglichen können, wenn ein Benutzer eine speziell gestaltete Webseite anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB970927: Sicherheitsanfälligkeiten in Remotedesktopverbindung können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft-Remotedesktopverbindung. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer von Terminaldiensten erfolgreich dazu verleitet, eine Verbindung zu einem schädlichen RDP-Server herzustellen, oder wenn ein Benutzer eine speziell gestaltete Website besucht, die diese Sicherheitsanfälligkeit ausnutzt. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB969883: Sicherheitsanfälligkeiten in WINS können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten im Windows Internet Name Service (WINS). Jede der beiden Sicherheitsanfälligkeiten kann eine Remotecodeausführung ermöglichen, wenn ein Benutzer auf einem betroffenen System, das den WINS-Dienst ausführt, ein speziell gestaltetes WINS-Replikationspaket empfängt. Standardmäßig ist WINS bei keiner Version der betroffenen Betriebssysteme installiert. Nur Benutzer, die diese Komponente manuell installieren, sind von diesem Problem betroffen.

KB971557: Sicherheitsanfälligkeiten bei der Verarbeitung von Windows Media-Dateien können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in der Verarbeitung von Windows Media-Dateien. Jede dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete AVI-Datei öffnet. Wenn ein Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB973908: Sicherheitsanfälligkeiten in der Microsoft Active Template Library (ATL) können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt mehrere vertraulich gemeldete Sicherheitsanfälligkeiten in der Microsoft Active Template Library (ATL). Die Sicherheitsanfälligkeiten können eine Remotecodeausführung ermöglichen, wenn ein Benutzer speziell gestaltete Komponenten oder Steuerelemente lädt, die auf einer schädlichen Website gehostet werden. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB971657: Sicherheitsanfälligkeit im Arbeitsstationsdienst kann Erhöhung von Berechtigungen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Windows-Arbeitsstationsdienst. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer eine speziell gestaltete RPC-Nachricht erstellt und an ein betroffenes System sendet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Ein Angreifer muss über gültige Anmeldeinformationen für ein betroffenes System verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Die Sicherheitsanfälligkeit kann nicht von anonymen Benutzern ausgenutzt werden.

KB971032: Sicherheitsanfälligkeit beim Message Queuing kann Erhöhung von Berechtigungen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Windows Message Queuing-Dienst (MSMQ). Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer eine speziell gestaltete Anforderung an einen betroffenen MSMQ-Dienst erhalten hat. Standardmäßig wird die Komponente Message Queuing nicht unter betroffenen Betriebssystemversionen installiert und kann nur von einem Benutzer mit Administratorberechtigungen aktiviert werden. Nur Kunden, die die Message Queuing-Komponente manuell installieren, können für dieses Problem anfällig sein.

KB970957: Sicherheitsanfälligkeit in ASP.NET in Microsoft Windows kann Denial-of-Service ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit bezüglich Denial-of-Service in der Microsoft .NET Framework-Komponente in Microsoft Windows. Diese Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn Internet Information Services (IIS) 7.0 installiert und ASP.NET so konfiguriert ist, dass auf den betroffenen Versionen von Microsoft Windows der integrierte Modus verwendet wird. Ein Angreifer könnte speziell gestaltete anonyme HTTP-Anforderungen erstellen, die dazu führen können, dass der betroffene Webserver erst wieder reagieren kann, wenn der zugeordnete Anwendungspool neu gestartet wird. Benutzer, die IIS-7.0-Anwendungspools im klassischen Modus ausführen, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

KB960859: Sicherheitsanfälligkeit in Telnet kann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit im Microsoft Telnet-Dienst. Die Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, Anmeldeinformationen zu erhalten und sich damit bei betroffenen Systemen anzumelden. Der Angreifer erlangt dann auf einem System Benutzerrechte, die mit denen des angemeldeten Benutzers identisch sind. Dieses Szenario kann letzten Endes zu Remotecodeausführung auf betroffenen Systemen führen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Natürlich wurden auch die Junk-E-Mail-Filter von Outlook und Windows Mail und das Tool zum Entfernen bösartiger Software aktualisiert.

Ebenfalls wird über Windows Update das Security Update für Windows 7 Release Candidate (KB973540) verteilt!

Na dann, Viel Spass beim selber Testen!
CU

Posted in Office, Patchday, Windows Home Server, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP | Verschlagwortet mit: , , , , , , , , , , | Leave a Comment »

Demo Umgebung Part 2 Forefront Client Security

Posted by JoergS - 7. August 2009

Hi,

nach meinem 1. Arikel mit Forefront TMG Impressionen und der Vorstellung meiner “kleinen” Demo Umgebung hier der nächste Artikel und Impressionen zu meiner Forefront Client Security Installation.

