Hallo Leutz,
Forefront Endpoint Protection 2010 (FEP) heisst in Zukunft System Center 2012 Endpoint Protection (SCEP):
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
Gruss Marc
Hallo Leutz,
Forefront Endpoint Protection 2010 (FEP) heisst in Zukunft System Center 2012 Endpoint Protection (SCEP):
http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection-2012.aspx
Gruss Marc
Hallo Leutz,
aufgrund einer Frage in dem deutschen Forefront Forum bin ich der Frage mal nachgegangen, warum WMI Abfragen zum TMG Server immer fehlschlagen. WMI verwendet RPC Abfragen und wer sich mit Firewalls auskennt, weiss, RPC ist aufgrund der Portdynamik so eine Sache. Ideen gibt es in der Community eine Menge, aber nicht immer funktioniert der WMI-Zugriff:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/fc1d2b2f-99f8-4032-a012-99094b638e76
http://www.paessler.com/knowledgebase/en/topic/1043-my-wmi-sensors-don-t-work-what-can-i-do
Forefront TMG verwendet einen eigenen RPC-Filter und kann auch DCOM/RPC filtern. Wie man TMG dazu bringen kann auf WMI-Anfragen zu hoeren seht Ihr hier:
http://www.it-training-grote.de/download/TMG-WMI.pdf
Gruss Marc
Hallo Leutz,
Forefront UAG sollte umgehend gepatched werden:
Weitere Informationen:
http://support.microsoft.com/kb/2544641
http://technet.microsoft.com/en-us/security/bulletin/ms11-079
Achtung: Das Update ist in UAG SP1 Update 1 enthalten:
http://www.microsoft.com/download/en/details.aspx?id=27604
Gruss Marc
Hallo Leutz,
Forefront TMG 2010 SP2 steht zum Download zur Verfuegung:
http://www.microsoft.com/download/en/details.aspx?id=27603
Liste der Aenderungen: http://support.microsoft.com/kb/2555840/en-us?sd=rss&spid=14873
Gruss Marc Grote
Hallo Leutz,
fuer die Oktober 2011 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zur Konfiguration von Forefront TMG als Secure Web Access geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de
Gruss Marc Grote
Hallo Leutz,
Part I beschreibt die Einrichtung des Windows Server 8 Cluster mit Live Migration
Part II beschreibt die Integration in SCVMM 2012
Hier geht es zum Bilderbuch: http://www.it-training-grote.de/download/hyperv-Win8-LiveMig-PartI.pdf
Gruss Marc
Hallo Leutz,
diesmal schreiben Karsten und Marc zusammen (J&J halt):
Seit einigen Tagen (theoretisch ja schon seit laengerer Zeit) kursieren Geruechte, das im Internet fast ausschliesslich verwendete SSL 3.0 / TLS 1.0 Protokoll zu „Hacken“. Jetzt ist es wohl das erste mal ernster geworden:
Quelle: TLS 1.0 (SSL Cookies) Hacking in 10 Minuten:
http://www.heise.de/newsticker/meldung/Tool-soll-SSL-Cookies-in-zehn-Minuten-knacken-1346257.html
Weitere Informationen zur “block-wise chosen-plaintext Attacke”:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.61.5887&rep=rep1&type=pdf
Auf diese Meldungen erreichten uns auch einige Kundenanfragen, wie mit der Problematik grundsaetzlich im Bereich Forefront TMG umzugehen sei. Ob TMG nun die hoeheren TLS-Versionen beherrscht und falls ja ob man diese auch einstellen soll. Dazu einen allgemeinen Ueberblick der Cipher Suiten in Forefront TMG:
https://www.carbonwind.net/blog/post/SSLTLS-usage-within-Forefront-TMG-2010.aspx
Webseiten, welche TLS 1.1 oder hoeher unterstuetzen:
http://blog.ivanristic.com/2011/09/ssl-survey-protocol-support.html
Wie man die Cipher Suiten in Windows einstellt:
„Alte“ OS: http://support.microsoft.com/kb/245030/en-us
„Neue“ OS: http://technet.microsoft.com/en-us/library/cc766285(WS.10).aspx
Nach diesen zahlreichen Informationen ueber die generelle Funktionsweise, die Frage, wie kann man sich mit Forefront TMG gegen moegliche zukuenftige Exploits schuetzen?: Die Loesung?:
Da die Crypto Funktionen alle ueber die CAPI (Crypto API – Schannel) von Windows gehandelt werden, durchlaufen alle Verschluesselungs-Operationen das Crypto Subsystem von Windows. Somit bedient sich auch Forefront TMG dieser Funktionen und kann per Regkey oder GPO so konfiguriert werden, dass nur bestimmte Cipher Suites akzeptiert werden. TLS 1.0 kann auf diese Weise komplett deaktiviert werden. Das Hauptproblem werden allerdings die Anwendungen und Browser sein, welche keine Verbindung mehr mit einem Webserver/Weblistener aufbauen koennen, wenn ein Server nur noch TLS 1.1 oder hoeher unterstuetzt. Die potentielle Gefaehrdung des TLS 1.0 Protokolls durch Exploits steht somit im Gegensatz zu den Clienteinstellungen der jeweiligen zugreifenden Systeme.
