Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP]

Simple, yes, Secure Maybe, by design for sure, Business compliant always

Common Tasks

Recent Posts

Tags

Community

Email Notifications

Blogs

Archives

octobre 2010 - Posts

UAG 2010 SP1 RC Remote management

L’équipe UAG est très productive. Non seulement, ils viennent de mettre à disposition la Release Candidate du SP1 d’UAG 2010 et une mise à niveau du Test Lab Guide associé, mais en plus, ils viennent de mettre à disposition un guide visant à démontrer les fonctionnalités d’administration à distance des postes de travail en situation de mobilité.

 

Le guide présente la mise en œuvre de la prise de main à distance pour les postes en situation de mobilité. Cela repose principalement sur des règles de pare-feu pour IPv6. C’est une fonctionnalité déjà présente dans la version RTM d’UAG 2010. Par contre, la seconde fonctionnalité présentée permet de limiter l’utilisation de DirectAccess au seul tunnel d’infrastructure. Les systèmes pourront ainsi être gérés à distance sans que les utilisateurs puissent accéder à l’intégralité du système d’information.

 

A ce stade, il ne manque plus qu’une seule chose, à savoir pourvoir gérer les clients avec un accès limité (administration à distance uniquement) de ceux à qui on offrira un accès complet. C’est pas prévu dans le SP1. Oups, sujet déjà traité par mes soins : Limiter DirectAccess à une population d’utilisateurs.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

UAG 2010 SP1 RC Le tour du propriétaire

L’équipe produit UAG vient de publier un article présentant les grandes nouveautés liées à DirectAccess pour le futur SP1 actuellement disponible en Release Candidate. C’est un grand tour du propriétaire.

 

La liste des nouveautés est longues. L’intégration de NAP et la prise en charge des OTP est intéressantes. En ce qui me concerne, ce SP1 permet d’adresser de nouveaux scénarios de déploiement. Il y aura quelques billets sur le sujet dès que j’aurai un peu de temps.

 

Au passage, si une vision plus concrète vous intéresse, il reste mon tour du propriétaire.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

UAG 2010 SP1 RC new test lab guide

Only a few days later after UAG 2010 SP1 RC released by Microsoft, the test lab guide is now updated. At this point, the only change concerns new new monitoring feature (now integrated to the UAG Web console). It’s the first lab guide to be updated, so expect new test lab guide and new scenarios guides to be released soon.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

Publier un Exchange 2003 avec UAG 2010

Mais quelle idée saugrenue. C’est bien entendu pris en charge par UAG 2010 depuis la version RTM. Cela ne prend que quelques secondes, ou tout du moins cela devrait, …

 

C’est un problème sur lequel mon collègue Alexandre GIRAUD planche depuis la Release Candidate d’UAG 2010. C’est un problème qui a enfin sa solution en version française mais aussi en langue anglaise sur le blog de Ben Ari. Maximum respect monsieur Alexandre.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

Posted: 10-27-2010 9:16 by Benoît SAUTIERE | with no comments
Filed under:
ADMT 3.2 problème de migration d’ordinateurs

J’avais déjà évoqué les première problématiques autour d’ADMT 3.2 dans un précédent billet. Cette première série concernait principalement des problèmes d’installation du produit. Cela n’empêche pas qu’il puisse y avoir des boques lorsqu’on utilise le produit.

 

Lorsqu’on utilise le “Computer Migration Wizard” avec une liste d’ordinateurs, l’assistant ne permet pas de poursuivre. C’est un blogue de l’interface d’ADMT 3.2. La problématique est décrite dans la KB2327195 qui heureusement propose un contournement. Celui-ci consistant à réaliser l’opération en ligne de commande :

ADMT computer /F:<include file> /IF:YES /SD:"<source_domain>” /TD:"<target_domain>" /TO:"<target_OU>"

Bonnes migrations malgré ce petit problème.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

Windows 7 & Windows 2008 SP1 RC

Cela faisait pas mal de temps depuis la beta, voila donc la Release candidate. En temps Microsoft, cela pourrait signifier que la disponibilité est imminente. Cependant, il n’en est rien puisque ce service pack commun à Windows 7 et Windows 2008 R2 ne sera disponible qu’au premier trimestre 2011.

