Skip to Content

IT nieuczesane.
author

Author: d0m3l

Forefront – nowości z WPC

I znów o mojej ulubionej rodzinie produktowej :) Wszyscy liczyli, że na WPC w Nowym Orleanie M$ ogłosi RTM dla W7/W2k8R2. Niestety jeszcze jakiś czas będziemy musieli na to poczekać. Ale za to pojawiły się fajniejsze doniesienia dotyczące Forefront vNext (“Stirling”):

  • Cała rodzina będzie się nazywać Forefront Protection Suite (FPS)
  • Konsolka Stirlinga będzie się nazywać Forefront Protection Manager (FPM)
  • Client Security przyjmie nazwę Forefront Endpoint Protection 2010 (FEP)
  • Produkty do ochrony serwerów dostaną numerek 2010 (exchange, sharepoint, ocs)
  • Nowa generacja ISA będzie miała pełną nazwę Forefront Threat Management Gateway Web Security Service
  • Sposób licencjonowania się nie zmieni – pozostanie na zasadach subskrypcji (wyjątkiem będzie TMG sprzedawane per procesor)
  • Udostępniono beta 2 UAGa
  • Produkty z pakietu “Geneva” dostały nazwy
  • Nie ustalono dat premier produktów wymienionych powyżej – wiadomo tylko, że będą rozstrzelone pomiędzy 2H2009 i 1H2010

Dodania numerków 2010 można się było spodziewać (Office i Exchange się będą ładnie zgrywać), ale niestety ciągle brakuje konkretnych dat premier (wiadomo tylko, że TMG pojawi się na pewno jeszcze w tym roku).

Windows 7 Touch Pack – filmik

Ja już chcę do mojej W7 Della Studio One ;)

Visual Studio Unattended

Przyszły wakacje, a więc czas odświeżania oprogramowania w salach laboratoryjnych w PJWSTK. Oczywiście wszystko powinno być nienadzorowane itd. Przez lata instalacje WinXP leżące na RIS było modyfikowane wielokrotnie – Peki, który jest autorem systemu teraz by go już nie poznał ;)

Dobra – zadnie polega na nienadzorowanej instalacji MSSQL2008 (tylko narzędzia klienckie) i Visual Studio 2008. Pierwszą rzeczą jest ustalenie kolejności instalacji. Gdyby zaczynać on VS, to trzeba by zrobić tak:

  • .NET 3.5 + Windows Installer 4.5 (wymaganie SQL2008)
  • restart
  • VS2008
  • restart
  • SP1 do VS2008
  • restart
  • SQL2008
  • restart

No i jakoś dużo tych restartów :/ gdyby zrobić odwrotnie? Zazwyczaj staram się instalować oprogramowanie według kolejności w jakiej wychodzi na świat, ale tutaj zrobię na odwrót :)

  • .NET 3.5 + Windows Installer 4.5
  • restart
  • SQL2008
  • restart
  • VS2008
  • teoretycznie restart, ale już nie wymagany :)

Jest krócej i to sporo :) Dzielimy to na 3 skrypty vbs. stage1.vbs, stage2.vbs i stage3.vbs 
Pierwszy wygląda tak:

Dim WshShell   
Set WshShell = WScript.CreateObject("WScript.Shell")   
WshShell.run "C:scriptsfrmwrkdotnetfx35.exe /qb /norestart",1,true ‚.NET 3.5   
Wait "msiexec.exe","Administrator"   
Wait "setup.exe","Administrator"   
WshShell.run "C:scriptsfrmwrkdotnetfx35SP1.exe /qb /norestart",1,true ‚.NET 3.5 SP1   
Wait "msiexec.exe","Administrator"   
Wait "setup.exe","Administrator"   
‚Windows Installer 4.5   
WshShell.run "C:scriptsWindowsInstallerWindowsXP-KB942288-v3-x86.exe /passive /norestart /overwriteoem /nobackup",1,true   
Wait "msiexec.exe","Administrator"   
Wait "setup.exe","Administrator"   
‚autologin do stage 2   
WshShell.run "c:Windowsregedit.exe /s c:scriptsstage2.reg",1,true   
WshShell.run "c:scriptsshutdown.exe -r -t 30 -f",1,false   

Sub Wait (processName, userName)    
 
On Error Resume Next    
 
Dim objProcess   
 
Dim wmi   
 
Dim isRunning   
 
Dim strUser   
 
Dim return   
 
isRunning = True   
 
set wmi=GetObject("winmgmts:")   
     
 
Do While isRunning   
   
isRunning = False   
   
for Each objProcess in wmi.ExecQuery("select * from Win32_Process")   
       
strUser = ""   
      &#16
0;
return = objProcess.GetOwner(strUser)   
       