Das Publishen interner Ressourcen via Forefront TMG (Exchange-Webclients, MOSS, Dynamics) kann in bestimmten Umgebungen sicherlich durch Administratoren gesteuert werden, so es sich um Corporate-Clients handelt. Schwieriger koennte aber z.B. der Bereich „Pushmail“ mit einem Wildwuchs von Endgeraeten (Smartphones) darstellen.
Für die Umstellung auf hoehere TLS-Versionen werden keine neuen Zertifikate benötigt. Ebenfalls sind keine CNG (Cryptograhic Next Generation)-Zertifikate erforderlich, die aber momentan eh nicht von Forefront TMG unterstuetzt werden: Quelle: http://technet.microsoft.com/de-de/library/ee796231.aspx
Wie man die Cipher Suites per Gruppenrichtlinie einstellen kann:
Deaktivieren einiger Cipher Suites per Registrierungseditor:
http://support.microsoft.com/kb/187498
Wie kann man sich noch schuetzen, außer TLS 1.1 oder hoeher am Webserver einzustellen:
http://www.heise.de/ct/meldung/Erste-Loesungen-fuer-SSL-TLS-Schwachstelle-1349687.html
(Hinweis: RC4 einsetzen 🙂
UPDATE: Von Microsoft gibt es zwischenzeitlich auch einen Security Bulletin: http://technet.microsoft.com/en-us/security/advisory/2588513
Fazit: Forefront TMG unterstuetzt TLS 1.1 oder hoeher, weil das darunterliegende OS die Funktion mitbringt (Schannel). Ob nach der Umstellung alle Clients die angebotenen via Forefront TMG veroeffentlichten Services nach wie vor nutzen koennen ist momentan eher fraglich, da die breite Unterstuetzung im Wunderbaren Weltweiten Wildwuchs (WWW) (noch) nicht gegeben ist.
Gruss Karsten und Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die SCVMM 2008 R2 – SCOM 2007 R2 – PRO-Tipps Integration:
http://www.it-training-grote.de/download/SCVMM-SCOM-PRO.pdf
Gruss Marc
Hallo Leutz,
Forefront UAG DirectAccess funktioniert einwandfrei, nur der SAPGUI Client will sich nicht bei den DirectAccess Clients verbinden. Wie man das fixen kann, steht hier: http://www.it-training-grote.de/download/FF-UAG-DA-SAPGUI.pdf
Gruss Marc
Hallo Leutz,
folgendes Kundenszenario: Forefront UAG DirectAccess funktioniert einwandfrei, nur der Microsoft Lync Server Client will sich nicht bei den DirectAccess Clients verbinden. Der Lync Server wurde von der IT Abteilung auch ueber die TMG Server veroeffentlicht und der Kunde verwendet ein Split DNS Szenario mit dem selben oeffentlichen DNS Namensraum Intern und Extern. Loesung ist im DA Assistenten von Forefront UAG die NRPT (Network Name Resolution Table) so anzupassen, dass die fuer den Lync Server verwendeten Adressen nicht durch UAG DNS64 aufgeloest werden, sondern die DNS Namensaufloesung von dem oeffentlichen DNS ausgefuehrt wird, welche durch den ISP bei der Einwahl per UMTS/WLAN zugewiesen wird.
Hier geht es zum Screenshot der notwendigen Konfigurationsaenderung im Forefront UAG Server: http://www.it-training-grote.de/download/FF-UAG-DA-Lync.pdf
Gruss Marc