Konsolka Forefront

HOWTO, security, server, tips'n'tricks

Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

  • Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
  • Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
  • Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINESOFTWAREMicrosoftMicrosoft ForefrontClient Security1.0Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
  • Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
  • potem w menu start StartProgramsMicrosoft ForeFrontClient Security jest działająca konsola :)
  • jedna uwaga – działa tylko na systemach x86

NewSid nie potrzebny?

8 komentarzysecurity, server, windows,

Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec – ghostwalk. Prostsze i przyjemniejsze – zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals – w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie – do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa – chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  – The Machine SID Duplication Myth

Parę słów narzekania – Forefront

5 komentarzynews, security, server

Wreszcie eMeSowi udało mi się wyprowadzić mnie z równowagi. Ogłosili opóźnienie Forefront Endpoint Protection 

Przecież to jakaś paranoja. wydają qpy w stylu WS2008R2, które nic nie wnoszą i zbierają mieszane opinie przez skopane licencjonowanie, a FCS, który nigdy nie dostał złej opinii, którego sobie chwalą wszyscy, którzy go znają zostaje olany. W dodatku FEP2010 będzie oparty o SCCM2007! Heloł! żeby to postawić razem ze Stirlingiem/FPS trzeba będzie z 8 giga pamięci (ten stoi na SCOM). I najprawdopodobniej Multihomming będzie na podstawie przenikających się Site-ów. pomijając fakt, że wdrożenie na jednym pudełku będzie strasznie bolesne (SCCM i SCOM razem? no fukkkkkin way!) Poza tym po co zmieniać pomysł, gdzie FEP (client sec) i FPS (Stirling) są połączone? w betach działało to na prawdę dobrze. Aż tak, że pokusiłbym się o postawienie jej do produkcji.

Podsumowując wpis na blogu FF rozumiem tak – przepisujemy produkt od nowa. poczekajcie rok albo i więcej. Przypomina się sytuacja z Service Managerem, który już ma prawie 3 lata obsuwy (miał być najpóźniej rok po SCOMie)

FUKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK

Forefront Endopint Protection Fail

OT, security, server

Jak zwykle obiecanki cacanki. Tak dla sportu przeglądałem dokumentację do Stirlinga w poszukiwaniu braków i bubli 9a takich na technecie nie brakuje ;) ) i trafiłem na coś takiego:

Upgrading or migrating Stirling

[This topic is pre-release documentation and is subject to change in future releases. Blank topics are included as placeholders.]

This document describes upgrade and migration scenarios for this beta release of Stirling. Material in this document replaces the content in the topic “Upgrading or migrating Stirling” in the Stirling Deployment Guide.

The following upgrade and migration scenarios are supported:

The following upgrade or migration scenarios are not supported:

  • Upgrading server components from the public Beta 1 or public Beta 2 version to this version of Stirling
  • Upgrading client components from public Beta 1 to this version of Stirling
  • Migrating from one server topology to another
  • Migrating from a third-party solution to Stirling

Czyli jednym słowem – będzie można aktualizować końcówki, ale i scenariuszu in-place dla topologii serwerowej można zapomnieć. Pięknie. Po prostu pięknie! tak z czystej ciekawości chyba zrobię infrastrukturę mieszaną i zobaczę jak FCS się kłóci z FEP :D

Forefront – nowości z WPC

news, security

I znów o mojej ulubionej rodzinie produktowej :) Wszyscy liczyli, że na WPC w Nowym Orleanie M$ ogłosi RTM dla W7/W2k8R2. Niestety jeszcze jakiś czas będziemy musieli na to poczekać. Ale za to pojawiły się fajniejsze doniesienia dotyczące Forefront vNext (“Stirling”):

  • Cała rodzina będzie się nazywać Forefront Protection Suite (FPS)
  • Konsolka Stirlinga będzie się nazywać Forefront Protection Manager (FPM)
  • Client Security przyjmie nazwę Forefront Endpoint Protection 2010 (FEP)
  • Produkty do ochrony serwerów dostaną numerek 2010 (exchange, sharepoint, ocs)
  • Nowa generacja ISA będzie miała pełną nazwę Forefront Threat Management Gateway Web Security Service
  • Sposób licencjonowania się nie zmieni – pozostanie na zasadach subskrypcji (wyjątkiem będzie TMG sprzedawane per procesor)
  • Udostępniono beta 2 UAGa
  • Produkty z pakietu “Geneva” dostały nazwy
  • Nie ustalono dat premier produktów wymienionych powyżej – wiadomo tylko, że będą rozstrzelone pomiędzy 2H2009 i 1H2010

Dodania numerków 2010 można się było spodziewać (Office i Exchange się będą ładnie zgrywać), ale niestety ciągle brakuje konkretnych dat premier (wiadomo tylko, że TMG pojawi się na pewno jeszcze w tym roku).

Forefront Client Security update na WSUS

4 komentarzenews, security, server

WSUS blog informuje, że dziś w systemie aktualizacji automatycznych pojawi się łatka do FCS. Daje ona między innymi:

  • usprawnienia w obsłudze i skanowaniu sterowników działających w trybie jądra (teraz przed instalacją/załadowaniem będą one dokładniej skanowane)
  • Zlikwidowanie buga w obsłudze COMów w Software Explorer, który powodował wywalanie się agenta na W2k
  • Zmiana w obsłudze linków symbolicznych do plików (*.lnk) – jeśli pokazuje na udział sieciowy, to cel nie zostanie sprawdzony

W momencie wyjścia warto zrobić slipstream z waszą instalacją zgodnie z tą instrukcją :)

Nowości – UAG Beta i projekt “Morro”

3 komentarzenews, security, server, windows

Jako wasz ulubiony korespondent ze świata nowinek security przynoszę kolejne wieści.

1. Beta Forefront Unified Access Gateway – następcy Forefront Inelligent Application Gateway pojawi się w ciągu paru najbliższych tygodni.
Źródło: http://blogs.technet.com/edgeaccessblog/archive/2009/06/11/forefront-uag-beta-is-coming-to-town.aspx

2. Gigant z Redmond planuje wypuścić pod koniec roku darmowe rozwiązanie antywirusowe dla biurkowych edycji systemów Windows. Projekt ma nazwę kodową “Morro”. Ma on zastąpić niewypał z Live One Care (który swoją drogą psuje całkowicie W7). Czyżby wreszcie porządny Windows Defender. Niestety nie będzie najprawdopodobniej wbudowany w system, tylko stanie się częścią Live Essentials (wiecie – prawa antymonopolowe).
Źródła: http://www.reuters.com/article/technologyNews/idUSTRE5585IV20090611
http://www.informationweek.com/news/security/antivirus/showArticle.jhtml?articleID=217800827