Archive for January 2008

Nyt Antivirus System

I forbindelse med en test-installation af Forefront Client Security, havde jeg den udfordring, at afinstallere det eksisterende Antivirus system.
FCS skulle rulles ud på en række Vista laptops, som benyttede AVG 7.5.
Jeg valgte at gøre det på følgende måde:

  • Disable services via en GPO for eksisterende Antivirus system (AVG 7.5 Client Security)
  • Deploy FCS og lade FCS og den inaktive AVG sameksistere en kort periode.
  • Afinstaller AVG via et startup eller logon script, konfigureret i en GPO.

For at disable AVG services fra en central GPO, skal man gøre følgende:
Start en MMC console på en lokal vista laptop, som har AVG installeret. Add “Security Templates”.
Højre musetast på profil templates og vælg “New Templates”.
Navngiv den nye Security Template.

 
Disable herefter alle AVG services.


Højre musetast på den nye AVG template og vælg “Save As”.

 

Opret en GPO som vi feks kan kalde AVGremove.
Kopier AVG.inf hen til en given GPMC Admin Vista Workstation og importer den nyoprettede template fra AVGremove GPO’en.
Når de enkelte Vista laptop’s starter vil alle AVG services bliver disablet.
Deploy herefter FCS til de ønskede Vista klienter. Nedenstående billede viser de to antivirus systemer, hvor AVG er inaktiv.

Lav til sidst et VBscript, hvor man via et GPO startup script afinstallere AVG.

‘Remove AVG – Startup Script
Dim wshShell
Set wshShell = WScript.CreateObject (“WSCript.shell”)
wshshell.run
“””C:Program FilesGrisoftAVG7setup.exe””” & “/UNINSTALL”, 1
set wshshell = nothing

Link ovenstående startup script til AVGremove GPO’en.

Konfiguration af Forefront Client Security

Efter jeg har grundinstalleret FCS, er det nu tid til, at konfigurere FCS og WSUS.
Se tidligere blog-post omkring installationen af FCS.
http://jravn.dk/?p=52

FCS konfiguration:
Start FCS console, som første gang automatisk åbner en “Configuration Wizard”.
Vi benytter en “one-server topology”, så servernavnet for alle rollerne vil være det samme.


Angiv den tidligere oprettet FCS account.


Angiv navn på Report server.

 
FCS konfigurationen verificeres og afsluttes.

 
Giv herefter FCS account’en db_owner rettigheder på SystemCenterReporting databasen.
Start SQL Server Management Studio og udfold database – SystemCenterReporting – Security.
Højre musetast på Users og vælg “New Users”. Angiv FCS, som db_owner.

 
Start til sidst FCS konsollen.

 

Konfiguration af Windows Firewall klient:
Før vi kan deploy FCS til klienterne, skal man forinden sikre sig, at de nødvendige porte er åben mellem FCS hosten og klienterne.
De nødvendige porte er som følger:

Computer 

Connection 

Port (protocols) 

Client computers

To connection server

 1270 (TCP and UDP)

Client computers

 To distribution server

80 (TCP) or 8530 (TCP) or custom


Opret en FCS GPO, som linkes til de ønskede workstation og server OU’s. Denne GPO kan med fordel også benyttes til WSUS settings.
Gå til Computer Configuration – Administrative Templates – Network – Network Configuration – Windows Firewall – Domain Profile.
Vælg her Windows Firewall: Allow define port exceptions og sæt denne til Enabled. Vælg Show og indsæt nedenstående:

1270:TCP:192.168.35.3:enable:1270 TCP
1270:UDP:192.168.35.3:enable:1270 UDP
80:TCP:192.168.35.3:enable:80 Distibution
8530:TCP:192.168.35.3:enable:8530 Distibution

Konfiguration af WSUS:
Products and Classifications:
For Products, vælg her Forefront Client Security.
For Classifications, vælg følgende updates: Critical – Definition – Security – Updates.

Synchronization Schedule:
Konfigurer, som vist på nedenstående billede.

Automatic Approvals:
Opret en ny FCS regl og konfigurer, som vist på nedenstående billede.

Deploy FCS:
Jeg ønsker at downloade og installere FCS til klienterne via distribution serveren. Det kræver at der oprettes en FCS policy.
Et andet alternativ er at lave en command line installation til SMS 2003/SCCM/SCE 2007/GPO.
For mere info omkring command line installation, se dette link:
http://technet.microsoft.com/en-us/library/bb404279.aspx

For at oprette en FCS policy, vælg fanebladet “Policy Management” i FCS konsollen.
Klik på New og konfigurer som vist på nedenstående billede:

Angiv Policy navn.

