Archive for April 2008

Forefront Threat Management Gateway


Forefront Threat Management Gateway (TMG) bliver afløseren for den nuværende Microsoft ISA Server.
Den er en del af den samlede sikkerhedspakke Forefront “Stirling”, som pt. ligger i en beta 1 release.
For mere se nedenstående Press Release:
http://www.microsoft.com/presspass/press/2008/apr08/04-08ForefrontBetaPR.mspx?rss_fdn=Press%20Releases

Den kan hentes som et separat download her:
http://technet.microsoft.com/en-us/evalcenter/cc339029.aspx

Jeg vil i denne blogpost fokusere på at opsætte Forefront TMG, som en Secure Proxy (Single Nic/Unihomed).
Forefront TMG kommer nu med indbygget malware inspection, som jeg har savnet siden ISA 2004. Det er netop den feature, som har givet mig anledning til denne blogpost.
Det betyder at dens vigtigste funktion i dette senario er, at beskytte et givent LAN segment mod malware fra internettet.

System requirements:
http://technet.microsoft.com/en-us/library/cc441727.aspx

About single network adapter limitations:
http://technet.microsoft.com/en-us/library/cc441616.aspx

Installationen af Forefront TMG forløb uden problemer, hvor man her blev hjulpet igennem af en installation wizard som minder lidt om den der findes i ISA 2006.
 
 
 

Efter installation og efter vi har konfigureret vores Web Access Policy, som bla inderholder malware inspection, er vi nu klar til at starte Forefront TMG Management.
Selve interfacet og de enkelte konfigurationsmuligheder minder meget om det der findes i ISA 2006.

Når man konfigurere Forefront TMG i “single nic mode” er det kun netværkerne Local host og internal man opererer med. Dette gælder også for ISA 2004/2006.
Vores Web Access Policy ser således ud, som følger:

Vi har her disablet “Web proxy authentication” for selve Forefront TMG serveren (local host), idet den skal hente opdateringer fra Microsoft Update.
Denne settings er vist på nedenstående billede.
 
For alle workstation klienter, kræver vi authentication. Det betyder at brugernavn bliver valideret inden en given bruger får adgang til intenettet.
For mere info, se nedenstående link:
http://technet.microsoft.com/en-us/library/cc441637.aspx

Med hensyn til konfiguration af Http filter, se denne tidligere blogpost. Dette har ikke ændret sig i Forefront TMG.
http://jravn.dk/?p=41

Konfiguration af anti-malware settings, sker under “Update Center Tasks”, hvilket er dejligt enkelt.


Den sidste ting der skal gøres, er at aktivere malware inspection under Web Access Policy.
 
Brugerne slippes nu løs på internettet og surfer igennem den nyopsatte “Secure Proxy Server”.
Som Forefront TMG administrator, har man en række rigtig gode værktøjer til at overvåge malware settings og uønsket malware traffik.
De er som følger: Alerts – Reports – Web Proxy Logging

De malware alerts jeg har valgt er:
Definition Updating Failed – Malware Inspection Detected Attempted Content Theft – Malware Inspection Filter Detected Malware
Man kan til hver alert konfigurere en række Actions, herunder e-mail alerts, som hammer ind i inboxen, hver gang en virus eller spyware bliver blokeret.


Næste skridt er at konfigurere en central malware rapport.
Et lille udsnit af denne rapport er vist på nedenstående billeder.



Med “Web Proxy Logging”, kan man ligeledes få detaljeret informationer omkring malware detection.


Brugerne bliver præsenteret for nedenstående besked, hvis de prøver at downloade malware.

 
Med Forefront TMG Beta1 er den største nyhed for mig, at der nu er kommet indbygget malware inspection.
Man har tidligere været henvist til 3 parts produkter/plugins (GFI Web Monitor, Kaspersky og BitdDefender), som til tider har givet en del problemer.
Ellers er den næsten en tro kopi af den den eksisterende ISA 2006 (interface og funktionalitet), hvilket i sig selv er lidt skuffende.
Vi kan nu håbe på, at Microsoft også implementere andre features, som Content filtering – P2P blocking – Antispam (IMF) i RTM versionen.
I forbindelse med Microsoft’s Anti-malware implemtering, kommer der en række spændende tiltag, i form af integration til Forefront Client Security og NAP/NPS (shared intelligence and response).
For mere info se nedenstående link:
http://blogs.technet.com/isablog/archive/2008/04/09/introducing-a-new-era-for-isa-server.aspx

File Server Migration Toolkit – FSMT


FSMT er et freeware GUI tool fra Microsoft, som gør det nemt at migrere ældre filservere (NT/2000/2003) over til en ny Windows 2003 R2.
Med dette tool flytter man data, sharing samt permissions-informationer i en og samme proces.
I denne proces får man også mulighed for at fixe eventuelle fejl, samt retry uden at skulle gentage hele kopierings-processen en gang til.
Tidligere var det almindeligt at benytte Xcopy/Robocopy, samt at eksportere registry shares fra gammel til ny filserver.

Syntaks for Xcopy + Retain Permissions:
http://support.microsoft.com/kb/289483/en-us
http://support.microsoft.com/kb/323007/en-us

Robocopy GUI:
http://technet.microsoft.com/da-dk/magazine/cc160891(en-us).aspx

Saving and restoring existing Windows shares:
http://support.microsoft.com/?kbid=125996

Ovenstående metode har jeg igennem de sidste par år udskiftet til fordel for FSMT.
Efter installationen af FSMT er vi nu klar til den egentlige migration process.
I denne øvelse kalder jeg min Source server demo-002 og Target server demo-003.
Installer FSMT på Target serveren, demo-003.
Start FSMT og vælg “New Migration Project”

Vælg navn og location
 

Fravælg DFS. Jeg vil senere lave en række blog-post omkring DFS i Windows 2003 R2 og Windows 2008.


