Jump to content

Jordan_Tsafaridis

Members
 View Profile  See their activity

  • Posts

    106

  • Joined

  • Last visited

 Content Type 

Blog Entries posted by Jordan_Tsafaridis

  1. Jordan_Tsafaridis
    Εισαγωγή
     

    Έχοντας ήδη εγκαταστήσει και ρυθμίσει τον Data Protection Manager (DPM)
    2010
    για να πραγματοποιούμε τις λειτουργίες του backup και του restore, το
    επόμενο βήμα είναι η προστασία των συστημάτων Hyper-V host τα οποία
    βρίσκονται σε λειτουργία. Στο άρθρο αυτό θα εξηγήσουμε με απλό και
    κατανοητό τρόπο την διαδικασία της ρύθμισης (process of configuring)
    έναν Hyper-V
    host για την προστασία του, υλοποιώντας το backup και εν συνεχεία το
    restore ως αναπόσπαστα μέρη της συγκεκριμένης διαδικασίας ρύθμισης. Έτσι
    λοιπόν το συγκεκριμένο άρθρο αποτελεί το τρίτο μέρος μιας σειράς άρθρων
    τα οποία εξηγούν την εγκατάσταση, την ρύθμιση και την χρήση - how to
    install, configure, and utilize - τον DPM 2010 για να πραγματοποιούμε
    την λειτουργία του backup και του restore
    σε virtual machines και Hyper-V servers.

    Ρυθμίσεις DPM


    Πριν προχωρήσουμε στις απαραίτητες ρυθμίσεις για την προστασία ενός Hyper-V host, θα πρέπει να έχουμε ήδη εγκατεστημένο τον
    DPM 2010 καθώς επίσης θα πρέπει να εχουν προστεθεί και τα αντίστοιχα storage pool disks added με μη προκαθορισμένη χωρητικότητα (un-allocated
    capacity). Στο τέλος του δεύτερου άρθρου της συγκεκριμένης σειράς είχα προσθέσει στο σύστημα του DPM
    server ένα storage pool drive χωρητικότητας 127GB. Στο σημείο αυτό δεν υπάρχει καμία προστασία για τον οποιοδήποτε Hyper-V hosts διότι πολύ απλά δεν έχει ρυθμιστεί ακόμη. Θα πρέπει και στην δική σας αντίστοιχη προσπάθεια να βλέπετε ένα unallocated storage διαθέσιμο στα storage pool disks κάτω από το Disks
    tab στον Management section.


    Εικόνα 1


    Εγκαθιστώντας τον DPM 2010 Agent στον Hyper-V Host


    Για να μπορέσουμε να προστατεύσουμε έναν Hyper-V host, είναι απαραίτητο να εγκαταστήσουμε τον DPM agent στο συγκεκριμένο υπολοστικό σύστημα. Υπάρχουν διαθέσιμοι τρεις διαφορετικοί τρόποι για να εγκαταστήσουμε τον DPM 2010
    Agent.

    Χρησιμοποιώντας την DPM 2010 console
    Χρησιμοποιώντας μία λύση software deployment solution όπως ο System Center Configuration Manager 2007
    Χειροκίνητη (Manually) εγκατάσταση του DPM agent
    Κάθε μία από τις παραπάνω μεθόδους έχει τα πλεονεκτήματα και τα μειονεκτήματά της. Χρησιμοποιώντας την DPM 2010
    console είναι η πιο εύκολη μέθοδος. Η όλη διαδικασία γίνεται διαμέσου ενός απλού wizard και το μόνον το οποίο απατείται να γνωρίζουμε είναι το όνομα της μηχανής και το αντίστοιχο user name και password του χρήστη ο οποίος έχει τοπικά administrative δικαιώματα σε αυτήν. Το μειονέκτημα στην συγκεκριμένη περίπτωση είναι ότι πρέπει να έχουμε απενεργοποιημένο το firewall πριν από την εγκατάσταση του client. Αμέσως μετά την εγκατάσταση μπορούμε να επανενεργοποιήσουμε το firewall, ενεργοποιώντας ταυτοχρονα την εξαίρεση του DPM agent από τα firewall options.

    Εάν έχουμε ήδη εγκατεστημένο τον System Center Configuration Manager 2007, τότε είναι δυνατόν να χρησιμοποιήσουμε τον SCCM για να εγκαταστήσουμε τον DPM
    agent. Στην μηχανή στην οποία θα λάβει χώρα η εγκατάσταση θα πρέπει να υπάρχει εγκατεστημένος και σε λειτουργία ο SCCM agent και ο DPM
    agent θα πρέπει να έχει δημιουργηθεί/υλοποιηθεί ως software distribution package. Αμέσως μετά την δημιουργία του πακέτου, μπορούμε να δημιουργήσουμε μια συλλογή (collection) και εν συνεχεία να κάνουμε target αυτήν την συλλογή με το advertisement του DPM software package. Επίσης θέλουμε αυτό το πακέτο να είναι mandatory έτσι ώστε να μην απαιτείται ο χρήστης να είναι logged on. Το πλεονέκτημα αυτής της μεθόδου είναι ότι το Windows Firewall
    δεν αποτελεί πρόβλημα. Το μειονέκτημα όμως της συγκεκριμένης μεθόδου είναι ο όγκος της εργασίας ο οποίος απαιτείται για να εγκατασταθεί ο agent.

    Εάν δεν έχουμε εγκατεστημένο τον SCCM και αποτελεί μείζον θέμα ασφάλειας η απενεργοποίηση του firewall στην συγκεκριμένη μηχανή, τότε η τελευταία μέθοδος της χειροκίνητης εγκατάστασης του DPM agent στην συγκεκριμένη μηχανή είναι ο ενδεδειγμένος τρόπος και αμέσως μετά την εγκατάσταση επισυνάπτουμε (attach) τον agent στην DPM console έτσι ώστε να καθοριστεί το mapping γι' αυτήν την μηχανή.

    Η παρακάτω διαδικασία παρουσάζει τον τρόπο με τον οποίο γίνεται η εγκατάσταση του DPM agent χρησιμοποιώντας την DPM console. Στο σημείο αυτό υπάρχει μια παραδοχή σύμφωνα με την οποία το firewall έχει ήδη απενεργοποιηθεί έτσι ώστε να είναι δυνατή η εγκατάσταση του agent.

    Μέσα από την DPM 2010 Administrator Console, κάνουμε κλικ στο Management Tab, και εν συνεχεία κάνουμε κλικ στο Agents tab

    Εικόνα 2


    Κάνουμε κλικ στο Install option στην δεξιά πλευρά του nd actions bar για να ξεκινήσει ο Protection Agent Installation Wizard
    Στην σελίδα Select Agent Deployment Method, επιλέγουμε το Install Agents option, και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 3


    Στην σελίδα Select Computers, επιλέγουμε τον Hyper-V host στον οποίο επιθυμούμε να γίνει η εγκατάσταση του agent και κάνουμε κλικ στο Add button. Εφόσον ο Hyper-V server έχει προστεθεί στο Selected Computers list, τότε κάνουμε κλικ στο Next

    Εικόνα 4


    Στην σελίδα Enter Credentials page, συμπληρώνουμε τα domain credentials τα οποία έχουν τοπικά administrative δικαιώματα στις μηχανές στις οποίες επιθυμούμε να εγκαταστήσουμε τον , και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 5


    Στην σελίδα  Choose Restart Method, επιλέγουμε Yes για να πραγματοποιηθεί restart στις μηχανές στις οποίες ο DPM agent έχει εγκατασταθεί (Αμέσως μετά την ολοκλήρωση της εγκατάστασης του DPM Agent), και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 6


    Στην σελίδα Summary, κάνουμε κλικ στο Install για να ξεκινήσει η διαδικασία της εγκατάστασης του agent.

    Εικόνα 7


    Στην σελίδα Installation, θα παρακολουθήσουμε το status της διαδικασίας της εγκατάστασης. Αμέσως μετά την επιτυχή ολοκλήρωση της εγκατάστασης κάνουμε κλικ στο Close.

    Εικόνα 8


    Στο Agents tab στην DPM 2010 console, θα πρέπει τώρα να βλέπουμε την ένδειξη ότι ο agent είναι εγκατεστημένος και το Status να εμφανίζεται ως OK. Εάν παρόλα αυτά το  status δεν εμφανίζεται ως Ok, τότε κάνουμε highlight το Hyper-V server entry και χρησιμοποιούμε το Refresh Information action στο δεξιο panel για να ανανεώσουμε την πληροφορία.


    Εικόνα 9


    Τώρα πηγαίνουμε στον Hyper-V server και επιβεβαιώνουμε ότι τα Windows Firewall exceptions έχουν ενεργοποιηθεί για τον DPM agent έτσι ώστε αυτός να επικοινωνεί με τον DPM server. Θα πρέπει να βλέπουμε δύο εξαιρέσεις :
    - DPMRA
    - DPMRA_DCOM_135

    Στο σημείο αυτό μπορούμε να επαναφέρουμε το firewall ξανά σε κατάσταση on.

    Δημιουργία Protection Group για τον Hyper-V Server


    Τώρα που έχουμε πλέον εγκατεστημένο τον DPM 2010 στον Hyper-V server,
    μπορούμε να δημιουργήσουμε ένα protection group και εν συνεχεία να προσθέσουμε τον Hyper-V σε αυτό το group.
    Αυτή η διαδικασία θα ενεργοποιήσει το backup και το restoration του Hyper-V server και των virtual machines που τρέχουν σε αυτόν. Σε αυτό το άρθρο δεν καλύψουμε την περίπτωση χρήσης των tape libraries, αλλά σημειώστε ότι εάν πρόκειται να χρησιμοποιήσετε ένα tape library θα πρέπει να το προσθέσετε στο configuration τώρα.

    Για να δημιουργήσουμε ένα protection group ακολουθούμε τα παρακάτω βήματα :

    Στο DPM 2010 Administrator console, κάνουμε κλικ στο Protection Tab.
    Εν συνεχεία κάνουμε κλικ στο Create Protection Group action στο δεξιό pane για να ξεκινήσει η διαδικασία, με την εκκίνηση του New protection Group wizard,
    και κάνουμε κλικ στο Next


    Εικόνα 10


    Όταν δημιουργούμε ένα protection group, μπορούμε να επιλέξουμε να προστατεύσουμε servers ή clients. Προστατεύοντας servers απαιτεί ο agent να έχει προεγκατασταθεί στον server έτσι ώστε να είναι δυνατή η επιλογή του protection information βάση του ρόλου του συγκεκριμένου server. Στην σελίδα Select Protection Group Type, επιλέγουμε το protect Servers και κάνουμε κλικ στο Next


    Εικόνα 11


    Στην σελίδα Select Group Members, επιλέγουμε τον Hyper-V server, αναπτύσουμε (expand) την πληροφορία κάτω από αυτόν, και επιλέγουμε τι πρόκειται να προστατεύσουμε. Όπως μπορείτε να δείτε και στην παρακάτω εικόνα, έχουμε την δυνατότητα να ενεργοποιήσουμε τα Share protection, Volume protection, Hyper-V protection, και System Protection. Επιλέγουμε το Hyper-V protection και κάνουμε κλικ στο Next. Επιλέγοντας το Hyper-V
    protection, αυτομάτως προστατεύονται και όλες οι virtual machines οι οποίες είναι εγγεγραμμένες στον Hyper-V server καθώς και το Hyper-V store.


    Εικόνα 12


    Στην σελίδα Select Data Protection Method, εισάγουμε ένα όνομα για το Protection Group, και εν συνεχεία στο Select the protection method επιλέγουμε short term using Disk, και αμέσως μετά κάνουμε κλικ στο Next


    Εικόνα 13


    Στην σελίδα Specify Short Term Goals, ορίζουμε το retention range (με άλλα λόγια το χρονικό διάστημα για το οποίο επιθυμούμε η συγκεκριμένη προστασία να διατηρείται), και εν συνεχεία κάνουμε κλικ στο Next. Στην συγκεκριμένη περίπτωση θα διατηρήσουμε το default application recovery point setting πραγματοποιώντας ένα express full backup κάθε μέρα.

    Εικόνα 14


    Στην σελίδα Review Disk Allocation, αποδεχόμαστε τα defaults και κάνουμε κλικ στο Next

    Εικόνα 15


    Στην σελίδα Choose Replica Creation Method, αφήνουμε το default setting χρησιμοποιώντας το τοπικό δίκτυο για την μεταφορά των replica data, αφότου έχουμε επιβεβαιώσει ότι είναι επιλεγμένο το Now
    έτσι ώστε η replica να γίνει captured αμέσως, και εν συνεχεία κάνουμε κλικ στο Next


    Εικόνα 16


    Στην σελίδα Consistency Check Options, ενεργοποιούμε την επιλογή Run a consistency check if the replica becomes inconsistent, και εν συνεχεία κάνουμε κλικ στο Next

    Εικόνα 17


    Στην σελίδα Summary, επιβεβαιώνουμε όλες τις επιλογές τις οποίες έχουμε κάνει και εν συνεχεία κάνουμε κλικ στο Create Group.

    Εικόνα 18


    Στην σελίδα Status θα εμφανιστεί το protection group process.Το replica space θα πρέπει να δημιουργηθεί σε ένα από τα διαθέσιμα storage pool και αμέσως μετά το protection group θα δημιουργηθεί. Κάνουμε κλικ στο Close αμέσως μετά την επιτυχημένη δημιουργία.

    Εικόνα 19


    Ο wizard θα κλείσει και στο Protection tab θα εμφανιστεί το καινούριο protection group καθώς και το status του συγκεκριμένου protection group. Θα παρακολουθήσετε ότι η διαδικασία δημιουργίας της replica είναι σε κατάσταση επεξεργασίας. Αφότου ολοκληρωθεί η δημιουργία της replica, το protection status θα αλλάξει σε OK. Αυτό σημαίνει ότι η replica είναι έτοιμη να δεχτεί τα πραγματικά δεδομένα (actual recovery point transfer) από την πηγή. Μέχρι τα δεδομένα (recovery point) να μεταφερθούν στην replica, η μηχανή δεν είναι προστατευμένη. Η default επιλογή, είναι ότι η μεταφορά δεδομένων να λαμβάνει χώρα στις 18:00 η ώρα κάθε μέρα.


    Εικόνα 20


    Αμέσως μετά την μεολοκλήρωση της μεταφοράς του αρχικού (initial) recovery point, τότε η μηχανή είναι προστατευμένη και θα συνεχίσει να είναι προστετευμένη βάση του προκαθορισμένου χρονοδιαγράμματος.
     

    Συμπέρασμα


    Σε αυτό το άρθρο παρουσιάσαμε τα προαπαιτούμενα για την δημιουργία ενός protection group στον DPM 2010, την δημιουργία ενός protection group και τέλος την επαλήθευση ότι η replica έχει ήδη δημιουργηθεί σε συνδυασμό με το ότι το recovery point έχει ήδη μεταφερθεί στον DPM 2010 server. Στην διαδικασία αυτή εμπεριέχονται η χρήση του Protection Group Creation
    wizard, καθώς επίσης και τα options για την προστασία ενός Hyper-V server,
    ρυθμίζοντας το short term recovery, και καθορίζοντας το χρονοδιάγραμμα για την δημιουργία του recovery point. Στο επόμενο άρθρο θα ασχοληθούμε με το recovery ενός Hyper-V server και συγκεκριμένων (individual) virtual machines.
  2. Jordan_Tsafaridis
    Όταν είναι απαραίτητο να προχωρήσουμε στην απεγκατάσταση ή στην επανεγκατάσταση (remove or reinstall) ενός Exchange Server 2010 server role τότε είναι πολύ πιθανόν να αντιμετωπίσουμε τα παρακάτω λάθος.




    The following error was generated when “$error.Clear();
    uninstall-MsiPackage -PackagePath ($RoleInstallPath +
    “Mailbox\MSFTE.MSI”) -LogFile ($RoleSetupLoggingPath +
    “\InstallSearch.msilog”)” was run: “Couldn’t open package ‘C:\Program
    Files\Microsoft\Exchange Server\V14\Mailbox\MSFTE.MSI’. Another version
    of this product is already installed. Installation of this version
    cannot continue. To configure or remove the existing version of this
    product, use Add/Remove Programs on the Control Panel. Error code is
    1638.”.

    Couldn’t open package ‘C:\Program Files\Microsoft\Exchange
    Server\V14\Mailbox\MSFTE.MSI’. Another version of this product is
    already installed. Installation of this version cannot continue. To
    configure or remove the existing version of this product, use Add/Remove
    Programs on the Control Panel. Error code is 1638.

    Another version of this product is already installed. Installation of
    this version cannot continue. To configure or remove the existing
    version of this product, use Add/Remove Programs on the Control Panel

    Το λάθος αυτό μπορεί να οφείλεται σε μια σειρά από διαφορετικούς λόγους, και συνεπώς για την επίλυσή του μπορεί να υποχρεωθούμε να δοκιμάσουμε περισσότερες της μιας λύσεις.

    Η πιο γρήγορη λύση είναι να δοκιμάσουμε να επισκευάσουμε την Microsoft Full Text Indexing Engine for Exchange.  Στο Control Panel -> Uninstall a Program επιλέγουμε-χρωματίζουμε το indexing engine entry και εν συνεχεία κάνουμε κλικ στο Repair button.



    Εφόσον ολοκληρωθεί πλήρως η επισκευή τότε αμέσως μετά δοκιμάζουμε να εγκαταστήσουμε ή να απεγκαταστήσουμε τον συγκεκριμένο Exchange server role ξανά.

    Εάν το πρόβλημα συνεχίζει να υφίσταται τότε προχωρούμε σε επανεγκατάσταση του πιο τελευταίου/πρόσφατου Update
    Rollup το οποίο είχε εγκατασταθεί στον συγκεκριμένο Exchange 2010 server.  Για να διαπιστώσουμε πιο είναι αυτό update επιλέγουμε Control Panel -> Uninstall a Program.  Εν συνεχεία κάνουμε κλικ στο View Installed Updates στο αριστερό action pane.



    Σημειώστε εδώ ποιο είναι το συγκεκριμένο Update Rollup (ή το ποιο πρόσφατο εφόσον υπάρχουν περισσότερα του ενός) το οποίο είναι εγκατεστημένο στον Exchange server.




    Κάνουμε Download του συγκεκριμένου Update Rollup και το εφαρμόζουμε εκ νέου στον server, και αμέσως μετά κάνουμε restart στον Exchange server.  Εν συνεχεία προσπαθούμε εκ νέου κάνουμε απεγκατάσταση ή επανεγκατάσταση  (remove or reinstall) του Exchange
    Server 2010 role. Σε μερικές περιπτώσεις έχει διαπιστωθεί ότι η εφαρμογή για δεύτερη φορά του Update Rollup είναι απολύτως απαραίτητη για την διόρθωση του λάθους.

    Εάν και πάλι ο Exchange server role δεν καθίσταται δυνατόν να απεγκατασταθεί τότε τότε κάνουμε απεγκατάσταση (Uninstall) του Update Rollup.

    Όταν τελικά το πρόβλημα επιλυθεί τότε ο Exchange server θα περάσει με επιτυχία τα readiness checks και έτσι θα μπορέσουμε να προχωρήσουμε στην απεγκατάσταση ή την επανεγκατάσταση των Exchange server roles.


  3. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας σε αυτό το άρθρο θα παρουσιάσουμε εκείνα τα τεχνικά χαρακτηριστικά του Forefront TMG 2010, τα οποία μας επιτρέπουν να καθορίζουμε και να βελτιώνουμε το endpoint protection strategy ενός οργανισμού και να εκτελούμε διεργασίες όπως URL filtering, malware inspection,
    intrusion detection/prevention, και HTTPS inspection.
    Εισαγωγή
    Ο Forefront Threat Management Gateway (TMG) 2010 αποτελεί έναν integrated edge security gateway ο οποίος λειτουργεί ως ένα enterprise-class firewall, caching proxy (forward and reverse), και VPN
    (remote access and site-to-site) server. Μπορεί να εγκατασταθεί με όλα αυτά τα χαρακτηριστικά ή με κάποιο υποσύνολο αυτών. Όταν εγκατασταθεί ως forward proxy
    server, ο TMG firewall μπορεί να συμβάλλει στην θεαματική βελτίωση της ασφάλειας ενός οργανισμού - (overall security posture) - εκτελώντας εργασίες όπως advanced network και application
    layer traffic inspection, καθώς επίσης θέτει σε εφαρμογή διαδικασίες όπως το enforcing strong user και group-based
    authentication. Στο συγκεκριμένο άρθρο θα ασχοληθούμε με τα URL filtering,
    malware inspection, intrusion detection/prevention, και HTTPS inspection
    και πως αυτά τα χαρακτηριστικά μπορούν να βελτιώσουν και να συμπληρώσουν αντίστοιχα μια υπάρχουσα endpoint protection strategy.