 
Angiv Protection settings.

Angiv Malware signatur updates mfl.

Angiv Alert level. jeg vælger her 4.

Efter Policy konfigurationen er vi nu klar til at sende FCS ud til de ønskede klienter. Klik på knappen deploy og angiv de ønskede OU’er/Grupper.

Der vil herefter blive oprettet ny FCS GPO, som linker sig til de valgte OU’er/Grupper. FCS og MOM agenten vil nu automatisk blive installeret.
For mere info omkring FCS se disse links.
http://technet.microsoft.com/en-us/library/bb432630.aspx

Best Practices Analyzer for FCS v1.0:
http://www.microsoft.com/downloads/details.aspx?familyid=0cefac3f-91ed-40c3-a684-603f149a4e32&displaylang=en

Installation af Forefront Client Security

Forefront Client Security (FCS), er Microsoft Enterprise system, som tilbyder malware protection til servere og klienter.
Det er et client/server system, som benytter WSUS og MOM 2005 agenter til at distribuere FCS klienten og signatur filerne ud til de enkelte noder i netværket.
Hvis man i forvejen har en MOM 2005 infrastruktur, kan man ikke benytte den til FCS. FCS kræver sin egen MOM installation. MOM understøtter dog multi-home agents.
Antivirus og Antispyware komponenterne i FCS klienten baserer sig på Windows OneCare og Windows Defender og kører som en såkaldt “single engine”.
Det er kun Forefront Security (Exchange-Sharepoint), som benytter multi-engines.
FCS v1 er p.t. ikke supporteret på Windows 2003 x64 eller Windows 2008 RC versionerne.

Installationen tager udgangspunkt i en såkaldt “one-server topology”.
Før man kan installere FCS, skal man sikre sig at “software prerequisites” er på plads. De er som følger:

  • Windows 2003 x86 + SP2
  • SQL Server 2005 + SP2
  • GPMC med SP1
  • WSUS 3.0

SQL 2005:
Installer SQL server 2005 med følgende komponenter:
SQL Server Database Services – Reporting Services – Integration Services – Workstation components.

Under Service Account, vælg her Domain user account.
Vælg at SQL Server Agent skal startes ved afslutning af installationen.

Jeg ønsker at installerer den nye FCS database over på min data-partition, hvor der er godt med diskplads.
For at ændre database og log location, skal man gøre følgende:
Åben SQL Server Management Studio og logon til serveren.
Åben SQL Server properties og vælg database setting.
Jeg ændrer her location til D:Database og D:Log.
Installer til sidst SP2 og reboot serveren.

Installation af GPMC + WSUS:
Installer GPMC og WSUS 3.0

Installation af FCS:
opret en AD bruger account (FCS), som er domain admin.
Denne bruger, benytter vi som service og action account under hele installationen af FCS.
Kør FCS setup Wizard og vælg alle rollerne.


Angiv gruppenavn og service account.


Angiv database størrelse. Default er 15 GB.


Angiv størrelse på Report database.


Angiv URL for Report Server.


Vi bruger igen vores FCS account. Der er vigtigt at denne bruger, er lokal administrator ude på de enkelte Workstations og servere.


Jeg vælger her at installere FCS på min data partition.


Installationen godkendes. Hvis der er noget galt her, stopper installationen.

 

Installationen afsluttes.

 

I min næste blog-post, vil jeg beskrive hvordan man konfigurerer WSUS og FCS.
For mere info omkring installation af FCS, se nedenstående links:

System requirements for Client Security:
http://technet.microsoft.com/da-dk/library/bb418802(en-us).aspx

Installing a one-server topology:
http://technet.microsoft.com/en-us/library/bb404225.aspx

Forefront Client Security Team Blog:
http://blogs.technet.com/clientsecurity/default.aspx

IE7 og Group Policies


Jeg orker ikke at skulle google hver gang jeg skal konfigurere IE7 via Group Policies.
Jeg har derfor prøvet at lave en konfig-plan for IE7, som jeg kan anvende næste gang det bliver nødvendigt.

