Archives mensuelles : novembre 2013

UAG 2010 SP4

D’habitude, je laisse cette annonce à mes collègues Alexandre GIRAUD et Lionel LEPERLIER mais ils semblent encore sur le fuseau horaire de Seattle . Le Service Pack 4 de Forefront UAG 2010 a été publié la semaine dernière. Le détail des nouveautés est disponible sur le blog de l’équipe produit. Au programme :

  • Support Windows 8.1
  • Support d’Internet Explorer 11
  • Correction de bogues
  • Quelques fonctionnalités nouvelles

 

Le Service Pack est disponible à cette adresse : Forefront Unified Access Gateway (UAG) 2010 Service Pack 4 (SP4)

 

A vos trunks, prêts partez.

 

Benoîts – Simple and Secure by design but Business compliant

Problème de localisation du DAC 2.0 en français

This time, article is not writen in english but french because that case apply only on Windows 7 Enterprise/Ultimate operating system localized installation media (not apply with french language pack).

 

J’ai tellement pris l’habitude d’utiliser des médias d’installation US (ça viendra pour leur clavier) que j’en oublie parfois de tester à quoi cela peut ressembler en français. C’est mon collègue Lionel LEPERLIER qui m’a remonté le problème ci-dessous en premier dans un billet sur son blog. N’ayant pas eu le temps de m’y intéresser jusque-là, j’ai un peu mis le sujet en attente. Maintenant que j’ai un client qui est lui aussi face au problème, j’ai bien été obligé d’y passer un peu de temps.

 

Conditions de reproduction

Après un peu de recherche, il a été possible d’établir que :

  • Le texte associé au DAC est faux. DirectAccess fonctionne bien
  • La problématique identifiée par Lionel concerne le DirectAccess Connectivity Assistant 2.0, pas la version 1.5 ni le NCA de Windows 8.X
  • La problématique concerne uniquement les médias d’installation Windows 7 localisés en langue française et ne s’applique pas aux installations US avec pack de langue française.

 

C’est particulièrement plus parlant lorsque le DAC communique à l’utilisateur de la manière suivante :

0

 

L’icône du DAC dit que cela fonctionne, pourtant le texte associé indique le contraire qui croire?

 

La solution

Elle ne vient pas de moi mais bien de Microsoft. Un des avantages du programme MVP est de pouvoir se rendre une fois par an à Redmond pour assister au MVP Summit. C’est à cette occasion que j’ai eu l’opportunité de revoir le Product Manager en charge de DirectAccess. Après quelques échanges et recherches de son coté, il apparait que la problématique a été traitée récemment par les équipes support sous la forme du correctif  KB2882659 – CORRECTIF: « la connectivité de l’entreprise ne fonctionne pas » info-bulle s’affiche pour l’icône de la barre d’état DirectAccess Compagnon 2.0 dans la version française de Windows 7 SP1 publié le 13 novembre 2013.

Après installation du correctif et redémarrage, le texte est maintenant corrigé.

2

 

L’expérience utilisateur, ça tiens souvent à peu de choses. C’est donc un correctif essentiel pour les infrastructures DirectAccess fonctionnant sous Windows Server 2012/2012R2 qui doivent supporter les clients “Legacy”.

 

BenoîtS- Simple and Secure by Design but Business compliant

Quelques considérations sécurité récentes

Récemment, deux annonces autour de la sécurité des produits Microsoft ont attirée mon attention :

Pour la première annonce, Microsoft indique que les autorités de certifications référencées dans le programme “Windows Root Certificate Program” ont été invités à abandonner l’algorithme de hachage SHA1 au bénéfice de SHA2. Cette politique prendra effet à partir du 1er Janvier 2016. Du point de vue de l’utilisateur final, cela ne change pas grand chose (SHA2 étant disponible depuis Windows XP SP3). Par contre pour les IT guys, il y aura un peu de travail pour identifier les certificats SSL et de signature obtenus auprès d’autorités de certifications de confiances approuvées par le système d’exploitation. Le renouvèlement étant nécessaire pour basculer vers SHA2. pour les certificats SSL, le renouvèlement devra avoir été réalisé pour le 1er Janvier 2017.

 

Pour la seconde annonce, elle est liée à un bulletin de sécurité Microsoft préconisant de désactiver l’utilisation de RC4 dans leurs implémentations de TLS. Microsoft recommande même de migrer vers TLS 1.2 qui offre une alternative à RC4 avec AES-CGM. C’est déjà le cas dans Internet Explorer 11. Le bulletin est accompagné d’une KB2868725 pour désactiver RC4 sur les systèmes d’exploitation depuis la génération Windows Vista / Windows 2008. Cependant, l’installation de la mise à jour ne fera pas tout. Cela impliquera de nombreux tests, l’objectif étant de se rapprocher au plus proche du standard TLS 1.2. Il restera certainement des systèmes /  applications qui ne pourront pas de passer de RC4. Il faudra alors prendre des mesures de sécurité supplémentaires pour limiter les risques. Pour les nouveaux services / applications TLS 1.2 doit devenir un standard obligatoire.

 

Comme déjà entendu : la sécurité n’est pas un voyage mais une destination.

 

Benoits – Simple and Secure by Design but Business compliant.

Recommended hotfixes and updates for Windows Server 2012 DirectAccess

By the past I provided an excellent link to the Jason Jones hotfix-list for DirectAccess. This list also available on his new blog. And now there an official KB for that : KB2883952 – Recommended hotfixes and updates for Windows Server 2012 DirectAccess.

 

Note :  KB was updated and now alwo cover Windows Server 2012 R2.

 

Keep-it in mind for you DirectAccess projects.

 

BenoîtS – Simple and Secure by Design but Business compliant

Don’t miss the KB2862152 for your DirectAccess deployments

As a part of the Microsoft monthly release cycle of security update, Microsoft published the security advisory “Vulnerability in DirectAccess Could Allow Security Feature Bypass”. According to this security advisory, DirectAccess clients could initiate IPSEC tunnel negotiation with a specially crafted DirectAccess server considered as a legitimate DirectAccess server from the client-side point of view.

 

To Address this vulnerability, Microsoft published KB2862152. To be fully protected, you must install the hotfix and perform operations described in the knowledge article. Carefully consider the following section :

image

 

All DirectAccess clients are affected by this issue. Installing the update only provide additional security measures to be used during IPSEC tunnels negotiation, but this enhancements require additional configuration that may lead to :

  • Redeploy a new IPSEC certificate on Windows 7 DirectAccess clients
  • Some Additional registry key to be configured that’s different for Windows 7 and Windows 8.X clients.

 

Note that the KB2862152 also provide details for Windows XP and Windows Server 2003 operating systems witch cannot be DirectAccess clients. This means that the issue is not linked to DirectAccess but only to IPSEC tunnels negotiations mechanism used on Microsoft operating systems.

 

Stay tuned for more information.

 

BenoîtS – Simple and secure by design but Business compliant