Společnost Microsoft 3. března 2010 vydala novou verzi nástroje pro správu identit v organizacích. Produkt dříve známý jako Identity Lifecycle Manager (ILM) je nyní součástí rodiny Forefront - produktů pro zajištění bezpečnosti. Foreftont Identity Manager 2010 (FIM) přináší celou řadu novinek pro zjednodušení správy identity, kde mezi hlavní patří možnost správy pomocí SharePoint portálu, možnosti v oblasti “selft service” tedy jakási samooblužnost uživatele a zvýšení bezpečnosti a shody s různými standardy. Není asi nutné představovat co vše obnáší správa identity - především se jedná o zajištění konzistence informací mezi různými zdroji, které se týkají uživatele, počítačů a skupin. Dále nástroj slouží pro automatizaci přenosů informací mezi jednotlivými zdroji.

Hlavní oblasti vylepšení ve FIM 2010:

Správa politik FIM:

• Konzole založená na SharePoint pro přípravu a správu politik, vynucování politik a auditování
• API pro rozšíření služeb FIM a Windows Workflow Foundation
• Jednotná synchronizace identity a zajištění její konzistence v organizaci - od Active Directory až po Lotus Notes a Oracle

Správa oprávnění:

• Jednotná správa certifikátů v heterogenním prostředí s podporou dalších certifikačních autorit
• Možnost reset hesla přímo uživatelem, která je integrována do přihlášení Windows (self-service)

Správa uživatelů:

• Integrovaný provisioning identit, oprávnění a zdrojů - není nutné vytvářet vlastní kód, vše se děje pomocí uživatelského rozhraní
• Automatizovaný provisioning a deprovisioning uživatelů - rozsáhlé možnosti workflow - odkud, co, kam, jak,…

Správa skupin:

• Rozsáhlé možnosti správy skupin založené na Office
• Schvalovací proces zařazení do skupin offline pomocí Outlooku
• Automatizované aktualizace skupin a distribučních litů

Schematické zobrazení struktury FIM 2010, rozdělení základní části a workflow/selfservice

V minulém roce vydala společnost Microsoft antivirový program nazvaný Microsoft security Essentials. Dnes, tedy 18.2.2010 byly spuštěné české stránky pro tento antivirový nástroj a také je možné stáhnout zdarma českou verzi. Je tedy vidět, že se čeština do Security Essentials dostala přesně dle slibů společnosti Microsoft. Stahovat českou verzi, stejně jako ostatní jazykové mutace můžete na download.microsoft.com Další informace jsou uvedeny na stránkách věnované Microsoft Security Essentials.

Plánujete nasazen Forefront Threat Management Gateway 2010 ? Forefront Threat Management Gateway 2010 (TMG2010) je poslední generace velice úspěšné aplikační firewall - ISA Server. Pro snazší nasazení, resp. plánování hardware Microsoft uvolnil xls dokument, který Vás provede všemi kroky, které jsou nutné pro správné naplánování kapacity serveru pro TMG 2010. Mezi velice důležité informace patří počet uživatelů, kteří budou TMG využívat, obvyklá pravidla, která souvisí s publikací služeb do internetu až po přenosové pásmo, které bude dostupné.

Nástroj pro plánování nasazení TMG 2010 stáhnete na download.microsoft.com

10.února 2010 server h-online uvedl velice zajímavou zprávu. TPM čip může být haknutý. Americký hacker - možná lépe softwareový inženýr - Christopher Tarnovsky, se pustil do pokusu, jak získat šifrovací klíče z TPM (Trusted Patform Module) čipu, která slouží pro ukládání šifrovacích a ověřovacích klíčů (RSA, DES,…) například pro použití technologií Windows BitLocker.

TPM čipy samy o sobě obsahují celou řadu logických a fyzických ochran, které mají zabránit celé řadě útoků jako například rozdílová elektromagnetická analýza (DEMA) a to včetně fyzických útoků na čip. Pokud se útočníkovi podaří získat šifrovací klíče z TPM modulu, může číst data ze šifrovaných disků, aniž by musel zadávat přístupový PIN.

Christopher Tarnovsky, který je známý spíše jako “smard card hacker” použil pro tento pokus TPM čip SLE 66CLX360PE. Pro to, aby bylo možné číst data ze sběrnice, je nutné odstranit veškeré ochrany z čipu. Pro tento účel Tarnovsky využívá svou laboratoř (vybavení cca $200 000), různé tekuté a plynné látky. Následně přichází složitá práce s mikroskopy (Focused ion beam), Photoshopem a dalšími nástroji, které umožní rozkrýt vícevrstvou strukturu čipu. Extrahování informací z TPM čipu Tarnovskému zabralo cca 6 měsíců, nicméně přečtení licenčního čísla pro XBox 360 bylo pouze 6 hodin navíc.