If return = 0 Then   
           
if UCase(objProcess.name) = UCase(processName) And UCase(strUser) = UCase(userName) then   
               
isRunning = True   
           
End if           
       
End If   
   
Next   
   
wscript.sleep 1000   
 
Loop   
wscript.sleep 10000   
     
End Sub  

Dla Ciekawskich: Plik stage2.reg wygląda tak:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]  
"DefaultDomainName"
="PJWSTK"  
"DefaultUserName"
="Administrator"  
"DefaultPassword"
="StandardoweHasloAdmina"  
"AutoAdminLogon"
="3"  
"ForceAutoLogon"
="1"  

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]  
"afterreboot"
="c:\scripts\stage2.vbs"

Jedziemy dalej. Żeby zrobić nienadzorowaną instalację SQL 2008 trzeba przygotować response file. Jako, że informatycy są z natury ludźmi leniwymi pozwoliłem, żeby setup MSSQL zrobił go za mnie :) Po wyklikaniu jakie składniki chcemy mieć na komputerze (w procesie zwykłej instalacji – więcej szczegółów tutaj). Jak już mamy plik odpowiedzi, to jedziemy.

stage2.vbs:

Dim WshShell  
Set WshShell = WScript.CreateObject("WScript.Shell")  
‚naprawiamy MSDTC – czasami przez zepsuty log instalacja potrafi sie wywalać. polega to na zatrzymaniu usługi MSDTC, wywołaniu msdtc -resetlog i ponownym uruchomieniu MSDTC  
WshShell.run "c:scriptsfixmsdtc.cmd",0,true  
‚zatrzymanie usługi Automatic Updates – nie chcemy, żeby jakiś inny setup chodził w tle i nam coś popsuł :)  
WshShell.run "c:scriptsupdatesstop.cmd",1,true  
WshShell.run "P:DbMicrosoftMsSQL2008devsetup.exe /q /CONFIGURATIONFILE=P:DbMicrosoftMsSQL2008devConfigurationFile.ini",0,true  
Wait "setup.exe","Administrator"  
‚znów MSDTC – same kłopoty z tą usługą :/  
WshShell.run "c:scriptsfixmsdtc.cmd",0,true  
‚autologin do stage 3  
WshShell.run "c:Windowsregedit.exe /s c:scriptsstage3.reg",1,true  
WshShell.run "c:scriptsshutdown.exe -r -t 30 -f"< font color="#000000">,1,false  

Sub Wait (processName, userName)   
 
On Error Resume Next   
 
Dim objProcess  
 
Dim wmi  
 
Dim isRunning  
 
Dim strUser  
 
Dim return  
 
isRunning = True  
 
set wmi=GetObject("winmgmts:")  
    
 
Do While isRunning  
   
isRunning = False  
   
for Each objProcess in wmi.ExecQuery("select * from Win32_Process")  
       
strUser = ""  
       
return = objProcess.GetOwner(strUser)  
       
If return = 0 Then  
           
if UCase(objProcess.name) = UCase(processName) And UCase(strUser) = UCase(userName) then  
               
isRunning = True  
           
End if          
       
End If  
   
Next  
   
wscript.sleep 1000  
 
Loop  
 
wscript.sleep 10000    
End Sub 

No już prawie koniec – jeszcze tylko Visual Studio. I tu zaczynają się schody. Teoretycznie robię to według tej instrukcji http://www.msfn.org/board/index.php?showtopic=117875, ale coś się nie udawało. Troszkę poczytać i wiem, że mój system to WinXP SP3. Ta aktualizacja zawiera już w sobie Windows Installera 3.5, więc trzeba odpowiednie wpisy usunąć z pliczku ini (więcej informacji tutaj). Ale to niestety jeszcze nie wszystko. Próba ciche instalacji się kończy po paru minutach. Wystarczy spojrzeć do Event Viewer-a, żeby zobaczyć, że Windows Installer próbuje zainstalować .NET 3.5. Jako, że już mamy nowszą wersję, to  setup zwraca błąd i sie kończy. Więc znów trzeba grzebać się w pliczku. Usuwamy wpisy dotyczące net framework z [PreInstallOrder], [InstallOrder] i [PostInstallOrder] oraz zmieniamy InstallActionInteger komponentu na 1. Teraz bangladesz :) dzięki temu mamy taki pliczek stage3.vbs:

Dim WshShell  
Set WshShell = WScript.CreateObject("WScript.Shell")  
WshShell.run "P:InstalkiMICROSOFTDevelopervisual_studio_2008Setupsetup.exe /UnattendFile P:InstalkiMICROSOFTDevelopervisual_studio_20082008v3.ini",0,true  
Wait "setup.exe","Administrator"  
WshShell.run "cmd /c""echo y|gpupdate /force """,1,true  
WshShell.run "c:winntshutdown.exe -r -t 30",1,false  

Sub Wait (processName, userName)   
 