 

On ne reviendra pas sur les nouveautés apportées (RemoteFX et Hyper-V Dynamic Memory). Pour se préparer, on ne peut que recommander la lecture du Windows 2008 R2 SP1 RC Reviewer’s Guide. Il est certes uniquement focalisé sur les deux grandes nouveautés.

 

Sinon, point à prendre en considération : l’espace disque nécessaire pour installer ce Service Pack, à savoir 20Gb pour Windows Server 2008 R2. C’est une information importante à prendre en compte dans le dimensionnement des partitions systèmes.

 

Le Service Pack est disponible à cette adresse.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

UAG 2010 SP1 RC Sneak preview of DirectAccess improvements
Warning about this blog post

Information included in this blog post is based on UAG 2010 SP1 Release Candidate bits available since October 21, at this location. RTM release of UAG 2010 SP1 could include changes. For this reason, consider this blog post as a technical preview.

 

Setup of UAG 2010 SP1 RC

First new appears since Setup of UAG SP1 RC. First Windows Identity foundation is not a part of the UAG Setup. This is a requirement for ADFSv2. There will have many to say about this but it is not the focus of this blog post.

 

1

 

Second news at the setup level, TMG is now installed with it recently release SP1. You will only have to patch TMG with the first update available today.

2

 

New DirectAccess console

This new DirectAccess console include design improvements but also technical ones. At first view, we see that the UAG team made huge effort to include many post-configuration of the RTM UAG release in the new console.

3

 

Client side configuration

Just like UAG 2010 RTM, the new console start with the client side configuration and here is one of the new technical improvements. In UAG RTM, any user using a Windows 7 managed computer can access to the company internal network. In UAG 2010 SP1, a new mode appears. Clients computers will be able to access corporate network (and be managed from this network) but users wont be able to access the network. In this configuration, DirectAccess is only used to enhance computer management located outside the corporate network. That’s something I will develop later in a dedicated blog post.

4

 

Initially, UAG DirectAccess only cover a single Active Directory domain. In UAG 2010 SP1 RC, you can manage multiple domains because GPO can be linked to multiple domains. The only missing this is a UAG resource forest scenario. That’s something I will develop later in a dedicated blog post series.

5

 

Initially, UAG link all group policies at the root of the Active Directory Domain. That was bad. Even with correct filtering, that was bad. With UAG SP1, you will be able to change GPO name and link during DirectAccess configuration and even export theses GPO. Now you can link theses GPO later.

6

 

Another improvement of the client-side configuration is the ability to filter GPO with organizational units rather than with group membership. Good point.

7

 

DirectAccess Connectivity Assistant

This is another Client side improvement. This is an optional step of the client-side configuration. With UAG 2010 SP1 RC, you will be able to include the DAC (Release 1.5) in the DirectAccess client-side Group Policy. You don’t need to create an additional GPO to configure DAC.

DAC1

 

DAC configuration can include multiple resource tests such as HTTP, HTTPS and file access. Failure on these tests will generate a pop-up on the client computer to communicate with the user.

DAC2

 

In case of failure, you can redirect the user to a simple web site with information or to the UAG portal collocated on the same UAG server.

DAC3

 

At final stage of the DAC configuration, you must provide the email address to use when users want to send collected traces for troubleshooting purpose.

DAC4

 

Note : You will find the DirectAccess Connectivity Wizard package in <UAG installation directory>\Common\Bin\DA\DAC

 

Server side Configuration

This part also include many technical improvements. Let' start with the standard configuration.

8

 

Nothing brand new at this stage. You still need to select the correct IP address for the external and internal facing interface. You just have to respect DirectAccess requirements to continue the configuration.