Basis konfigurationen af IE7, er som følger:

Download og installer IE7 adm templates fra din GPO admin server/workstation.
http://www.microsoft.com/downloads/details.aspx?FamilyID=11ab3e81-6462-4fda-8ee5-fcb8264c44b1&displaylang=en

Remove eksisterende ” inetres.adm” templates under “Administrative Templares.
Gå til C:Windowsinf og omdøb ” inetres.adm” til “inetres_org.adm”
Kopier C:Program FilesMicrosoft Group Policy inetres.adm til C:Windowsinf.
Import herefter den nye IE7 template.

For at gøre oplevelsen med IE7 transperant for brugerne, vælger jeg her at konfigurere følgende:

Computer Configuration – Administrative Templates – Windows Components – Internet Explorer
Prevent participation in the Customer Experience Improvement Program = Enabled
Prevent Performance of first run customization settings =    Enabled
Turn on Menu Bar by Default = Enabled

User Configuration – Windows Settings – Internet Explorer Maintenance – URLs – Important URLs
Important URLs (Homepage) = http://jravn.dk

Indsæt til sidst vigtige virksomheds websider i “Trusted Sites og intranet”. Det kunne feks være som følger:

User Configuration – Windows Settings – Internet Explorer – Security – Security Zones and Content Ratings
Intranet – Outlook Web Acces – Citrix Web Interface – Bank mfl.

For mere info til ovenstående, se dette link (Internet Explorer 7 Deployment Guide):
http://www.microsoft.com/downloads/details.aspx?familyid=E41D8800-D134-4356-A2E7-C01BEE790908&displaylang=en

Nedenstående lister de fleste af de anbefalede sikkerheds indstillinger for IE7, som Microsoft har udarbejdet i dette dokument.
http://www.microsoft.com/downloads/details.aspx?FamilyID=6AA4C1DA-6021-468E-A8CF-AF4AFE4C84B2&displaylang=en

Min plan er at køre med dem i forskellige miljøer og vende tilbage til denne blog-post, hvis jeg fremover oplever problemer med nedenstående.

Security Zones.

Security zone

Security level

Tested

Local Machine

Custom

ok

Internet

Medium-High

ok

Local intranet

Medium-low

ok

Trusted sites

Medium

ok

Restricted sites

High

ok


Recommendations for Increased Security.

Policy object

Location

Recommended setting

Tested

Internet Explorer Processes (Zone Elevation Protection)

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesProtection From Zone Elevation

Enabled

ok

Security Zones: Do not allow users to add/delete sites

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer

Enabled

ok

Security Zones: Do not allow users to change policies

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer

Enabled

ok

Prevent Ignoring Certificate Errors

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control Panel

Enabled

ok

Internet Explorer Processes (Restrict ActiveX Install)

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerSecurity FeaturesRestrict ActiveX Install

Enabled

1

Allow Active Scripting

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerInternet Control PanelSecurity Page<zone>

Disabled in response to zero day attack

4

Internet Explorer Processes (Scripted Window Security Restrictions)

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesScripted Window Security Restrictions

Enabled

ok

ur non Protected Mode

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelSecurity Page<zone>

Enabled

ok

Empty Temporary Internet Files folder when browser is closed

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelAdvanced Page

Enabled

ok

Disable AutoComplete for forms

User ConfigurationAdministrative TemplatesWindows Components
Internet Explorer

Enabled

ok

Turn on the auto-complete feature for user names and passwords on forms

User ConfigurationAdministrative TemplatesWindows Components
Internet Explorer

Disabled

ok

Logon Options

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerInternet Control PanelSecurity PageInternet Zone

EnabledPrompt for Username and Password

ok

Logon Options

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerInternet Control PanelSecurity PageIntranet Zone

EnabledAutomatic Logon with Current Username and Password

ok

Logon Options

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerInternet Control PanelSecurity PageRestricted Sites Zone

EnabledAnonymous Logon

ok

Logon Options

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerInternet Control PanelSecurity PageTrusted Sites Zone

EnabledAutomatic Logon only in Intranet Zone

ok

Turn off managing phishing filter

Computer ConfigurationAdministrative TemplatesWindows Components
Internet Explorer

EnabledAutomatic

ok

Do not save encrypted pages to disk

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelAdvanced Page

Enabled for environments with sensitive data on Web pages.

