Category Archives: Server

SCEP 2012 is running in my Office

Posted on by

Hallo Leutz,

momentan beschaeftige ich mich fuer einige Kundenimplementierungen im Jahr 2012, sowie fuer einen SCEP 2012 Vortrag im Februar 2012 bei der WinONE in Muenchen intensivst mit SCEP 2012 (System Center Endpoint Protection 2012), dem Nachfolger der Forefront Endpoint Protection 2010. Dazu habe ich heute meinen FEP 2010 Server mit SCCM 2007 R2 um eine Installation von SCCM 2012 und SCEP 2012 erweitert und in diesem Rahmen alle nicht Domaenen PC meiner Bueroumgebung von FEP 2010 auf SCEP 2012 upgedatet. Insgesamt laufen jetzt 7 verschiedene physikalische Server (u. a. meine Firewalls) und Clients (Netbook, Notebooks) mit SCEP 2012 in einer nicht durch SCCM gemanagten Umgebung :-). Sogar mein Windows 8 Netbook hat den SCEP 2012 Client geschluckt. Hier musste ich die Anwendungskompatibilitaet auf Windows XP SP2 stellen, damit der SCEP 2012 Client installiert und der FEP 2010 Client deinstalliert werden konnte.

Erste Informationen von mir zu SCEP 2012: http://www.it-training-grote.de/download/SCEP2012.pdf

Des weiteren arbeite ich gerade an einer Migrationsanleitung von FEP 2010 zu SCEP 2012, sowie einer Anleitung fuer eine SCEP 2012 Neuinstallation, welche in den naechsten 2-3 Wochen veroeffentlicht wird.

Happy SCEPing 🙂

Gruss Marc

Publishing Microsoft Sharepoint 2010 mit Forefront TMG – Authentifizierungsoptionen

Posted on by

Hallo Leutz,

Forefront TMG und Microsoft Sharepoint Server 2010 stellen eine Vielzahl an Authentifizierungsoptionen zur Verfuegung:
NTLM/Negotiate/Kerberos (KCD)/Basic Authentication/FBA/SSL Client Certificates / SSO

Wie man diese unterschiedlichen Authentifizierungsoptionen in Verbindung mit Microsoft Sharepoint Server 2010 und Forefront TMG nutzen kann, steht in folgendem Bilderbuch: http://www.it-training-grote.de/download/Sharepoint2010-TMG-Auth.pdf

Gruss Marc Grote

Speaker bei der WINone Konferenz zu Windows Server 2012 und SCVMM 2012

Posted on by

Hallo Leutz,

vom 01-03.02.2012 findet die WINone Konferenz in Aschheim-Dornach bei Muenchen statt, welche sich mit vielen Vortraegen und Workshops rund um das Thema Windows Desktop- und Servertechnologien beschaeftigt. Ich habe die Ehre folgende Vortraege halten zu duerfen:

Titel: System Center Endpoint Protection (SCEP) 2012
Abstrakt: In diesem Vortrag werden anhand einer Demoumgebung die neuen Funktionen des Forefront Endpoint Protection (FEP) 2010 Nachfolger SCEP 2012 gezeigt. Nach einem kurzen Ueberblick in die neuen Funktionen des System Center Configuration Manager (SCCM) 2012, wird auf die Implementierung der Microsoft Endpoint Protection gegen Viren und Malware eingegangen. Schwerpunkt des Vortrags ist die Administration von SCEP, der Verteilung der Antimwalwareclients und des SCEP Reportings sowie Best Practices der SCEP-Verwaltung.

Titel: Neuerungen in SCVMM 2012
Abstrakt: In diesem Vortrag werden alle relevanten technischen Neuerungen von System Center Virtual Machine Manager 2012 anhand einer Demoumgebung mit einem Windows Server 2012 Hyper-V Host aufgezeigt oder theoretisch erlaeutert. Schwerpunkte sind die Neuerungen von SCVMM 2012 im Vergleich zu SCVMM 2008 R2. Zu den (wichtigsten) Neuerungen gehoeren: Fabric Management, Cloud Management, Self Service Portal und Resource Optimization. Abschluss des Vortrags bilden Migrationswege von SCVMM 2008 R2 zu SCVMM 2012.

Zusaetzlich biete ich einen Ganztagesworkshop zu folgendem Thema an:
Titel: Windows Server 2012 Hyper-V Failover Cluster mit SCVMM 2012
Abstrakt: In diesem Ganztagesworkshop wird die komplette Installation eines 2-Knoten Hyper-V 3.0 Cluster mit SCVMM 2012 praktiziert. Der Workshop beginnt mit der Installation von zwei Windows Server 2012 und der Einrichtung der Hyper-V 3.0 Rolle. Anschliessend wird die Windows Server 2012 Failover Cluster Rolle installiert
und nach Best Practices konfiguriert und anschliessend ein Hyper-V Cluster mit Anbindung an ein iSCSI SAN eingerichtet und in diesem Cluster ein Windows Client oder Server als hochverfuegbare VM eingerichtet. Auf Basis des eingerichteten Cluster werden dann zahlreiche Neuerungen von Hyper-V 3.0 praktiziert (Live Storage Migration, Hyper-V Replica und mehr). Abschluss des Ganztagesworkshops bildet die Einbindung des Hyper-V Clusters in eine SCVMM 2012 Installation. Es werden im Rahmen des Workshops dann noch einige Neuerungen von SCVMM 2012 gezeigt (sofern die Zeit es zulaesst).