9

 

Some cosmetic improvement. You now have a dedicated interface to select the IP-HTTPS certificate. Nothing really new.

10

 

If there is a dedicated interface for IP-HTTPS certificate selection, there is also a dedicated interface for IPSEC authentication.

11

 

And now something really new. An important improvement for DirectAccess scenarios. Until now DirectAccess allow you to use Smartcard for IPSEC tunnels authentication, but not for logon. Until now smartcard logon was performed in cache mode. With UAG 2010 SP1 RC we will be able to configure Smart Card or One Time Password device. Great improvement.

12

 

Another great improvement is the NAP integration. You can now select between monitoring and enforcement mode for NAP.

13

 

NAP configuration is now fully integrated in UAG DirectAccess configuration. No need for an additional group policy for NAP client configuration. Great.

14

 

NAP configuration is not complete if you do not designate one or more Health Registration Authorities and select a Certificate template for System Health Authentication application policy.

15

 

Note that UAG DirectAccess can :

  • Install the Health Registration Authority on the UAG Server
  • Configure the Health Registration Authority on the UAG Server
  • Configure the Connection Request Policy
  • Configure the two Network Policies
  • Configure two Health Policies (watch out, high level of requirement)
  • Configure DomainHRA and NonDomainHra on the IIS located on the UAG Server
  • Configure NAP on the client side for NAP IPSEC enforcement and enabling security center

 

UAG DirectAccess console wont :

  • Install a PKI for NAP certificates
  • Create the System Health Authentication certificate template
  • Manage NAP exception for UAG or domain controllers or other critical servers

 

By default, DirectAccess is deployed in Split mode. In UAG 2010 RTM we had to configure some group policy parameters to switch to “Force Tunneling mode”. With UAG 2010 SP1 RC, this is built-in in an optional configuration step.

16

 

Just like client-side configuration UAG 2010 SP1 RC allow you to filter server-side group policy by server name or organizational unit.

17

 

Infrastructure-side

Nothing new on this configuration step. The Network Location Server must be reachable in HTTPS and provide a content in response.

18

 

Nothing new on this configuration step. Theses DNS suffixes will be declared in the Name Resolution Policy Table included in the client-side Group Policy, just like the name resolution option.

19

 

This configuration step will allow you to provide additional domains to be included in the DirectAccess infrastructure.

20

 

Nothing really new on this configuration step unless that management servers are automatically detected.

21

 

This final configuration step is optional, if you want to configure End-to-End authentication or encryption configuration.

22

 

Monitoring

And at last, the weak point of UAG 2010 RTM with the monitoring of DirectAccess. Initial release of UAG only provide a PowerShell commandlet that collect information about current sessions. With UAG 2010 SP1 RC, you will find a real monitoring solution including health of all components involved in UAG DirectAccess

DIAG1

 

New Web monitor console also provide a graphical interface to search for DirectAccess session based on multiple criteria’s :

  • Client computer account
  • User account
  • Certificate subject name
  • IPV6 source address

DIAG2

 

Conclusion

In less than a year, the UAG team provide two updates for his product, but none of them provide real enhancement for DirectAccess. With this UAG 2010 SP1 RC, UAG team bring new deployment scenarios and a greater flexibility in DirectAccess deployment. I don’t know hen the RTM is expected but follow the Edge Man blog. Sure this guy will provide new deployment guide very soon.

 

Stay tuned. I will also develop some of these coll new DirectAccess feature.

 

BenoîtS – Simple and Secure by Design  but Business compliant.

