Optimalizované IT - portál pro IT pro komunitu

Security Compliance Manager (SCM) 3.0 byl umístěn ve finální verzi na download stránky 31.1.2013. Jedná se o nástroj zdarma, který je součástí tzv. Solution Accelerators, lze pomocí něj řídit konfigurace a zabezpečení pomocí skupinových politik (Group Policy), System Center Configuration Manager. Poslední verze SCM 3.0 přináší podporu Windows Server 2012, Windows 8 a Internet Explorer 10.

SCM nabízí politiky připravené k nasazení na počítače s operačními systémy Windows a Office, kde politiky obsahují předpřipravené konfigurace, které obsahují znalostní bázi týkající se zabezpečení počítačů a serverů.

Při práci se SCM 3.0 je možné importovat stávající nastavení, které je prováděné pomocí skupinových politik a použít tuto konfiguraci jako referenční. Také je možné importovat bezpečnostní nastavení z jednotlivých počítačů, na kterých je také možné nastavení aplikovat.

SCM nabízí i znalostní bázi bezpečnostních expertů a doporučená nastavení v aktualizovaných dokumentech. Obsahem je také referenční dokumentace “Attack surface”, tedy možná, potenciální nejzranitelnější místa podporovaných produktů. Pomocí těchto informací je možné vytvořit přesné nastavení zabezpečení, kde SCM pomůže porozumět proč, jak a co nastavujete.

Při importu stávajícího nastavení je možné porovnat existující nastavení proti doporučenému “zabezpečenému” nastavení. SCM 3.0 přináší rozšířené a upřesněné nastavení pro Windows 7 SP1 a Windows Server 2008 R2. Jakmile je připravena bezpečnostní konfigurace, je možné nastavení exportovat do několika z následujících formátů: XLS, GPO (skupinové politiky), balíčky Desired Configuration Management (SCCM DCM), Security Content Automation Protocol (SCAP). Díky těmto exportům je možné automatizovat / dokumentovat bezpečnostní nastavení ve firemních prostředích, ale stejně tak i při nasazení operačních systémů.

Již z předchozích verzí SCM jsou podporovány následující produkty: Windows Server 2012, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Windows Server 2003 SP2, Hyper-V, Windows 8, Windows 7 SP1, Windows Vista SP2, Windows XP SP3, BitLocker Drive Encryption, Windows Internet Explorer 10, Windows Internet Explorer 9, Windows Internet Explorer 8, Microsoft Office 2010 SP1, Microsoft Office 2007 SP2, Exchange Server 2010 SP2 a Exchange Server 2007 SP3.

Security Compliance Manager (SCM) 3.0 je možné stahovat zdarma z Microsoft Download Centra. Pro instalaci je nutná instance MS SQL 2008 (může být i Express), při instalaci SCM je možné automaticky instalovat odpovídající instanci SQL Express.

Pro zájemce je připravena ukázka SCM: Security Compliance Manager Demo a také dokumentace

SCM Overview

SCM Getting Started

SCM Frequently Asked Questions (FAQ)

SCM Release Notes

SCM Baseline Download Help

Pro instalaci je zapotřebí operační systém Windows 7 nebo Windows 8, Microsoft Word nebo Word Viewer,

Společnost Microsoft, která vyvíjí vlastní antivirový nástroj - Microsoft Security Essentials (MSE) - bude od 1.10.2010 kompletně zdarma i pro malé firmy - do 10ti počítačů. Nyní není možné používat MSE na počítačích, které jsou používány k podnikání.

Antivir Security Essentials prošel mnohými testy různých organizací zabývajících se testováním antivirových řešení a MSE obdržel řadu kvalitních hodnocení. Mezi tato hodnocení patří například test av-test.org, kde dosáhl hodnocení ochrana 4, oprava 4,5, využitelnost 5,5 (obsahuje jak uživatelské rozhraní, zátěž systému, apod.). Celý report můžete stáhnout například zde anebo se podívat na srovnání s dalšími antivirovými řešeními zde. Co je důležité vědět, že MSE ochrání “dynamicky” počítače, tedy ochrana i proti tzv. 0-day útokům.

Microsoft Security Essentials používá stejné technologie jako “Enterprise řešení” společnosti Microsoft, tedy například ForeFront Client security, či ForeFront for Exchange. Tento antivirový nástroj je prověřen mnohými domácími uživateli od data jeho vydání a je také velice důležité, že je k dispozici v lokalizované - tedy české - verzi.