On Error Resume Next   
 
Dim objProcess  
 
Dim wmi  
 
Dim isRunning  
 
Dim strUser  
 
Dim return  
 
isRunning = True  
 
set wmi=GetObject("winmgmts:")  
    
 
Do While isRunning  
   
isRunning = False  
   
for Each objProcess in wmi.ExecQuery("select * from Win32_Process")  
       
strUser = ""  
       
return = objProcess.GetOwner(strUser)  
       
If return = 0 Then  
           
if UCase(objProcess.name) = UCase(processName) And UCase(strUser) = UCase(userName) then  
               
isRunning = True  
           
End if          
       
End If  
   
Next  
   
wscript.sleep 1000  
 
Loop  
 
wscript.sleep 10000    
End Sub

To by było na tyle :) Działa aż miło :D

Jednostronna replikacja DFS-R

Nareszcie w WS2008R2 będzie można tworzyć subskrybentów DFS-R w trybie tylko do odczytu :) Wiele razy słyszałem, jak ludziom w zdalnych lokalizacjach nawalała replikacja i stare wersje plików sie propagowały na wszystkie węzły DFS-Ra… Teraz będzie można zrobić downstream server i balanga ;)

Źródło: http://blogs.technet.com/askds/archive/2009/06/23/recovering-from-unsupported-one-way-replication-in-dfsr-windows-server-2003-r2-and-windows-server-2008.aspx

Forefront Client Security update na WSUS

WSUS blog informuje, że dziś w systemie aktualizacji automatycznych pojawi się łatka do FCS. Daje ona między innymi:

  • usprawnienia w obsłudze i skanowaniu sterowników działających w trybie jądra (teraz przed instalacją/załadowaniem będą one dokładniej skanowane)
  • Zlikwidowanie buga w obsłudze COMów w Software Explorer, który powodował wywalanie się agenta na W2k
  • Zmiana w obsłudze linków symbolicznych do plików (*.lnk) – jeśli pokazuje na udział sieciowy, to cel nie zostanie sprawdzony

W momencie wyjścia warto zrobić slipstream z waszą instalacją zgodnie z tą instrukcją :)

AD Powershell na WS2003/2008 (bez R2)

Tomek Onyszko wygrzebał nowe KB opisujące instalację The Active Directory Management Gateway Service – czyli po ludzku  Active Directory Web Services z R2 :) teraz będzie wreszcie można korzystać z kapitalnego PS dla AD bez potrzeby upgrade kontrolera :D W poniedziałek wrzucam na środowisko testowe ;)

Link do KB: http://support.microsoft.com/?scid=969041

Nowości – UAG Beta i projekt “Morro”

Jako wasz ulubiony korespondent ze świata nowinek security przynoszę kolejne wieści.

1. Beta Forefront Unified Access Gateway – następcy Forefront Inelligent Application Gateway pojawi się w ciągu paru najbliższych tygodni.
Źródło: http://blogs.technet.com/edgeaccessblog/archive/2009/06/11/forefront-uag-beta-is-coming-to-town.aspx

2. Gigant z Redmond planuje wypuścić pod koniec roku darmowe rozwiązanie antywirusowe dla biurkowych edycji systemów Windows. Projekt ma nazwę kodową “Morro”. Ma on zastąpić niewypał z Live One Care (który swoją drogą psuje całkowicie W7). Czyżby wreszcie porządny Windows Defender. Niestety nie będzie najprawdopodobniej wbudowany w system, tylko stanie się częścią Live Essentials (wiecie – prawa antymonopolowe).
Źródła: http://www.reuters.com/article/technologyNews/idUSTRE5585IV20090611
http://www.informationweek.com/news/security/antivirus/showArticle.jhtml?articleID=217800827

Forefront TMG Beta 3

JUŻ JEST! Trzecia Beta Forefront Threat Management Gateway! Co ważniejsze – ma ona już wszystkie zaplanowane funkcjonalności – przede wszystkim cieszy obecność tuneli VPN SSL :D

Źródło: http://blogs.technet.com/isablog/archive/2009/06/09/forefront-tmg-beta-3-is-released.aspx

Forefront Stirling – test Client Security

Jako, że dawno nic nie pisałem, to postanowiłem skrobnąć coś większego. Ten wpis jest początkiem serii na temat nowej generacji produktów zabezpieczających systemy Windows – Forefront.

Jakiś czas temu skrobnąłem kilka słów a temat VHD z Beta 2 Stirlinga. teraz pora na kontynuację (;

Testuję konfigurację dla Client Security z naciskiem na różnice pomiędzy starym/obecnym FCSem a Stirlingiem. Gwoli przypomnienia schemat konfiguracji:

Schemat Laba

Po uruchomieniu wita nas ekran logowania – z od razu wypisanym hasłem, żeby nie zapomnieć :)

stirling welcome

Jak to w labach mamy specjalne tapety na każdej maszynie, żeby było łatwo nam się połapać gdzie jesteśmy.

tapeta 
info o systemie

To jak już jesteśmy zalogowani, to odpalamy konsolkę. Ci, którzy widzieli SCOM i/lub SCSM będą czuli się jak w domu.

dashboard

Raportów jest od groma. Spory skok jakościowy od starego Forefront Client Security.