UAG 2010 SP1 RC

C’est tout frais. Le futur Service Pack d’UAG 2010 est disponible en version Release Candidate. En ce qui concerne DirectAccess, les réjouissances, on dénombre :

  • Nouvelle interface de configuration de DirectAccess (bien plus complète)
  • Flexibilité accrue dans la mise en œuvre des stratégies de groupe de DirectAccess
  • Support de l’OTP pour DirectAccess
  • Ajout d’un mode “Toujours Managé” à DirectAccess permettant la gestion des systèmes en situation de mobilité sans permettre l’accès aux utilisateurs
  • Intégration native du mode “Fore Tunneling” dans la stratégie de groupe DirectAccess coté client
  • Intégration de la configuration du DirectAccess Connectivity Wizard dans la stratégie de groupe DirectAccess coté client
    Prise en charge de Network Access Protection directement dans UAG
  • Intégration de la configuration de NAP dans la stratégie de groupe DirectAccess coté client
  • Intégration du monitoring de DirectAccess dans le Web Monitor

 

La liste est loin d’être exhaustive, puisqu’ADFSv2 est aussi de la fête!

 

La Release Candidate d’UAG 2010 SP1 est disponible à cette adresse. Bien entendu, à ne pas tester en environnement de production. Dès que j’aurai un peu de temps, je publierai quelques billets sur DirectAccess bien entendu.

 

Benoits – Simple and Secure by Design  but Business compliant!

Sauvegarde de la clé privée d’une AC sous Windows 2008 / Windows 2008 R2

La clé privée d’une autorité de certification est critique. Si on ne dispose pas de cette information, il n’est même pas envisageable de restaurer une infrastructure de clé publique. Jusqu’à maintenant, dès lors qu’on réalisait une sauvegarde du système (System State), on sauvegardait la clé privée. Ceci était vrai jusqu’à Windows 2003 R2.

 

L’équipe PKI vient de publier un billet documentant un changement important concernant la sauvegarde de la clé privée. Celle-ci est désormais stockée dans un répertoire caché, qui n’est pas pris en charge par la sauvegarde “SystemState”.

 

La conséquence est qu’il sera nécessaire de revoir les procédures d’exploitation pour les autorités de certifications hébergées sous Windows 2008 et Windows 2008 R2 et inclure des tâches de sauvegarde de la clé privée. L’opération devant être réalisée périodiquement ainsi que dès lors qu’’il y a eu renouvèlement de la clé privée.

 

Benoits – Simple and Secure by Design  but Business compliant!

Microsoft Security Intelligence Report 1er semestre 2010

Microsoft vient de publier son neuvième rapport SIR. C’est disponible à cette adresse pour la version longue. Une synthèse en français est même disponible à cette adresse.

 

La bonne nouvelle, c’est qu’il y a de plus en plus de monde qui maintient des systèmes à jour. La mauvaise, c’est que la menace est devenue plus diffuse avec les Botnets. La problématique ne touche pas uniquement Microsoft mais bien tous les éditeurs. Cette nouvelle menace ne se focalise pas uniquement sur les failles des produits Microsoft mais aussi sur celles des logiciels tiers.

 

Aujourd’hui, il est devenu facile de mettre à niveau Windows, par contre ce n’est pas forcément le cas de produits tels que Java avec lequel les applications ont une très forte dépendance.

 

Benoits – Simple and Secure by Design  but Business compliant!

IPv6 learning roadmap

IPv6 fait peur. Pourtant, un jour il faudra bien y passer et donc se former. Coté Microsoft, on peut attaquer le problème avec le “Pilier de toute bibliothèque Ikea”, à savoir l’ouvrage de Joes Davis.

image

C’est efficace mais terriblement assommant. Après, il y a une approche mois radicale, à savoir le IPv6 learning Roadmap. Microsoft y a regroupé un ensemble de ressources afin de pouvoir monter en compétence sur le sujet.

 

Bonne lecture.

 

Benoits – Simple and Secure by Design  but Business compliant!

Posted: 10-09-2010 11:43 by Benoît SAUTIERE | with no comments
Filed under:
DirectAccess sur un réseau MPLS privé

Décidément Jason Jones, est plus que productif en ce moment. Sur DirectAccess, il vient de publier un très intéressant billet sur le déploiement de DirectAccess pour un usage interne, sur un réseau MPLS privé.