    URL Filtering
    Με τις ενσωματωμένες δυνατότητες URL filtering, οι TMG
    firewall administrators έχουν τώρα την δυνατότητα να εφαρμόζουν reputation-based
    access controls στο web-based traffic. Το URL filtering αποτελεί την πρώτη γραμμή άμυνας σε ένα μοντέρνο και ασφαλές web gateway, και συνεπώς έχοντας πρόσβαση σε υπηρεσίες reputation
    για τα επισκεπτόμενα web sites ο administrator μπορεί πλέον να προλάβει και να μην επιτρέψει στους χρήστες να έχουν πρόσβαση σε ιστοσελίδες/ιστότοπους οι οποίοι έχουν διαπιστωμένα κακόβουλο περιεχόμενο. Το Web site categorization διαχειρίζεται από την υπηρεσία Microsoft Reputation Services (MRS). Το MRS αποτελεί μια cloud-based categorization
    service όπου ο TMG firewall την αξιοποιεί για να καθορίσει σε ποια κατηγορία το συγκεκριμένο web site ανήκει. Αμέσως μετά την κατηγοριοποίηση του συγκεκριμένου site,
    ένα firewall policy processing θα καθορίσει εάν το αίτημα για πρόσβαση θα επιτραπεί ή δεν θα επιτραπεί.

    Για να ενεργοποιήσουμε το URL filtering, κάνουμε highlight το Web Access Policy node και στο navigation tree κάνουμε κλικ στο Configure Web Access Policy στο Tasks
    pane. Το Web Access Policy wizard θα μας οδηγήσει βήμα προς βήμα για να ενεργοποιήσουμε το URL filtering καθώς επίσης και να παραμετροποιήσουμε μια προκαθορισμένη web access policy χρησιμοποιώντας συνιστόμενα URL categories.


    Εικόνα 1

    Επιπροσθέτως, το Web Access Policy wizard θα ενεργοποιήσει και θα παραμετροποιήσει επίσης το malware inspection, το HTTPS inspection, και το content caching αντίστοιχα.

    Malware Inspection
    Με δεδομένο το ότι η λύση του URL filtering είναι 100% αποτελεσματική - (Βεβαίως καλό είναι να έχουμε υπόψην μας ότι είναι αδύνατον να κατηγοριοποιήσουμε όλες τις ιστοσελίδες του διαδικτύου) - είναι αναπόφευκτο ότι σε κάποια χρονική στιγμή οι χρήστες θα επισκεφθούν κάποια ιστοσελίδα η οποία θα περιέχει κακόβουλο περιεχόμενο. Για να μπορέσει να δώσει λύση και σε αυτές τις περιπτώσεις, ο TMG περιλαμβάνει μια gateway-integrated scanning engine για να προλαβαίνει και απαγορεύει virus και malicious software downloads. Η συγκεκριμένη μηχανή σάρωσης (scanning engine) ηοποία περιλαμβάνεται στον TMG
    είναι η Microsoft anti-malware scanning engine η οποία περιλαμβάνεται σε μια πληθώρα τεχνολογιών προστασίας Forefront όπως ο Forefront Protection for
    Exchange (FPE), ο Forefront Protection for SharePoint (FPSP), και ο
    Forefront Endpoint Protection (FEP), για να αναφέρουμε μερικές από αυτές. Είναι επίσης το ίδιο scanning το οποίο χρησιμοποιείται στα Microsoft Security Essentials (MSE). Η μηχανή σάρωσης αυτή είναι γρήγορη, ακριβής και παράγει ελάχιστα false positives.

    Για να ενεργοποιήσουμε το virus και το malicious software scanning, κάνουμε highlight στο Web Access Policy node στο navigation tree, και εν συνεχεία κάνουμε κλικ στο Configure Malware Inspection στο Tasks pane, και τέλος επιλέγουμε το Enable Malware Inspection.


    Εικόνα 2

    Το Virus και το malware scanning είναι πλήρως παραμετροποιήσημα στον TMG, παρέχοντας στον administrator την δυνατότητα του granular control πάνω σε κάθε τύπο περιεχομένου το οποίο πρόκειται να σαρωθεί αλλά και την μέθοδο/τρόπο με τον οποίο το περιεχόμενο αυτό θα σαρωθεί. Στο σημείο αυτό ο administrator
    μπορεί να παραμετροποιήσει πιθανά exemptions στο scanning policy τα οποία διακρίνονται βάση του source ή του destination, και να καθορίσει επίσης πότε τα signature updates θα παραλαμβάνονται καθώς πότε και με πιο τρόπο θα εφαρμόζονται.

    Σημείωση :
    Το URL filtering και το malware scanning απαιτούν το Web Protection Service subscription license. Μια άδεια ενεργοποιεί και τα δύο αυτά χαρακτηριστικά. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό μπορείτε να βρείτε σε αυτό το link.

    Network Inspection System
    Οι Malicious software authors πολύ συχά θα προσπαθήσουν να ανακαλύψουν vulnerabilities τα οποία μπορεί να υπάρχουν στα Microsoft
    operating systems, applications, και στα networking protocols. Για να δώσει λύση και σε αυτά τα ζητήματα προστασίας ο TMG firewall περιλαμβάνει το Network Inspection System (NIS). Το NIS
    αποτελεί ένα καινούριο vulnerability-based intrusion detection και prevention σύστημα το οποίο εφαρμόζει διαδικασίες ελέγχου low-level protocol inspection έτσι ώστε να είναι σε θέση να αναγνωρίσει και να απαγορεύσει επιθέσεις οι οποίες σχετίζονται με αυτά τα vulnerabilities. Τα Signatures αναπτύσσονται από το Microsoft Malware Protection Center (MMPC) και κυκλοφορούν ταυτόχρονα μαζί μετα security updates ή σε άμεση απάντηση σε zero-day vulnerabilities. Όταν το NIS ενεργοποιηθεί προλαμβάνει αυτά τα vulnerabilities από το να αξιοποιηθούν από απόσταση (exploited
    remotely) και  μειώνει δραματικά το παράθυρο έκθεσης μέχρι να κυκλοφορήσει το αντίστοιχο Patch διόρθωσης.

    Για να ενεργοποιήσουμε το NIS, κάνουμε highlight στο Intrusion Prevention System node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure Properties στο Tasks pane, όπου εκεί επιλέγουμε το Enable NIS.


    Εικόνα 3

    Το NIS επιθεωρεί την κυκλοφορία στο δίκτυο (network traffic) και μπορεί να προσδιορίσει πότε ένα πρωτόκολλο που δεν είναι σύμφωνο με τα πρότυπα. Αυτά τα protocol anomalies μπορούν είτε να επιτρέπονται είτε να απαγορεύονται. Επιπροσθέτως το NIS μπορεί να παραμετροποιηθεί έτσι ώστε να μην ελέγχει επιλεγμένες ιστοσελίδες - (exempt specific
    trusted sites from inspection) - εφ'οσον αυτό απαιτείται.

    HTTPS Inspection
    Το HTTPS communication αποτελεί μια ειδικού χαρακτήρα πρόκληση για αρκετά firewalls. Συχνά αναφέρεται και ως “universal
    firewall bypass protocol”, το HTTPS κρυπτογραφεί application layer data με αποτέλεσμα ακόμη και τα πιο προηγμένα application layer firewalls να μην μπορούν να κάνουν έλεγχο στις επικοινωνίες αυτής της μορφής. Για αρκετα χρόνια οι virus και malware authors
    χρησιμοποιούσαν το HTTPS ως μέθοδο για την αποστολή malicious ή infected payloads διαμέσου των
    secure web gateways χωρίς να γίνονται αντιληπτοί. Κακόβουλοι χρήστες έχουν χρησιμοποιήσει το HTTPS ως κανάλι για να παρακάμψουν τον έλεγχο της πρόσβασης από το proxy
    avoidance software.

    Το HTTPS inspection κλείνει οριστικά αυτό το loophole. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall αντιγράφει το originally requested SSL certificate και παρέχει στο χρήστη ένα αντίγραφο. Ο TMG firewall μπορεί τώρα να κάνει τερματισμό στο SSL
    session στο επίπεδο του Internal network interface να προχωρήσει σε αποκωδικοποίηση και έλεγχο όλου του outbound HTTPS communication. Με το HTTPS inspection ενεργοποιημένο, ο TMG firewall έχει πρόσβαση στο αποκωδικοποιημένο application layer data γεγονός το οποίο έχει αρκετά θαρικά χαρακτηριστικά. Ο TMG firewall έχει τώρα δυνατότητα πρόσβασης στο full request
    path, και όχι μόνον στην ΙP address του συγκεκριμένου site. Με αυτήν την επιπρόσθετη πληροφορία μπορεί νε εφαρμόσει με περισσότερη ακρίβεια το URL filtering. Επίσης ο TMG
    firewall μπορεί τώρα να εφαρμόσει μια HTTP policy βάση της οποίας γίνεται έλεγχος στο περιεχόμενο των viruses και του κακόβουλου λογισμικού.

    Για να ενεργοποιήσουμε το HTTPS inspection, κάνουμε highlight στο Web Access Policy node στο navigation tree και εν συνεχεία κάνουμε κλικ στο Configure HTTPS Inspection στο Tasks pane. Εκεί επιλέγουμε το Enable HTTPS Inspection καθώς επίσης και το Inspect traffic and validate site certificates.


    Εικόνα 4

    Το HTTPS inspection απαιτεί ένα server certificate να είναι εγκατεστημένο και παραμετροποιημένο στον TMG firewall. Μπορούμε να δημιουργήσουμε ένα self-signed certificate επιλέγοντας το Use Forefront TMG to generate a certificate και αμέσως μετά κάνουμε κλικ στο Generate… button. Εναλλακτικά μπορούμε να εισάγουμε ένα certificate από ένα υπάρχον εσωτερικό PKI επιλέγοντας το Import a certificate και κάνοντας κλικ αμέσως μετά στο Import… button.

    Από την στιγμή κατά την οποία θα ενεργοποιηθεί, ο TMG administrator μπορεί να εξαιρεί ορισμένες αιτήσεις, καθορίζοντας specifying source και destination exceptions. Σε συνδυασμό δε με το URL
    filtering, τα destination exceptions μπορούν να είναι URL categories ή URL category
    sets (π.χ. Financial or Health). Επιπροσθέτως Certificate validation options και
    client notification μπορούν επίσης να καθοριστούν.

    Συμπέρασμα
    Όταν εγκατασταθεί ως secure web gateway, ο Forefront
    Threat Management Gateway (TMG) 2010 firewall αποτελεί ένα multi-layered
    perimeter defense σύστημα το οποίο παρέχει ένα υψηλό επίπεδο προστασίας στους clients. Το URL filtering διασφαλίζει ότι οι clients δεν μπορούν να συνδεθούν σε όλα τα γνωστά κακόβουλα sites.Το ενσωματωμένο virus και malicious software scanning
    προλαμβάνει τους χρήστες από το να κατεβάσουν infected αρχεία, και το Network
    Inspection System προλαμβάνει επιθέσιες σε software vulnerabilities οποιουδήποτε Microsoft operating system ή application. Το HTTPS inspection
    αντίστοιχα βελτιώνει θεαματικά όλους τους παραπάνω μηχανισμούς προστασίας εφαρμόζοντας έλεγχο σε όλο το outbound encrypted communication. Ολοκληρώνοντας μιας και όλοι αυτοί οι προηγμένοι μηχανισμοί προστασίας εφαρμόζονται στο gateway και παρέχουν προστασία όχι μόνον στους managed clients, αλλά και στους στους non-managed clients επίσης.
    Ελπίζω ότι το συγκεκριμένο άρθρο θα το βείτε ιδιαίτερα χρήσιμο. 
  4. Jordan_Tsafaridis
    Όπως είναι γνωστό το Exchange 2010 SP1 είναι διαθέσιμο εδώ και ημέρες για το κοινό και μπορούμε να το κατεβάσουμε σε αυτό από εδώ.
     
     
     
    Υποθέτωντας ότι έχουμε ήδη εγκαταστήσει ή πρόκειται να εγκαταστήσουμε σε έναν server ο οποίος έχει ενεργούς όλους τους ρόλους του Exchange, τότε τα παρακάτω hot fixes είναι απαραίτητα πριν από την εγκατάσταση του Exchange 2010 Service Pack 1 σε λειτουργικό περιβάλλον Microsoft Windows Server R2:
     
     
    Απαραίτητες Αναβαθμίσεις για τον Windows Server 2008 R2:
     
     
     
    KB 977020 - .NET Framework 2.0 hotfix
     
    KB 979099 - AD RMS hotfix
     
    KB 979744 - .NET Framework 2.0 hotfix
     
    KB 979917 - ASP.NET 2.0 hotfix
     
    KB 2282949 - UCMA hotfix - August 2010 - 3.5.6907.210
     
    KB 982867 - .NET Framework 3.5 SP1 hotfix
     
    KB 983440 - ASP.NET 2.0 hotfix rollup
     
    Office 2010 Filter Pack
     
     
     
    Βεβαίως είναι πολλοί αυτοί οι οι οποίοι θα αναρωτηθούν γιατί αναφέρομαι σε αυτές τις αναβαθμίσεις. Ο λόγος είναι πολύ απλά ότι οι αναβαθμίσεις αυτές δεν αναπτύσσονται από το Exchange
    team, και συνεπώς δεν συμπεριλαμβάνται στα download binaries του Exchange 2010 Service Pack 1.
     
  5. Jordan_Tsafaridis
    Εισαγωγή
    Ο ISA Firewall ήταν διαθέσιμος στην αγορά πληροφορικής για ένα αρκετά μεγάλο χρονικό διάστημα. Αρκετοί ISA Firewall Administrators, τον χρησιμοποίησαν σε πλήρη παραγωγική χρήση ήδη από την beta phase του
    ISA 2000, όταν ήταν γνωστός με την κωδική ονομασία “Comet” πίσω στο έτος 2000. Για τα επόμενα δέκα έτη, χιλιάδες ISA firewall admins υιοθέτησαν και εργάστηκαν με τον ISA firewall και προχώρησαν στην επόμενη έκδοσή του. Μετά τον ISA 2000 παρουσιάστηκε ο ISA 2004 και δύο χρόνια αργότερα παρουσιάστηκε ο ISA 2006. Ο ISA 2004 αποτέλεσε μια ριζική ανανέωση σε σχέση με τον ISA 2000 firewall, γεγονός το οποίο καθιέρωσε τον ISA 2004 στην αγορά πληροφορικής αντάξιο όλων των enterprise network firewalls. Ο ISA 2006 αποτέλεσε θα μπορούσε να πει κανείς μια “R2” release, περιλαμβάνοντας κυρίως βελτιώσεις των web proxy components του firewall.

    Το 2010, η καινούρια έκδοση του ISA Firewall όχι μόνον περιλάμβανε σημαντικά - επαναστατικά νέα χαρακτηριστικά και δυνατότητες, αλλά συνάμα και την μετονομασία του πλέον σε TMG – the Threat Management Gateway 2010. Σύμφωνα δε την Microsoft όπως προκύπτει από τα στοιχεία πωλήσεων του συγκεκριμένου προϊόντος, εξαιρετικό ενδιαφέρον έχει το γεγονός ότι μετά την έναρξη κυκλοφορίας του TMG firewall, υπάρχουν πολλοί νέοι TMG firewall admins οι οποίοι στο παρελθόν ουδέποτε είχαν χρησιμοποιήσει τον ISA firewall. Οι περισσότεροι από αυτούς τους admins απαξιώνουν τα παλαιά
    “hardware” firewalls διότι πολύ απλά το κόστος συντήρησής του είναι εξαιρετικά υψηλό με αποτέλεσμα να μην λειτουργεί προς όφελος της επιχείρησης ιδιαίτερα δε σε συνθήκες οικονομικής κρίσης. Ακόμη περισσότερο ενδιαφέρον παρουσιάζει επίσης το γεγονός της μετακίνησης στον TMG Firewall, διότι λόγω της συσσωρευμένης εμπειρίας ετών την οποία έχουν αποκτήσει οι Firewall Admins σε σχέση με το παρελθόν, διαπιστώνουν ότι τα επονομαζόμενα hardware firewalls σε πολλές περιπτώσεις, είναι υποδεέστερα σε ασφάλεια σε σύγκριση με τον TMG firewall. Αυτό αποτελεί μια σημαντική εξέλιξη, η οποία υποδειλώνει την αλλαγή στη νοοτροπία της Microsoft, ενώ ταυτόχρονα είναι μια απόδειξη για την αποτελεσματικότητα του Microsoft’s
    Security Development Lifecycle, στοιχείο το οποίο άλλαξε εντελώς τον τρόπο με τον οποίο η Microsoft δημιούργησε το λογισμικό επικεντρώνοντας στην ασφάλεια σε κάθε φάση της ανάπτυξης
    του λογισμικού.

    Αν και υπάρχει σημαντικός όγκος αρθρογραφίας στο διαδίκτυο σχετικά με τον ISA, TMG Firewall, όπου παρουσιάζονται διεξοδικά περίπλοκες εγκατστάσεις, παρόλα αυτά γι' συτόν που ασχολείται συστηματικά με το συγκεκριμένο λογισμικό υπάρχει απαίτηση για αναλυτική παρουσίαση των βασικών χαρακτηριστικών από administrators οι οποίοι θέλουν να χρησιμοποιήσουν τον TMG Firewall.
     

    Είναι χαρακτηριστικό να αναφέρουμε ότι υπάρχει πρόβλημα όσον αφορά την αρθρογραφία σχετικά με το outbound access. Πάρα πολλοί νέοι TMG firewall admins έχουν εστιάσει την προσοχή τους στο
    inbound access control (π.χ., control access του Exchange και του
    SharePoint). Τώρα όμως θέλουν να αποκτήσουν τεχνογνωσία όσον αφορά το control access των outbound connections. Αυτό θα είναι και το θέμα του συγκεκριμένου άρθρου πάνω στα Access
    Rules.

    Κατανοώντας τα Access Rules

    Τα Access Rules χρησιμοποιούνται για τον έλεγχο του control outbound access σε ένα δίκτυο το οποίο προστατεύεται από τον TMG
    firewall. Όταν θέλουμε να επιτρέψουμε σε έναν Η/Υ πίσω από τον TMG firewall να έχει πρόσβαση σε ένα άλλο δίκτυο (συμπεριλαμβανομένου και του Internet), τότε είναι απαραίτητο να δημιουργήσουμε ένα Access Rule έτσι ώστε να επιτραπείο αυτή η σύνδεση. Εξ ορισμού, δεν υπάρχει κανένας
    Access Rules τα οποία επιτρέπουν συνδέσεις διαμέσου του firewall. Αυτή η εξ ορισμού κλειστή κατάσταση αποτελεί την βέλτιστη από πλευράς ασφάλειας ρύθμιση (configuration), αλλά ταυτόχρονα σημαίνει ότι εφόσον θέλουμε να επιτρέψουμε κίνηση (traffic) διαμέσου του TMG firewall, θα πρέπει να κατανοήσουμε πλήρως πως δουλεύουν τα Access
    Rules και πως τα δημιουργούμε.

    Δημιουργώντας έναν Outbound Access Rule
    Για να ξεκινήσουμε, θα δημιουργήσουμε έναν απλό outbound access rule, ο οποίος επιτρέπει σε όλους τους χρήστες να έχουν outbound access στο Internet χρησιμοποιώντας όλα τα πρωτόκολα επικοινωνίας. Στο επόμενο άρθρο θα παρουσιάσουμε με λεπτομέρεια τα
    Access Rules και θα παρουσιάσουμε ποιες είναι οι εξαρτήσεις (dependencies) των Access Rules και τον τρόπο με τον οποίο μπορούμε να τις διαχειριστούμε.