Ok

Disable Automatic Install of Internet Explorer components

Computer ConfigurationAdministrative TemplatesWindows Components
Internet Explorer

Enabled

ok

Disable Periodic Check for Internet Explorer software updates

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer

Enabled

ok

Disable software update shell notifications on program launch

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer

Enabled

ok

Turn off Crash Detection

Computer ConfigurationAdministrative TemplatesWindows Components
Internet Explorer

Enabled

ok

Internet Explorer Processes (Restrict File Download)

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerSecurity Features
Restrict File Download

Enabled

ok

Allow File Downloads

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelSecurity PageRestricted Sites Zone

Disabled

ok

Deny all add-ons unless specifically allows in the add-on list

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerSecurity FeaturesAdd-on Management

Enabled

2

Add-on List

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerSecurity Features
Add-on Management

Enabled with add-ons listed

3

Internet Explorer Processes (Consistent MIME Handling)

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerSecurity Features
Consistent MIME Handling

Enabled

ok

Internet Explorer Processes (MIME Sniffing)

Computer ConfigurationAdministrative TemplatesWindows Components
Internet ExplorerSecurity Features
MIME Sniffing Safety Feature

Enabled

ok

Internet Explorer ProcessesMK Protocol Security Restriction

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesMK Protocol Security Restriction

Enabled

ok

Internet Explorer ProcessesObject Caching Protection

Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity FeaturesObject Caching Protection

Enabled

ok

Configure Outlook Express

User ConfigurationAdministrative TemplatesWindows Components
Internet Explorer

EnabledBlock attachments that could contain a virus

ok

Note til Punkt 1-2-3:
Ved at at enable disse punkter vil alle Add-on blive disablet i brugernes IE. Derfor skal man forinden planlægge og teste denne lockdown.
Nedenstående links er doku til disse punkter:

About ActiveX Controls:
http://msdn2.microsoft.com/en-us/library/aa751971.aspx

Introduction to ActiveX – Part 1-2-3:
http://blogs.technet.com/askperf/archive/2007/11/16/introduction-to-activex-part-one.aspx
http://blogs.technet.com/askperf/archive/2007/11/30/introduction-to-activex-part-two-managing-activex-controls.aspx
http://blogs.technet.com/askperf/archive/2007/12/04/introduction-to-activex-part-three-security-and-security-zones.aspx

The ActiveX Installer Service in Windows Vista:
http://www.microsoft.com/technet/technetmag/issues/2007/07/AxIS/default.aspx

Note til Punkt 4:
Ved at disable “Allow Active Scripting” disabler man også Javascript, som mange web sites bruger i dag. Det betyder at man også skal planlægge og teste denne indstilling.
IT afdelingen skal her indstille sig på, at vedligeholde en Trusted Site liste.
Hvis man tillader at brugerne selv kan tilføje til Trusted Sites kan man installere “Internet Explorer 5 Power Tweaks Web Accessory” ude på de enkelte workstations.
Fordelen er her, at den integrerer Trusted Sites i IE menuen.
Alternativt til ovenstående, kan man opsætte en Secure Proxy i form af ISA 2006 + GFI Webmonitor eller Bluecoat, som kan scanne http trafik.

Xobni – Inbox


Xobni er et rigtig godt Add-on til din Outlook.
Den kan hente navn og tlf. nummer udefra de enkelte mails. Samtidig kan den analysere dine mails, hvor man herefter får en lang række nyttige informationer.
Med Xobni får man også en super hurtig søgning af mails.

Nedenstående billede viser her de informationer Xobni giver, ved at klikke på en given person i sin indbakke i Outlook.
Man får at vide hvor mange ind og udgående mails man har sendt/modtaget til denne person.
Man får et overblik over hvilke andre personer der er tilknyttet til Jesper Ravn samt alle mails og alle vedhæftede filer.

 

Under Organize får man en liste over alle de personer man har sendt e-mails til, samt hvor lang tid man sidst har kommunikeret med dem (Stay In Touch).

Med Xobni Analytics får man en mail statistik som vist på nedenstående billede.

 

Efter at have installeret og testet Xobni, har jeg allerede nu svært ved at undvære den. Feks når jeg tilgår min Outlook via Citrix.
Jeg har kun en feature request, som jeg har sendt af sted og det er at kunne oprette kontakt personer som getanagram.
http://www.getanagram.com/

Xobni er stadigvæk i en beta version, men jeg har testet den i Outlook 2003 og 2007 og har ikke oplevet nogen problemer.
Du kan anmode om beta udgaven på deres Web site – http://www.xobni.com/

For mere info se nedenstående link:
http://www.xobni.com/support/faq
http://www.xobni.com/blog/