Důležité je, že není nutné se nikde registrovat, pouze stáhnout MSE ze stránek Microsoft http://www.microsoft.com/security_essentials/ a začít používat.

Microsoft Security Essentials využívá standardních technologií Windows Update pro aktualizace virových definic, tedy aktualizace pro MSE budou pravidelně stahovány z internetu.

Někteří z vás dozajista zaznamenali první antivir z dílny Microsoftu pro koncové stanice již před několika lety - ForeFront Client Security. Také před několika lety začal vývoj nové verze, která byla několikrát odložena (původní vydání bylo plánováno na podzim 2008). Těžko hodnotit důvody tohoto odložení, nicméně nyní je k dispozici první veřejná betaverze firemního antiviru - Forefront Endpoint Protection 2010.

Možná k překvapení administrátorů tento antivir pro svou centrální správu vyžaduje System Center Configuration Manager (uvidíme časem, jak to bude s licencováním), kde antivir je jakýmsi rozšířením pro SCCM. Možná jste také zaznamenali novou betaverzi Microsoft Security Essentials, kde antiviry budou identické, pouze ve firemní edici bude možná centrální správa na koncových klientech.

Microsoft uvádí, že díky integraci se SCCM bude plně využita již existující infrastruktura pro nasazení správu zabezpečení koncových stanic - co ale v případě, kdy SCCM v organizaci není nebo organizace mají pouze System Center Essentials? Čas ukáže, jak šťastný se tento krok zdál. Pro úplnost uvedu, že v předchozích plánech a neveřejných betách byl Forefront Endpoint Protection centrálně spravován pomocí System Center Operations Manager. Změna k SCCM se zdá být logická, ale v případě, kdy organizace nemá SCCM infrastrukturu, tak poněkud nákladná a rozsáhlá.

Nové vlastnosti, které se týkají antivirového engine jsou identické jako u Security Essentials, tedy:

• Integrace s Windows Firewall - Microsoft Security Essentials se dotazují při instalaci a následně i při běhu aplikace Windows Firewall a upozorňují uživatele, že by firewall měla být spuštěná.
• Rozšířená ochrana proti útokům vedeným z webových stránek - Microsoft Security Essentials jsou plně integrovány s Internet Explorerem pro kontrolu obsahu, který je zobrazován pomocí Internet Exploreru.
• Nové jádro antiviru (protection engine) - toto nové jádro nabízí nové/rozšířené možnosti při detekci, odstranění škodlivého kódu a zvýšený výkon.
• Network Inspection System (NIS) - ochrana proti síťovým útokům je přímo součástí Microsoft Security Essentials. Tato funkce není dostupná pro Windows XP.

Dostupnost je pak plánována na druhou polovinu kalendářního roku 2010 (doufejme :)).

Kromě běžných systémových požadavků, je právě s ohledem na správu FFEP 2010 zapotřebí následující:

Microsoft SQL Server 2005 SP2 or 2008 Enterprise, including:

• Analysis Services

• Integration Services

• Reporting Services

• SQL Server Agent

Microsoft System Center Configuration Manager 2007 Service Pack 2 Release 2 site installed with default roles, configured to use the SQL Server Reporting Services, and the following installed and configured:

• Hardware Inventory

• Software Distribution

• Desired Configuration Management

Beta verzi po registraci je možné stáhnout zde (cca 75MB) - http://www.microsoft.com/downloads/details.aspx?FamilyID=8b46c3ff-d9a0-4741-8ba5-458c1b3d2257

Microsoft připravuje další verzi úspěšného antiviru z jeho dílny - Microsoft Security Essentials. Tato druhá verze přináší následující vylepšení:

• Integrace s Windows Firewall - Microsoft Security Essentials se dotazují při instalaci a následně i při běhu aplikace Windows Firewall a upozorňují uživatele, že by firewall měla být spuštěná.
• Rozšířená ochrana proti útokům vedeným z webových stránek - Microsoft Security Essentials jsou plně integrovány s Internet Explorerem pro kontrolu obsahu, který je zobrazován pomocí Internet Exploreru.
• Nové jádro antiviru (protection engine) - toto nové jádro nabízí nové/rozšířené možnosti při detekci, odstranění škodlivého kódu a zvýšený výkon.
• Network Inspection System (NIS) - ochrana proti síťovým útokům je přímo součástí Microsoft Security Essentials. Tato funkce není dostupná pro Windows XP.

