TMG Service Pack 2 Rollup2

I fredags släpptes ännu en Rollup till Forefront TMG Service Pack 2. Detta är Rollup 2 vilket innehåller ett gäng fixar till diverse problem som man kan ha stött på i och med installation av Service Pack 2.

Har du uppmärksammat några problem (exempelvis att TMG stänger http sessioner, slutar svara på vissa webb publiceringar eller får problem med web cache) så installera denna uppdatering: http://support.microsoft.com/kb/2689195

I samband med denna lansering släpptes även en fix för just Dynamic Web Caching i ISA 2006 vilket du hittar här: http://support.microsoft.com/kb/2694478

Få mer ut av TechDays

I skrivande stund startar pre-conference på TechDays i Örebro, idag kan du få en heldag i allt ifrån OS deployment, Windows Azure till utveckling av Windows Appar för både Windows Phone och kommande revolutionerande Windows 8 Metroappar.

Något som många inte tänker på är vilken tillgång ett event som TechDays faktiskt är. Förutom att du kommer få mycket information genom en mängd intressanta sessioner så finns ännu ett sätt att få exakt den information du behöver. Här samlas nämligen den svenska eliten av IT konsulter både inom infrastruktur och utveckling. Bland annat är svenska Microsoft Extended Expert Team (MEET) på plats vilket har till syfte att förutom föreläsa även kunna svara på frågor och förhoppningsvis kunna ge dig svaret på det där jobbiga problemet eller behovet som du brottats med i en längre tid.

Säg till exempel att du har ett problem eller behov som är relaterade till ett flertal produkter, säg Exchange, Lync och Forefront, ta då chansen att ta en dialog med Magnus Björk, Martin Lidholm och Mig så kan vi säkerligen tillsammans reda ut ditt problem eller komma fram till en riktigt snygg lösning som passar dig.

Här har du ett flertal av de MEET medlemmar som kommer finnas på plats och vilken teknik de är specialister inom. Klicka på bilderna för att komma till deras bloggar och mer information om TechDays inom respektive område:

Alan Smith (Azure) Anders Olsson (Forefront/Säkerhet) Björn Axel (System Center/Windows Intune) Cecilia Wirén (.NET) Chris Klug (.NET/Silverlight) Daniel Bugday (SharePoint) Hasain Alshakarti (Säkerhet) Henrik Nilsson (FIM/ADFS) Joakim Nässlander (Windows Server/Cluster)

Johan Arvidmark (System Center/Deployment) Johan Åhlen (SQL) Magnus Björk (Exchange) Magnus Mårtensson (Azure) Martin Lidholm (Lync) Mathias Olausson (ALM) Patrik Lövendahl (.NET) Jörgen Nilsson (System Center) Ola Skoog (It Pro Evanglist)

Tveka inte att ställa frågor till oss om du springer på oss på detta event.
Vi ses på TechDays

Missa inte vår säkerhetssession på TechDays!

På tisdag börjar Microsofts största event i Sverige nämligen TechDays som äger rum på konventum i Örebro. Jag tillsammans med min kollega Tom Aafloen kommer köra vår session direkt efter lunch på onsdag klockan 13:15 i sal 8.
Sessionen är naturligtvis inriktad på säkerhet och kommer presentera ett gäng olika säkerhetsfunktioner som faktiskt ingår i Windows eller i licensavtal som de flesta företag faktiskt har. Vi kommer visa exempel på hur man kan nyttja dessa säkerhetsfunktioner för att uppnå en säker och användarvänlig infrastruktur utan tredjepartsprodukter. Precis som i mina tidigare versioner kommer vi prata om risker och hot mot vår infrastruktur och visa på hur vi kan skydda oss mot allt ifrån skadlig kod till dataläckage.

Så missa inte vår session på TechDays 2012!

Windows 8 skyddad av en TMG

Windows 8 betan (eller rättare sagt Consumer Preview som klientversionen heter) har nu funnits ute ett bra tag och fler och fler testar den och ser fördelarna med det nya gränssnittet Metro-style. Förutom att det nya gränssnittet gynnar plattor och andra touch-skärmar höjer det också säkerheten avsevärt tack vare den nya sandbox-miljön.

