Forefront Client Security – Prerequisites, Requirements

Forefront Client Security este un produs pe l-am folosit cam mult în ultimul timp și am decis să scriu un pic despre el.

FCS este un produs care chiar mi-a plăcut. Sincer. Este foarte ușor de instalat, configurat, folosit și administrat.

Dacă încep să vorbesc despre System Requirements, o să o fac un pic altfel. Nu o să înșir toată lista cu SO și resurse necesare pe care le putem folosi, ci o să spun doar ce nu putem folosi sau nu este suportat. Fac asta pentru că ce suportă este deja de mult timp pe piață și nu toate produsele noi sunt suportate.

Deci, aici găsiți toată lista cu cerințele necesare: http://technet.microsoft.com/en-us/library/bb404245.aspx

Din toată pagina aia trebuie să reținem următoarele:

Pentru server:

– Nici un rol al FCS nu poate fi instalat pe un SO x64, deci Windows Server 2008 R2 dispare. Asta oficial, neoficial – vă spun mai târziu.

– SQL Server 2008 iarăși nu este suportat, doar SQL 2005 cu SP1 (pe Windows Server 2003), SP2 sau SP3 (pe Windows Server 2008).

– Minim WSUS 3.0 cu SP1. Cine mai are WSUS 2.0… nu știu de ce îl mai aveți…

Pentru client:

– Nu este suportat Windows 2000 fara SP4 și Rollup 1, XP fără SP2.

Dacă vreți să știți ce porturi trebuie să deschideți, aici găsiți toate detaliile: http://technet.microsoft.com/en-us/library/bb404251.aspx

Acum că știm ce nu putem folosi, să trecem mai departe și să instalăm FCS cu toate rolurile pe un singur server. Dacă aveți nevoie să împărțiți rolurile pe mai multe servere, găsiți aici tot ce vă trebuie: http://technet.microsoft.com/en-us/library/bb418915.aspx

Eu am un Windows Server 2008 cu SP2, actualizat la zi și membru în domeniu. Mai departe o să instalez toate prerechizitele necesare.

1. Microsoft .NET Framework Version 1.1 – http://www.microsoft.com/downloads/details.aspx?familyId=262D25E3-F589-4842-8157-034D1E7CF3A3&displaylang=en
2. Microsoft .NET Framework 1.1 Service Pack 1 – http://www.microsoft.com/downloads/details.aspx?FamilyID=A8F5654F-088E-40B2-BBDB-A83353618B38&displayLang=en
3. Microsoft .NET Framework 3.0 (teoretic, ar trebui să fie instalat deja, verificați în Server Manager/Features) – http://www.microsoft.com/downloads/details.aspx?FamilyID=10CC340B-F857-4A14-83F5-25634C3BF043&displaylang=en
4. Folosind Server Manager instalăm IIS și ASP.NET.
   1. Server Manager, click dreapta Roles și selectăm Add Roles.
   2. La Select Server Roles selectăm Web Server (IIS). Next de două ori.
      
   3. Dacă nu sunt selectate deja, selectăm următoarele servicii:
      – Static Content
      – Default Document
      – HTTP Redirection
      – Directory Browsing
      – ASP.NET
      – ISAPI Extension
      – ISAPI Filters
      – Windows Authentication
      – Dynamic Content Compression
      – IIS Metabase Compatibility
      – IIS 6 WMI CompatibilityDacă ni se cere să adăugăm servicii adiționale, acceptăm valorile implicite.

       

   4. Next și Install.
5. Microsoft Report Viewer 2008 SP1 – http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=bb196d5d-76c2-4a0e-9458-267d22b6aac6
6. SQL Server 2005 și SQL Server 2005 Service Pack 3.
   1. Instalăm SQL 2005 folosind setările implicite în afară de:
      La Feature Selection selectăm doar:
      Database Services, Reporting Services, Integration Services, Client Components
      

      La Service Account folosim un cont de domeniu și bifăm SQL Server Account:

      

   2. Instalăm SQL Server 2005 SP3.
7. Folosind Server Manager instalăm Group Policy Management Console.
   1. Server Manager, click dreapta Features și selectăm Add Features.
   2. La Select Features selectăm Group Policy Management. Next și Install.
      
8. Folosind Server Manager instalăm Windows Server Update Services 3.0 SP2.
   1. Server Manager, click dreapta Roles și selectăm Add Roles.
   2. La Select Server Roles selectăm Windows Server Update Services.
      
   3. Instalăm WSUS folosind setările implicite în afară de:
      La Database Options selectăm Use an existing database server on this computer.
      

      La Web Site Selection selectăm Create a Windows Server Update Services 3.0 SP2 Web site

      

      În Configuration Wizard, la Choose Product selectăm Forefront Client Security.

      

      La Choose Classifications selectăm Critical, Definition, Security, Service Packs și Updates.

      

9. Ultimul pas pe care îl vom face înainte de a instala FCS este să adăugăm site-ul de reporting la Local Intranet. În cazul meu, voi adăuga http://forefront.
10. Instalăm ultimele actualizări Microsoft.

În următorul articol vom instala FCS cu toate rolurile pe un singur server.

Solutii de criza – Windows Foundation vs SBS

 

Am tot scris in ultimul timp despre SBS, insa in majoritatea cazurilor nu sunt atent la preturile produselor si analizez produsele in special din punct de vedere tehnic.

Si la fel ca mine sunt o gramada de oameni tehnici care nu au fost interesati sa vada pretul real al unui SBS. Insa cu situatia asta economica nu prea roz, e momentul sa deschidem mai bine ochii si sa cautam alternative mai ieftine pentru clientii din zona small business.

Daca ne uitam la preturile listate aici:

http://www.microsoft.com/sbs/en/us/pricing.aspx

SBS 2008 Premium costa 1800$ iar versiunea standard 1000$. Diferenta e ca la Premium mai ai si o licenta de SQL 2008 Standard care merge instalata pe inca un server aditional (licenta pentru acesta e inclusa). Ambele versiuni vin cu 5 CAL-uri. Produsul se adreseaza companiilor cu pana in 75 de utilizatori (a evoluat de la limitarea de 50) – doar ca multe companii din aceasta zona si-au restrans activitatile destul de mult in ultimul an.

Sa analizam prima data necesitatea versiunii Premium. Nevoia de SQL Server. E destul de important pentru ca majoritatea aplicatiilor ce ruleaza pe windows il folosesc. Insa trebuie tinut cont ca in majoritatea cazurilor din zona small business este suficienta si versiunea Express, pe care o puteti obtine gratuit. Inainte de a face alegerea discutati cu furnizorii aplicatiilor.

Exchange Server este disponibil in amble versiuni, insa nu il consider foarte important pentru ca se poate alege foarte usor o solutie hosted, gen Google Apps sau ceva bazat pe Exchange. La Google Apps pana intr-un anumit numar de conturi il puteti folosi gratis.

Daca ati eliminat aceste componente atunci de ce sa mai folositi SBS? O licenta de Windows Server ar fi suficienta.

Mai trebuie sa precizez ca SBS 2008 nu costa doar 1800$. Pretul real este altul. In afara de hardware, mai trebuie sa mai cumperi si CAL-urile. Preturile pentru un CAL de SBS 2008 sunt urmatoarele:

-77$ versiunea Standard.

-189$ versiunea Premium.

Deci acel SQL server conteaza mult. Inmultiti 189$ cu 50. Aproape 10.000$. Cei care au avut de gand sa faca un upgrade de la versiunea 2003 la 2008 sunt indepartati din start de aceste preturi; asta si pentru ca nu se poate face upgrade la CAL-uri.

Asa ca daca aveti de gand sa faceti upgrade sau sa implementati SBS in aceasta perioada, ganditi-va de doua ori inainte.

 

Singura oferta de criza din aceasta perioada (de fapt a aparut de anul trecut), este Windows Foundation Server care se vinde doar OEM. Problema lui este ca se adreseaza doar companiilor cu pana in 15 utilizatori si are cateva limitari (un singur procesor, 8Gb RAM).  Personal cred ca exista piata pentru asa ceva in Romania. Sa nu-mi spuneti ca nu stiti cel putin o firma de apartament care isi doreste comfortul si usurinta in utilizare a unui server Windows. Iar acum isi pot permite. Pretul e pe undeva in zona 200-250 USD din cate am inteles dar pentru ca se vinde doar OEM difera de la integrator la integrator.

Iata si o oferta interesanta:

http://www.maguay.ro/produse/servere/quickserver/maguay-quickserver-gp-windows-server-foundation-I644

Un server interesant + Windows Server la doar 879Euro (plus bonus in disk pe USB)

Sau pentru cei ce sunt fani brand-uri renumite puteti incerca sa configurati un server pe site-ul DELL. Un PowerEdge T110 in configuratie asemanatoare cu serverul de la Maguay duce pe undeva pe la 1000$.

http://configure.us.dell.com/dellstore/config.aspx?oc=bedwlr1&c=us&l=en&s=bsd&cs=04

 

Acum in loc de incheiere o sa spun ca nu tot ce am scris aici se aplica pentru toata lumea. Unele companii chiar au nevoie de toate componentele din SBS si pentru ei este probabil cea mai buna solutie. Insa pentru unii nu este, iar cei ce le recomanda solutia sunt ori prost informati ori incearca sa profite de pe urma lor.

Restore BKF (ntbackup) files on Windows 7 and 2008 R2

 

In caz ca nu stiati pe Windows 7 sau 2008 R2, by default nu mai puteti restaura bkf-uri create in XP sau 2003. Iar tool-ul care era disponibil pentru Vista nu mai merge pentru ca Removable Storage Manager nu mai exista.

M-am lovit si eu de aceasta problema cand am incercat sa restaurez un backup mai vechi si pe ambele sisteme folosite aveam Windows 7 (singurul moment in care am regretat ca am pus Windows 7). Cum nu stiam rezolvare pe vremea aceea am fost nevoit sa ma folosesc de o masina virtuala cu Windows 2003 pentru a extrage fisierele din backup.

Intre timp au mai aparut solutii. Una este descrisa aici. Tot ce trebuie facut e sa extragi cab-ul cu ntbackup si in acelasi folder sa ai urmatoarele fisiere:

-ntmsapi.dll

-vssapi.dll

De curand a aparut si un update de la MS care permite restore-ul BKF-urilor.

http://support.microsoft.com/?kbid=974674

Dupa ce instalati update-ul o sa aveti o versiune limitata dar functionala a lui NTBackup pe care o puteti folosi pentru a restaura informatia din BKF-uri.

SBS 2008 – Instalare pas cu pas – Part 3

 

Am ajuns la partea in care trebuie sa configuram calculatoarele din reteaua cu SBS. Pentru un admin care vrea sa stie ce se intampla in reteaua lui ar fi destul de multe de spus. Pentru cei care se ascund in spatele consolei SBS totul se face prin cateva clik-uri de mouse.

In scenariul de astazi vom joina un calculator la domeniu. SBS-ul fiind DHCP pentru reteaua locala, nu voi avea probleme in a contacta domain controller-ul. Exista si o alta metoda de a joina calculatorul la domeniu dar o vom prezenta mai tarziu.

Inainte de toate avem nevoie de un user, pe care il cream din consola SBS:

Standard User se refera la permisunile in domeniu. De aici putem seta daca userul este domain admin sau nu.

 

Am ales “Assign existing computer..”. Cealalta optiune se refera la tool-ul “connect”.

 

Acum sa vedem si cealalta metoda de a joina un sistem la domeniul SBS. Se face prin tool-ul numit Connect care il putem obtine din consola SBS sau accesand http://connect de pe un sistem conectat in LAN-ul cu serverul SBS.

 

Prima optiune ma poate ajuta in cazul in care vreau sa pastrez profilul de pe statia pe care vreau sa o joinez la domeniu. Teoretic ar trebui sa faca o copie a profilului local peste noul profil de domeniu. In cazul meu rulez Windows 7 pe statia care vreau sa o introduc in domeniu. Surpriza. Primesc urmatorul mesaj de eroare:

“This computer does not meet the maximum …” 🙂 Putin research si aflam ca pentru Windows 7 avem nevoie de urmatorul Rollup instalat pe serverul SBS:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;969121

Aprobam update-ul in WSUS si il instalam. Atentie ca cere restart.

Problema pare rezolvata imediat dupa install.

 

Din motive “necunoscute” si pe care nu am mai stat sa le investighez, tool-ul nu mi-a detectat profilul local :(. Sper ca in alte cazuri sa mearga.

Dupa restart putem vedea noul computer account in AD:

 

OU-ul SBSComputers este locatia setata by default pentru computer account-urile create in SBS.

Dupa adaugarea computerului la domeniu o sa vedem doua aplicatii instalate:

Prima din lista este ClientAgent, care se instaleaza prin Group Policy – mai exact instaleaza un CSE pentru cateva setari distribuite via Group Policy de SBS.

Urmatoarea este de fapt doar un simplu desktop gadget instalat de aplicatia “connect”.

How to change active network profile name and icon.

 

Recunosc ca ma rodea sa aflu cum se face de vreo saptamana si am tot cautat sa vad cum se face. Mai exact sa obtii ceva de genul asta pe statiile utilizatorilor din domeniu:

Pentru cine nu observa, apare un logo customizat + nume pentru profilul de retea activ.

 

Se face din Group Policy – Computer Configuration\Policies\Windows Settings\Security Settings\Network List Manager Policies

 

 

 

 

Bineinteles ca e nevoie de Windows 7 sau Vista pe statiile userilor.

Black Tuesday – Feb 2010

 

Se apropie. Sunt anuntate 13 buletine – 26 de vulnerabilitati, multe cu remote code execution. Pazea!

http://blogs.technet.com/msrc/archive/2010/02/04/february-2010-bulletin-release-advance-notification.aspx

Angajeaza cineva un sysadmin?

 

Un prieten de-al nostru de pe ITBoard e in cautarea unei noi oportunitati (a se citi job). Probabil il stiti dupa nickname-ul BabaCloanta sau mai nou Dr.House. Si ar trebui sa mai stiti si ca e foarte bun.

Are cineva vreo oferta?

Ce trebuie sa stim despre Group Policy.

 

Nota: Post preluat de pe ITBoard (m-am gandit ca trebuie sa-l am si aici).

 

Cateva lucruri fundamentale care trebuie retinute despre GPO:

1. GPO-urile sunt stocate in SYSVOL (replicat pe fiecare DC). In AD exista doar un link catre GPO. Toate setarile se afla in adm-ul din SYSVOL.

2. GPO-urile nu sunt impinse de catre domain controller. Clientul citeste si aplica GPO-urile stocate in AD (aici revenim la problema cu Adminul local pe statii – daca e admin pe statie gaseste el ceva sa fenteze GPO-ul).

3. Ordinea de aplicare este urmatoarea:

– Local Policy

– Site Policy

– Domain Policy

– OUs Policy (in functie de ierarhia de OU-uri din AD, GPO-ul de pe ultimul OU din ierarhie si aplica ultimul; probabil OU-ul in care se afla userul sau computer accountul). Exista ceva metode de a influenta putin ordinea dar vorbim mai tarziu.

In caz de conflict de setari intre GPO-uri se aplica setarile din ultimul GPO aplicat (adica suprascrie ce s-a aplicat inainte)

4. GPO-urile nu se aplica pe grupuri.

5. La nivel de OU se poate seta optiunea Block Policy Inheritance. E utila atunci cand vrem sa blocam aplicarea GPO-urilor legate la nivelele de mai sus (OU, domeniu, site).

6. La nivel de GPO putem seta No Override (e acelasi lucru cu Enforced in toolurile mai noi). Mai exact setarile din GPO-ul cu aceasta optiune, nu vor fi suprascrise de setarile din GPO-urile de la nivelele de mai jos. Tehnic mi se pare ca GPO-ul cu No Override se aplica ultimul.

7. Cand cele doua optiuni de mai sus intra in conflict are prioritate No Override.

Vista & Windows 7 – This connection requires an active Internet connection

 

Combinatia Windows Vista sau 7 + wlan + vmware player sau workstation instalat – poate duce la mesajul de eroare din titlu atunci cand incercati sa initiati o conexiune VPN din meniul Connect To. Rezolvarea clasica e sa te duci in Network Connections din Control Panel si sa initiezi conexiunea de acolo.

O alta varianta intalnita pe net ar fi sa umbli in network binding order si sa speri ca nu o sa se mai intample.

Eu am mai descoperit ca daca restartezi serviciul WLAN Auto Config lucrurile revin la normal (conexiunea la WLAN se va pierde pentru cateva secunde). Tot e mai bine decat un reboot.

More about Windows 7 Homegroups

 

In articolul anterior am discutat despre cum setam un homegroup. Acum sa discutam despre cateva detalii ale acestui feature.

First of all, trebuie retinut ca Network Location-ul pentru adaptorul de retea trebuie sa fie Home Network. Altfel nu va merge. La fel trebuie retinut ca se comporta “ciudat” atunci cand sunt mai multe adaptoare de retea pe sistem (multihomed), chiar si VMWare.

Second, un calculator care este membru in domeniu nu va putea crea un homegroup. Va putea joina un homegroup si accesa resursele partajate dar nu va putea partaja resurse. Microsoft s-a gandit ca nu ar fi bine ca cineva sa se duca acasa cu sistemul de la lucru si acolo sa-si partajeze informatiile. Personal mi se parea mai bine daca lasau la alegerea administratorului. Daca user-ul vrea tot o sa o faca pana la urma.

Urmatoarele setari din Group Policy permit dezactivarea accesului la un homegroup:

Computer Configuration\Policies\Administrative Templates\Windows Components\HomeGroup\Prevent the computer from joining a homegroup

Ce am mai descoperit: exista un grup folosit de acest feature numit Homeusers.

Cand joinam un sistem sau cand cream un homegroup, automat o sa avem un user in plus pe sistem numit HomeGroupUser$. Acest user va fi folosit pentru accesul pe sisteme remote si banuiesc ca va avea parola pe care o partajam (sau macar ceva derivat de la acea parola). Il vom intalni in permisiunile NTFS de pe resursele partajate.

Acum partea interesanta. Nu conteaza ce sistem a initiat homegroup-ul, atata timp cat mai exista inca un sistem membru el exista. Insa in momentul in care pleci din workgroup, grupul local Homeusers si userul HomeGroupUser$ sunt stersi, iar ACL-urile pe resurse raman. Ceva de genul:

Voi sti ce a fost partajat pentru ca fiecare folder va avea un lacatel in dreptul lui.

Inca ceva. Totul depinde de doua servicii Homegroup Listener si HomeGroup Provider.

Daca sunt oprite, optiune de homegreoup nu va aparea nici macar in Explorer.

 

Si cam atat pentru astazi. Daca mai aveti informatii despre acest topic nu ezitati sa le postati.