Betaverze je dostupná v následujících jazycích: Anglicky, Brazilsky, Izraelsky.

 

Betaverzi je možné stahovat ze stránek connect.microsoft.com

Společnost Microsoft 3. března 2010 vydala novou verzi nástroje pro správu identit v organizacích. Produkt dříve známý jako Identity Lifecycle Manager (ILM) je nyní součástí rodiny Forefront - produktů pro zajištění bezpečnosti. Foreftont Identity Manager 2010 (FIM) přináší celou řadu novinek pro zjednodušení správy identity, kde mezi hlavní patří možnost správy pomocí SharePoint portálu, možnosti v oblasti “selft service” tedy jakási samooblužnost uživatele a zvýšení bezpečnosti a shody s různými standardy. Není asi nutné představovat co vše obnáší správa identity - především se jedná o zajištění konzistence informací mezi různými zdroji, které se týkají uživatele, počítačů a skupin. Dále nástroj slouží pro automatizaci přenosů informací mezi jednotlivými zdroji.

Hlavní oblasti vylepšení ve FIM 2010:

Správa politik FIM:

• Konzole založená na SharePoint pro přípravu a správu politik, vynucování politik a auditování
• API pro rozšíření služeb FIM a Windows Workflow Foundation
• Jednotná synchronizace identity a zajištění její konzistence v organizaci - od Active Directory až po Lotus Notes a Oracle

Správa oprávnění:

• Jednotná správa certifikátů v heterogenním prostředí s podporou dalších certifikačních autorit
• Možnost reset hesla přímo uživatelem, která je integrována do přihlášení Windows (self-service)

Správa uživatelů:

• Integrovaný provisioning identit, oprávnění a zdrojů - není nutné vytvářet vlastní kód, vše se děje pomocí uživatelského rozhraní
• Automatizovaný provisioning a deprovisioning uživatelů - rozsáhlé možnosti workflow - odkud, co, kam, jak,…

Správa skupin:

• Rozsáhlé možnosti správy skupin založené na Office
• Schvalovací proces zařazení do skupin offline pomocí Outlooku
• Automatizované aktualizace skupin a distribučních litů

Schematické zobrazení struktury FIM 2010, rozdělení základní části a workflow/selfservice

V minulém roce vydala společnost Microsoft antivirový program nazvaný Microsoft security Essentials. Dnes, tedy 18.2.2010 byly spuštěné české stránky pro tento antivirový nástroj a také je možné stáhnout zdarma českou verzi. Je tedy vidět, že se čeština do security Essentials dostala přesně dle slibů společnosti Microsoft. Stahovat českou verzi, stejně jako ostatní jazykové mutace můžete na download.microsoft.com Další informace jsou uvedeny na stránkách věnované Microsoft Security Essentials.

V tomto článku vám přinášíme další informace o MSE.

Produkty nejsou podporovány na serverových operačních systémech Microsoftu.

Prostředí samotné je velice jednoduché a intuitivní.
První informační obrazovka obsahuje informace o stavu ochrany a informace o aktualizacích produktu.

Záložka Update potom detailnější informace o aktualizacích MSE.


Poslední záložka obsahuje jednoduché nastavení základních funkcí.

Po cca týdenních zkušenostech mohu pochválit rychlost produktu MSE, nízkou spotřebu paměti a příjemné rozhraní.

V tuto chvíli je již produkt dostupný v českém jazyce. Kompletní informace o produktu a link na stažení je na stránkách české pobočky Microsoftu:

http://www.microsoft.com/security_essentials/default.aspx?mkt=cs-cz

 

 

 

 

 

Plánujete nasazen Forefront Threat Management Gateway 2010 ? Forefront Threat Management Gateway 2010 (TMG2010) je poslední generace velice úspěšné aplikační firewall - ISA Server. Pro snazší nasazení, resp. plánování hardware Microsoft uvolnil xls dokument, který Vás provede všemi kroky, které jsou nutné pro správné naplánování kapacity serveru pro TMG 2010. Mezi velice důležité informace patří počet uživatelů, kteří budou TMG využívat, obvyklá pravidla, která souvisí s publikací služeb do internetu až po přenosové pásmo, které bude dostupné.