Windows 8 innehåller nya betaversionen av Internet Explorer 10 (IE 10) som körs antingen i desktop mode eller i Metro mode och därmed konfigureras på olika sätt.
Som vanligt når du “Internet Options” via IE 10 desktop och kan konfigurera connections som i tidigare versioner av IE. TMG Klienten fungerar också i Windows 8 betan och kan konfigurera webbläsaren via klienten och på så sätt kunna identifiera om klienten befinner sig internt och skall ha proxy inställningar eller om den är på utsidan och då köra utan proxy.
Där emot kommer dessa inställningar inte slå i Metros IE och inte heller kan TMG klienten konfigurera IE i Metro med rätt konfiguration (i nuvarande beta och med nuvarande version av  TMG).

För att aktivera proxyinställningar för alla Metro appar inklusive Internet Explorer måste man idag göra detta via Group Policy, i mitt fall konfigurerar jag detta via Local Group Policy. Snabbaste sättet att komma hit i Windows 8 är Windowsknappen+W vilket söker bland “settings” och skriv “policy”

Under Computer Configuration – Administrative Templates – Network och Network Isolation finner du en policy vid namn “Internet proxy servers for Metro Style apps” där du anger FQDN eller IP till din TMG följt av port 8080 (såvida du inte ändrat denna defaultport).

Efter det här skall du kunna få dina Metro appar att skicka autentisera till TMGn och därmed kunna nyttja dessa tjänster och samtidigt få spårbarhet och dina AD-baserade web-accessregler att fungera.

Stor kampanj för att upplysa om falska supportsamtal

Här kommer en artikel i mängden som upplyser om de ökade bedrägeriförsöken som pågår just nu. Flera har blivit uppringda av någon som utger sig vara från Microsoft och som har identifierat att din dator är virussmittad och erbjuder hjälp. Det dom i själva verket är ute efter är att få in skadlig kod på din dator i syfte att ta dina inloggningsuppgifter till banker, e-postadresser och kunna nyttja din dator för framtida attacker mot företag och myndigheter.

I själva verket är det här inget nytt. Inom IT säkerhets området kallas detta Social Engineering och har funnits sedan datorerna begynnelse, men då framför allt för att ta sig in i företags och myndigheternas system. Då tekniken blev bättre och bättre och datorer och nätverk blev bättre skyddade fanns det enklare sätt att komma åt och stjäla information än att försöka “hacka” sig in på nätverken. Genom att göra en detaljerad research om företagen och användarna var det helt enkelt enklare att ringa en användare eller ta sig fysiskt in på företagen och utge sig för att vara från helpdesk och fråga efter användarens inloggningsuppgifter.

Då tekniken och även användarmedvetenheten har blivit så mycket bättre även på  hemmaplan har det helt enkelt blivit svårare att sprida skadlig kod eller få en användare att klicka på en länk. Där emot är vi fortfarande för godtrogna och litar på en person som faktiskt ringer och erbjuder sin hjälp samtidigt som vi är lättskrämda då vi hör att datorn är smittad och den riskerar att bli obrukbar och alla privata foton och filmer riskerat att försvinna.

Några grunder som du som användare bör tänka på både privat och på jobbet:

1. Ge ALDRIG ut inloggningsuppgifter, oavsett vem som frågar efter dessa. Inloggningsuppgifter är personliga och det finns aldrig ett giltigt skäl till varför du skall lämna ut detta till någon annan oavsett på ditt arbete eller privat.

2. Klicka aldrig på en länk som du fått av en okänd avsändare eller som verkar suspekt. Rent krasst, du kan inte vara för misstänksam även fast du fått ett mail av din bästa vän så syna först att mailadresser ser korrekt ut och att det är rimlig information som avsändaren skickat
3. Ange aldrig dina inloggningsuppgifter på en webbsida som du inte känner igen eller över en okrypterad anslutning.  Känner du inte igen webbsidan eller programmet som frågar efter dina inloggningsuppgifter se till att alltid försäkra dig om att det är korrekt. Exempelvis logga in med ditt Facebook konto eller Live konto på en okänd hemsida eller över en http session, https är ett måste vid inloggning.
   Logga heller inte in från en okänd allmän dator på exempelvis ett internetcafé då det är stor risk att det finns “key loggers” som registrerar vad du skriver.
   Ett tips om du måste logga in från en allmän dator och vill minska risken för att ditt lösenord skall hamna i en keylogger: Skriv en lång textsträng i exempelvis notepad där fragment av ditt lösenord finns med och kopiera sedan ut rätt tecken och klistra in det i lösenordsfältet.