    Ας ξεκινήσουμε εκιννώντας την TMG firewall console. Εν συνεχεία κάνουμε κλικ στο Firewall Policy node στην αριστερή πλευρά της console, όπως παρουσιάζεται στην παρακάτω εικόνα 1.


    Εικόνα 1

    Αφού κάνουμε κλικ στο Firewall Policy, κάνουμε κλικ στο Tasks
    Tab στο δεξιό μέρος της console. Εδώ υπάρχει μια σειρά επιλογών (options), οι περισσότερες των οποίων σχετίζονται με την δημιουργία διαφόρων firewall rules. Στο συγκεκριμένο παράδειγμα, θέλουμε να δημιουργήσουμε ένα Access Rule το οποίο θα επιτρέπει το outbound
    access διαμέσου του TMG firewall. Για τον λόγο αυτό κάνουμε κλικ στο Create Access Rule link για να ξεκινήσει το Access Rule wizard, όπως αυτό παρουσιάζεται στην εικόνα 2 παρακάτω.


    Εικόνα 2

    Στην σελίδα Welcome to the New Access Rule Wizard, εισάγουμε ένα χαρακτηριστικό όνομα στο Access Rule name
    text box. Μιλώντας γενικά, θα πρέπει να χρησιμοποιούμε ένα σύστημα βάση του οποίου όλα τα Access Rules θα έχουν ονόματα τα οποία θα υποδηλώνουν τι κάνουν, έτσι ανά πάσα στιγμή να είμαστε σε θέση να γνωρίζουμε σε μια firewall policy ποιος είναι ο σκοπός του κάθε κανόνα. Σε αυτό το παράδειγμα, θα ονοματήσουμε τον κανόνα ως All Open 1.
    Σαφέστατα σε ένα παραγωγικό περιβάλλον, δεν θα θέλαμε να δημιουργήσουμε έναν κανόνα της μορφής αυτής διότι πολύ απλά ο κανόνας αυτός θα επιτρέψει σε όλους ανεξαιρέτως τους χρήστες και τους υπολογιστές να έχουν outbound
    access στο internet και είναι πολύ πιθανόν να μην αυτό το οποίο επιθυμούμε για ένα παραγωγικό περιβάλλον.


    Εικόνα 3

    Στην σελίδα Rule Action, μας παρέχεται η δυνατότητα ορίσουμε τον κανόνα ως Allow ή Deny
    rule. Σημειώστε ότι εξ ορισμού δημιουργούμε έναν Deny rule, στοιχείο το οποίο αποτελεί καλή ιδέα κάτω από το πρίσμα της ασφάλειας. Συνεπώς θα αλλάξουμε την κατάσταση από Deny σε Allow πριν κάνουμε κλικ στο Next έτσι ώστε να γίνει ο κανόνας μας ένας Allow rule.


    Εικόνα 4

    Στην σελίδα των Protocols, επιλέγουμε τα πρωτόκολα στα οποία ο κανόνας αυτός πόκειται να εφαρμοστεί. Στο This rule applies to drop down box, έχουμε τις παρακάτω τρεις επιλογές :

    All outbound traffic - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε ο κανόνας μας να έχει εφαρμογή σε όλα τα πρωτόκολα.
    Selected protocols - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε να επιλέξουμε συγκεκριμένα πρωτόκολα, στα οποία πρόκειται να εφαρμοστεί ο κανόνας μας. All outbound traffic except selected - Χρησιμοποιούμε αυτήν την επιλογή εφόσον θέλουμε επιτρέπουμε ή να μην επιτρέπουμε (to allow or deny) όλα τα πρωτόκολα εκτός από ένα υποσύνολο αυτών τα οποία επιλέγουμε στην συγκεκριμένη σελίδα.

    Εικόνα 5

    Εάν επιλέξουμε την δεύτερη ή την τρίτη επιλογή, τότε κάνουμε κλικ στο Add button για να επιλέξουμε τα πρωτόκολα στα οποία θέλουμε ο κανόνας αυτός να έχει εφαρμογή. Αφού κάνουμε κλικ στο Add button, θα μας έρθει στο προσκήνιο το πλαίσο διαλόγου Add Protocols. Όταν κάνουμε κλικ σε έναν φάκελο σε αυτό το πλαίσιο διαλόγου, ο φάκελος ανοίγει παρουσιάζοντας μια λίστα των πρωτοκόλων. Η ομάδα ανάπτυξης του TMG firewall για να διευκολύνει το έργο μας διαχώρισε τα πρωτόκολα σε νοηματικές ομάδες (meaningful groups) έτσι ώστε να είναι ευκολότερο για εμάς να βρίσκουμε το-α συγκεκριμένο-α πρωτόκολο-α που μας ενδιαφέρει. Κάνουμε διπλό κλικ στα πρωτόκολα στα οποία θέλουμε να επιτρέψουμε την πρόσβαση και αυτά θα εμφανιστούν στην σελίδα Protocols στο Protocols list.


    Εικόνα 6

    Υπάρχει μια ακόμη επιλογή στην οποία έχουμε πρόσβαση στην σελίδα αυτή, και εμφανίζεται εάν κάνουμε κλικ στο Source Ports button. Αυτό εμφανίζει στο προσκήνιο το Source Ports dialog box. Εδώ μας δίνεται η δυνατότητα ελέγχου των επιτρεπόμενων source ports οι οποίες αναφέρονται στις συνδέσεις του συγκεκριμένου κανόνα. Εξ ορισμού είναι επιλεγμένο το Allow traffic from any allowed source port , αλλά εάν θέλουμε να κάνουμε κλείδωμα (lock down) στα source ports, μπορούμε να επιλέξουμε το Limit access to traffic from this range of source ports και εν συνεχεία εισάγουμε τιμές (values) στα From και To text boxes για να υποδηλώσουμε αυτά τα source ports.


    Εικόνα 7

    Στην συγκεκριμένη χρονική στιγμη δεν θα επιλέξουμε καμία ειδικά specific source ports.  Θα επιλέξουμε την επιλογή All outbound traffic και εν συνεχεία κάνουμε κλικ στο Next.

    Η επόμενη σελίδα είναι η σελίδα Access Rule Sources. Εδώ μπορούμε να επιλέξουμε την τοποθεσία (location) στην οποία βρίσκονται οι υπολογιστές πίσω από τον TMG firewall στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Κάνουμε κλικ στο Add button και εν συνεχελια θα εμφανιστεί το Add Network Entities
    dialog box. Κάνουμε κλικ στον φάκελο ο οποίος περιέχει  το network element το οποίο υποδηλώνει την πηγαία τοποθεσία (source location) των υπολογιστών στους οποίους θέλουμε αυτός ο κανόνας να εφαρμοστεί. Στο παράδειγμα αυτό, θα ρυθμίσουμε τον κανόνα αυτό να έχει εφαρμογή σε όλους τους υπολογιστές οι οποίοι βρίσκονται στο εσωτερικό δίκτυο (Internal Network), κάνοντας κλικ στο φάκελο
    Networks και εν συνεχεία κάνουμε διπλό κλικ στο Internal Network.


    Εικόνα 8

    Αφού επιλέξουμε το source Network ως το εξ ορισμού Internal Network κάνοντας κλικ στο Next, θα εμφανιστεί η επόμενη σελίδα, η οποία είναι η Access Rule Destinations. Εδώ καθορίζουμε τον-ους προορισμό-ούς (destinations) στους οποίους θέλουμε οι υπολογιστές από την πηγαία τοποθεσία (source location), τους οποίους είχαμε επιλέξει προηγουμένως να έχουν πρόσβαση διαμέσου του συγκεκριμένου κανόνα. Η σελίδα Access Rule Destinations λειτουργεί όπως και η προηγούμενη σελίδα, όπου κάνουμε κλικ στο Add button και εν συνεχεία στο εμφανιζόμενο Add Network Entities
    dialog box, κάνουμε κλικ στον φάκελο και αμέσως μετά διπλό κλικ στο στοιχείο του δικτύου (network
    element) για το οποίο θέλουμε να επιτρέψουμε την πρόσβαση χρησιμοποιώντας αυτόν τον κανόνα. Στο παράδειγμά μας θα επιλέξουμε το εξ ορισμού επιλεγμένο External network.


    Εικόνα 9

    Η επόμενη σελίδα του wizard είναι η σελίδα User Sets. Σε αυτήν την σελίδα καθορίζουμε τους χρήστες στους οποίους πρόκειται να εφαρμόσουμε αυτόν τον κανόνα. Εξ ορισμού τα Access Rules εφαρμόζονται σε όλους τους χρήστες. Τώρα ο ορισμός “all users” μπορεί να μην αντιστοιχεί σε αυτό το οποίο επιθυμούμε, σε σχέση με αυτό το οποίο καθορίζει ο TMG firewall ως όλοι οι χρήστες (all users). Το λογικό είναι ότι αναφερόμαστε με τον όρο “all users”, ο οποίος θα εφαρμοστεί σε όλους τους λογαριασμούς των χρηστών στον οργανισμό / επιχείριση στον οποίο εργαζόμαστε. Δυστυχώς είναι ΛΑΘΟΣ!!! Ο όρος “All users”
    όσον αφορά τον TMG firewall’s αναφέρεται στους ανώνυμους χρήστες (anonymous users) – με άλλα λόγια είναι μη εξουσιοδοτημένοι χρήστες, και επακριβώς αναφερόμαστε στα unauthenticated connections. Εάν κάνουμε κλικ στο Add button, μπορούμε να επιλέξουμε διαφορετικούς χρήστες, όπως οι All Authenticated Users ή το System and Network Service.
    Μπορούμε επίσης να δημιουργήσουμε custom user sets βασισμένα σε λογαριασμούς Active Directory ή
    RADIUS αντίστοιχα. Θα αναφερθούμε σε αυτό στο επόμενο άρθρο. Στο παράδειγμα αυτό θα επιλέξουμε την επιλογή All Users και εν συνεχεία κάνουμε κλικ στο Next για να συνεχίσουμε στην επόμενη σελίδα.


    Εικόνα 10

    Η τελευταία σελίδα του wizard είναι η σελίδα Completing the New Access Rule Wizard. Εδώ κάνουμε επισκόπηση των ρυθμίσεών μας και κάνουμε κλικ στο Finish.


    Εικόνα 11

    Αμέσως μετά την δημιουργία του κανόνα, αυτός δεν εφαρμόζεται παρά μόνον αφότου κάνουμε κλικ στο Apply button στην κορυφή του μεσαίου pane της TMG firewall console. Έτσι θα κάνουμε κλικ αμέσως στο Apply button.


    Εικόνα 12

    Επιπρόσθετες Επιλογές

    Αφότου κάνουμε κλικ στο Apply, τότε ενφανίζεται το Configuration Change Description
    dialog box. Στο σημείο μας παρέχεται η δυνατότητα προσθήκης περιγραφής της αλλαγής η οποία έλαβε χώρα όσον αφορά το firewall policy με συνέπεια αυτή να εμφανιστεί στο change log. το
    change log είναι εξαιρετικά χρήσιμο ιδαιτέρως όταν πρόκειται να ανατρέξουμε σε παλαιότερες ενέργειες οι οποίες πραγματοποιήθηκαν από κάποιον άλλον administrator και άλλαξαν το firewall policy με αποτέλεσμα το σύστημα να μην λειτουργεί όπως θα θέλαμε.

    Σημεώστε επίσης ότι έχουμε την επιλογή του back up του firewall policy κάνοντας κλικ στο Export
    button σε αυτό το σημείο. Αυτή η διαδικασία μας επιτρέπει να έχουμε πάντοτε διαθέσιμο ένα αντίγραφο ασφαλείας των ρυθμίσεων (backup of the
    configuration), έτσι ώστε να μπορούμε εύκολα να επιστρέψουμε πίσω στο σημείο που ήταν το σύστημα πριν από τις αλλαγές. Επιπροσθέτως έχουμε την επιλογή να μην εμφανιστεί το prompt ξανά στο μέλλον, κάτι το οποίο δεν το συνιστώ, διότι πολύ απλά θα διαπιστώσετε την χρησιμότητα αυτού του dialog box συνεχώς στο μέλον. Έτσι λοιπό κάνουμε κλικ στο Apply.


    Εικόνα 13

    Το Saving Configuration Changes dialog box εμφανίζεται αμέσως και μας κοινοποιεί ότι τα firewall policy settings αποθηκεύτηκαν στο configuration
    storage. Σημειώστε εδώ ότι την παρατήρηση που εμφανίζεται και λέει ότι Existing client connections will be
    reevaluated according to the new configuration. Client connections not
    matching the newly enforced policy will be dropped. Αυτό αποτελεί ένα καινούριο χαρακτηριστικό του TMG firewall. Με το ISA firewall, κάθε καινούρια firewall policy εφαρμόζεταισε νέες συνδέσεις και σε ήδη υπάρχουσες. Αυτό το στοιχείο από μόνο του αποτελεί σημαντική βελτίωση και αποτελεί από μόνο του λόγο για τον οποίο θα πρέπει να προχωρήσουμε στην αναβάθμιση από τον ISA firewall στον TMG firewall.


    Εικόνα 14

    Ο καινούριος κανόνας πλέον εμφανίζεται στο firewall policy list, όπως αυτό παρουσιάζεται στην παρακάτω εικόνα. Η θέση του στην λίστα εξαρτάται από το σημείο στο οποίο κάναμε κλικ όταν ξεκινησαμε τον wizard. Παρόλα αυτά, όπως θα σας παρουσιάσω στο επόμενο άρθρο μπορούμε να μετακινησουμε έναν κανονα πάνω ή κάτω στην λίστα αλλάζοντάς του την θέση του.


    Εικόνα 15

    Συμπέρασμα
    Ολοκληρώνοντας, σε αυτό το άρθρο σκοπός μου ήταν η παρουσιάση των βασικών χαρακτηριστικών των Access Rules για έναν νέο firewall admin. Οι Access Rules χρησιμοποιούνται για να ελέγχουν το traffic moving το οποίο εξέρχεται (outbound) από ένα προστατευμένο δίκτυο από τον TMG σε κάποιο άλλο δίκτυο. Εξ ορισμού δεν υπάρχουν Access Rules και κανένα traffic δεν διακινείται διαμέσου του TMG firewall. Ένας An Access Rule πρέπει να δημιουργηθεί για να επιτρέψει το outbound traffic. Οι Access Rules μας επιτρέπουν τον έλεγχο του traffic, βασιζόμενοι σε μια σειρά παραγόντων, όπως οι source location, destination location, οι χρήστες (users), και τα πρωτόκολα τα οποία χρησιμοποιούνται. Οπωσδήποτε υπάρχουν και άλλες επιλογές οι οποίες θα παρουσιαστούν στο επόμενο άρθρο.
  6. Jordan_Tsafaridis
    Στο δεύτερο μέρος της σειράς άρθρων τα οποία αφορούν τον DPM 2010, θα ασχοληθούμε με την την εγκατάσταση, ρύθμιση και χρήση του DPM 2010 για να υλοποιήσουμε backup και restore σε virtual machines και Hyper-V servers.
    Εισαγωγή

    Όπως αναφέρθηκα και στο εισαγωγικό κείμενο, ο σκοπός του συγκεκριμένου άρθρου είναι η ρύθμιση των αποθηκευτικών μέσων - configuring storage and settings - στον DPM 2010 έτσι ώστε να είναι δυνατόν πραγματοποιήσουμε backup και restore σε Hyper-V servers και virtual machines. Το συγκεκριμένο άρθρο προϋποθέτει ότι έχουμε ολοκληρώσει την εγκατάσταση του DPM 2010 όπως αυτή περιγράφεται λεπτομερειακά στο πρώτο άρθρο της σειράς.
    Τώρα αυτό το οποίο χρειαζόμαστε είναι να ρυθμίσουμε τον DPM 2010 σε σχέση με τα διαθέσιμα αποθηκευτικά μέσα και εν συνεχεία να διαμορφώσουμε τις ρυθμίσεις του έστι ώστε να μπορούμε να κάνουμε backup και restore των Hyper-V servers οι οποίοι είναι εγκατεστημένοι στο περιβάλλον εργασίας μας.

    Απαιτήσεις σε αποθηκευτικά μέσα (Storage Requirements)


    Ο DPM απαιτεί τα αποθηκευτικά μέσα (storage) να είναι τοπικά συνεδεμένα (locally attached),  πριν αυτά χρησιμοποιηθούν από τον DPM σαν backup storage. Ο DPM μπορεί να χρησιμοποιήσει direct-attached storage
    (DAS), ή storage area network (SAN) devices, τα οποία συνδέονται με το υπολογιστικό σύστημα στο οποίο είναι εγκατεστημένος ο DPM διαμέσου
    iSCSI ή fibre channel connections. Ο DPM δεν μπορεί να χρησιμοποιήσει κάποιο storage το οποίο έχει αναγνωριστεί ως removable media όπως USB, IEEE 1394 (Firewire), ή άλλα μέσα όπως μια compact flash. Αυτό γίνεται άμεσα αντιληπτό διότι αποθηκευτικά μέσα αυτής της μορφής δεν βρίσκονται πάντοτε συνδεδεμένα στο υπολογιστικό σύστημα, όταν αυτό τα χρειάζεται, αλλά κυρίως γιατί δεν υποστηρίζουν το VSS.
    Οποιαδήποτε volumes τα οποία έχουν ρυθμιστεί ως DPM storage πρέπει να είναι dedicated στον
    DPM, χωρίς να χρειάζεται η συνολική χωρητικότητα του αποθηκευτικού μέσου να είναι σεσμευμένη (allocated) για χρήση από τον DPM.

    Storage Pools


    Ένα Storage pool αποτελείται από έναν ή περισσότερους δίσκους ρυθμισμένους σε μια ομάδα (set) τους οποίους ο DPM χρησιμοποιεί για να αποθηκεύσει replicas και recovery points. Πριν από την πραγματοποίηση του πρώτου backup με τον DPM, ένα storage pool πρέπει να δημιουργηθεί, στο οποίο προστίθενται ένας ή περισσότεροι δίσκοι. Μία replica είναι ένα πλήρες αντίγραφο (copy) του protected
    data source το οποίο βρίσκεται αποθηκευμένο (residing) στον DPM server. Μία replica δημιουργείται για κάθε
    protected data source το οποίο έχει οριστεί μέσα σε ένα protection group. Η δυνατότητα μετεγκατάστασης (Co-location) επιτρέπει πολλαπλές replicas από διαφορετικά protected data sources τα οποία είναι αποθηκευμένα (residing) στο ίδιο volume. Ένα protection group αποτελεί μια συλλογή από protected data
    sources τα οποία μοιράζονται μια κοινή ρύθμιση και ένα χρονοδιάγραμμα (common configuration and schedule) για την προστασία των δεδομένων.

    Όταν προσθέτουμε έναν δίσκο σε ένα storage pool, αυτός ο δίσκος δεν πρέπει να έχει κανένα
    partition. Ο DPM αναλαμβάνει πλήρως την διαχείριση του δίσκου,
    εμπεριέχοντας το format του δίσκου, διαγράφοντας τα οποιαδήποτε δεδομένα βρίσκονταν αποθηκευμένα σε αυτόν πριν αυτός προστεθεί στο συγκεκριμένο storage pool. Επίσης δεν είναι δυνατόν να χρησιμοποιήσουμε έναν system disk στον DPM server ως storage pool storage.

    Προσθέτοντας δίσκους στο Storage Pool


    Όπως τόνισα και προηγουμένως, οι όποιοι δίσκοι πρόκειται να χρησιμοποιηθούν από τον DPM ως storage των replicas και των recovery points, δεν πρέπει να χρησιμοποιούνται από τον DPM server.

    Χρησιμοποιήστε την παρακάτω διαδικασία για να επαληθεύσεται ότι οι δίσκοι έχουν ρυθμιστεί σωστά για να μπορούν να προστεθούν στο DPM storage pool.

    Προσθέστε έναν physical disk, iSCSI LUN ή SAN LUN στον DPM server
    Aνοίγουμε το Disk Management MMC (diskmgmt.msc)

    Figure
    1

    Βρίσκουμε τον δίσκο τον οποίο θέλουμε να προσθέσουμε στο Storage Pool μέσα από την λίστα των δίσκων ο οποίος είναι συνήθως στο τέλος της οθόνης (bottom of the screen). Ο δίσκος θα πρέπει να παρουσιάζεται ως offline.