Weitere Informationen findet Ihr hier: http://www.winone.at/munich/default.aspx

Gruss Marc

 

WMI Abfragen zu Forefront TMG erlauben

Posted on by

Hallo Leutz,

aufgrund einer Frage in dem deutschen Forefront Forum bin ich der Frage mal nachgegangen, warum WMI Abfragen zum TMG Server immer fehlschlagen. WMI verwendet RPC Abfragen und wer sich mit Firewalls auskennt, weiss, RPC ist aufgrund der Portdynamik so eine Sache. Ideen gibt es in der Community eine Menge, aber nicht immer funktioniert der WMI-Zugriff:
http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/fc1d2b2f-99f8-4032-a012-99094b638e76
http://www.paessler.com/knowledgebase/en/topic/1043-my-wmi-sensors-don-t-work-what-can-i-do

Forefront TMG verwendet einen eigenen RPC-Filter und kann auch DCOM/RPC filtern. Wie man TMG dazu bringen kann auf WMI-Anfragen zu hoeren seht Ihr hier:
http://www.it-training-grote.de/download/TMG-WMI.pdf

Gruss Marc

Das Ende von SSL 3.0 / TLS 1.0 – alles wird unsicher? – oder das BEAST erwacht

Posted on by

Hallo Leutz,

diesmal schreiben Karsten und Marc zusammen (J&J halt):
Seit einigen Tagen (theoretisch ja schon seit laengerer Zeit) kursieren Geruechte, das im Internet fast ausschliesslich verwendete SSL 3.0 / TLS 1.0 Protokoll zu „Hacken“. Jetzt ist es wohl das erste mal ernster geworden:
Quelle: TLS 1.0 (SSL Cookies) Hacking in 10 Minuten:
http://www.heise.de/newsticker/meldung/Tool-soll-SSL-Cookies-in-zehn-Minuten-knacken-1346257.html
Weitere Informationen zur “block-wise chosen-plaintext Attacke”:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.61.5887&rep=rep1&type=pdf

Auf diese Meldungen erreichten uns auch einige Kundenanfragen, wie mit der Problematik grundsaetzlich im Bereich Forefront TMG umzugehen sei. Ob TMG nun die hoeheren TLS-Versionen beherrscht und falls ja ob man diese auch einstellen soll. Dazu einen allgemeinen Ueberblick der Cipher Suiten in Forefront TMG:
https://www.carbonwind.net/blog/post/SSLTLS-usage-within-Forefront-TMG-2010.aspx

Webseiten, welche TLS 1.1 oder hoeher unterstuetzen:
http://blog.ivanristic.com/2011/09/ssl-survey-protocol-support.html

Wie man die Cipher Suiten in Windows einstellt:
„Alte“ OS: http://support.microsoft.com/kb/245030/en-us
„Neue“ OS: http://technet.microsoft.com/en-us/library/cc766285(WS.10).aspx

Nach diesen zahlreichen Informationen ueber die generelle Funktionsweise, die Frage, wie kann man sich mit Forefront TMG gegen moegliche zukuenftige Exploits schuetzen?: Die Loesung?:

Da die Crypto Funktionen alle ueber die CAPI (Crypto API – Schannel) von Windows gehandelt werden, durchlaufen alle Verschluesselungs-Operationen das Crypto Subsystem von Windows. Somit bedient sich auch Forefront TMG dieser Funktionen und kann per Regkey oder GPO so konfiguriert werden, dass nur bestimmte Cipher Suites akzeptiert werden. TLS 1.0 kann auf diese Weise komplett deaktiviert werden. Das Hauptproblem werden allerdings die Anwendungen und Browser sein, welche keine Verbindung mehr mit einem Webserver/Weblistener aufbauen koennen, wenn ein Server nur noch TLS 1.1 oder hoeher unterstuetzt. Die potentielle Gefaehrdung des TLS 1.0 Protokolls durch Exploits steht somit im Gegensatz zu den Clienteinstellungen der jeweiligen zugreifenden Systeme.
Das Publishen interner Ressourcen via Forefront TMG (Exchange-Webclients, MOSS, Dynamics) kann in bestimmten Umgebungen sicherlich durch Administratoren gesteuert werden, so es sich um Corporate-Clients handelt. Schwieriger koennte aber z.B. der Bereich „Pushmail“ mit einem Wildwuchs von Endgeraeten (Smartphones) darstellen.
Für die Umstellung auf hoehere TLS-Versionen werden keine neuen Zertifikate benötigt. Ebenfalls sind keine CNG (Cryptograhic Next Generation)-Zertifikate erforderlich, die aber momentan eh nicht von Forefront TMG unterstuetzt werden: Quelle: http://technet.microsoft.com/de-de/library/ee796231.aspx

Wie man die Cipher Suites per Gruppenrichtlinie einstellen kann:

Deaktivieren einiger Cipher Suites per Registrierungseditor:
http://support.microsoft.com/kb/187498

Wie kann man sich noch schuetzen, außer TLS 1.1 oder hoeher am Webserver einzustellen:
http://www.heise.de/ct/meldung/Erste-Loesungen-fuer-SSL-TLS-Schwachstelle-1349687.html
(Hinweis: RC4 einsetzen 🙂

UPDATE: Von Microsoft gibt es zwischenzeitlich auch einen Security Bulletin: http://technet.microsoft.com/en-us/security/advisory/2588513

Fazit: Forefront TMG unterstuetzt TLS 1.1 oder hoeher, weil das darunterliegende OS die Funktion mitbringt (Schannel). Ob nach der Umstellung alle Clients die angebotenen via Forefront TMG veroeffentlichten Services nach wie vor nutzen koennen ist momentan eher fraglich, da die breite Unterstuetzung im Wunderbaren Weltweiten Wildwuchs (WWW) (noch) nicht gegeben ist.

Gruss Karsten und Marc