Po vydařeném pokusu Tarnovsky oznámil tuto skutečnost výrobci čipu - společnosti Infineon. Peter Laackmann, vedoucí divize čipů společnosti Infineon, řekl, že možnost masivního útoku na čipy je spíše v teoretické rovině. Také oznámil, že tato modelová řada čipů se již nedodává a nyní je běžně dodávána řada SLE78, která obsahuje další technologie proti fyzickým útokům na čip a stejně tak další šifrovací možnosti. Tyto čipy obsahují tzv. koncept Integrity Guard, který zajišťuje přenos dat a jejich zpracování odděleně.

Je možné téměř s jistotou říci, že tato metoda nebude prakticky hromadně zneužívána, nicméně různé agentury mohou takového útoku využít cíleně (a pravděpodobně tak již činí). Tarnovsky nezveřejnil a ani nezveřejní detaily, které se týkají tohoto útoku - je také jenom podnikatel - v budoucnu plánuje ověřit zabezpečení dalších výrobců TPM čipů.

Forefront Threat Management Gateway 2010 je k dispozici ke stažení pro předplatitele TechNet a MSDN subscription, download bude za krátkou dobu zveřejněn i na licensing.microsoft.com pro zákazníky s uzavřenou licenční smlouvou se společností Microsoft. TMG je pouze pro platformu x64 a ve dvou edicích Standard a Enterprise. Velikost downloadu je bezmála 1,2GB.

Od 10.12.2010 je k dispozici ke stažení sada nástrojů pro Forefront Threat Management Gateway 2010 a to včetně Software Development Kit.

Mezi nástroje, které jsou ke stažení patří:

ADAM Sites Tool for Forefront TMG Enterprise Edition - nástroj pro konfiguraci a práci s Active Directory in Application Mode (ADAM), kde je ukládána konfigurace jednotlivých serverů v TMG poli.

Auto Discovery Configuration Tool for Forefront TMG - konfigurace automatického nastavení koncových klientů. Tato konfigurace je ukládána v Active Directory. Konfigurace automatizuje nastavení firewall klienta tak, aby byl jednoduše firewall klient nastaven na přístup pomocí TMG.

EE Single Server Conversion tool for Forefront TMG - tento nástroj umožňuje konvertovat servery s ISA 2004 Enterprise nebo ISA 2006 Enterprise na Forefront TMG Standalone mód. Tento nástroj konvertuje veškerá pravidla a nastavení.

K dispozici je celkem 10 nástrojů + SDK pro TMG 2010, stahovat můžete na download.microsoft.com

9.1.2010 Také byla zveřejněna dokumentace online na adrese http://technet.microsoft.com/en-us/library/ee207140.aspx

V minulém týdnu proběhlo v rámci berlínského TechEdu uveřejnění Exchange Server 2010. Vcelku potichu se udála ještě jedna velice důležitá věc a tou je uvedení nové verze ISA serveru - Threat Management Gateway 2010. Vcelku záhadné, že se o této události nezmiňují ani oficiální stránky výrobce, nicméně v tuto chvíli je možné stahovat zkušební verzi z Microsoft Download - http://www.microsoft.com/downloads/details.aspx?FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd (pro stahování je nutná registrace).

ForeFront Threat Management Gateway 2010, zkráceně TMG 2010 přináší mnohé novinky. První z novinek je plná integrace do rodiny ForeFront, jakožto rodiny produktů pro zajištění bezpečnosti v organizacích. Další noviny jsou například:

• URL Filtering - filtrování adres, na které uživatelé přistupují. Je možné definovat ručně, na které adresy uživatel může či nemůže přistupovat (což bylo možné i v předchozí verzi, nyní zjednodušeno), ale pomocí předplatného je TMG schopna stahovat automaticky definice nebezpečných webů, které šíří například viry nebo malware obecně a to včetně různých kategorizací stránek.
• Zabezpečení emailu - ve spolupráci s Exchange serverem je TMG 2010 schopna zajistit kompletní kontrolu nad doručovanými a odesílanými emaily.
• Kontrola HTTPS - TMG 2010 je schopna kontrolovat provoz, který uživatel vyžádal z internetu a probíhá po protokolu HTTPS. Zde je několik možností - ukončit HTTPS na TMG a uživateli se bude předávat HTTP nebo TMG znovu zašifruje komunikaci a uživateli se předává HTTPS nebo HTPPS kompletně zakázat. Před tím, nežli je HTTPS provoz kontrolován, je uživatel upozorněn hlášením v prohlížeči. Možná si říkáte proč kontrolovat HTTPS provoz, tvůrci škodlivého software jsou nevyzpytatelní. Stejně tak může ze strany uživatelů zaznít “proč mi kontrolujete můj soukromý https provoz?” - znovu a znovu bude nutné uživatelům vysvětlovat, že internet je pouhým “výrobním prostředkem”, který má/může mít uživatel jako bonus ke své práci.
• Network Inspection System (NIS) - provoz, který prochází přes TMG může být skenován, zdali nejsou adresovány exploity Microsoft software - není-li veden útok na známou chybu. Pokud tomu tak je, TMG automaticky blokuje tento provoz.
• Podpora 64-bit a Windows Server 2008 - hurá, k tomu není nutné co dodávat.
• Integrace s rodinou ForeFront - integrace může být například (a to je jeden z mnoha příkladů), kde uživatel přistupuje na internet a stáhne škodlivý kód, tento škodlivý kód začne dělat např.. port scan na dalších počítačích, vše je detekováno, proto systém ForeFront zakáže např. port na switchi, ze kterého přichází útok, zakáže uživateli přístup do internetu na TMG a stejně tak může zakázat odesílání emailů na Exchange. Tím je potenciální hrozba zastavena ihned v jejím počátku. Jakmile je problém odstraněn, vše se “vrací” do normálu.