    Figure
    2

    Κάνουμε δεξί κλικ στο disk button για τον συγκεκριμένο δίσκο και επιλέγουμε Online. Η διαδικασία αυτή μετατρέπει τον δίσκο σε κατάσταση online στον server σε μορφή raw disk, χωρίς να ειναι εγκαινιασμένος (not initialized) και χωρίς να έχουν καθοριστεί partitions.

    Figure
    3

    Σε αυτό το σημείο έχουμε έναν δίσκο ο οποίος είναι έτοιμος να προστεθεί στο συγκεκριμένο storage
    pool.


    Figure
    4

    Χρησιμοποιούμε την παρακάτω διαδικασία για να προσθέσουμε τον δίσκο στο DPM 2010 storage
    pool:

    Ανοίγουμε το DPM 2010 administrative console

    Figure
    5

    Κάνουμε κλικ στο Management button

    Figure
    6

    Εν συνεχεία κάνουμε κλικ στο Disks Tab

    Figure
    7

    Κάνουμε κλικ στο add option στο δεξιό (right) menu για να προσθέσουμε δίσκους στο storage pool.


    Figure
    8

    Θα παρατηρήσετε ότι ο δίσκος τον οποίο κάνατε online εμφανίζεται στην Available Disks list στα αριστερά της οθόνης. Κάνουμε κλικ στον δίσκο και τον επιλέγουμε, και αμέσως μετά κάνουμε κλικ στο Add για να προσθέσουμε τον δίσκο στην επιλεγμένη λίστα.


    Figure
    9

    Κάνουμε κλικ στο OK για να προσθέσουμε τον δίσκο στο storage pool

    Figure
    10

    Μας παρέχεται η δυνατότητα να προσθέσουμε πολλαπλούς δίσκους στο storage pool κατά την αρχική ρύθμιση (initial
    configuration), ή να προσθέσουμε δίσκους αργότερα ακολουθώντας την ίδια διαδικασία.

    Custom Volumes


    Δεδομένου του ότι το DPM storage pool αποτελεί την ενδεδειγμένη λύση για τις περισσότερες εφαρμογές, εντούτοις μερικές φορές θέλουμε να έχουμε καλύτερο έλεγχο όσον αφορά το storage το οποίο χρησιμοποιείται για ένα συγκεκριμένο protection
    group ή γιατί θέλουμε να ορίσουμε multiple tiers of storage για λόγους απόδοσης (performance
    requirements). Το Storage pool δεν έχει την δυνατότητα να δημιουργήσει multiple tiers of storage, αλλά υπάρχει ένας τρόπος να δημιουργήσουμε ένα custom volume το οποίο θα μπορεί να χρησιμοποιηθεί για replica ή ως recovery point storage.

    Ένα custom volume είναι ένα volume το οποίο δεν έχει γίνει assigned στο storage
    pool, αλλά παρόλα αυτά είναι διαθέσιμο στον DPM server.  Ένας δίσκος ή ένα LUN μπορούν να διασπαστούν σε πολλαπλά volumes. Κάθε ένα από αυτά τα volumes μπορεί να χρησιμοποιηθεί ως custom
    volume.

    Για να μπορέσουμε να χρησιμοποιήσουμε τα custom volumes θα πρέπει για ένα protection group data
    source, να προσθέσουμε δύο volumes στον DPM server. Το ένα volume θα χρησιμοποιηθεί για την αποθήκευση των replicas και το άλλο volume θα χρησιμοποιηθεί για την αποθήκευση των recovery
    points. Επιπροσθέτως θα πρέπει να έχουμε δύο custom volumes για κάθε data
    source τα οποία θέλουμε να προστατεύσουμε και εμπεριέχονται μέσα σε ένα protection group.

    Για παράδειγμα, εάν έχουμε επιλέξει να προστατεύσουμε το C: volume του DPM
    server και το system state, θα χρειαστούμε δύο custom volumes για να προστεύσουμε το C: και δύο επιπλέον custom volumes για να προστεύσουμε το system
    state.  Σημειώστε ότι είναι δυνατόν να προστετεύσουμε ένα ή περισσότερα μέλη (members) μέσα σε ένα protection group κάνοντας χρήση custom volumes ενώ ταυτόχρονα αφήνουμε τα εναπομείναντα data
    sources να προστατεύονται χρησιμοποιώντας το storage pool.

    Για να δημιουργήσουμε ένα custom volume, διαδικασία την οποία μπορείται να εκλάβεται ως εργασία (assignment), ακολουθούμε τα παρακάτω βήματα :

    Προσθέτουμε δίσκους/LUNs στον DPM server ο οποίος χρησιμοποιείται για την δημιουργία custom volumes
    Μετρέπουμε τους Δίσκους/LUNs σε κατάσταση online
    Δημιουργούμε simple volumes σε κάθε disk/LUN. Έχουμε επίσης την δυαντότητα να δημιουργήσουμε ένα single volume ανά disk/LUN ή μπορούμε να δημιουργήσουμε multiple volumes.
    Όταν προχωρούμε στην διαδικασία του simple volume wizard, δεν πρέπει να κάνουμε assign drive letters στα volumes, αλλά μπορούμε να κάνουμε format σε αυτά.

    Επίσης θα πρέπει να βεβαιωθούμε ότι έχουμε κάνει assign διακριτά names στα volumes έτσι ώστε να γνωρίζουμε εκ των προτέρων γιατί εργασία πρόκειται να χρησιμοποιηθούν.
    Αριθμομηχανή αποθηκευτικών χώρων (Storage Calculator)


    Η σχεδίαση και η σωστή πρόβλεψη για τις απαιτήσεις σε αποθηκευτικά μέσα (storage requirements), είναι ένα εξαιρετικά σημαντικό βήμα για την υλοποίηση ενός περιβάλλοντος εργασίας DPM 2010 server. Συνεπώς όχι μόνον θα πρέπει να καθορίσουμε εξ αρχής το σωστό tier of storage το οποίο θα απαιτήσει το κάθε data source, αλλά ταυτόχρονα θα πρέπει να σχεδιάσουμε και να καταγράψουμε το μέγεθος του storage pool και κάθε ένα ξεχωριστά τα οποιαδήποτε custom volumes θα χρειαστούν.

    Η Microsoft έχει δημιουργήσει πριν από εμάς για εμάς ένα storage calculator tool το οποίο μπορεί να μας βοηθήσει έτσι ώστε να ελαχιστοποιήσουμε τον χρόνο εργασίας και το stress της διαδικασίας του storage planning.  Το storage calculator είναι διαθέσιμο από την Microsoft χρησιμοποιώντας αυτό το link.

    Το storage calculator είναι ένα Excel spreadsheet το οποίο μας επιτρέπει να εισάγουμε πληροφορίες για τον DPM server, τους Hyper-V hosts, και τις
    virtual machines τις οποίες θέλουμε να προστατεύσουμε. Τα αποτελέσματα του
    calculator αποτελούν ένα storage model το οποίο μπορεί να χρησιμοποιηθεί ως την βάση για τον σχεδιασμό ενός καινούριου περιβάλλοντος DPM 2010 server.

    Συμπέρασμα


    Σε αυτό το άρθρο επικεντρωθήκαμε στην ρύθμιση των αποθηκευτικών μέσων (storage) στον DPM 2010. Η διαδικασία περιλαμβάνει την πρόσθεση disks/LUNs στον DPM server έστι ώστε αυτοί να χρησιμοποιηθούν σε ένα storage
    pool ή ως custom volumes, την δημιουργία ενός storage pool, και τέλος την δημιουργία custom
    volumes. Στο επόμενο άρθρο της σειράς DPM 2010 θα ασχοληθούμε με την δημιουργία protection groups για το backup και recovery των Hyper-V R2 servers.
     
  7. Jordan_Tsafaridis
    Εισαγωγή

    Ο Forefront
    Threat Management Gateway (TMG) 2010, είναι διαθέσιμος εδώ και περίπου έξι μήνες από την Microsoft. Παρόλα αυτά στα πλαίσια της διαδικασίας εξέλιξης και βελτιστοποίησης του συγκεκριμένου προϊόντος η Microsoft, παρουσιάσε πριν από λίγες ώρες την τελική έκδοση του Service Pack 1 του TMG 2010. Εκτός από τις συνηθισμένες διορθώσεις bugs, το συγκεκριμένο update περιλαμβάνει νέα χαρακτηριστικά και βελτιωμένη λειτουργικότητα. Τα νέα αυτά χαρακτηριστικά περιλαμβάνουν βελτιώσεις στο URL filtering, enhanced reporting, και integration με το Windows
    BranchCache. Σε αυτό το άρθρο θα παρουσιάσουμε αναλυτικά τα καινούρια αυτά χαρακτηριστικά.
     

    Βελτιώσεις στο URL Filtering


    Μια σειρά βελτιώσεων αναπτύχθηκαν για το URL filtering στο TMG 2010 SP1.
    Ορισμένες από αυτές είναι οι παρακάτω :

    User override for blocked categories – Με την έκδοση TMG RTM, σε μια κατηγορία URL επιτρέπετε ή δεν επιτρέπετε η πρόσβαση, χωρίς να παρέχεται η δυνατότητα στον χρήστη να συνεχίσει με δική του απόφαση στην συγκεκριμένη ιστοσελίδα στην οποία ο TMG δεν επιτρέπει την πρόσβαση. Το καινούριο χαρακτηριστικό override επιτρέπει στους διαχειριστές του συστήματος (Administrator), να προειδοποιούν αποτελεσματικά τους χρήστες σχετικά με την πρόθεσή τους να επισκεφθούν ορισμένες ιστοσελίδες, παρέχοντάς τους την δυνατότητα να συνεχίσουν εφόσον το επιλέξουν βάση κανόνα ασφαλείας σε επίπεδο χρήστη.Ένα τέτοιο παράδειγμα η απαγόρευση πρόσβασης σε Online
    Communities category, έτσι ώστε να μην είναι δυνατή η χρήση ιστοσελίδων όπως το FaceBook και το Twitter,εμφανίζοντας στους χρήστες μια σελίδα 'soft' block, βάση της οποίας ενημερώνονται ότι μπορούν να συνεχίσουν την πλοήγηση στην συγκεκριμένη ιστοσελίδα, αλλά η πρόσβασή τους βρίσκεται υπό παρακολούθηση και καταγράφεται. (Monitoring & Logging)
     

    Για να ρυθμίσουμε το blocked category override, δημιουργούμε έναν access rule ο οποίος δεν επιτρέπει την πρόσβαση σε μια συγκεκριμένη κατηγορία ιστότοπων (URL Category) όπως συνηθίζεται σε αυτές τις περιπτώσεις. Πριν από την εφαρμογή του συγκεκριμένου κανόνα (applying
    the configuration), κάνουμε δεξί - κλικ στον συγκεκριμένο κανόνα και επιλέγουμε το Properties.


    Figure 1

    Εν συνεχεία επιλέγουμε το Action tab, και αμέσως μετά επιλέγουμε το option Allow
    user override. Επιπροσθέτως έχουμε την δυνατότητα εφόσον το επιθυμούμε να ορίσουμε και την χρονική διάρκεια κατά την οποία θα επιτέπεται το override.


    Figure 2

    Συνεπώς όταν ένας χρήστης προσπαθεί να έχει πρόσβαση σε μια συγκεκριμένη ιστοσελίδα, στην οποία η πρόσβαση δεν επιτρέπεται λόγω του υφιστάμενου access
    rule, ο κανόνας είναι έτσι ρυθμισμένος ώστε επιτρέπει στον χρήστη το override. Έτσι όταν εμφανίζεται στην οθόνη του χρήστη το block page αυτή περιλαμβάνει και την δυνατότητα του Override Access Restriction.


    Figure 3

    Εφόσον ο χρήστης επιλέξει το override του block της συγκεκριμένης ιστοσελίδας για να συνεχίσει την πλοήγηση σ'αυτήν,
    ο TMG πολύ απλά κάνει bypass στον κανόνα rule και συνεχίζει την επεξεργασία. Αυτή η διαδικασία είναι ζωτικής σημασίας, διότι απλά σημαίνει ότι ο χρήστης θα πρέπει να έχει πρόσβαση διαμέσου κάποιου άλλου κανόνα στην πολιτική ασφαλείας (Policy Rule Order) για να έχει εξασφαλισμένη την πρόσβαση στην ιστοσελίδα την οποία επιθυμεί να επισκεφτεί. Στην αντίθετη περίπτωση η πρόσβαση δεν επιτέπεται.

    Enterprise category override – Αυτό το νέο χαρακτηριστικό επιτρέπει τα category overrides να ρυθμίζονται σε enterprise level. Στο παρελθόν έαν είχαμε πολλαπλούς (multiple) arrays, τα category overrides έπρεπε να ρυθμιστούν σε κάθε array ξεχωριστά. (individually)

    Για να ρυθμίσουμε τα enterprise-level category overrides, επιλέγουμε το Enterprise
    node στο console tree.


    Figure 4

    Εν συνεχεία στο Tasks pane, κάνουμε κλικ στο Configure URL Category
    Overrides link.


    Figure 5

    Τα Category overrides τα οποία καθορίζονται σε αυτό το σημείο έχουν ισχύ για όλα τα arrays τα οποία είναι μέλη του Enterprise.


    Figure 6

    Request information available for block page redirects – Για οργανισμούς οι οποίοι επιλέγουν να μην χρησιμοποιήσουν τα native TMG block pages, αλλά αντ' αυτών να κάνουν redirect τα denied requests σε κάποιον άλλον web server (Για να έχουν το πλεονέκτημα του scripting το οποίο δεν είναι διαθέσιμο στο
    TMG block page), επιπρόσθετη πληροφορία είναι πλέον διαθέσιμη στο query
    string η οποία επιτρέπει στους administrators να παρουσιάσουν ενδελεχή πληροφόρηση (detailed information) στα δικά τους (custom) block pages. Το redirect query string μπορεί πλέον να περιλαμβάνει πληροφορία σχετική με το original request, όπως το αιτούμενο URL, το
    category name, το category ID, καθώς και το user override option.

    Για να ρυθμίσουμε το redirect σε κάποιον άλλο web server όταν ένα αίτημα γίνεται μη επιτρεπτό - μη αποδεκτό από το
    URL filtering, κάνουμε διπλό κλικ στον access rule, εν συνεχεία επιλέγουμε το Action
    tab, και τέλος κάνουμε κλικ στο Advanced… button.


    Figure 7

    Επιλέγουμε την option του Redirect web client to the following URL:.
    Καθορίζουμε το destination URL με βάση το ακόλουθο format:

    http://<server_name>/default.aspx?OrigUrl=[DESTINATIONURL]&Category=[urlCATEGORYNAME]&CategoryId=[urlCATEGORYID]&ArrayGUID=[OVERRIDEGUID]


    Figure 8

    Τα πεδία (fields) τα οποία περιλαμβάνονται στο query string καθορίζονται (mapped) όπως παρακάτω :

    [DESTINATIONURL] = URL του μη επιτρεπόμενου αιτήματος (denied request).

    [urlCATEGORYNAME] = Όνομα του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει.

    [urlCATEGORYID] = ID number του category του μη επιτρεπόμενου αιτήματος στο οποίο ανήκει.

    [OVERRIDEGUID] = Array GUID το οποίο χρησιμοποιείται για το blocked category
    override.

    Ενσωμάτωση (Integration) της υπηρεσίας Branch Cache


    Το TMG SP1 τώρα περιλαμβάνει και τηνυποστήριξη του integrated hosted-mode τουWindows
    BranchCache. Όταν ο TMG εγκαθίσταται σε λειτουργικό σύστημα Windows Server 2008 R2 Enterprise
    edition, τότε το BranchCache μπορεί να ρυθμιστεί και να διαχειρίζεται απευθείας από την TMG management console. Για να ρυθμίσουμε το BranchCache με τον TMG SP1, επιλέγουμε το Firewall Policy node στο console tree.


    Figure 9

    Στο Tasks pane, κάνουμε κλικ στο Configure BranchCache
    link.


    Figure 10

    Επιλέγουμε την option του Enable BranchCache (Hosted Cache Mode).


    Figure 11

    Εν συνεχεία επιλέγουμε το Authentication tab, και αμέσως μετά κάνουμε κλικ στο Select…
    buttonέτσι ώστε να επιλέξουμε το πιστοποιητικό (certificate) το οποίο θα παρουσιάσει ο TMG στους χρήστες (client
    computers) για ταυτοποίηση (authentication).


    Figure 12

    Επιπροσθέτως μας παρέχεται η δυνατότητα να επιλέξουμε το Storage tab και να καθορίσουμε μια εναλλακτική τοποθεσία (alternate location) για να αποθηκεύσουμε την cache οριοθετώντας το ποσοστό του partition το οποίο μπορεί να χρησιμοποιηθεί για cache.


    Figure 13

    Reporting Enhancements

    Ορισμένες ουσιώδεις αλλαγές έχουν πραγματοποιηθεί και στο reporting του TMG SP1. Η εμφάνιση (look-and-feel) των reports έχει αλλάξει ελαφρώς έτσι ώστε να δείχνει πιο μοντέρνο. Τώρα είναι διαθέσιμο ένα καινούριο user activity report το οποίο παρέχει λεπτομερή αναφορά όσον αφορά το individual user access, και τα υπόλοιπα reports επίσης περιλαμβάνουν επιπρόσθεστη πληροφορία - λεπτομέρεια σχετικά με τα user category overrides και την απόδοση του BranchCache. Για να δημιουργήσουμε ένα activity report, κάνουμε highlight το Logs
    & Reports node στο console tree.


    Figure 14

    Στο Tasks pane, κάνουμε κλικ στο Create User Activity Report
    Job link.


    Figure 15

    Ο New User Activity Report Job Wizard ξεκινά. Εισάγουμε ένα χαρακτηριστικό όνομα για το συγκεκριμένο report.


    Figure 16

    Επιλέγουμε την επιθυμητή χρονική περίοδο Report Period για το υπό κατασκευή report.


    Figure 17

    Εισάγουμε τα ονόματα και τις ΙΡ διευθύνσεις (name(s) and/or IP address(es)) του χρήστη ή των χρηστών για τον οποίο ή τους οποίους θα δημιουργήσουμε το report. Πολλαπλοί χρήστες ή ΙΡ διευθύνσεις (Multiple users or IP addresses) μπορούν να συμπεριληφθούν, διαχωριζόμενοι από semicolons. Εάν οι χρήστες είναι μέλη ενός domain, χρησιμοποιούμε το DOMAIN\USERNAME
    format όπως αυτό παρουσιάζεται παρακάτω.


    Figure 18

    Μόλις ολοκληρωθεί κάνουμε δεξί κλικ στο report και επιλέγουμε Generate and
    View Report.


    Figure 19


    Figure 20

    Βελτιώσεις στο Monitoring

    Η πληροφορία η οποία αφορά το BranchCache performanceπλέον εμφανίζεται με τον πλέον ενδεδειγμένο τρόπο στο dashboard του TMG management console.


    Figure 21

    Νέα BranchCache alert definitions περιλαμβάνονται επίσης.


    Figure 22

    Συμπέρασμα

    Το TMG Service Pack 1 όχι μόνον περιλαμβάνει αναβαθμίσεις (updates) οι οποίες διορθώνουν λογικά λάθη (bug fixes),αλλά συνάμα περιλαμβάνει και μια σειρά από νέα χαρακτηριστικά σε συνδυασμό με τον εμπλουτισμό με καινούριες δυνατότητες ήδη υπαρχόντων χαρακτηριστικών. Συγκεκριμάνα στο URL filtering, η δυνατότητα του override option επιτρέπει στους administrators
    να προειδοποιούν τους χρήστες ότι η επίσκεψη σε συγκεκριμένους ιστότοπους μπορεί μεν να επιτρέπεται, αλλά αυτό ταυτόχρονα δεν ενθαρρύνεται διότι θα βρίσκονται πάντοτε υπό στενό έλεγχο. Επίσης το enterprise-level category override θα διευκολύνει την διαχείριση πολλαπλών συστημάτων που περιλαμβάνουν πολλαπλά arrays, η δε προσθήκη του user activity reporting είναι ιδιαίτερα ευπρόσδεκτη.
    Το BranchCache integration θα απλοποιήσει τα branch office
    deployments εξαλείφοντας την ανάγκη για έναν αποκλειστικό (dedicated) BranchCache server.
    Ολοκληρώνοντας το SharePoint 2010 υποστηρίζεται πλήρως από τον TMG SP1.
  8. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι,
     
    Ελπίζω ότι θα βρείτε το επισυναπτώμενο αρχείο εξαιρετικά χρήσιμο. Το αρχείο είναι σε μορφή Adobe Acrobat PDF, και είναι συμπιεσμένο με το WinZip.
     
    Το περιεχόμενο του αρχείου είναι το Symantec Internet Security Threat Report - Απρίλιος 2010. Όπως είναι γνωστό, η Symantec έχει εγκαταστήσει ένα από τα πλέον ολοκληρωμένα συστήματα διαχείρισης, καταγραφής και επεξεργαίας Internet Threat Data, το οποίο ονομάζεται Symantec Global Intelligence Network. το σύστημα αυτό έχει εγκατεστημένους περισσότερους από 240.000 Sensors, σε 200 χώρες παγκοσμίως με σκοπό να παρακολουθείται η δραστηριότητα των διαδικτυακών επιθέσεων.
     
    Με την πληροφορία η οποία συλλέγεται από το σύστημα αυτό, η Symantec τελειοποεί τα συστήματα προστασίας τα οποία διαθέτει, προς όφελος του τελικού χρήστη. Βεβαίως, ο καθένας μας μπορεί να χρησιμοποιεί τα προϊόντα διαδικτυακής ασφάλειας τα οποία κατά τα δικά του κριτήρια επιλέγει. Παρόλα αυτά θέλω να πιστεύω ότι η πληροφορία η οποία εμπεριέχεται στην συγκεκριμένη μελέτη είναι εξαιρετικά χρήσιμη.
     
    Ευχαριστώ πολύ.
     
    Ιορδάνης Τσαφαρίδης
     
  10. Jordan_Tsafaridis
    1. Εισαγωγή
    Ο Forefront TMG 2010 είναι έτσι ρυθμισμένος έτσι ώστε να αποθηκεύει το Firewall και το Web Proxy Logging σε βάση δεδομένων Microsoft SQL Server 2008 Express. Πάρα πολλοί Forefront TMG administrators έχουν την ανάγκη πρόσβασης σε πληροφορίες και δεδομένα πολύ παλαιότερα τα οποία μπορούν πολύ εύκολα να αποθηκευτούν και να είναι έτοιμα αναπάσα στιγμή προς διαχείριση στον server στον οποίο τρέχει ο Forefront TMG 2010. Εντούτοις για λόγους απόδοσης και για να μην επηρεαστεί η λειτουργικότητα του TMG είναι απαραίτητο να έχουμε έναν απλό τρόπο - μέθοδο με τον οποίο να μπορούμε να μεταφέρουμε τα log data σε έναν άλλο server για επεξεργασία. Στο άρθρο αυτό θα περιγράψουμε τον τρόπο με τον οποίο μπορούμε να εξάγουμε τα Forefront TMG SQL Express logs σε έναν αρχείο text χρησιμοποιώντας την λειτουργία SQL Express Log Export.

    2. Exporting TMG Logs

    Είναι απαραίτητο να ορίσουμε - προγραμματίσουμε ότι η διαδικασία log export process θα πρέπει να λαμβάνει χώρα σε ένα χρονικό διάστημα κατά το οποίο ο TMG δεν έχει φόρτο επεξεργασίας έτσι ώστε να αποφύγουμε το overworking του Forefront TMG log instance, με πιθανό αποτέλεσμα την διακοπή λειτουργίας ή την δυδλειτουργία του TMG λόγω της επεξεργασίας του log queue.
     
    Έτσι λοιπόν για να εξάγουμε της SQL Server Express database η οποία είναι εγκατεστημένη στον TMG, ακολουθούμε τα παρακάτω βήματα :
     

    Στον Forefront TMG κάνουμε κλικ στο All Programs / Microsoft SQL Server 2008 / Import and Export Data. Κάνουμε κλικ στο Next στο welcome window. Επιλέξτε το Data Source και την database όπως παρουσιάζεται στην εικόνα (Παρατηρήστε ότι σε αυτή την περίπτωση γίνεται εξαγωγή και του Web Proxy log) και κάνουμε κλικ στο Next για να συνεχίσουμε : Σημείωση : Να Μην Επιχειρήσετε να εξάγεται την log database η οποία είναι σε χρήση εκείνη την δεδομένη χρονική στιγμή. Η επιλογή αυτή μπορεί να έχει σαν αποτέλεσμα το κλείδωμα πρόσβασης στην βάση δεδομένων (database access contention).



     

     

     
     
     
     

    4.   Στο παράθυρο Choose Destination page, αλλάξτε - επιλέξατε το destination σε Flat File Destination, ορίστε την τοποθεσία και επιλέξτε τα options σύμφωνα με την παρακάτω εικόνα. Κάνουμε κλικ στο Next για να συνεχίσουμε.


     

     

     



     

     


     

          5.   Στο παράθυρο Specify Table Copy or Query page, αφήστε επιλεγμένη την default option (Copy data from one or more tables or views) και

                κάνουμε κλικ στο Next για να συνεχίσουμε.
    6.   Στο παράθυρο Configure Flat File Destination επιβεβαιώστε ότι το source table είναι το σωστό, επιλέγουμε “tab” στο column delimiter και κάνουμε

                κλικ στο Next για να συνεχίσουμε.



     



     

     


          7.   Στο παράθυρο Run Package, αφήνουμε επιλεγμένο το default option και κάνουμε κλικ στο Next.
          8.   Κάνουμε κλικ στο Finish για να ολοκληρώσουμε την διαδικασία και θα πρέπει να δούμε το execution summary όπως απεικονίζεται στην παρακάτω             εικόνα :




     



     

     



    3. Διαβάζοντας τα LogsΤώρα μπορούμε να ανοίξουμε το αρχείο μας (χρησιμοποιώντας το Microsoft Excel για παράδειγμα) και συνεπώς μπορούμε να επεξεργαστούμε τα δεδομένα. Μπορείτε να χρησιμοποιήσετε και το άρθρο Web Proxy Log Fields για περισσότερες πληροφορίες για κάθε πεδίο μέσα σε αυτόν τον πίνακα καθώς και τα παρακάτω άρθρα :

           Object source http://technet.microsoft.com/en-us/library/cc441680.aspx        Return code http://technet.microsoft.com/en-us/library/cc441734.aspx        Cache status http://technet.microsoft.com/en-us/library/cc441710.aspx  
    Ένα στοιχείο το οποίο θα παρατηρήσετε καθώς επεργάζεστε τα log data είναι ότι το πεδίο ClientIP δεν εμφανίζει την IP Address όπως αυτή εμφανίζεται κανονικά στον Forefront TMG log viewer.

     



     
     
     

    Ο λόγος είναι ότι το client IP address αποθηκεύεται σε
    αυτό το format διότι είναι απαραίτητο να αποθηκεύονται τόσο IPV4 όσο και IPV6
    addresses στο ίδιο field type. Αναλυτικότερα οι IPv4 και IPv6 addresses
    απεικονίζονται χρησιμοποιώντας διαφορετικού μεγέθους δεδομένα (different-sized
    data) και έχουμε διαθέσιμο μόνο ένα πεδίο (field), και έτσι ο Forefront TMG
    κωδικοποιεί τις IPv4 addressμε έναν ειδικό τρόπο. Για να έχουμε την τιμή αυτή
    σε μορφή dotted-decimal IPv4, θα πρέπει να την μετρέψουμε.

     
     
    Στο παραπάνω παράδειγμα, η τιμή C0A8019A-ffff-0000-0000-000000000000
    αναφέρεται σε μια IPv4 address. Για να μετρέψουμε την παραπάνω τιμή σε
    dotted-decimal ακολουθούμε την παρακάτω μέθοδο :
     
     
     

    ·        
    Διαχωρίζουμε τα πρώτα οκτώ ψηφία σε δεκαεξαδικά ζεύγη,
    όπως τα C0, A8, 01, 9A
     

    ·        
    Μετρέψτε αυτές τις τιμές στις αντίστοιχες δεκαδικές :
     

    C0 = 192
     

    A8 = 168
     

    01 = 1
     

    9A = 154
     

    ·     Συνενώστε τις δεκαδικές
    τιμές με την σειρά την οποία εμφανίζονται χρησιμοποιώντας ενδιάμεσα τελείες
    “.”: 192.168.1.154

     



    Ολοκληρώνοντας, αποθηκεύουμε τις IPv4 στο παρακάτω
    format: xxxxxxxx-ffff-0000-0000-000000000000.
    Για να αυτοματοποιήσουμε την διαδικασία μετατροπής, μπορούμε να δημιουργήσουμε
    μια καινούρια στήλη στο Microsoft Excel την οποία θα ονομάσουμε ClientIPV4Converted
    (ή οποιοδήποτε όνομα το οποίο θέλετε) και γράψτε την παρακάτω formula σε αυτή
    την κυψέλη (B2):



     
     
     

    =HEX2DEC(MID(A17,2))
    &"."&HEX2DEC(MID(A17,3,2))&"."&HEX2DEC(MID(A17,5,2))&"."&HEX2DEC(MID(A17,7,2))

     
     
     



    Παρατηρήστε το αποτέλεσμα :




     


     



    A



    B



    1



    ClientIP


    ClientIPV4Converted



    2



    {C0A8019A-FFFF-0000-0000-000000000000}



    192.168.1.154

     

     

     

    4. Συμπέρασμα
     
     
     

    Αυτά τα απλά βήματα
    μπορεί να είναι εξαιρετικά χρήσιμα για τους administrators έτσι ώστε να έχουν
    ταχύτατη πρόσβαση στα TMG logs σε μορφή flat file έτσι ώστε να μπορούν να τα
    διαχειριστούν κατά τον τρόπο με τον οποίο επιθυμούν. Ο σκοπός αυτού του άρθρου
    είναι να καταδείξει ότι το ενσωματωμένο εργαλείο του Microsoft SQL Server
    Express μπορεί να μας βοηθήσει στο Forefront TMG log maintenance.
     

  11. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι, Χριστός Ανέστη.
     
    Τα Windows 7
    είναι η τελευταία έκδοση του desktop λειτουργικού συστήματος της Microsoft η οποία βασίζεται στα ισχυρά σημεία και τις αδυναμίες των
    προκατόχων του, τα Windows XP και τα Windows Vista. Κάθε πτυχή του βασικού λειτουργικού συστήματος,
    καθώς και οι υπηρεσίες που τρέχει αλλά συνάμα και ο τρόπος που διαχειρίζεται τις
    εφαρμογές που φορτώνονται στο εσωτερικό έχει αναθεωρηθεί με σκοπό να καταστεί
    πιο ασφαλής, όσο ποτέ. Όλες οι υπηρεσίες έχουν
    ενισχυθεί και νέες επιλογές ασφάλειας, το καταστούν πλέον το πιο αξιόπιστο επιτραπέζιο λειτουργικό σύστημα. Εκτός από τις βασικές
    βελτιώσεις του συστήματος και των νέων υπηρεσιών, τα Windows 7 προσφέρουν
    περισσότερες λειτουργίες ασφαλείας, ενισχυμένες δυνατότητες ελέγχου και παρακολούθησης σε συνδυασμό με την δυνατότητα κρυπτογράφησης
    των απομακρυσμένων συνδέσεων και των δεδομένω αυτών. Στα Windows 7, επίσης, υπάρχουν εσωτερικά συστήματα προστασίας για την προάσπιση
    του λειτουργικού συστήματος και σημαντικών τμημάτων αυτού όπως τα  Kernel Patch Protection, Service Hardening, Data Execution Prevention,
    Address Space Layout Randomization, και τα Mandatory Integrity Levels.
     
    Παρακάτω παραθέτω το link το οποίο αναφέρεται στην δομή ασφαλείας των Microsoft Windows 7 :
     
    http://www.windowsecurity.com/articles/Windows-7-Security-Primer-Part1.html
     
    Ελπίζω ότι θα σας φανεί ιδιαίτερα χρήσιμο.
     
     
     
  12. Jordan_Tsafaridis
    LoadingΕάν
    ξέραμε τι θα ερχόταν, όλοι θα είμασταν προφήτες. Η M86
    Security στην παρακάτω παρουσίαση παρουσιάζει τις προβλέψεις της για
    τις πιθανές απειλές οι οποίες πρόκειται κατά το 2010 να προκαλέσουν
    προβλήματα σε Η/Υ και δίκτυα, και προσφέρει
    κάποιες συμβουλές για την καταπολέμησή τους.

    Αυτό
    που καταγράφεται στην παρουσίαση
    περιλαμβάνει:
     
        *
    Τι μάθαμε για το 2009
        * Αναγνωρίζοντας τα ψεύτικα
    μηνυμάτα από τα πραγματικά και η αντιμετώπιση αυτών
        *
    Γιατί η βελτιστοποίηση μηχανών
    αναζήτησης μπορεί να είναι πολύ αποτελεσματική
        * Το
    BOT πρόβλημα και γιατί είναι εδώ για να
    μείνει
        *
    Γιατί το «νόμιμο», δεν σημαίνει και «ασφαλές»
     
    Στο παρακάτω link μπορείται
    να καταβάσετε την συγκεκριμένη παρουσίαση της M86 Security :
     
    http://www.m86security.com/predictions_2010/
     
    Ελπίζω ότι θα την βρείτε χρήσιμη.
     
  13. Jordan_Tsafaridis
    Η επικράτεια των χάκερς διευρύνεται με ανησυχητικό τρόπο, ξεφεύγοντας
    για τα καλά από το πεδίο των ηλεκτρονικών υπολογιστών και των κινητών
    τηλεφώνων, καθώς η εξειδικευμένη εταιρία κυβερνο-ασφάλειας και
    λογισμικού κατά των ιών McAfee, σε νέα έκθεσή της, προειδοποιεί ότι στο
    μέλλον είναι δυνατό να τεθεί σε κίνδυνο η ίδια η ζωή των οδηγών
    αυτοκινήτων.
     
     
     
    Καθώς τα οχήματα αποκτούν όλο και περισσότερους κομπιούτερ και άλλα
    ηλεκτρονικά συστήματα και, παράλληλα, διασυνδέονται ασύρματα στο
    διαδίκτυο, κακόβουλοι χάκερ θα μπορούσαν να πάρουν εξ αποστάσεως τον
    έλεγχο του αυτοκινήτου, ακόμα και να σβήσουν τον κινητήρα, ενώ ο οδηγός
    κινείται στο δρόμο.
     
     
     
    Η εταιρία προειδοποιεί ότι υπάρχει πια τόσο πολύ ενσωματωμένο λογισμικό
    σε ένα αυτοκίνητο, από τους αερόσακους και τα ραδιόφωνα έως τα καθίσματα
    και τα συστήματα ελέγχου πλοήγησης, που οι χάκερ θα μπορούσαν να
    προκαλέσουν πολλαπλά και, εν δυνάμει, επικίνδυνα προβλήματα.
     
     
     
    Νωρίτερα φέτος, ερευνητές έδειξαν στην πράξη -όχι θεωρητικά- και μάλιστα
    με διάφορα μοντέλα αυτοκινήτων ότι είναι δυνατό ένας χάκερ από απόσταση
    να ανοίξει τις πόρτες του οχήματος ή να ξεκινήσει την μηχανή,
    χρησιμοποιώντας απλά γραπτά μηνύματα.
     
     
     
    Οι δυνητικές κυβερνο-επιθέσεις κατά αυτοκινήτων περιλαμβάνουν, σύμφωνα
    με τη βρετανική «Ντέιλι Μέιλ», την εξ αποστάσεως απενεργοποίηση του
    οχήματος, το κλείδωμα και ξεκλείδωμα του κινητήρα μέσω κινητού
    τηλεφώνου, τον εντοπισμό της ακριβούς γεωγραφικής θέσης του αυτοκινήτου,
    την κλοπή προσωπικών δεδομένων μέσω συστήματος Bluetooth, την
    παρεμπόδιση της πλοήγησης μέσω δορυφορικών συστημάτων κ.α.
     
     
     
    «Όσο ολοένα περισσότερες λειτουργίες ενσωματώνονται στην ψηφιακή
    τεχνολογία των αυτοκινήτων, η απειλή μιας επίθεσης και κακόβουλης
    χειραγώγησης αυξάνει», αναφέρει η έκθεση.
     
     
     
    Η McAfee επισημαίνει ότι η τάση των καταναλωτών-οδηγών είναι να
    επιθυμούν όλο και περισσότερες διασύνδεσης του οχήματός τους, ώστε να
    αποτελεί προέκταση του υπολογιστή και του «έξυπνου» τηλεφώνου τους, όμως
    προειδοποιεί τις αυτοκινητοβιομηχανίες ότι δεν πρέπει καθόλου να
    υποτιμήσουν τους κινδύνους από τυχόν κακόβουλο λογισμικό.
     
     
     
    Πηγή: ΑΠΕ- ΜΠΕ, Π. Δρακόπουλος
  14. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας, πριν από λίγες ώρες επθβεβαιώθηκε ένα bug στο Service Pack 2 (SP2) του Forefront TMG 2010 το οποίο αρχικά διαγνώσθηκε από τον Jason Jones. Εάν για κάποιο λόγο έχουμε διαγράψει τον default Internet Access network rule και τον έχουμε αντικαταστήσει με κάτι άλλο, τότε εγκαθιστώντας το SP2 του Forefront TMG 2010 μυστηριωδώς ο εγκαταστάτης επαναφέρει (restores) αυτόν το κανόνα. Δυστυχώς τοποθετεί τον default Internet Access rule πάνω από τον custom rule
    τον οποίο έχουμε δημιουργήσει με αποτέλεσμα στις περισσότερες περιπτώσεις να προξενούνται σοβαρά προβλήματα στην ομαλή λειτουργία του TMG. Το συγκεκριμένο bug επηρεάζει μόνον εκείνα τα Forefront TMG 2010 configurations στα οποία ο default Internet Access
    network rule έχει για κάποιους ειδικούς λόγους διαγραφεί. Εάν όμως έχετε απλώς αλλάξει (altered) τον συγκεκριμένο κανόνα, τότε αυτές οι αλλαγές παραμένουν ως έχουν.

    Πριν από την εγκατάσταση του Forefront TMG SP2…



    Μετά από την εγκατάσταση του Forefront TMG SP2…


    Ελπίζω ότι θα το βρείτε ιδιαίτερα χρήσιμο.

  15. Jordan_Tsafaridis
    Όπως και στο προηγούμενο άρθρο μου σχετικά με την ανακάλυψη του νέου Stuxnet-like worm με το όνομα Duqu ενδιαφέρον παρουσιάζει και το άρθρο του Jeff James το οποίο δημοσιεύθηκε στις 19/10/2011 και ώρα 12:14μμ στον ιστότοπο www.windowsitpro.com το οποίο παρουσιάζει επιπλέον πληροφορίες σχετικά με το νέο worm. Ζητώ και πάλι την κατανόησή σας, αλλά πιστεύω ότι το συγκεκριμένο άρθρο δεν προσφέρεται για μετάφραση και για τον λόγο αυτό το παραθέτω αυτούσιο στην Αγγλική γλώσσα.


    In June 2010, security experts, analysts, and software providers were
    warning IT managers about Stuxnet, a new computer worm that was
    spreading rapidly over the internet. Stuxnet was distributed by Windows
    machines, and the intent of the worm wasn't immediately clear. After a
    few months it was revealed that the vast majority of Stuxnet infections
    were in Iran, and Stuxnet seemed to have been specifically targeting the
    Siemens industrial control equipment used in the Iranian nuclear
    program.
    German security expert Ralph Langner was interviewed by NPR reporter Tom Gjelten
    earlier this year about Stuxnet, and Gjelten reported that Langner told
    him that the worm was so complex and sophisticated that it was "almost
    alien in design" and believed that only the United States had the
    resources required to create Stuxnet and orchestrate the attack. As more
    details emerged, it became clear that Stuxnet was likely developed by
    either Israeli or American intelligence agencies in an attempt to impede
    Iran's nuclear program.
    Both Israeli and American security
    officials have sidestepped questions about their involvement, but Gary
    Samore, White House Coordinator for Arms Control and Weapons of Mass
    Destruction, stated at a December 2010 conference on Iran that "we're
    glad they [the Iranians] are having trouble with their centrifuge
    machine and that we – the US and its allies – are doing everything we
    can to make sure that we complicate matters for them." [source: NPR’s Need to Know]
    Now security researchers from Symantec have revealed that they've discovered a new Stuxnet-like worm called W32.Duqu that shares much of the same code with Stuxnet. Symantec's Security Research blog posted details about Duqu yesterday:

    "Duqu
    shares a great deal of code with Stuxnet; however, the payload is
    completely different. Instead of a payload designed to sabotage an
    industrial control system, the payload has been replaced with general
    remote access capabilities. The creators of Duqu had access to the
    source code of Stuxnet, not just the Stuxnet binaries. The attackers
    intend to use this capability to gather intelligence from a private
    entity to aid future attacks on a third party. While suspected, no
    similar precursor files have been recovered that predate the Stuxnet
    attacks.
    According to Symantec, Duqu also functions as a
    keylogger designed to "capture information such as keystrokes and
    system information" but lacks the specific code related to "industrial
    control systems, exploits, or self-replication." Symantec's research
    team believes that Duqu is collecting information for a possible future
    attack, and seem to point the finger at the original creators of
    Stuxnet, since the creators of Duqu seem to have direct access to
    Stuxnet source code:

    The creators of Duqu had access to
    the source code of Stuxnet, not just the Stuxnet binaries. The
    attackers intend to use this capability to gather intelligence from a
    private entity to aid future attacks on a third party. While suspected,
    no similar precursor files have been recovered that predate the Stuxnet
    attacks.
    The arrival of Stuxnet signaled that
    cyberattacks have entered a new phase, with nation states and
    professional, highly-skilled programmers helping elevate cyberwarfare to
    a new, more sophisticated (and dangerous) level. Microsoft Technical
    Fellow Mark Russinovich offers up a fictional account of what can happen
    when terrorist groups turn to cyberwarfare in his novel Zero Day, and it's a chilling preview of what the future of warfare could look like.
    While
    many fingers are pointing at U.S. and Israeli intelligence service for
    creating Stuxnet – and possibly Duqu -- what happens when a hostile
    nation or well-organized terrorists develop the same level of
    cyberwarfare capability? Questions like these are undoubtedly keeping IT
    security professionals and experts at government security agencies
    awake at night.
    For more technical information on the Duqu worm, see Symantec’s W32.Duqu: The Precursor to the Next Stuxnet whitepaper [PDF] and a Symantec post that provides additional Duqu technical details.
    What
    are your thoughts on Stuxnet and Duqu worms? Let me know what you think
    by adding a comment to this blog post or starting up a conversation on Twitter.
    Ελπίζω να το βρείτε ενδιαφέρον. 
  16. Jordan_Tsafaridis
    Το Multi-Tenant Cloud
    Κατά την διάρκεια του Microsoft Build conference το οποίο έλαβε χώρα από τις 13 εως τις 16 Σεπτεμβρίου 2011 στο Anaheim, η Microsoft παρουσιάσε μια πρώτη γεύση των χαρακτηριστικών του Windows Server 8, που περιλαμβάνει όπως είναι αναμενόμενο και τον Hyper-V, ο οποίος θα επιτρέπει σε επιχειρήσεις να υποστηρίζουν εγκαταστάσεις Infrastructure as a Service (IaaS) χρησιμοποιώντας public, private
    και hybrid, καθώς επίσης και αρχιτεκτονικές multitenant cloud. Ένα multi-tenant cloud αποτελεί ένα cloud infrastructure το οποίο έχει την δυαντότητα να φιλοξενεί (hosting) services (workloads) για πολλαπλές επιχειρήσεις (Αγγλικός Όρος : distinct departments within a
    single company in a private cloud, or distinct companies in a public
    cloud) ενώ ταυτόχρονα διασφαλίζει την ασφάλεια των δεδομένων διατηρώντας σε ασφαλή απομόνωση τον φόρτο εργασίας μεταξύ των διαφόρων ενοικιαστών ( 
    tenants
    ).
    Επιπλέον, μια υποδομή  
    multi-tenant cloud είναι σε θέση δυναμικά να διαχειρίζεται και να αναδιανέμει
    tenant workloads
    σε οποιοδήποτε διαθέσιμο host στο cloud χωρίς να γίνεται κανένας συμβιβασμός στην ασφάλεια των δεδομένων λόγω της ασφαλούς απομόνωσης του φόρτου εργασίας. Τέλος, η υποδομή
    multi-tenant cloud
    πρέπει να είναι σε θέση να παρέχει και να εγγυηθεί τις ευδιάκριτες
    Service Level Agreements (SLAs)
    που είναι βασισμένες στις οργανωτικές απαιτήσεις, και παρέχουν τον πόρο που μετρά με βάση παραμέτρους οι οποίες εγγυώνται την σωστή μέτρηση για την χρήση των πόρων σύννεφων σε κάθε οργάνωση. Προκειμένου να ενεργοποιηθούν  
    multi-tenant cloud
    υποδομές, ο
    Windows Server 8
    περιλαμβάνει μια σειρά νέων τεχνικών χαρακτηριστικών γνωρισμάτων τα οποία περιλαμβάνουν  
    Hyper-V, storage, network,
    high-availability, disaster recovery, και manageability.
     .
     

    Τεχνικά χαρακτηριστικά του Hyper-V Core στον Windows Server 8 
    Στον Windows Server
    8, τα χαρακτηριστικά του Hyper-V εμπλουτίστηκαν και βελτιώθηκαν, έχοντας σαν αποτέλεσμα την θεαματική βελτίωση του virtual machine performance
    και το κυριότερο απ'όλα παρέχει εκείνη την αναβαθμιζόμενη βάση για virtualization η οποία είναι απαραίτητη για υποδομές cloud.
    Στον πίνακα 1 παρουσιάζεται μια σύγκριση μεταξύ των χαρακτηριστικών του Hyper-V key ανάμεσα στον Windows
    Server 2008 R2 και τον Windows Server 8.

     
     

    Hyper-V Χαρακτηριστικά

    Windows Server 2008 R2

    Windows Server 8

    Host Memory

    1 TB

    2 TB

    Logical Processors

    64 (Max)

    160 (Max)

    Guest VM Memory

    64 GB (Max)

    512 GB (Max)

    Guest Virtual Processors

    4 per VM (Max)

    32 per VM (Max)

    Guest NUMA

    N

    Y

    Host Failover Cluster

    Y (16 nodes)

    Y (63 nodes)

    VM Support - Failover Cluster

    1000 (Max)

    4000 (Max)

    Live Migration

    Y (serial)

    Y (concurrent)

    Live Migration (no cluster or shared storage)

    N

    Y

    Live Storage Migration

    N

    Y

    Table 1: Hyper-V - Σύγκριση χαρακτηριστικών
    Παρακάτω σας παραθέτω, αυτούσιο στην Αγγλική το κείμενο στο οποίο παρουσιάζονται αναλυτικά τα καινούρια χαρακτηριστικά, και σας παρακαλώ να με συγχωρέσετε για την μη μετάφραση στην Ελληνική γλώσσα διότι όπως θα διαπιστώσετε και εσείς λόγω των τεχνικών όρων δεν προσφερεται για μετάφραση.

     
    Hyper-V now supports 2 TB of physical memory and a maximum of 160
    logical processors. In Hyper-V, it is not only cores that are included
    in the logical processor count, so are threads if a core is Simultaneous
    Multi-Threading (SMT) enabled. Therefore, the following formula is
    handy to calculate the number of logical processors that Hyper-V can see
    on a given physical server:

    # of Logical Processors = (# of Physical Processors) * (# of Cores) * (# of Threads per Core)

    The increase in memory and logical processor support in Windows
    Server 8 provides the basis upon which to build dense virtual machine
    populations for private and public cloud infrastructures. In addition,
    Hyper-V in Windows Server 8 supports enhanced virtual machine
    performance by enabling the assignment of up to 512 GB of RAM and 32
    virtual processors to a virtual machine. That can easily accommodate
    scale up of high-performing workloads especially coupled with
    intelligent resource management features like dynamic memory, and new
    networking and storage management features that you will discover later
    in this article.

    For systems and applications that are built on top of a non-uniform
    memory access (NUMA) architecture, Windows Server 8 provides guest NUMA.
    Guest NUMA means that Hyper-V ensures guest virtual machine processor
    and memory affinity with physical host resources.

    Another upgraded feature in Windows Server 8 is the expansion of
    failover clusters to 63 nodes (from 16 nodes in Windows Server 2008 R2),
    effectively quadrupling the size of a cluster and the number of running
    virtual machines to 4000 (from 1000 in Windows Server 2008 R2) per
    cluster.

    With Windows Server 8, Hyper-V also supports multiple, concurrent
    live migrations of virtual machines. The number of concurrent live
    migrations is bounded only by the inherent resource constraints of the
    infrastructure rather than the serial limitation imposed in Hyper-V on
    Windows Server 2008 R2.

    And while Live Migration has been a cluster-centric feature requiring
    shared storage, the story gets significantly better in Windows Server 8
    with the support for live migration of a virtual machine between any
    two hosts without requiring clustering, shared storage, or any shared
    resources other than a network connection. You can control which Hyper-V
    hosts participate in this Live Migration mode, as well as the number of
    concurrent live migrations allowed by a host, and the network to use to
    perform the live migration. Furthermore, there is additional
    granularity in the selection of virtual machine components to migrate,
    allowing you to choose all components, including the VHD files, current
    configuration, snapshots, and second level paging, or only some of these
    components. You also have the ability to move the virtual machine data
    to a single location, or to specify individual locations for every
    selected virtual machine component.

    As if all this goodness wasn’t enough, Hyper-V also provides Live
    Storage Migration that supports moving virtual machine storage resources
    between physical storage units without service interruption.

    Hyper-V Key Storage Features στον Windows Server 8
    One of the
    main new Hyper-V storage features is the addition of a virtual Fibre
    Channel HBA adapter for virtual machines. This allows a virtual machine
    to connect to a Fibre Channel SAN, and enables new scenarios like guest
    clustering, use of MPIO, and other multipathing solutions for workloads
    that require high-performing SAN and application availability. This
    feature is available to existing Windows virtual machines like Windows
    Server 2008 R2 running on Hyper-V on Windows Server 8.

    Another new storage feature is the VHDX format, a new virtual hard
    disk (VHD) format that is introduced in Windows Server 8. With VHDX, the
    maximum size of a VHD increases to 16 TB, instead of the current 2 TB
    limit with the current VHD format which forces the use of pass-through
    disks to meet larger virtual disk storage requirements. The VDHX format
    also provides large sector support, and allows embedding user-defined
    metadata.

    Along with the increase in virtual disk size is an impressive
    performance boost when creating or managing large VHDX-based formats
    using the Offloaded Data Transfer (ODX) features of storage systems.
    Hyper-V support for ODX in Windows Server 8 allows handing off
    operations like data transfers and file creations to the storage system
    which can perform the actions with much higher performance while
    reducing the impact of associated operations on the Hyper-V host
    processor.

    Hyper-V Key Network Features στον Windows Server 8
    On the
    networking side, one the of the key Hyper-V features in Windows Server 8
    is the extensible Hyper-V switch. The Hyper-V switch is the component
    that controls the configuration and creation of external, internal, and
    private networks that support virtual machine connectivity to physical
    networks, to other virtual machines and the Hyper-V host, or to a subset
    of virtual machines, respectively. In Windows Server 2008 R2, the
    Hyper-V switch functionality cannot be modified. In Windows Server 8, an
    API exists that enables extension of the Hyper-V switch functionality.
    Microsoft’s goal is to enable security vendors to develop new security
    appliances as pluggable switch modules, enable switch vendors to create
    switch extensions that unify virtual and physical switch management, and
    enable network application vendors to create network monitoring
    extensions for the Hyper-V switch. Taking advantage of the Hyper-V
    switch extensibility, Cisco Systems has already announced support for Windows Server 8 Hyper-V with its Cisco Nexus 1000V switch.

    Probably one of the most requested networking features included in
    Windows Server 8 and supported by Hyper-V is NIC teaming. Up through
    Windows Server 2008 R2, NIC teaming has only been available as a
    third-party option. Windows Server 8 provides native NIC teaming that is
    configurable at the host (parent partition) or virtual machine (guest
    partition) level in either load balancing or failover mode. As a bonus,
    this new NIC teaming feature even works across different vendor network
    adapters.
    Ελπίζω ότι τα παραπάνω θα σας φανούν ιδιαίτερα χρήσιμα.
     
     
  17. Jordan_Tsafaridis
    Σκοπός του συγκεκριμένου άρθρου, το οποίο θεώρησα σωστό να μην προχωρήσω σε μετάφρασή του είναι να πάρουμε μια ενδελεχή εικόνα των τεχνολογιών τις οποίες η Microsoft πρόκειται να διαθέσει σε πολύ σύντομο χρονικό διάστημα στην παγκόσμια αγορά πληροφορικής οι οποίες τολμώ να πω ότι θα προκαλέσουν επανάσταση. Και τούτο διότι πολύ απλά, η Microsoft καινοτομεί ξεφεύγοντας από τα στενά προϊοντικά της πλαίσια δίνοντας εκείνα τα εργαλεία τα οποία μας επιτρέπουν να διαχειριστούμε εγκαταστάσεις private και public cloud οι οποίες χρησιμοποιούν συνδυσμό τεχνολογιών virtualization όπως Microsoft Hyper-V, VMWare VSphere, Citrix XenServer κ.τ.λ..
    Μια τέτοια περίπτωση είναι και η παρακάτω όπου με τον  
    System Center Virtual Machine Manager 2012 (VMM 2012) μπορούμε να διαχειριστούμε περιβάλλοντα Citrix XenServer.
     
    In System Center Virtual Machine Manager 2008 R2
    (VMM 2008 R2), Microsoft provides a single management console that
    supports multiple virtualization platforms including Hyper-V and VMware
    ESX/ESXi. With System Center Virtual Machine Manager 2012 (VMM 2012),
    Citrix XenServer is also supported. VMM 2012 allows the use of standard
    processes and procedures to perform daily management operations across
    the supported virtualization platforms, including:

    Host Features


    Host discovery and management (clusters and pools)
    Host power optimization
    Host maintenance mode
    Virtual Machine Features


    Creation, deployment, and management of virtual machines
    Creation, deployment, and management of VMM services
    Placement of virtual machines based on host ratings
    Load balancing
    Storage of resources in VMM library
    Conversion of virtual machines to Hyper-V
     

    VMM 2012 also enables using XenServer host resources, along with
    Hyper-V and VMware hosts, to create heterogeneous private clouds managed
    using a single graphical user interface (GUI) and command-line
    interface (CLI).

    Citrix XenServer Host Requirements
    In order to be managed through VMM 2012, a Citrix XenServer must meet the following requirements:


    XenServer 5.6 Feature Pack 1
    XenServer SCVMM Integration Suite supplemental pack
    The SCVMM Integration Suite supplemental pack
    is installed during the XenServer installation using a SCVMM Beta
    Integration CD, or post-installation through the CLI using a SCVMM Beta
    Integration ISO. VMM 2012 does not require an agent deployment to
    XenServer hosts.

    XenServer hosts and XenServer pools can be added and managed using
    VMM 2012. However, a XenServer host must be installed before adding it
    to VMM 2012. Also, XenServer pools must be created and configured in
    Citrix XenCenter.

    Configuring VMM 2012 to Manage Citrix XenServer
    Before you can add a XenServer host to VMM 2012, you should create a Run As account to
    define account credentials that VMM 2012 can use to access a XenServer
    host. Although it is generally recommended that you perform this
    procedure before adding the XenServer host, you can also create a Run As
    account during the process to add a XenServer host.

    Adding a Run As Account in VMM 2012


    Launch the VMM Console and then select the Settings workspace.
    In the Settings pane, select Run As Accounts (Figure 1). 


    Figure 1: VMM Console – Settings Workspace


    In the Home bar, click Create Run As Account to launch the Create Run As Account wizard.
    In the Create Run As Account wizard, on the General page, enter a name for the new Run As account, then select the Host Computer option
    from the Category pull-down menu, then enter the account credentials
    (host or Active Directory account depending how the XenServer host is
    configured) in the username and password fields, and then select Next.
    (Figure 2).
     


    Figure 2: Create Run As Account Wizard – General Page


    On the Run As Profiles page, click Next (Figure 3).  


    Figure 3: Create Run As Account Wizard – Run As Profiles Page


    On the Summary page, click Finish (Figure 4).  


    Figure 4: Create Run As Account Wizard – Summary Page


    In the Jobs Window, ensure that the Run As account creation is successful, and then close the window (Figure 5).  


    Figure 5: VMM 2012 Jobs Window – Run As Account

    Adding a XenServer Host in VMM 2012
    After creating a Run As account, you can add a XenServer host to VMM 2012 from within the Fabric workspace in the VMM Console.


    In the VMM 2012 Console, select the Fabric workspace (Figure 6). 


    Figure 6: VMM 2012 Console – Fabric Workspace


    In the Home bar, click Add Resources, and select Citrix XenServer Hosts and Clusters to launch the Add Resource wizard (Figure 7).
     


    Figure 7: VMM 2012 – Add Resources


    In the Add Resource wizard, on the Server Settings page, enter the name of the XenServer hosts, the Run As account to connect to the host,
    the host group location, and then click Add (Figure 8).
     


    Figure 8: VMM 2012 – Add Resource Wizard


    After adding the XenServer host, click Next.
    On the Summary page, click Finish (Figure 9). 


    Figure 9: Add Resource Wizard – Summary Page


    In the Jobs window, verify that the host is successfully added (Figure 10). 


    Figure 10: Jobs Window – Add XenServer Host


    In this example, because the XenServer host belongs to a pool, VMM 2012 created a host cluster named XSPool in the host group, and based it
    on the name of the pool in XenCenter.

    Configuring Networking for a XenServer Host in VMM 2012

    Before using VMM 2012 to create a virtual machine on a XenServer host
    that can connect to a virtual network, you must configure the network
    properties on the host. Using VMM 2012, you can associate XenServer host
    physical network adapters to logical networks.


    In the VMM 2012 Console, select the Fabric workspace (Figure 11). 


    Figure 11: VMM 2012 Console – Fabric Workspace with XenServer Host


    In the Hosts Pane, right-click the XenServer host, and then select Properties (Figure 12). 


    Figure 12: VMM 2012 Console – Server Properties Selection


    In the XenServer host properties, select Hardware, and then select the Network Adapter (Figure 13). 


    Figure 13: VMM 2012 Console – Network Adapter Properties


    Under Logical Network Connectivity, select the logical network that should be associated with the network adapter, and then click OK in the
    Warning box (Figure 14).
     


    Figure 14: VMM 2012 Console – VLAN Warning


    Click OK to close the XenServer host properties page.
    In the Hosts pane, right-click the XenServer host, and then select View Networking (Figure 15). 


    Figure 15: VMM 2012 Console – View Networking


    In the Networking Diagram window, verify that the XenServer host network adapter is connected to the required virtual network (Figure
    16).
     


    Figure 16: VMM 2012 Console – View Networking

    Creating and deploying a Virtual Machine to XenServer using VMM 2012

    Creating and deploying a new virtual machine to a XenServer host using VMM 2012 is performed in the VMs and Services workspace.


    In the VMM 2012 Console, select the VMs and Services workspace (Figure 17). 


    Figure 17: VMs and Services Workspace


    In the Home bar, click Create Virtual Machine (Figure 18) and then select Create Virtual Machine from the menu to launch the New Virtual
    Machine wizard.
     


    Figure 18: VMM 2012 - Create Virtual Machine


    In the New Virtual Machine wizard, on the Select Source page, select Create The New Virtual Machine With A Blank Virtual Hard Disk, and then
    click Next (Figure 19).
     


    Figure 19: New Virtual Machine Wizard – Select Source Page


    On the Virtual Machine Identity page, enter a name for the virtual machine, and then select Next (Figure 20). 


    Figure 20: New Virtual Machine Wizard – Virtual Machine Identity Page


    On the Configure Hardware page, select the Compatibility option in the left pane, select the Xen capability profile in the right pane
    (Figure 21), adjust the resource configuration as required, and then
    click Next. The Xen capability profile is a pre-configured profile that
    defines resource minimum and maximum values that can be configured.
    Customized capability profiles are created in the Library workspace.
     


    Figure 21: New Virtual Machine Wizard – Configure Hardware Page


    On the Select Destination page, select the Place The Virtual Machine On A Host option, and then click Next (Figure 22). 


    Figure 22: New Virtual Machine Wizard – Select Destination Page


    On the Select Host page, select the XenServer host, and then click Next (Figure 23). 


    Figure 23: New Virtual Machine Wizard – Select Host Page


    On the Configure Settings page, select the VM storage location, network adapter, and deployment details, and then click Next (Figure
    24).
     


    Figure 24: New Virtual Machine Wizard – Configure Settings Page


    On the Additional Properties page, select the desired options to automate the start and stop of the virtual machine when the XenServer
    host is powered on or off, then specify the operating system that will
    be installed in the virtual machine, and then click Next (Figure 25).
     


    Figure 25: New Virtual Machine Wizard – Additional Properties Page


    On the Summary page, review the selected options, and then click Create (Figure 26). 


    Figure 26: New Virtual Machine Wizard – Summary Page


    In the Jobs window, monitor the creation of the virtual machine on the XenServer host (Figure 27). 


    Figure 27: VMM 2012 Jobs Window – New Virtual Machine Creation


    In the VMM Console, view the status of the newly created virtual machine on the XenServer host (Figure 28). 


    Figure 28: VMM 2012 Console – New Virtual Machine

    Additional VMM 2012 Management Features for Citrix XenServer
    VMM
    2012 supports the ability to manage many additional facets of XenServer
    operations. The following table contains a brief overview of other
    major management features, but is not all inclusive. For more
    information, review the Citrix XenServer management information on the Microsoft Technet site.  


    Command Line Management

    The VMM command shell supports XenServer hosts management

    VMM Service

    A VMM service – a set of virtual machines defined using a service
    template that captures configuration, networking, load balancing, and
    deployment settings for a single release of a service – can be deployed to XenServer hosts

    Live Migration

    VMM 2012 supports XenMotion between XenServer hosts in a managed pool

    Maintenance Mode

    VMM 2012 supports placing a managed XenServer host in and out of maintenance mode

    Library

    VMM 2012 support storing XenServer virtual machines, disks, and VMM templates in the VMM library

    VMM Templates

    VMM templates supports XenServer hosts, with these restrictions:

    ·         Supports generalization and customization for Windows-based virtual machines only

    ·         Supports manual installation of XenServer Tools

    ·         Supports only original disk images without modifications

    Conversion

    VMM 2012 supports conversion of XenServer Windows-based virtual
    machines to Hyper-V virtual machines using the P2V conversion process,
    without removing XenServer Tools
    Table 1
    Conclusion
    While System Center VMM 2008 R2 provides the ability to manage
    virtualization environments that include both Microsoft and VMware
    virtualization components, Citrix XenServer is supported with VMM 2012.
    Because of Windows PowerShell integration with VMM 2012, administrators
    also have the choice to manage XenServer hosts either through the VMM
    2012 console, or using the VMM command line. With VMM 2012, Microsoft
    provides a solid, single pane interface that allows organizations to
    deploy small scale or private clouds that support the top virtualization
    platforms on the market.
     
    Πηγή : virtualizationadmin
  18. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας η λογική του συγκεκριμένου άρθρου είναι να καταδείξει την μέθοδο βήμα προς βήμα την οποία θα πρέπει να ακολουθήσουμε έτσι ώστε να προστατεύσουμε με την χρήση αντιγράφων ασφαλείας τις Exchange databases χρησιμοποιώντας τον DPM 2010.

    A guide for Recovering the databases and contents will be provided.

    Προαπαιτούμενα

    Έχουμε πραγματοποιήσει επιτυχώς την εγκατάσταση του Microsoft Data Protection Manager 2010.



    Ξεκινώντας ελέγχουμε εάν υπάρχει διαθέσιμος χώρος δίσκου με βάση τον όγκο των δεδομένων τα οποία θέλουμε να προστατεύσουμε. Επιπροσθέτως η χωρητικότητα του/των δίσκων οι οποίοι πρόκειται να χρησιμοποιηθούν για την συγκεκριμένη εργασία θα πρέπει να είναι unallocated όπως ακτιβώς παρουσιάζεται στην παρακάτω εικόνα.







     Εκκινούμε (Start up) την “DPM 2010 Administrator Console” και εν συνεχεία πηγαίνουμε στο “Management”, όπου σε πρώτη φάση κάνουμε κλικ στο “Rescan” έτσι ώστε όλοι οι δίσκοι να γίνουν refreshed και αμέσως μετά κάνουμε κλικ στο “Add” button.







     Αυτόματα ο Disk 1 εμφανίζεται, τον επιλέγουμε και κάνουμε κλικ στο “Add” button και αμέσως μετά κάνουμε κλικ στο “OK”.









    Το αποτέλεσμα της προσθήκης του δίσκου εμφανίζεται στην παρακάτω εικόνα όπου ο δίσκος εμφανίζεται κάτω από το Disks tab.







     Κάτω από το “Management”, κάνουμε κλικ στο tab “Agents”. Εν συνεχεία κάνουμε κλικ στο “Install…” button.







     Επιλέγουμε το “Install agents” και αμέσως μετά κάνουμε κλικ στο Next.







     Επιλέγουμε τον Exchange server και κάνουμε κλικ στο “Add”.







     Η επιλογή έχει ολοκληρωθεί, και εν συνεχεία κάνουμε κλικ στο Next.







     Εισάγουμε τα credentials, όπου απαιτείται να είναι ένας λογαριασμός με δικαιώματα administrator στον συγκεκριμένο server. Αμέσως μετά κάνουμε κλικ στο  Νext.







     Λόγω του ότι θα πρέπει να έχουμε εμείς τον έλεγχο του server επιλέγουμε να κάνουμε το restart εμείς χειροκίνητα. Εν συνεχεία κάνουμε κλικ στο Next.







     Εγκατάσταση του Agent και το αντίστοιχο installation process information εμφανίζονται και κάνουμε κλικ στο Close.







     Ο server θα πρέπει να εμφανιστεί κάτω από το Agents tab στην Console.







     Επιλέγουμε το “Protection” από τα menu, και κάνουμε κλικ στο “Create Protection group…”







    Το Information window εμφανίζεται. Αμέσως κάνουμε κλικ στο Next.







    Στην συγκεκριμένη περίπτωση αυτό που θέλουμε να προστατεύσουμε είναι ένας Server, επιλέγουμε το Servers και κάνουμε κλικ στο Next.







     Ανοίγουμε/Ξετυλίγουμε τον Server και επιλέγουμε το “Exchange 2010 Databases”, όπου όλες οι databases είναι επιλεγμένες. Κάνουμε κλικ στο Next.







     Δίνουμε στο Protection group ένα χαρακτηριστικό όνομα, το οποίο στην συγκεκριμένη περίπτωση είναι το “Exchange Protection Group”. Κάνουμε κλικ στο Next.







     Στο σημείο αυτό θέλουμε να χρησιμοποιήσουμε το χαρακτηριστικό του DPM το οποίο ελέγχει την ορθότητα των δεδομένων χρησιμοποιώντας το eseutil, και αμέσως μετά κάνουμε κλικ στο Next.
     
    Το Ese.dll και το Eseutil.exe πρέπει να αντιγραφούν από τον Exchange server και να τοποθετηθούν μέσα στο DPM installation path, και συγκεκριμένα στον φάκελο Bin.







     Κάνουμε κλικ στο Next. (Μιας και το περιβάλλον μας περιλαμβάνει έναν και μόνον server)







     Επιθυμία μας είναι να αποθηκεύουμε τα backups για 7 ημέρες καθώς επίσης το backup να τρέχει κάθε 15 λεπτά της ώρας, και τέλος το Full Backup κάθε μέρα στις 20:00 η ώρα. Αμέσως μετά κάνουμε κλικ στο Next.







     Κάνουμε κλικ στο Next.








    Θέλουμε στο σημείο αυτό να δημιουργήσουμε την δική μας replica άμεσα. Εάν όμως πρόκειται για ένα production environment τότε η συμβουλή μου είναι η διαδικασία αυτή να γίνει όταν ο φόρτος δικτυακός/επεξεργαστικός βρίσκεται σε ένα μέσο επίπεδο.

    Κάνουμε κλικ στο Next.








    Στο σημείο αυτό θα πρέπει να τρέξουμε ένα consistency check στις replicas.
    Κάνουμε κλικ στο Next.








     Αμέσως μετά εμφανίζεται το summary. Κάνουμε κλικ στο Create Group.







     Η δημιουργία των Replicas έχει ξεκινήσει. Κάνουμε κλικ στο Close όταν η διαδικασία αυτή έχει ολοκληρωθεί.









    Απαιτείται κάποιος χρόνος εως ότου η διαδικασία δημιουργίας των replicas ολοκληρωθεί, και είναι κάτι το οποίο εξαρτάται από το μέγεθος των exchange databases.







    Μετά από λίγα λεπτά οι databases θα πρέπει να εμφανιστούν με status ότι είναι προστατευμένες, με άλλα λόγια το status είναι OK.







    Στο σημείο αυτό θα ήθελα να συστήσω την εξερεύνηση του Reporting part έαν θέλουμε να έχουμε κάποιας μορφής reports σχετικά με τα backups.



    Ο Exchange server είναι τώρα προστατευμένος χρησιμοποιώντας τον Microsoft Data Protection Manager 2010.
    Ελπίζω ότι το συγκεκριμένο άρθρο θα σας φανεί ιδιαίτερα χρήσιμο.

  19. Jordan_Tsafaridis
    Θέμα : Διαγράφοντας μια Exchange PF database, η διαδικασία αποτυγχάνει εμφανίζοντας το παρακάτω μήνυμα λάθους σε έναν Exchange 2007 Server.





    Η public folder database 'SG02PF1' δεν μπορεί να διαγραφεί. ( SG02PF1 Failed ) Error: Object
    is read only because it was created by a future version of Exchange:
    0.10 (14.0.100.0). Current supported version is 0.1 (8.0.535.0). Λύση :
    Κάνουμε Logon στον Exchange 2010 Server και εν συνεχεία χρησιμοποιούμε την ακόλουθη εντολή PowerShell :
    Server Name: WINCMS Storage Group Name  SG02 Database Name: SG02PF1 Remove-PublicFolderDatabase -Identity "WINCMS\SG02\SG02PF1"
    Ελπίζω ότι θα σας φανεί ιδιαίτερα χρήσιμο.
  20. Jordan_Tsafaridis
    Στα Windows 8, η Microsoft
    παρουσίασε - εισήγαγε πάρα πολλά νέα χαρακτηριστικά. Στο συγκεκριμένο άρθρο θα εστιαστούμε στην δυνατότητα remote deployment των Windows Server 8.  Το administration
    και η διαχείρηση (management) τόσο τοπικών όσο και απομακρυσμένων (local/remote) servers πραγματοποιείται από την Server Manager console.  Στον Server Manager, θα παρατηρήσετε τα τμήματα Local Server και All Servers αντίστοιχα. Συνεπώς μπορούμε να προσθέσουμε remote servers στο All Serves group. 
    Επιλέγουμε Server Manager–> All Servers –> Add Servers

    Όπως θα παρατηρήσετε στο παρακάτω screenshot, μπορούμε να επιλέξουμε remote servers χρησιμοποιώντας το Active Directory, DNS ή μπορούμε να τους εισαγάγουμε (import).  

    Αμέσως μόλις ολοκληρωθεί η διαδικασία αυτή, θα δείτε όλους αυτούς τους νέους servers στο All Servers group.  Εδώ μπορούμε να κάνουμε Add Roles, Features, να αλλάξουμε το configuration ή να εφαρμόσουμε οποιοδήποτε άλλο administration task μέσα από αυτήν την κονσόλα.  

    Στην συγκεκριμένη περίπτωση πρόκειται να εγκαταστήσουμε τον Active Directory Domain Services Role κάνοντας την διαδικασία του remote DCPROMO στον remote server – SAN-WIN08-02. 

    Η διαδικασία είναι απολύτως η ίδια με αυτήν της εγκατάστασης του ρόλου σε μια τοπική μηχανή.

    Το επόμενο βήμα είναι η ρύθμιση του server ως Domain Controller.  Από το Server Manger Dashboard, βλέπουμε όλα τις απαραίτητες λεπτομέρειες της συγκεκριμένης ρύθμισης (configuration details) στο τμήμα Roles and Sever Group.  

    Από αυτό το παράθυρο Notification, μπορούμε να εκκινήσουμε την διαδικασία DCPROMO – Post-deployment Configuration. 

    Σε αυτό το άρθρο προσθέτουμε έναν επιπλέον Domain Controller σε ένα ήδη υπάρχων domain.  Όπως μπορείτε να δείτε στο παρακάτω screenshot, υπ'αρχουν τρεις διαθέσιμες επιλογές:
    Προσθήκη ενός domain controller σε ένα υπάρχων domain Προσθήκη ενός νέου domain σε ένα ήδη υπάρχων forest Προσθήκη ενός νέου forest 
    Επιπροσθέτως, θα παρατηρήσετε ορισμένες επιπλέον επιλογές όπως η επιλογή του Site Name, GC κ.τ.λ. στο configuration wizard.  

    Στο σημείο αυτό μπορούμε να ρυθμίσουμε/ενεργοποιήσουμε το DNS delegation και να αλλάξουμε τα credentials εάν αυτό χρειάζεται.  

     
    Στο επόμενο παράθυρο, μπορούμε να ρυθμίσουμε τις τοποθεσίες όπου αποθηκεύονται τα database, log και το SYSVOL αντίστοιχα. Επίσης, μπορούμε να επιλέξουμε έναν domain controller για replication (Replicate From). 

    Υπάρχουν ακόμη επιπλέον επιλογές οι οποίες σκοπό έχουν να κάνουμε παραμετροποίηση (customize) του application partition
    replication προσθέτοντας ή αφαιρώντας αυτά τα partitions, επιλέγοντας μόνον critical data κ.τ.λ..    

    Εν συνεχεία κάνουμε επισκόπηση αυτών των επιλογών εγκατάστασης (installation options) και κάνουμε κλικ στο Next για να ξεκινήσει η διαδικασία του domain controller promotion. Ο συγκεκριμένος server (SAN-WIN08-02) θα αποτελέσει έναν ένα additional domain controller στο Santhosh.Lab2 domain. 

    Τα settings αυτά μπορούν να εξαχθούν σε ένα Windows PowerShell script για να αυτοματοποιήσουμε την συγκεκριμένη διαδικασία. 

    Η διαδικασία DCPROMO θα εφαρμόσει πρωτίστως ένα Prerequisite Check και εν συνεχεία θα ολοκληρώσει την εγκατάσταση. Θα λάβετε το summary report στο παράθυρο Installation Result.  

     Ελπίζω ότι θα σας φανεί χρήσιμο.
    Σημείωση : To lab αυτό το έλαβα από τον MVP Santhosh Sivarajan.
  21. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας όπως όλοι σας πιθανόν να γνωρίζετε το Metro UI 
    και το Metro style applications είναι χαρακτηριστικά τα οποία για πρώτη φορά θα εμφανιστούν σε λειτουργικό σύστημα και αυτό δεν είναι άλλο από τον Windows 8 Server και το Workstation OS αντίστοιχα.  Συνεπώς όπως αντιλαμβάνεστε το management interface είναι εντελώς διαφορετικό στο Windows 8, γεγονός το οποίο ευχάριστα θα έλεγα ότι μας εισαγάγει σε μια πραγματικά νέα εποχή. 
    Στο συγκεκριμένο άρθρο σκοπός μου είναι να παρουσιάσω την διαδικασία με την οποία γίνεται η προσθήκη και αφαίρεση ενός a server role στον Windows 8 server.  
    Στην συγκεκριμένη περίπτωση θα χρησιμοποιήσουμε τον Server Manger με σκοπό να υλοποιήσουμε την διαδικασία του Add ή Remove roles. Στα Windows 8, μπορούμε να ανοίξουμε τον Server Manager κατευθείαν από το UI (User Interface).Από

    Από το Server Manager Dashboard, επιλέγουμεt Manage και εν συνεχεία επιλέγουμε το Add Role and Features ή το Remove Roles and Features. Στην συγκεκριμένη περίπτωση θα αφαιρέσω τον DNS role από αυτόν τον server.  

    Αμέσως μετά κάνουμε κλικ στο Next στο παράθυρο Remove Roles and Features Wizard.  

    Επιλέγουμε το server name βασιζόμενοι στο Server Pool και στο Configuration.  Εν συνεχεία κάνουμε κλικ στο Next. 

    Καθαρίζουμε το checkbox δίπλα στον ρόλο (Role) – Πρόκειται να αφαιρέσουμε τον DNS role από αυτόν τον server.

    Κάνουμε κλικ στο Next ή επιλέγουμε ένα χαρακτηριστικό (Feature) για να το αφαιρέσουμε.  

    Κάνουμε κλικ στο Next στο παράθυρο επιβεβαίωσης (Confirmation Window).  

    Αμέσως μετά θα παρατηρήσουμε την εξέλιξη της διαδικασίας όπως αυτή φαίνεται στο παρακάτω screenshot.

    Μας παρέχεται η δυνατότητα να κλείσουμε αυτά τα παράθυρα χωρίς να διακοπεί η συγκεκριμένη επεξεργασία. Επίσης μπορούμε να ανοιξουμε την συγκεκριμένη σελίδα όπτε θέλουμε έτσι ώστε να παρακολουθήσουμε την εξέλιξη της συγκεκριμένης επεξεργασίας. 
    Ενδεχομένως να χρειαστεί να επανεκιννήσουμε (restart) τον server, κάτι το οποίο εξαρτάται από τον role.  Τα Shutdown και Restart button βρίσκονται σε διαφορετική τοποθεσία στα Windows 8. Θα βρείτε τα Shutdown και Restart options στην κάτω δεξιά πλευρά του παραθύρου.  

    Θα σας ζητηθεί να επιλέξετε ένα λόγο για την διαδικασία του restart ή του shutdown  - Shutdown Event Tracker

    Ολοκληρώνοντας θα ήθελα να σας ενημερώσω ότι τρέχω τον Windows 8 Server σε ένα υπολογιστή με εγκατεστημένο το Hyper-V. Υπάρχουν αναφορές στο διαδίκτυο ότι ορισμένοι συνάδελφοι της κοινότητας αντιμετώπισαν δυσκολίες στην εγκατάσταση των Windows 8 σε περιβάλλον Hyper-V.  Με λίγη προσπάθεια μπορούμε τελικώς να τα εγκαταστήσουμε σε περιβάλλον Hyper-V.  Ελπίζω το συγκεκριμένο άρθρο να σας φανεί χρήσιμο.
  22. Jordan_Tsafaridis
    Η εγκληματικότητα στον κυβερνοχώρο στοίχισε περίπου 114 δισεκατομμύρια δολάρια, και έπληξε 431 εκατομμύρια ανθρώπους σε όλον τον κόσμο το 2010, σύμφωνα με μελέτη που δημοσιεύθηκε από μια εταιρία που κατασκευάζει λογισμικό προστασίας από ιούς των υπολογιστών.
     
     
     
    Σύμφωνα με την έκθεση της εταιρείας Symantec, 74 εκατομμύρια Αμερικανοί έπεσαν πέρυσι θύματα του εγκλήματος στον κυβερνοχώρο, το οποίο τους προκάλεσε συνολικά 32 δισ. δολάρια άμεσες οικονομικές ζημιές.
     
     
     
    Στην Κίνα, το κόστος εκτιμάται ότι ανήλθε σε 25 δισεκατομμύρια δολάρια, στη Βραζιλία σε 15 δισ., και στην Ινδία σε 4 δισ. δολάρια.
     
     
     
    Σύμφωνα με την έρευνα, το 69% των ερωτηθέντων ενηλίκων χρηστών του
    Διαδικτύου έχουν πέσει στη ζωή τους θύματα εγκλήματος στον κυβερνοχώρο,
    ένα ποσοστό που αυξάνεται έως και σε 85% στην Κίνα και σε 84% στη Νότια
    Αφρική.
     
     
     
    Η μελέτη υπογραμμίζει επίσης την αυξανόμενη ανάπτυξη των εγκλημάτων του
    είδους στα κινητά τηλέφωνα. "Η εγκληματικότητα στον κυβερνοχώρο είναι
    πολύ πιο ανεπτυγμένη από όσο φαντάζονται οι άνθρωποι", δήλωσε ο Άνταμ Πάλμερ, σύμβουλος Διαδικτυακής ασφάλειας στην εταιρεία.
     
     
     
    "Κατά τους τελευταίους δώδεκα μήνες, ο αριθμός των ενηλίκων που
    ερωτήθηκαν για τη μελέτη για τα θύματα εγκληματικών πράξεων στον
    κυβερνοχώρο, είναι τρεις φορές μεγαλύτερος από αυτόν των θυμάτων
    εγκληματικών πράξεων στην πραγματική ζωή", τόνισε.
     
     
     
    "Και όμως, λιγότεροι από το ένα τρίτο των ερωτηθέντων πιστεύουν ότι
    είναι πιο πιθανό να πέσουν θύματα ενός εγκλήματος στον κυβερνοχώρο, από
    ό,τι ενός εγκλήματος στη φυσική ζωή", πρόσθεσε ο Πάλμερ.
     
     
     
    Η μελέτη, που έγινε σε δείγμα 20.000 ανθρώπων σε 24 χώρες, διεξήχθη τον Φεβρουάριο και το Μάρτιο του 2011 και καλύπτει τους προηγούμενους δώδεκα μήνες.
     
    Πηγή : www.nooz.gr
     
  23. Jordan_Tsafaridis
    Ο σκοπός του συγκεκριμένου άρθρου είναι πώς να εξαγάγουμε και να εισαγάγουμε το σύνολο της διαμόρφωσης του Forefront TMG (ή τμήματα της διαμόρφωσης TMG) για backup και πειραματικούς σκοπούς.

    Εισαγωγή
    Ο Forefront TMG καθιστά εύκολο να αναπαραχθεί η όλη ρύθμιση ή τμήματα της διαμόρφωσης για σκοπούς δημιουργίας αντιγράφων ασφαλείας σε περίπτωση έκτακτης ανάγκης ή απλά για την δημιουργία αντιγράφων ασφαλείας σε μια διαμόρφωση κλώνο σε έναν άλλο διακομιστή με εγκατεστημένο τον TMG Server. Ο Forefront TMG χρησιμοποιεί τον εγγραφέα VSS (Volume Shadow Copy Service) έτσι ώστε να εξάγει τη διαμόρφωση σε ένα αρχείο .Xml και στην ουσία αναθέτει σαν πάροχος στην υπηρεσία VSS την εξαγωγή της διαμόρφωσης σε XML αρχείο. Σε περίπτωση επαναφοράς, ο πάροχος VSS χρησιμοποιεί αυτό το αρχείο για την αποκατάσταση της διαμόρφωσης, χρησιμοποιώντας τη λειτουργία εισαγωγής του Forefront TMG.
    Backup & restore ολόκληρης της διαμόρφωσης
    Ξεκινήστε την κονσόλα διαχείρισης του Forefront TMG έτσι ώστε να δημιουργήσετε ή να αποκαταστήσετε το σύνολο της διαμόρφωσης του TMG. Είναι αναγκαίο να δημιουργούμε σε τακτά χρονικά διαστήματα αντίγραφα ασφαλείας ολόκληρης της διαμόρφωσης του TMG, και θα πρέπει να είναι μέρος του προγράμματος πρόληψης καταστροφών και αποκατάστασης των συστημάτων σας. 
     
    Εικόνα 1: Αντίγραφο ασφαλείας του συνόλου της διαμόρφωσης του TMG.
     
    Εκκινήστε το οδηγό εξαγωγής της διαμόρφωσης του TMG.
     

    Εικόνα 2: Εκκινήστε το οδηγό εξαγωγής της διαμόρφωσης του TMG.
     
    Εάν θέλετε να εξαγάγετε εμπιστευτικές πληροφορίες όπως NPS (RADIUS) μοιραζόμενα μυστικά, καθορίστε έναν κωδικό πρόσβασης με τουλάχιστον 8 χαρακτήρες για την κρυπτογράφηση των πληροφοριών. Αν και εσείς θέλετε να κάνετε backup των λογαριασμών των διαχειριστών τουTMG, θα πρέπει να ενεργοποιήσετε το checkbox για να εξαχθούν τα δικαιώματα των χρηστών.
     

    Εικόνα 3: Καθορισμός των παραμέτρων εξαγωγής της διαμόρφωσης του TMG.
     
    Καθορίστε μια τοποθεσία για το αρχείο εξαγωγής. Η τοποθεσία θα πρέπει να είναι σε NTFS διαμορφωμένο αποθηκευτικό χώρο με σκοπό την παροχή δικαιωμάτων NTFS για τη διασφάλιση του αρχείου και σε περίπτωση απώλειας του διακομιστή θα πρέπει να αποθηκεύσετε το αρχείο XML σε άλλο διακομιστή, ο οποίος δεν είναι ο διακομιστής TMG.
     

    Εικόνα 4: Τοποθεσία εξαγωγής αρχείου διαμόρφωσης.
     
    Αναλόγως με το μέγεθος του αρχείου διαμόρφωσης του TMG η διαδικασία εξαγωγής μπορεί να διαρκέσει αρκετό χρόνο.
     

    Εικόνα 5: Διαδικασία εξαγωγής.
     
    Εάν σας ενδιαφέρει να μελετήσετε το περιεχόμενο του εξαχθέντος αρχείου XML, δεν έχετε παρά να εισάγετε το αρχείο με την εντολή Open του Microsoft Internet Explorer, ή κάνοντας χρήση ενός XML file viewer.
     

    Εικόνα 6: Τα περιεχόμενα του αρχείου XML.
     

    Εισαγωγή της διαμόρφωσης του TMG
    Σε περίπτωση καταστροφής, είναι δυνατόν να εισάγουμε το σύνολο της διαμόρφωσης του Forefront TMG. Πρώτα επανεγκαταστήσετε το λειτουργικό σύστημα σε περίπτωση αποτυχίας του λειτουργικού συστήματος (Operating System Failure), και στη συνέχεια εγκαταστήστε ξανά τον Forefront TMG με τις προεπιλεγμένες ρυθμίσεις και μετά την έναρξη του Forefront TMG μέσα από την κονσόλα διαχείρισης πραγματοποιούμε την εισαγωγή της διαμόρφωσης TMG.  

    Εικόνα 7: Εισαγωγή της διαμόρφωσης του TMG.
     
    Καθορίστε την τοποθεσία στην οποία έλαβε χώρα η εξαγωγή της διαμόρφωσης του TMG.
     

    Εικόνα 8: Καθορίστε την τοποθεσία του αρχείου XML.
     
    Είναι δυνατόν να εισαχθεί ή να αντικατασταθεί η τρέχουσα διαμόρφωση του TMG. Εάν θέλετε να επαναφέρετε ολόκληρη την διαμόρφωση του TMG επιλέξτε την αντικατάσταση (αποκατάσταση).
     

    Εικόνα 9: Εισαγωγή ή αντικατάσταση της διαμόρφωσης του TMG.
     
    Επιλέξτε τις πληροφορίες που θέλετε να εισαγάγετε.
     

    Εικόνα 10: Επιλογή δεδομένων προς εισαγωγή.
     
    Προσδιορίστε τον κωδικό που χρησιμοποιείται για την προστασία των εμπιστευτικών πληροφοριών κατά την εξαγωγή της διαμόρφωσης του Forefront TMG σε αρχείο το οποίο θα εισαχθεί (overwrite) στην τρέχουσα διαμόρφωση TMG.
     

    Εικόνα 11: Εισαγωγή κωδικού προστασίας του προς εξαγωγή αρχείου.
     
    Η προς εισαγωγή διαμόρφωση θα αντικαταστήσει την υφιστάμενη διαμόρφωση του Forefront TMG, συνεπώς θα ήταν ασφαλέστερο να εξάγουμε πρώτα την τρέχουσα διαμόρφωση έτσι ώστε να μπορούμε να επιστρέψουμε στην προηγούμενη διαμόρφωση εάν κάτι πάει στραβά κατά τη διάρκεια της διαδικασίας εισαγωγής.
     

    Εικόνα 12: Επιβεβαιώστε την διαδικασία αντικατάστασης.
     
    Η διαδικασία εισαγωγής μπορεί να διαρκέσει λίγο χρόνο ανάλογα με τον όγκο των πληροφοριών στο εξαγόμενο αρχείο και την επεξεργαστική ισχύ της υπολογιστικής μηχανής.
     

    Εικόνα 13: Εισαγωγή της διαμόρφωσης.
     
    Μετά την επιτυχημένη εισαγωγή της διαμόρφωσης θα πρέπει να εφαρμόσετε τις αλλαγές στις παραμέτρους, όπως φαίνεται στο παρακάτω screenshot.
     

    Εικόνα 14: Εφαρμογή των αλλαγών.
     

    Δημιουργία αντιγράφων ασφαλείας και επαναφορά τμημάτων της διαμόρφωσης του TMG
    Είναι δυνατόν να εξάγουμει σχεδόν τα πάντα από τη διαμόρφωση TMG σε XML. Για παράδειγμα, είναι δυνατόν να εξάγουμε το σύνολο των κανόνων του τείχους προστασίας(Firewall), ορισμούς πρωτοκόλλων, τα δίκτυα και πολλά άλλα. Το παρακάτω screenshot δείχνει τη λειτουργία των εξαγωγών του συνόλου Firewall Policy. 
     
    Εικόνα 15: Εξαγωγή του συνόλου των κανόνων του τείχους προστασίας.
     
    Το επόμενο παράδειγμα δείχνει το παράθυρο διαλόγου για εξαγωγή ενός URL που δημιουργήθηκε από το Forefront TMG στην εργαλειοθήκη του Forefront TMG.
     

    Εικόνα 16: Εξαγωγή επιλεγμένων αντικειμένων.
     

    Εισαγωγή της διαμόρφωσης ενός ISA Server 2006
    Υποστηρίζεται επίσημα η μετάβαση από το ISA Server 2006 στον Forefront TMG. Ως πρώτο βήμα, πρέπει να εξάγουμε την διαμόρφωση του ISA Server 2006 και ενσυνεχεία πρέπει να εγκαταστήσουμε τον Forefront TMG σε ένα νέο διακομιστή με λειτουργικό σύστημα Windows Server 2008 R2. Μετά την ολοκλήρωση της εγκατάστασης του λειτουργικού συστήματος, συνεχίζουμε με την εγκατάσταση του Forefront TMG. Ολοκληρώνοντας εφόσον τώρα θα εισάγουμε το αρχείο διαμόρφωσης του ISA Server 2006 θα πρέπει να κλείσουμε τον wizard του Microsoft Forefront TMG ο οποίος εμφανίζεται αμέσως μετά την ολοκλήρωση της εγκατάστασης του Microsoft Forefront TMG . Τέλος εισαγάγουμε το αρχείο αρχείο διαμόρφωσης του ISA Server 2006 με την επιλογή της αντικατάστασης (overwrite). 
     
    Εικόνα 17:  Εισαγωγή της διαμόρφωσης του ISA Server 2006.
     

    Δημιουργία αντιγράφων ασφαλείας και αποκατάσταση χρησιμοποιώντας τον VSS Writer.
    Μπορείτε να δημιουργήσετε αντίγραφα ασφαλείας και επαναφοράς της διαμόρφωσης του Forefront TMG χρησιμοποιώντας το Volume Shadow Copy Service (VSS). Στον Forefront TMG, η διαμόρφωση είναι αποθηκευμένη σε μια εμφάνιση (instance) του Active Directory Lightweight Directory Services (AD LDS). Όταν χρησιμοποιείτε την υπηρεσία VSS για την δημιουργίς αντιγράφων ασφαλείας και επαναφορά της διαμόρφωσης του Forefront TMG, ο Forefront TMG καλεί τον AD LDS VSS Writer. 
    Το όνομα της συμβολοσειράς γι’ αυτόν τον  συγγραφέα (Writer) είναι "ISA Writer".
     
    Το αναγνωριστικό για το συγγραφέα μητρώου είναι 25F33A79-3162-4496-8A7D-CAF8E7328205.
     
    Για να δείτε το συγγραφέα VSS ξεκινήσετε μια γραμμή εντολών με την εκτέλεση του CMD.EXE και πληκτρολογήστε το κείμενο vssadmin λίστα Συγγραφέων. Το παρακάτω screenshot δείχνει την έξοδο vssadmin.
     

    Εικόνα 18: VSSadmin output
     

    Άλλα πράγματα για τα οποία μπορείται να δημιουργήσετε αντίγραφα ασφαλείας
    Τι άλλο πρέπει να έχουμε στο εναλλακτικό σχέδιο μας; Είναι πάντα μια καλή ιδέα η δημιουργία αντιγράφων ασφαλείας για ολόκληρο τον Forefront TMG Server με ένα πρόγραμμα δημιουργίας αντιγράφων ασφαλείας, όπως το ενσωματωμένο στα Windows Sever πρόγραμμα δημιουργίας αντιγράφων ασφαλείας. Για μια κανονική διαδικασία επαναφοράς θα πρέπει να είναι αρκετό να επανεγκαταστήσετε το Forefront TMG και να εισάγετε το αρχείο backup XML. Σε περίπτωση πλήρους αποτυχίας του λειτουργικού συστήματος, εγκαταστήστε ξανά το λειτουργικό σύστημα, εγκαταστήστε ξανά το Forefront TMG και εισαγάγετε το αρχείο αντιγράφου ασφαλείας της διαμόρφωσης του Forefront TMG.
     
    Στην περίπτωση που θα χάσετε όλα τα αρχεία καταγραφής, που δημιουργήθηκαν από τον Forefront TMG και η πολιτική ασφαλείας σας δεν το επιτρέπει αυτό, θα πρέπει να δημιουργήσετε αντίγραφα ασφαλείας των αρχείων καταγραφής (log files) και της βάσης δεδομένων που δημιουργήθηκε από τη βάση δεδομένων MSDE ή από τα TMG αρχεία καταγραφής (text log files), αλλά αυτό είναι εκτός του πεδίου του παρόντος άρθρου.

    Πιστοποιητικά Ασφαλείας
    Τα SSL πιστοποιητικά δεν αποτελούν μέρος της δημιουργίας αντιγράφων ασφαλείας στον Forefront TMG. Αν έχουν εκδοθεί πιστοποιητικά για την έκδοση του OWA ή κάτι άλλο σε HTTPS, είναι απαραίτητο να εξάγουμε τα πιστοποιητικά με άλλα εργαλεία. Τα πιστοποιητικά SSL αποθηκεύονται στις υπολογιστικές μηχανές σε τοπική αποθήκευση. Μπορείτε να χρησιμοποιήσετε την υπηρεσία Certutil.exe, από την γραμμή εντολών για την δημιουργία αντιγράφων ασφαλείας και επαναφορά των SSL πιστοποιητικών ή το Certificate MMC Snap για την εξαγωγή των πιστοποιητικών από το GUI.
    Συμπεράσματα
    Σε αυτό το άρθρο, σας έδωσα μια γενική εικόνα της εξαγωγής και επαναφοράς της διαμόρφωης του Microsoft Forefront TMG. Η πρωτοπορία της Microsoft στον TMG είναι ότι επιτρέπει με ένα απλό αντίγραφο ασφαλείας την αποκατάσταση του συνόλου της διαμόρφωσης του Forefront TMG ή μόνο τμημάτων της διαμόρφωσης του TMG. Θα ήθελα να συστήσω δημιουργία αντιγράφων ασφαλείας του TMG κάνοντας χρήση ενός εξειδικευμένου προγράμματος αντιγράφων ασφαλείας. 
     
  24. Jordan_Tsafaridis
    Ένα intrusion detection and prevention system
    (IDS/IPS) αποτελεί ένα από τα πλέον σημαντικά και αναπόσπαστα συστατικά ενός σύγχρονου και ασφαλούς web gateway. Το
    Network Inspection System (NIS) στον Forefront Threat Management Gateway
    (TMG) 2010 αποτελεί μια μοναδική από τεχνολογική άποψη εφαρμογή του IDS/IPS. Το σύστημα NIS εστιάζεται ιδαιτέρως στην αναγνώριση, πρόληψη και αντιμετώπιση των επιθεσεων στα λειτουργικά συστήματα της Microsoft και στις αντίστοιχες εφαρμογές. Το NIS χρησιμοποιεί signatures τα οποία έχουν αναπτυχθεί από το Microsoft Malware Protection Center (MMPC) και τα οποία διανέμονται διαμέσου του Windows Update γνωστό και με την ονομασία WSUS.

    Το NIS στον Forefront TMG 2010 παρέχει προστασία εφαρμόζοντας low-level
    network protocol inspection. Κάθε πακέτο υπόκειται σε ανάλυση επιπέδου protocol
    state, message structure, καθώς και message content. Αντιστοίχως όταν λαμβάνεται ένα πακέτο, το σύστημα NIS θα το ελένξει μόνον όταν αυτό επιτρέπετε από το firewall policy, και επίσης μόνον αφότου οποιαδήποτε συσχετιζόμενα web ή application filters το έχουν επεξεργαστεί.

    Υπάρχει ένα μειονέκτημα, ωστόσο. ΄Οταν υπάρχει ένα custom protocol αυτό δεν υπόκειται σε NIS inspection από τον Forefront TMG firewall εκτός και αν αυτό συσχετίζεται με ένα standard protocol. Αποτελεί συχνό φαινόμενο όπου ένας Forefront TMG firewall administrator θα δημιουργήσει ένα custom protocol για ένα standard protocol το οποίο χρησιμοποιεί μία non-standard port.
    Ένα από τα πλέον κοινότυπα πρωτόκολα το οποίο παραμετροποιείται να χρησιμοποιεί non-standard
    ports είναι το HTTP protocol. Για παράδειγμα, εάν ένας administrator καθορίσει ένα custom protocol για να υποστηρίξει μια εφαρμογή web-based η οποία με την σειρά της χρησιμοποιεί την non-standard TCP port 62112, τότε το NIS δεν θα ελένξει αυτό το traffic παρότι η επικοινωνία είναι HTTP, το οποίο αποτελεί ένα πρωτόκολο το οποίο το NIS υπό κανινικές συνθήκες το επεξεργάζεται και το ελέγχει όταν αυτό λαμβάνει χώρα πάνω από το standard TCP port 80.

    Για να εφαρμόσουμε το Forefront TMG NIS inspection σε ένα custom protocol θα πρέπει πρώτα να συσχετιστεί με ένα standard protocol. Στο παράδειγμά μας χρησιμοποιούμε το πρωτόκολο
    HTTP πάνω από ένα non-standard port, και συνεπώς θα πρέπει να συσχετίσουμε το δικό μας custom
    protocol με το Web Proxy Filter.



    Ενσυνεχεία συσχετίζουμε το custom protocol με ένα standard protocol definition, το οποίο στην προκειμένη περίπτωση είναι το HTTP Proxy.



    Αφότου ολοκληρώσουμε την παραπάνω διαδικασία, το Forefront TMG NIS inspection θα εφαρμοστεί στο custom protocol και η αντίστοιχη πολιτική θα πολιτική θα επιβληθεί, σύμφωνα με την τρέχουσα διαμόρφωση NIS.
    Ελπίζω ότι θα βρείτε το παραπάνω χρήσιμο.

  25. Jordan_Tsafaridis
    Αγαπητοί συνάδελφοι της κοινότητας παρακάτω σας παραθέτω τον σύνδεσμο για να κατεβάσετε το εξαμηνιαίο vulnerabilities report. O σύνδεσμος είναι ο παρακάτω :
     
    http://www.m86security.com/documents/pdfs/security_labs/m86_security_labs_report_1h2011.pdf
     
    Επιπροσθέτως σας παρακαλώ να μελετήσετε και τα παρακάτω στοιχεία :
     

    Malware Statistics
     

    World Malware Map - May 2011
     

    Where is most malicious code being hosted in the world?
     




    Top 5 Most Observed Vulnerabilities - May 2011
    Anonymized feedback from M86 filtering installations showed most observed threats were based on the following vulnerabilities:
    Vulnerability Disclosed Patched Microsoft Internet Explorer RDS ActiveX 2006 2006 Office Web Components Active Script Execution 2002 2002 Adobe Reader util.printf() JavaScript Function Stack Overflow Exploit 2008 2009 Adobe Acrobat and Adobe Reader CollectEmailInfo JavaScript method buffer overflow vulnerability 2008 2008 Internet Explorer Table Style Invalid Attributes 2010 2010  
    Ελπίζω ότι θα σας φανούν χρήσιμα.
     
×
×
  • Create New...