Andra sidor som skriver om det här bedrägeriförsöken är dels vår blogg på Onevinn
http://blogg.onevinn.se/

Min kollega Tom har även skrivit om detta och lagt ut två filmer med inspelningar från dessa samtal. Kan verkligen tipsa om den andra filmen där mottagaren driver med den som ringer och slutet på filmen är grymt roligt
http://itblogg.aafloen.se/

Forefront + PointSharp del 2 om flerfaktorautentisering

Jag har tidigare skrivit om hur du med hjälp av PointSharp ID och PointSharp SecureActiveSync kan höja säkerheten för din Exchange ActiveSync. Här kommer en fortsättning som handlar om hur du kan nyttja PointSharp ID även för flerfaktor- autentisering till webbpubliceringar. Låt oss ta exemplet att publicera Outlook Web App (OWA) för att på ge en säkrare tillgång även till den Exchange tjänsten.

OTP metoder
Det finns flera tillvägagångssätt att ge användaren en engångskod (även kallat One-Time Password OTP). Det klassiska som man nyttjar till flera banktjänster med mera är hårdvarudosor, det här har även PointSharp, men jag kan tycka att det är lite bökigt att kräva att användaren skall ha med sig denna dosa. Det finns då några andra smart alternativ, dels finns en kort-dosa som är i samma storlek som ett bankkort/smartcard och får lätt plats i plånboken, kortet har en liten display och med hjälp av ett enkelt tryck generar den OTP koder. Ett annat alternativ är att använda telefonen som man ändå alltid har med sig. Här finns två alternativ, dels kan man få ett SMS skickat vid inloggning med en engångskod, dels finns det även OTP appar till i stort sett varenda telefonmodell vilket jag tycker är den smidigaste lösningen. Telefonen har man alltid med sig och man slipper kostnad för SMS eller eventuella fördröjningar.

Distribution av PointSharp app
Distribution av PointSharp appen är enkel från PointSharp Admin gränssnittet där man kan välja att skicka ut den via SMS eller E-post till valfri användare och det finns en dosa per mobilplattform. Användaren får då ett meddelande med en länk till appen från appstore/marketplace samt en personlig kod som knyter OTP dosan till användaren. Användaren kan även ta hem appen på egen hand för att i efterhand få en kod och knyta appen till användarkontot.

Inloggningsformulär
Som det ser ut i nuvarande PointSharpversion så finns det bara ett specialanpassat gränssnitt för inloggningsformulär med SMS. Om man använder annan OTP metod så nyttjar man standard inloggningsformulären som i exemplet nedan är Exchange OWA formuläret.
Här anger man sitt användarnamn och lösenord (vilket kan vara användarens AD lösenord alternativt ett unik PointSharplösenord) följt utav genererad OTP kod i samma lösenordsfält.

Naturligtvis kan man editera gränssnittet själv och förklara mer tydligt för användaren hur han skall ange kombinationen av lösenord och OTP.
Det finns även planer från PointSharp att komma med fler modifierade formulär för att kunna skilja på lösenord och OTP.

Det här är en perfekt metod för att höja säkerheten till de webbtjänster som du publicerar via TMG med en stark autentisering, som då innebär något användaren vet (lösenordet) samt något den har (dosan).

En fördel kan också vara att man har ett unikt lösenord via PointSharp för alla webbtjänster och ActiveSync för att på så sätt hindra att användaren anger sitt AD lösenord på främmande datorer så som Internet-Caféer och liknande.

Ny RollUp till TMG Service Pack 2

Igår publicerades en rollup uppdatering till Forefront TMG Service Pack 2.

Det har dykt upp en del problem i och med Service Pack 2. Framför allt så är den här uppdateringen aktuell om du har problem med Reporting Services. Exempelvis om du får ett felmeddelande som “Subreport could not be shown” när du genererar en User Activity eller Site Activity rapport.

Notera att denna rollup uppdatering kräver att du har TMG Service Pack 2 installerad och den skall då installeras på samtliga TMG och även EMS om du har en större klustrad lösning. Observera också att alltid uppgradera eventuell EMS först och sedan den TMG som har reporting service-tjänsten för att sedan fortsätta installera på övriga array medlemmar. Den här uppdateringen kräver heller ingen omstart av servern.

Läs mer om uppdateringen och ladda hem den via kb2649961