Další problematice TMG a novým produktům z rodiny ForeFront se budeme věnovat s samostatných článcích.

Na stránkách TechNetu je dostupná dokumentace, která je prozatím zvláštním mixem RC a RTM - ForeFront TMG Deployment

V tomto článku vám přinášíme další informace o MSE.

Produkty nejsou podporovány na serverových operačních systémech Microsoftu.

Prostředí samotné je velice jednoduché a intuitivní.
První informační obrazovka obsahuje informace o stavu ochrany a informace o aktualizacích produktu.

Záložka Update potom detailnější informace o aktualizacích MSE.


Poslední záložka obsahuje jednoduché nastavení základních funkcí.

Po cca týdenních zkušenostech mohu pochválit rychlost produktu MSE, nízkou spotřebu paměti a příjemné rozhraní.

V tuto chvíli je již produkt dostupný v českém jazyce. Kompletní informace o produktu a link na stažení je na stránkách české pobočky Microsoftu:

http://www.microsoft.com/security_essentials/default.aspx?mkt=cs-cz

 

 

 

 

 

Microsoft uvolnil pro veřejné testování verzi RC1 produktu Forefront Identity Manager (FIM) 2010. Tento produkt je následovníkem Identity Lifecycle Manager (ILM) 2007.

Identity Manager zajišťuje kompletní správu životního cyklu identity (tedy např. uživatele, skupiny,kontaktu) v it prostředích. Hlavní změny ve Forefront Identity Manager 2010 se týkají oblastí výkonnosti a škálování ale také služeb, které si mohou uživatelé zařídit sami, aniž by jakkoliv správa it musela zasahovat – například členství ve skupinách či reset hesla přímo uživatelem.

Rozšířeny jsou také možnosti automatizace pomocí .NET a WS-*. Samozřejmostí je také management pack pro System Center Operations Manager.

Vydání finálního produktu je zatím plánováno na první čtvrtletí kalendářního roku 2010.

Stahovat a testovat verzi RC1 můžete ze stránek http://technet.microsoft.com

Společnost Microsoft vydala finální verzi nástroje pro ochranu počítače před viry, spyware a dalším škodlivým kódem v reálném čase. Tento nástroj je dostupný zdarma pro legální majitele operačního systému Microsoft Windows (při stahování je kontrolována pravost operačního systému – genuine Windows).

Microsoft Security Essentials (MSE) mohou využívat majitelé operačních systému Windows XP SP2 a vyšší,Windows Vista a Windows 7, je dostupný ve verzi 32bit i 64bit.

Aktualizace MSE se provádí pomocí technologie Windows Update a to i několikrát denně – doporučujeme tedy konfigurovat aktualizace systému na automatické.

V současné době je MSE dostupné v cca 20ti jazykových verzích, nicméně čeština přijde na řadu později.

Tento nástroj je primárně určený pro domácí použití na jednotlivých počítačích. Pro využití ve firemních prostředích je určený nástroj Forefront Client Security.

Stahovat je možné na stránkách Microsoft věnovaných Security Essentials

Společnost Microsoft vydala 24.9.2009 k testování verzi RC0 nového produktu Forefront Unified Access Gateway. Jedná se o novou verzi Intelligent Application Gateway 2007 (IAG 2007).

UAG je určený pro nasazení na specializované hardware, tzv. appliance a jedná se o serverovou aplikaci, která řeší přístup koncových uživatelů k podnikovým prostředkům.

Novinky, které jsou obsaženy v UAG se týkají následujících oblastí:

• vzdálený přístup
• nové způsoby přístupu k webovým aplikacím publikovaných pomocí UAG
• publikace ne-webových aplikací pomocí socket nebo port forwarding
• přístup k souborům je možné publikovat interní souborové struktury na portálu a díky tomu umožnit přístup uživatelům k interním souborům
• správy identity a přístupu koncových uživatelů
• nové možnosti podpory non-Windows operačních systémů
• nové komponenty pro přístup k aplikacím přes UAG, které jsou instalovány na koncová zařízení
• správa přístupů koncových zařízení – nové možnosti správy přístupů, granulární nastavení oprávnění uživatelů a přístupových politik
• vysoká dostupnost - nasazení v poli nebo load-balancing
• spolupráce s technologií DriectAccess – rozšíření technologie o
• přístup ke zdrojům pomocí NAT64 a DNS64
• podpora UAG array a load-balancing
• průvodci zjednodušující nasazení

verzi RC0 můžete stahovat na http://download.microsoft.com