Nach dem ich auf meinem Notebook mit Windows Server 2008 R2 RC schon die Hyper-V Rolle und 2 VM´s (W2K8 R2 RC DC & Forefront TMG Beta 3 auf W2K8 R2 RC) installiert hatte, baute ich mir einen Windows Server 2003 R2 SP2 Grundimage, welches ich dann nach dem SysPrep nicht mehr benutzte, sondern eine Differential Disk anlegte und dort dann den Rest der Installation/Konfiguration vollzog.

Als Vorbereitung zur Installation von Forefront Client Security muss der Server 2003 folgende Punkte erfüllen:

  1. ein IIS + ASP.NET (Microsoft .NET Framework ab 2.0)
  2. Microsoft SQL Server 2005 Enterprise Edition oder Standard Edition mit Service Pack 1 Einschließlich: Datenbankdienste, Reporting Services, Arbeitsstationskomponenten und Integration Services
  3. Microsoft Management Console 3.0
  4. Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 (dazu ist ggf. das .NET1.0 bzw. 1.1 notwendig)
  5. Windows Server Update Services 2.0 mit Service Pack 1 oder Windows Server Update Services 3.0

Also habe ich erst mal per Microsoft Update das .NET Framework 3.5 installiert. Danach den IIS mit ASP.NET über die Systemsteuerung / Software, die MMC 3.0 ist ja schon mit im R2 von Server 2003 mit drin. Zusätzlich muss man die GPMC SP1  installieren, da die Forefront Security Policys per Gruppenrichtlinien (GPO´s bereitgestellt werden).

Jetzt folgte die Installation eines SQL Server 2005 in der Standart Edition, danach sofort das Service Pack 3 für SQL2005.

Nach kurzer Konfiguration (Zulassen von Remote Verbindungen, Änderung der Standart Datenbank Speicherpfade usw.) installierte ich dann gleich die WSUS 3 SP2 Version von Microsoft Download Center.

Der WSUS 3 kann natürlich auch auf einem anderem Server laufen oder man kann auch den in System Center Essentials integrierten WSUS 3 nutzen, ganz wie man möchte.

Wichtig noch zur Vorbereitung auf das Forefront Client Security Setup ist das WSUS 3 sich gesynct hat und somit auch ALLE aktuellen Produkte kennt. Desweiteren kann man die Gelegenheit auch gleich nutzen um eine Auto-Approval Regeln für Produkte Forefront Client Security und Bedingung Definition Update erstellen, damit die Clients über den WSUS immer die aktuellen Malwaredefinitionen erhalten. Also am besten vor dem FCS Setup nochmal den WSUS manuell syncen lassen.

Hier die WSUS 3 SP2 Screenshots dazu (noch mit der RC Version):

Erst jetzt konnte ich das Setup von Forefront Client Security starten. Nach dem obligatorischen Eintragen von Name & Firma, dem sorgfältigen Lesen der Lizenzbestimmungen steht man vor der WICHTIGEN Auswahl der Installationstopologie. Dazu sollte man sich den Planungsguide für Forefront Client Security auf TechNet durchlesen und seinen Anforderungen definieren und dagegen abwägen. In meiner kleiner Test/Demo Umgebung kann ich ALLE 4 Rollen (Management, Collection, Collection Database & Reporting Server) auf einer Maschine (VM) installieren. Die Distribution Server Rolle installiere ich NICHT mit, da dahinter ein WSUS 2 steckt und ich ja schon einen WSUS 3 als Vorbereitung installiert habe.

Je nach Topologie richten sich auch die Hardwareanforderungen an den 1 oder mehreren Servern. Bei der 1 Server Topologie hätte Forefront Client Security gerne einen Dual-Core-Prozessor mit 2,85 GHz oder höher besser 2 Prozessoren Min.  1 besser 4 GB Arbeitsspeicher und min. 30 GB besser mehr Platz auf dem Datenbank- und Logvolume.

Als Mgmt Server wurden nur Windows Server 2003 in der x86 Edition unterstützt, ebenfalls wie SQL Server 2005 als Datenbankserver. Windows Server 2003 x64, Windows Server 2008 x86 & x64 werden NUR als Clients unetrstützt NICHT als Mgmt Server Plattform. Support für SQL Server 2008 wird event. mit einem weiteren Service Pack nachgeliefert.