FCS1 dashboard

Oczywiście można raportować też z Reporting Services (szczególnie fajne jest subskrybowanie raportów – nie ma to jak dostać rano mail ze snapshotem dashboardu :D

FCS Report v2
FCS Report v1

Samo zarządzanie polisami także zostało mocno wzbogacone. Tak wygląda w wersji 1:

Polisy - FCS1 
A tak w nowej:
polisy - Stirling

Przede wszystkim uderza mnogość ustawień:
Najpierw ustawiamy na jaką grupę maszyn chcemy nałożyć polisę (grupy są wewnętrzne w Stirlingu – tworzone na podstawie discovery z SCOMa i AD – więcej na ten temat tutaj)
Zakładka Antimalware zawiera praktycznie te same ustawienia co FCS1 z wyjątkiem NAP. Możemy wymusić na klientach skanowanie i aktualizację. Oczywiście to było już wcześniej, ale tym razem wsio jest w jednym miejscu :)

polisa - NAP 

Dalej możemy skonfigurować Firewalla – z tym, że musi to być firewall Visty/W7 ze względu na obecność profili (swoją drogą – Zapora w Vista/W7/2008/2008r2 jest świetna :D ). Jako, że polisy FCSa to zwykłe GPO łatwo się połapać jakie ustawienia są do skonfigurowania d; Warto zauważyć, że znów możemy wymusić NAPa :D

polisa - Firewall

Dalej jest NIS – Network Instection System. Strasznie fajny bajer – pozwalacie serwerowi TMG zaglądać w wasz ruch sieciowy i wykrywać potencjalne zagrożenia – więcej info tutaj i w kolejnych częściach artykułu :)

polisa - NIS

Software restriction policies nazywają się tutaj Authorized Software Manager – kolejna “nowość” – już było ale ciężej dostępne.

polisa - software 1
polisa - software2

Dalej funkcja
, która była w FCS1, ale nie na takim wypasie. Modyfikowanie elementów do Security State Assessment odbywało się przez modyfikacje plików i wysyłanie ich na końcówki. Tutaj jest GUI i duuuużo ustawień:

Jak i kiedy klient musi się restartować:
polisa - reboot 

Jakie usługi mamy monitorować (działa jak coś pomiędzy desired configuration na SCCM a monitorowaniem usług w SCOM):
polisa - services

Ustawienia DEPa:
polisa - DEP 

Ustawienia systemu plików:
polisa - file system

Weryfikacja zabezpieczeń IISa:
polisa - IIS

Ustawienia kont użytkowników – fajnie, że nie musi dokładnie spełniać best practices :D
polisa - konta

Weryfikacja ustawień SQL Servera (takie best practices kolejne (; )
polisa - SQL

No i oczywiście IE – trzeba sprawdzić, czy jest pozabezpieczany ;)
polisa - IE

UAC:
polisa - UAC

I uprawnienia dotyczące urządzeń peryferyjnych:
polisa - urządzenia

Tylko należy pamiętać, że SSAS jest tylko do weryfikacji ustawień, a nie ich wymuszania.

Dalej mamy ustawianie instalacji aktualizacji automatycznych:
polisa - updates

Oraz ustawienia ogólne dotyczące NAPa:
polisa - NAP

Dalej fajny bajer – jak system ma reagować na wykryte zagrożenia:
polisa - response

Dobra – jak już skonfigurowaliśmy polisy, to nałożą się one na klientów. tutaj tez jest poprawa – nowa plikacja kliencka FCSa jest prześliczna (;
FCSv2 client 
W porównaniu do starej jest lepiej – wreszcie nie jest to Windows Defender na sterydach:
image

Podsumowując – mamy spory krok naprzód – więcej opcji konfiguracji, uproszczenie procesu wdrażania polis, poprawione raportowanie. Zastanawia mnie tylko jak będzie wyglądać upgrade z FCS1 do Stirlinga – jak wszyscy doskonale wiemy, to nie ma ścieżki aktualizacji z MOM2005 do SCOM2007 ;)

I to by było na tyle jeśli chodzi o nowego FCSa. W następnym odcinku przyjrzymy się Threat Management Gateway.

Stirling i Kaspersky

Wiadomość może i stara, ale warto wiedzieć – Kaspersky for Lotus Notes/Domino będzie w pełni kompatybilny ze Stirlingiem. Więcej informacji w informacji prasowej.

%d bloggers like this: