Stanislas Quastana's WebLog on TechNet

En mai, fais ce qu'il te plait Edition 2008 :-)

Après une année bien chargée (je parle d’année fiscale US), je prend un peu de repos bien mérité (si si ;-)) direction le soleil !

On se retrouve donc fin mai pour la suite (TechNet Tour…)

Microsoft Security Intelligence Report (July - December 2007)

Et voici la 4ème édition du rapport Microsoft sur les données de la sécurité (période juillet à decembre 2007)

Ce volume du Rapport Microsoft sur les données de sécurité se concentre sur le second semestre de l'année 2007 (juillet à décembre) et consolide les données publiées dans les volumes précédents. En utilisant les données fournies par plusieurs centaines de millions d'utilisateurs Windows et par certains services en ligne les plus fréquentés, ce rapport fournit une perspective approfondie sur les tendances liées à la divulgation des vulnérabilités, à leur exploitation ainsi qu'un panorama des logiciels malveillants ou indésirables. La portée de ce quatrième volume a été étendue afin d'inclure une analyse sur la protection de la vie privée et les notifications de violations de la sécurité, ainsi que de présenter le support apporté par Microsoft aux organismes chargés de l'application de la loi dans leur combat contre les cyber-criminels.

Il est disponible en version PDF ou XPS

Téléchargement de la version US
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=bcc879db-9fe6-4331-b231-e274ea8fc804

Téléchargement de la version FR
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=bcc879db-9fe6-4331-b231-e274ea8fc804

Seminaire : Le challenge du nomadisme et de la conformite des postes de travail et du reseau

Venez découvrir les solutions NAP et anti-malware de Microsoft et Skyrecon

Séminaire : Le challenge du nomadisme et de la conformité des postes de travail et du réseau

“Les organisations publiques et privées font face à une réalité croissante : le vol et la perte de données ainsi que les attaques malveillantes qui visent leur système d’information. Dans des contextes de mobilité qui ne cessent de se développer, il est aujourd’hui nécessaire de contrôler l’intégrité et l’absence de menaces provenant des périphériques et des postes de travail amenés à se connecter à votre réseau.

- Que faire d’un poste non conforme désirant se connecter ?
- Quelle solution facile à installer permet un dialogue efficace entre le poste de travail et le réseau de l’entreprise ?
- Quelle politique de sécurité appliquer dans des environnements mobiles ?
- La protection des systèmes, des données et du réseau : l’impact pour l’utilisateur

Le contrôle d’accès réseau n’est aujourd’hui pertinent que si le poste de travail communique efficacement avec le réseau. De même une solution de contrôle d’accès nécessite l’application d’une politique de sécurité dynamique sur les postes à la fois connectés et déconnectés.

Microsoft et SkyRecon, partenaires et acteurs majeurs du marché de la sécurité, proposent aujourd’hui une solution unique complète intégrée pour la protection du réseau et du poste de travail : anti-virus, contrôle d’accès réseau, contrôle des applications, chiffrement, Host-IPS/firewall, contrôle des périphériques amovibles, sécurité WiFi. Microsoft et SkyRecon vous invitent à découvrir leur solution intégrée pour une protection proactive et préventive complète des réseaux.”

Agenda

9h    Accueil petit-déjeuner
9h30  L’état de l’art de la sécurité du poste de travail et la complémentarité avec NAP
Philippe Honigman, Directeur Général SkyRecon
10h15 Comment assurer l’intégrité de la sécurité du poste de travail aujourd’hui avec Forefront Client Security et NAP
Vincent Martin, Avant vente Grands Comptes Microsoft
11h   Pause
11h15 Démonstration de la solution intégrée anti-malware et NAP
Vincent Martin, Avant vente Grands Comptes Microsoft & Fayçal Daïra, Expert Produit SkyRecon
12h15 Cocktail

Date : le mardi 27 Mai 2008
Lieu : Centre de Conférences Microsoft
       148, rue de l'Université, 75007 Paris

Informations complémentaires et inscription : http://www.skyrecon.com/index.php?option=com_seminars&task=viewseminar&id=105&Itemid=77

PS : pour celui qui a créé le titre : NAP (Network Access Protection) permet de vérifier la conformité des postes de travail par rapport à des politiques, avec la possibilité de restreindre les accès réseaux via différentes méthodes de contraintes (DHCP, 802.1x, VPN, TS Gateway, IPSec). NAP ne vérifie pas la conformité du réseau ;-)

Microsoft Forefront Client Security BPA

Dans la série des outils Best Practices Analyser, voici le petit dernier : Microsoft Forefront Client Security BPA

The FCS Best Practices Analyzer Tool is designed for administrators who want to determine the overall health of their Forefront computers and to diagnose current problems. The tool scans the configuration settings of the computer and reports issues that do not conform to the recommended best practices.

Téléchargement : http://www.microsoft.com/downloads/details.aspx?FamilyID=0cefac3f-91ed-40c3-a684-603f149a4e32&DisplayLang=en

Microsoft Forefront Integration Kit for Network Access Protection Frequently Asked Questions

Une petite FAQ concernant le support de Network Access Protection (NAP) avec Forefront Client Security

http://www.microsoft.com/forefront/fcs_nap_faq.mspx

Petite demo en video (10 minutes) de Forefront Stirling

C’est ici et en Silverlight: http://www.microsoft.com/forefront/stirling/en/us/demo.aspx

Premiere beta publique de Microsoft Forefront codename Stirling Beta (inclus la beta de la nouvelle version d'ISA Server)

La première beta publique de Forefront Stirling est disponible :-)

Elle comprend :

• Stirling
• Forefront pour Exchange Next Generation
• Forefront pour SharePoint Next Generation
• Forefront Threat Management Gateway (la nouvelle version d’ISA Server)

C’est téléchargeable à l’adresse suivante :

Microsoft® Forefront™ codename "Stirling" Beta
http://www.microsoft.com/downloads/details.aspx?FamilyID=65bd5f8a-d94c-457a-9f88-2046597130e1&displaylang=en

RSA Conference 2008 : Annonce des nouveaux produits Microsoft Forefront

Lors de la RSA Conference 2008, Craig Mundie (Chief Research and Strategy Officer, Microsoft Corp) et Christopher Leach (Chief Information Security Officer, Microsoft Corp) viennent d'annoncer nos nouvelles solutions de sécurité Forefront :

Voir le Keynote : http://media.omediaweb.com/rsa2008/webcast.htm?id=1_4

Le communiqué de presse associé :
Microsoft Releases Beta of Integrated Security System Forefront “Stirling”
http://www.microsoft.com/presspass/press/2008/apr08/04-08ForefrontBetaPR.mspx

Forefront “Stirling” includes a central management console for security configuration and enterprise-wide visibility, combined with the next-generation Forefront products that span the client, server and network edge. They include Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint and the next generation of Microsoft Internet Security and Acceleration Server (ISA Server), Forefront Threat Management Gateway.

Page produit Forefront Stirling :
http://www.microsoft.com/forefront/stirling/en/us/system-requirements.aspx

Ressources sur TechNet :

• Forefront Codename Stirling
  http://technet.microsoft.com/en-us/library/cc483122.aspx
• Forefront Security for SharePoint - Next Generation
  http://technet.microsoft.com/en-us/library/cc482990.aspx
• Forefront Security for Exchange Server - Next Generation
  http://technet.microsoft.com/en-us/library/cc482977.aspx

Vue d'ensemble Windows Server 2008 en moins de 25 min

Vue d’ensemble en moins de 25 minutes des nouveautés de Windows Server 2008

Pré-requis : Silverlight installé sur votre machine (http://silverlight.net/GetStarted/)

double cliquez sur la vidéo pour passer en plein écran (esc pour sortir)

Partie 1 - Introduction et fondamentaux

Partie 2 - Plateforme Web

Partie 3 - Virtualisation

Partie 4 - Sécurité et Synthèse

Et pour ceux qui sont intéressés par l’outil que j’ai utilisé pour encoder ces vidéos et les uploader sur la plateforme Silverlight Streaming allez voir par ici : http://blogs.msdn.com/expressionfr/

Le nouveau serveur FTP pour IIS 7.0 RTM est disponible !

Comme certains l'ont déjà constaté, le nouveau serveur FTP d'IIS 7.0 n'est pas inclus dans le DVD de Windows Server 2008 (oui je sais c'est bizarre).

La bonne nouvelle de la journée, c'est qu'il est disponible depuis avant-hier en version RTM :-)

Ce nouveau serveur FTP apporte pas mal de nouveautés, notamment :
- une intégration avec IIS 7.0 (c'est à dire config en XML, console d'admin...)
- le support de standards tels que FTP over SSL, IPv6, UTF8
- des améliorations pour les scénarios de type hoster
- des meilleurs journaux
- etc...

Le post de l'équipe produit
http://blogs.msdn.com/robert_mcmurray/archive/2008/02/27/ftp7-for-windows-server-2008-rtm-is-released.aspx

Les liens de téléchargement :

• FTP 7 (x86) Installation Package
  http://go.microsoft.com/fwlink/?LinkId=87847
• FTP 7 (x64) Installation Package
  http://go.microsoft.com/fwlink/?LinkId=89114

Windows Server 2008 Security Guide

Le “Windows Server 2008 Security Guide” vient de sortir dans sa version 1.0

The Windows Server 2008 Security Guide is primarily for IT professionals, security specialists, network architects, computer engineers, and other IT consultants who plan application or infrastructure development and deployments of Windows Server 2008 for servers in an enterprise environment. The guide is not intended for home users.

This guide is for individuals whose jobs may include one for more of the following roles:

• Security specialist. Users in this role focus on how to provide security across computing platforms within an organization. Security specialists require a reliable reference guide that addresses the security needs of every level of the organization and also offers proven methods to implement security countermeasures. Security specialists identify security features and settings, and then provide recommendations on how their customers can most effectively use them in high risk environments.
• IT operations, help desk, and deployment staff. Users in IT operations focus on integrating security and controlling change in the deployment process, whereas deployment staff focuses on administering security updates quickly. Staff in these roles also troubleshoot security issues related to applications that involve how to install, configure, and improve the usability and manageability of software. They monitor these types of issues to define measurable security improvements and a minimum of impact on critical business applications.
• Network architect and planner. Users in this role drive the network architecture efforts for computers in their organizations.
• Consultant. Users in this role are aware of security scenarios that span all the business levels of an organization. IT consultants from both Microsoft Services and partners take advantage of knowledge transfer tools for enterprise customers and partners.

This guide includes chapters that provide security recommendations about how to harden the following server roles and the role services that they provide:

• Active Directory Domain Services (AD DS)
• Dynamic Host Configuration Protocol (DHCP) Server
• Domain Name System (DNS) Server
• Web Server (IIS)
• File Services
• Print Services
• Active Directory Certificate Services (AD CS)
• Network Policy and Access Services
• Terminal Services

Le guide est disponible à l’adresse suivante : http://technet.microsoft.com/en-us/library/cc264463.aspx

Tour de France Citrix 2008 : retrouvez-nous pour une session sur Windows Server 2008

Après le lancement de sa nouvelle offre lors des Microsoft Techdays 2008, Citrix entame son tour de France annuel :

C’est 2 jours dans chaque ville avec au programme des présentations sur l’ensemble de leur offre avec cette année un focus particulier sur la Virtualisation de bout en bout.

Et comme Microsoft est le partenaire majeur de Citrix (et vice versa ;-)), on sera également de la partie (Fabrice Meillon et moi) pour une présentation d’1 heure sur les nouveautés de Windows Server 2008 (dans un format plutôt sympa).

Inscriptions et informations complémentaires sur le Citrix Application Delivery Tour 2008 : http://www.citrix.fr/tourdefrancevirtualisatioN/

Nouvelle version de l outil ISABPA

L'équipe "ISA Server Sustained Engineering Team" vient d'annoncer la sortie de la version 6 de l'outil Microsoft ISA Server Best Practices Analyzer Tool (IsaBPA V6)

Quoi de nouveau sur cette version 6 :
 
- Support for future versions of ISA Server – In addition to supporting ISA Server 2004 / 2006, IsaBPA will work with versions of ISA Server which are planned to be released through 2008-2009.

- BPA2Visio –BPA2Visio tool generates Visio network diagrams. Previous BPA2Visio releases required the XML input file, installation of Visio 2003 / 2007, and ISA Server installation. This release removes the last requirement.  In addition, parts of the new BPA2Visio were rewritten as a more generic framework, to support adaptation by non-ISA teams.

- ISA Data Packager (IDP) – IDP collects static and dynamic information needed for ISA troubleshooting. Previous versions of IDP required domain membership; this version adds partial support for workgroups. IAG Support – IDP can help troubleshoot IAG issues. In addition to collecting Windows and ISA logs, IDP also collects values of IAG-specific registry keys, files etc.

- New Checks – We added to IsaBPA 15+ new rules. More than 1000 settings are currently checked, and they are compared against 229 rules. The focus of this release was targeting (1) NLB-related issues; (2) issues related to 3rd party software. This new suite joins Hardware, OS, Authentication, OWA, SSL Certificates, Site-to-site VPN with IPsec, WPLB, Branch Office and logging suites that were introduced in previous versions of IsaBPA.

- More documentation –IsaBPA help file has been augmented to over 100 pages. You can easily find information about how to operate IsaBPA, information about specific checks, and how to fix issues that IsaBPA has detected.

- SQM support – we added to IsaBPA SQM (also known as CEIP) support. In future releases we will have a better idea about how IsaBPA is used, and we will use this data to improve IsaBPA (and ISA!) further.

- Bug fixes – We fixed several bugs and issues that were discovered in previous versions.

IsaBPAv6 est disponible en téléchargement sur
http://www.microsoft.com/downloads/details.aspx?FamilyId=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en.

L'outil nécessite le .NET Framework 1.1 ou plus

Mise a jour des guides d installation pas a pas de NAP pour Windows Server 2008 RTM

Les guides d’installation pas à pas de NAP (Network Access Protection) viennent d'être mis à jour pour la RTM de Windows Server 2008

Changes:
• The NAP wizard is used to configure policies.
• Group Policy is used to configure client settings.
• Security Center mistake corrected (GP setting is to turn on the UI, not the service).
• IPsec guide has an optional procedure to configure HRA servers using SRV records.
• IPsec guide uses SSL now.
• Some minor changes to procedures vs. Beta3.

Step-by-Step Guide: Demonstrate IPsec NAP Enforcement in a Test Lab
http://www.microsoft.com/downloads/details.aspx?FamilyID=298ff956-1e6c-4d97-a3ed-7e7ffc4bed32&displaylang=en

Step-by-Step Guide: Demonstrate 802.1X NAP Enforcement in a Test Lab
http://www.microsoft.com/downloads/details.aspx?FamilyID=8a0925ee-ee06-4dfb-bba2-07605eff0608&displaylang=en

Step-by-Step Guide: Demonstrate VPN NAP Enforcement in a Test Lab
http://www.microsoft.com/downloads/details.aspx?FamilyID=729bba00-55ad-4199-b441-378cc3d900a7&displaylang=en

Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab
http://www.microsoft.com/downloads/details.aspx?FamilyID=ac38e5bb-18ce-40cb-8e59-188f7a198897&displaylang=en

La plateforme NAP 802.1X utilisee pour mes demonstrations NAP de la seconde pleniere des TEchdays 2008

Pour ceux qui étaient présents aux Microsoft Techdays 2008 à la plénière du 12 février et qui ont vu mes démonstrations NAP (Network Access Protection), voici un petit résumé de la plateforme que j’ai utilisée :

3 desktop HP (dc7800 en small factor), de haut en bas sur la photo :

– 1 Windows Server 2008 (DC + PKI + NPS + DHCP)

– 1 Windows Vista

– 1 Windows XP Service Pack 3 (RC)

+ 1 PC portable HP 8430 avec Linux OpenSuse 10.3 et le client NAP pour Linux d’Avenda System (en version beta 2)

Pour le switch réseau compatible 802.1X et NAP : un HP ProCurve 5406zl (je remercie au passage Patrice Clair, Consultant HP ProCurve Networking, qui m’a prêté et configuré le switch en un temps record :-))

Dans ma démonstration, le seul pré-requis (règle de conformité) était d’avoir un pare-feu personnel activé pour être en conformité.

Sur la machine Linux, après réactivation du pare-feu, ça donnait ça visuellement après remediation (réactivation du pare-feu pour sortir du VLAN de quarantaine)

J’en profite aussi pour remercier Amir Laissoub (Stagiaire sécurité chez Microsoft) qui m’a bien aidé sur la configuration de la machine Linux