Nástroj pro plánování nasazení TMG 2010 stáhnete na download.microsoft.com

10.února 2010 server h-online uvedl velice zajímavou zprávu. TPM čip může být haknutý. Americký hacker - možná lépe softwareový inženýr - Christopher Tarnovsky, se pustil do pokusu, jak získat šifrovací klíče z TPM (Trusted Patform Module) čipu, která slouží pro ukládání šifrovacích a ověřovacích klíčů (RSA, DES,…) například pro použití technologií Windows BitLocker.

TPM čipy samy o sobě obsahují celou řadu logických a fyzických ochran, které mají zabránit celé řadě útoků jako například rozdílová elektromagnetická analýza (DEMA) a to včetně fyzických útoků na čip. Pokud se útočníkovi podaří získat šifrovací klíče z TPM modulu, může číst data ze šifrovaných disků, aniž by musel zadávat přístupový PIN.

Christopher Tarnovsky, který je známý spíše jako “smard card hacker” použil pro tento pokus TPM čip SLE 66CLX360PE. Pro to, aby bylo možné číst data ze sběrnice, je nutné odstranit veškeré ochrany z čipu. Pro tento účel Tarnovsky využívá svou laboratoř (vybavení cca $200 000), různé tekuté a plynné látky. Následně přichází složitá práce s mikroskopy (Focused ion beam), Photoshopem a dalšími nástroji, které umožní rozkrýt vícevrstvou strukturu čipu. Extrahování informací z TPM čipu Tarnovskému zabralo cca 6 měsíců, nicméně přečtení licenčního čísla pro XBox 360 bylo pouze 6 hodin navíc.

Po vydařeném pokusu Tarnovsky oznámil tuto skutečnost výrobci čipu - společnosti Infineon. Peter Laackmann, vedoucí divize čipů společnosti Infineon, řekl, že možnost masivního útoku na čipy je spíše v teoretické rovině. Také oznámil, že tato modelová řada čipů se již nedodává a nyní je běžně dodávána řada SLE78, která obsahuje další technologie proti fyzickým útokům na čip a stejně tak další šifrovací možnosti. Tyto čipy obsahují tzv. koncept Integrity Guard, který zajišťuje přenos dat a jejich zpracování odděleně.

Je možné téměř s jistotou říci, že tato metoda nebude prakticky hromadně zneužívána, nicméně různé agentury mohou takového útoku využít cíleně (a pravděpodobně tak již činí). Tarnovsky nezveřejnil a ani nezveřejní detaily, které se týkají tohoto útoku - je také jenom podnikatel - v budoucnu plánuje ověřit zabezpečení dalších výrobců TPM čipů.

Forefront Threat Management Gateway 2010 je k dispozici ke stažení pro předplatitele TechNet a MSDN subscription, download bude za krátkou dobu zveřejněn i na licensing.microsoft.com pro zákazníky s uzavřenou licenční smlouvou se společností Microsoft. TMG je pouze pro platformu x64 a ve dvou edicích Standard a Enterprise. Velikost downloadu je bezmála 1,2GB.

Od 10.12.2010 je k dispozici ke stažení sada nástrojů pro Forefront Threat Management Gateway 2010 a to včetně Software Development Kit.

Mezi nástroje, které jsou ke stažení patří:

ADAM Sites Tool for Forefront TMG Enterprise Edition - nástroj pro konfiguraci a práci s Active Directory in Application Mode (ADAM), kde je ukládána konfigurace jednotlivých serverů v TMG poli.

Auto Discovery Configuration Tool for Forefront TMG - konfigurace automatického nastavení koncových klientů. Tato konfigurace je ukládána v Active Directory. Konfigurace automatizuje nastavení firewall klienta tak, aby byl jednoduše firewall klient nastaven na přístup pomocí TMG.

EE Single Server Conversion tool for Forefront TMG - tento nástroj umožňuje konvertovat servery s ISA 2004 Enterprise nebo ISA 2006 Enterprise na Forefront TMG Standalone mód. Tento nástroj konvertuje veškerá pravidla a nastavení.

K dispozici je celkem 10 nástrojů + SDK pro TMG 2010, stahovat můžete na download.microsoft.com

9.1.2010 Také byla zveřejněna dokumentace online na adrese http://technet.microsoft.com/en-us/library/ee207140.aspx