 

Avec DirectAccess, le poste de travail nomade connecté à Internet est considéré de la même manière que sur le LAN. Mais on peut appliquer la même approche pour les postes présent sur le LAN. Ce n’est pas parce que les postes sont dans les locaux de l’entreprise qu’ils sont plus sécurisés. Souvent c’est le contraire. On a mis en œuvre une solution d’accès distant intégrant une gestion de la conformité sans pour autant avoir de solution de gestion de la conformité pour les postes internes.

 

D’un point de vue sécurité, c’est intéressant puisqu’on considère que le niveau de sécurité du poste de travail ne dépend plus de son emplacement.

 

Bonne lecture

 

Benoits – Simple and Secure by Design  but Business compliant!

Publier OCS 2007 sur UAG

Le sujet est complexe. D’un coté on a la position du support TMG qui annonce que la publication de OCS n’est possible qu’au travers de TMG, et de l’autre, on a UAG qui repose sur TMG pour se protéger lui même.

 

Je conseille la lecture du billet de Jason Jones, un de mes collègues MVP anglais. Certes, la démarche n’est pas supportée par Microsoft mais cela démontre une des qualités d’UAG, à savoir sa grande souplesse.

 

Bonne lecture

 

Benoits – Simple and Secure by Design  but Business compliant!

Posted: 10-09-2010 9:18 by Benoît SAUTIERE | with no comments
Filed under:
Nouvelle version du Microsoft Business Security

C’est tout frais. La nouvelle version de l’environnement de test de la gamme de produits ForeFront intègre maintenant la version Beta de Forefront Endpoint Protection (FEP) 2010 dont l’installation a déjà été abordée par mon collègue Alexandre GIRAUD dans un des ses interminables billets. On évite ainsi de longues heures d’installation.

 

BRS-demo-topology (v4.0c)

 

Le package est disponible à cette adresse.

 

Benoits – Simple and Secure by Design  but Business compliant!

IPv6, c’est pour demain, pour les agences gouvernementales américaines, …

Je publie beaucoup, même souvent sur DirectAccess et donc par extension sur IPV6. De ce que les clients comprennent, c’est que pour DirectAccess, IPv6 ne va pas les impacter beaucoup sinon ISATAP sur le LAN. Par contre, dès qu’on parle Internet, la réponse est presque invariablement la même :  Aujourd’hui, ca marche en IPv4, j’ai pas de besoin en IPv6. Je ne vais pas m’étendre sur les motivations de ce type de choix, elles sont en premier lieu fortement dépendantes des besoins.

 

Maintenant que je sujet est posé, prenons un peu de hauteur et allons voir ce qui se passe de l’autre coté de l’atlantique. La migration vers IPv6 est prise très au sérieux. Les directives viennent directement de la maison blanche.

 

En 2005, l’administration Bush à mis en œuvre un processus de test et certification des produits compatibles IPv6. Jusque là, on peut se dire que c’est bien peux. Maintenant en 2010, le sujet est simple. Les administrations américaines sont dans l’obligation de migrer vers IPv6 :

  • Migrer vers IPv6 pour leurs parties publiques d’ici à fin 2012
  • Migrer vers IPV6 pour les réseaux internes d’ici à la fin 2014

 

Note : Subtilité du mémo de l’administration américaine : il est demandé une migration vers IPv6 natif.

 

Revenons en Europe. Même Bruxelles va dans ce sens : ““J’appelle les pays de l’UE à faire en sorte qu’IPv6 soit largement employé par les autorités publiques et les entreprises d’ici à 2010”, dixit Viviane Reding.

 

Maintenant, je pars en recherche d’une éventuelle démarche équivalente pour la France, voire pour les administration françaises. Le billet sera donc actualisé plus tard.

 

Benoits – Simple and Secure by Design  but Business compliant!

Posted: 10-02-2010 14:01 by Benoît SAUTIERE | with no comments
Filed under: ,
More Posts Next page »