Nach der Auswahl der Installationstopologie folgt die Angabe des Collection Server´s sowie der Name der späteren ManagementGroup & des DAS Account´s (Zugriff auf die Collection Database auf dem Collection DB Server). Dieser Account muss ein Domain Account sein und sollte in der DB Später auch Schreibrechte besitzen. Als nächstes folgt die Definition der Collection Database (Name: Onepoint). Hier muss ein DB Name und eine Größe definiert werden. Standart sind hier 15 GB. Es MUSS also auf dem Volume wo Forefront Client Security installiert werden min 20-30 GB freier Speicherplatz vorhanden sein oder man hat dafür in seinem SQL Server 2005 entsprechende Datenbank Pfade definiert, die nicht auf dem System Volume sondern ganz nach Best Practice die Datendateien auf einem Volume und die Logdateien auf einem Volume getrennt. Ebenfalls muss hier wieder Domain User definiert werden, welche SQL Server Rechte zum Erstellen einer DB haben muss, man kann aber auch den DAS User wieder nutzen, diesen sollte man dann zur SQL Server Admin Rolle hinzufügen, ebenfalls sollte der User natürlich zur Installation auch lokale Adminrechte auf dem Server haben! Danach definiert man die Reporting Datenbank (Name: SystemCenterReporting, Standart 1GB) inkl. des Reporting User´s welcher wieder ein Domain Account sein muss. Auch hier kann man wieder den DAS Account nutzen. Im nächsten Schritt definiert man die URL´s des SQL Server Reporting Servers, man nimmt aber am besten die Standart´s. Jetzt folgt der Action Account unter dem später Aktion, wie Scan´s usw. auf den Server & Clients durchgeführt werden können. Man sollte also einen Domänen User definieren und der Gruppenrichtlinien zum lokalen Admin auf allen Servern & Clients machen. Zum Schluss legt man noch den Installationspfad der Forefront Client Security Binary´s fest.

Es folgt die Überprüfung der Hard- & Softwarevorraussetzungen und angaben zu den User Accounts, Datenbank Eigenschaften und Reporting URL´s die man zuvor definiert hat. ACTUNG: Die Default Web Site (Standartwebsite) des IIS darf zu dem Zeitpunkt des FCS-Checks/der FCS-Installation KEIN SSL Zertifikate zugewiesen haben, sonst erhält man den Fehler das http://servername/reportserver und http://servername/reports nicht verfügbar sind! Danach folgt die Installation. Aus einem Problem, welches ich mal bei einer Installation hatte sollte man sicherstellen, das die temp. Verzeichnisse (C:\temp, C:\Windows\temp, %userprofile%\lokale einstellungen\temp, usw.) alle möglichst leer sind!

Nach der erfolgreichen Installation von Forefront Client Security hat man auch gleich das Icon von Forefront Client Security im Systray, welches orange ist weil noch keine aktuellen Definition geladen wurden. Das sollte aber einen nicht stören, denn man startet die Forefront Client Security Management Console und führt die initiale Konfiguration von Forefront Client Security durch. Das sind Collection & Collection Database Server sowie Management Group Name. Dann noch die Angabe des SQL Server Reporting User´s und der Reporting URL´s. Jetzt hat man es geschafft und kann neuen Policy´s definieren.

Die Policy´s habe ich meist nach OU´s definiert und an eben diese gelinkt. Das ist auch der Grund für die Installation der GPMC. Forefront Client Security erstellt GPO´s und linkt diese an Domänen, Security Groups, OUs oder Sites. Ich habe zuerst mal eine Policy für meine DC erstellt und die üblichen Einstellungen wie Schutzlevel, Scanzeitpunkt nach Viren und Scanzeitpunkt für die Security Level Prüfung gemacht. Unter dem Advanced Tab finden sich dann die für Domain Controller  wichtigen Auschlüsse (aber auch SQL, MOSS, WSS & Exchange usw.). Overrides (für falsche erkannte Malware) musste ich bis jetzt noch nie definieren. Auf dem Reporting Tab stellt man noch das Log Level sowie event. einen Proxy ein falls man mit seinem Ergebnissen anonym am Spynet Netzwerk teilnehmen möchte.

Nun hat man eine Forefront Client Security Policy definiert und klickt auf Deploy oder Bereitstellen und verküpft die Policy mit einer Domain, OU, Gruppe oder Site. In der Policy, welche ja eine Gruppenrichtlinien (GPO) ist werden dann die Einstellungen auf die Clients & Server gebracht. Das Deployment des Forefront Client Security Agent & Scanners erfolgt ebenfalls über diese Policy. In der GPO die dadurch erzeugt wurde ist in der Computerkonfiguration und Software das Forefront Packet hinterlegt und installiert sich somit ohne weiteres Zutun des Anwenders oder Admin´s. Alternativ kann man von Codeplex auch die Forefront Client Security Tools runterladen, welche bei der nicht unwichtigen Deinstallation der alten/anderen Anti-Viren Lösung unterstützen.