Angiv Data location på den nye filserver og Wizarden afsluttes.
 
Man bliver herefter præsenteret for et GUI konsol, hvor nedenstående billede lister de migration-step man skal igennem.

Første step, er at angive sin Source server (demo-002).

Godkend herefter de settings som FSMT default sætter.

Næste trin er at tilrette den default Target share som FSMT angiver. Det er det eneste uheldige ved FSMT og skal således rettes i XML filen for det føroprettede Migration Project.
Default settings er vist på nedenstående billede for en given share.
 
Mit ønske er her at Source og Target share skal være ens. Det betyder at inden jeg kan gå videre i migration processen,
bliver jeg nødt til at lukke FSMT ned og til XML filen der tilknytter til projektet.
Gå til C:FileServerMigration<migration project> og replace all med følgende i XML filen

 

 
Start herefter FSMT og vælg det tilrettede Migration Project. Vi kan nu se at Source og Target share er ens.

Vælg Continue – Continue og kopiering af foldere og filer går i gang.

Vælg Continue igen og den afsluttende fase indledes. FSMT opretter her shares på Target serveren, samt sikre at permissions er ens på source og target server.
 
Filserver migration afsluttes.
 

N.B: FSMT er ikke kompatibel med Windows 2008. Microsoft vil senere komme med en ny/opgraderet version til denne platform.

Download FSMT:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d00e3eae-930a-42b0-b595-66f462f5d87b&displaylang=en

Mere info omkring FSMT:
http://technet.microsoft.com/da-dk/magazine/cc160911(en-us).aspx

Hyper-V RC0 – Server Core

Med udgivelsen af Hyper-V RC0 er Microsoft forhåbentlig kommet et vigtigt skridt nærmere RTM versionen, som forventes klar til august her i år.
RC0 versionen skulle ifølge Microsoft være næsten “feature complete”.
Den har nu support for Windows 2008 og Vista med SP1.
Jeg har testet den og jeg må sige at den performer rigtig godt.
De virtuelle guest systemer kører feks. langt hurtigere i forhold til Citrix Xensource og VMware Server 1.0.4, som jeg har tidligere har kørt med i mit test-setup.
Det der så mangler nu, er selve management delen, samt HA features.
For mere info omkring den nye SCVMM (System Center Virtual Machine Manager”) og Hyper-V support, se nedenstående link:
http://blogs.technet.com/rakeshm/archive/2008/02/27/scvmm-vnext-is-getting-closer.aspx

Jeg har i mit test-setup valgt at installere Hyper-V på en Windows 2008 Server Core Standard x64.
Fordelen med Server Core er her, at den brugere mindre memory og den skal sikkerheds opdateres et færre antal gange i forhold til den fulde version.
Efter jeg har installeret Server Core er der en række system settings jeg vælger at tilrette, som vist i nedenstående rækkefølge:

Sætte fast IP adresse på host netkortet + DNS:
netsh interface ipv4 show interfaces
netsh interface ipv4 set address name=”2″ source=static address=192.168.35.8 mask=255.255.255.0 gateway=192.168.35.1
netsh interface ipv4 add dnsserver name=”2″ address=192.168.35.4 index=1
netsh interface ipv4 add dnsserver name=”2″ address=192.168.35.5 index=2

Reneame computer name:
netdom renamecomputer %computername% /newname:WIN-VS-003

Rebboot Serveren:
shutdown /r /t 0

Join domæne:
Netdom join %computername% /domain:win.local /userd:Administrator /password:<password>

Rebboot Serveren:
shutdown /r /t 0

Enable Remote Desktop:
Cscript %windir%system32SCRegEdit.wsf /ar 0
Cscript %windir%system32SCRegEdit.wsf /cs 0

Disable firewall:
netsh firewall set opmode disable

Tilføje Hyper-V admin brugere i den lokale Administrators gruppe:
Net localgroup Administrators /add win.localjra

Change Product Key + Activate Server Core
cscript c:windowssystem32slmgr.vbs -ipk < Product Key>
cscript c:windowssystem32slmgr.vbs -ato

Ovenstående kommandoer kan også udføres med et freeware GUI tool (CoreConfigurator).
Det kan downloades fra nedenstående link:
http://blogs.microsoft.co.il/blogs/guyt/

Installation af Hyper-V RC0:
Efter at have afsluttet konfigurationen af Server Core, er jeg nu klar til at installere Hyper-V.
Download og installer nedenstående:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DDD94DDA-9D31-4E6D-88A0-1939DE3E9898&displaylang=en

Enable herefter Hyper-V rollen med denne kommando:
Start /w ocsetup Microsoft-Hyper-V
Afslut Hyper-V installen med at reboote serveren.

Oprettelse af Virtuelle guest systemer i Hyper-V:
For at kunne oprette guest systemer, kræver det at man kører med Vista + SP1 + Hyper- V management tools.
http://support.microsoft.com/kb/949758
Start Hyper-V manageren og connect til Hyper-V serveren.
Opret Virtual network, som external og navngiv dem logisk (LAN1,LAN2,DMZ1 mfl.).
Vælg herefter new virtual machine. I dette eksempel laver jeg en vista template.

 

Angiv ønskede memory størrelse.

Angiv netværk.

Angiv harddisk størrelse.

Angiv image installationsmedie.
 

Start herefter den virtuelle guest.
 

Efter endt installation, skal man til sidst installere Integration Components (Hyper-V drivere) og kopiere newsid ned på maskinen.

Man er nu klar til at kopiere den til fremtidige test-maskiner.
Menuen for host og guest systemmerne er vist på nedenstående billeder.