Als Clients (Server & Clients) werden unterstützt:

  • Microsoft Windows® 2000 Server mit Service Pack 4 (SP4) und Update-Rollup 1
  • Windows XP Professional mit Service Pack 2 (SP2) oder höher (x64 Editions )
  • Windows Server 2003 mit SP1 oder höher (auch x64 Editions)
  • Windows Vista™ Business, Enterprise oder Ultimate (x64 Editions)
  • [UPDATE:] ab 31.08.09 werden auch Windows 7 und Windows Server 2008 R2 untertsützt![/UPDATE]

Auf dem Mgmt Server wird auch ein Microsoft Operations Manager 2005 installiert, über den die Verwaltung der Clients passiert. Dazu wird auf dem Client (& Server) auch ein MOM 2005 Agent installiert.

Auf dem Client arbeiten neben dem MOM Agent 2 Forefront Dienste. Der Microsoft Forefront Anti-Malware Service, der eigentliche “Virenscandienst” und der Microsoft Forefront State Assessment Service, der das Reporting an der Mgmt Server übernimmt und nicht nicht Malware, sondern auch fehlende Updates eine nicht konfigurierte Firewall oder zuviele lokale Administratoren als Warnung in den Forefront Reports anzeigt. Eine ganzheitliche Securitylösung also, die nicht nur Anti-Viren/Malware Schutz wahrnimmt.

In der Forefront vNEXT Version “Stirling” wird dieser Ansatz noch fortgesetzt, in dem z.B. das TMG einen Malware Download erkennt und der Forefront Stirling Mgmt Server, sofern in einer Policy definiert, sofort Gegenmassnahmen wie Updates, Manuelle Scan´s oder sogar Ausschluss des möglichen Malware Rechners aus dem Netzwerk (z.B. über NAP Integration) reagiert

Hier dann die Forefront Client Security Screenshots:

Na dann, Viel Spass beim selber Testen!
CU

Posted in Client Security, Forefront, Virenscanner | Verschlagwortet mit: , , , , , | 1 Comment »

Microsoft Patchday Juli 2009

Posted by JoergS - 14. Juli 2009

Hi,

heute war wieder Microsoft Patchday! 6 Updates schließen damit die Sicherheitslücken in DirectShow, das Video-ActiveX-Control, die Windows-Schriftenkomponente Embedded OpenType Font Engine,  Virtual PC, Virtual Server, Office 2007 und den ISA Server 2006.

Microsoft Security Bulletin Summary für Juli 2009

KB961371 Sicherheitsanfälligkeiten im Embedded OpenType-Schriftartmodul können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in der Microsoft Windows-Komponente des Embedded OpenType (EOT)-Schriftartmoduls. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann von einem Remotestandort aus vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB971633: Sicherheitsanfälligkeit in Microsoft DirectShow kann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft DirectShow. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete QuickTime-Mediendatei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB973346: Kumulatives Sicherheitsupdate von ActiveX-Kill Bits
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Microsoft Video-ActiveX-Steuerelement. Wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt und das ActiveX-Steuerelement verwendet wird, kann diese Sicherheitsanfälligkeit Remotecodeausführung ermöglichen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

KB969856: Sicherheitsanfälligkeit in Virtual PC und Virtual Server kann Erhöhung von Berechtigungen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Virtual PC und Microsoft Virtual Server. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code ausführen und vollständige Kontrolle über ein betroffenes Gastsystem erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

KB970953: Sicherheitsanfälligkeit in Microsoft ISA Server 2006 kann Erhöhung von Berechtigungen verursachen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Internet Security and Acceleration (ISA) Server 2006. Die Sicherheitsanfälligkeit kann die Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer erfolgreich ein Benutzerkonto mit Administratorberechtigungen für einen ISA Server nachahmt, das für Radius-Einmalkennwort-Authentifizierung und Authentifizierungsdelegierung mit eingeschränkter Kerberos-Delegierung konfiguriert ist.

KB969516: Sicherheitsanfälligkeit in Microsoft Publisher kann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office Publisher, die Remotecodeausführung ermöglichen kann, wenn ein Benutzer eine speziell gestaltete Publisher-Datei öffnet. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Benutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Na dann, Viel Spass beim selber Testen!
CU

Posted in Internet Explorer, Office, Patchday, Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP | Verschlagwortet mit: , , , , , , , , , , | Leave a Comment »

 
%d Bloggern gefällt das: