Här kommer en guide och ett exempel på hur man kan använda SQL 2008 R2 Report Builder. I mitt fall använder jag FEP 2010 och Configuration Manager 2007, då den här version har minst antal färdiga rapporter by default.

Börja med att surfa till den SQL reporting server som du använder för Endpoint Protection:

Gå mot sökväg http://<sqlserver>/reports

Klicka på ”Report Builder”

Klicka på New Report -> Table or Matrix Wizard

Välj next (Create a dataset)

Välj next (Data source skall vara markerad med automatik)

Design a query

Välj vilken data du vill använda.

Vill du ha mer än en tabell behöver du sätta upp en relation mellan dessa för att koppla samman tabellerna.

Klicka på Add Relationship (1) och välj de två tabeller som du vill knyta ihop på ”Left Table” (2) respektive ”Right Table” (3) och dubbelklicka på ”Join Fields” (4).

Klicka på ikonen ”Add Field” (5) och välj de två fälten du vill knyta ihop.

I mitt fall ville jag ha ut all skadlig kod som på träffats, detaljer om eventuella filer/sökvägar finns samt vilka datorer som har blivit smittade och vilka användare som har varit inloggade vid tidpunkten.

Jag har jag kopplat ihop tre tabeller

• dtFEP_AM_ComputerInfectionStateContributor
  För att få reda på detekterad skadlig kod, sökväg, process, detektionstid

• dtFEP_AM_TreatMetadata
  För att få ut namnet på malwaret

• dtFEP_Common_Computer
  För att få information om datorn där malwaret påträffats med information om Domän, Operativsystem och klient version

• dtFEP_Common_User
  För att få ut information om användaren som var inloggad vid tidpunkten som malwaret påträffades

Nästa steg handlar om att välja ut vilka fält du vill bygga upp dina tabeller med och hur de vill sortera dessa. I mitt fall vill jag sortera detta på skadlig kod och namnet på denna.

Nästa steg väljer vi vilket utseende tabellen skall ha och klickar sedan på Finish

Vår rapport öppnas då i Microsoft SQL Server Report Builder
Här kan vi ange valfri rubrik och finslipa på utseendet av rapporten

När du är nöjd generar du rapporten

Den här rapporten kan du generera hur många gånger som helst för att hämta in ny data och vill du konvertera till exempelvis Excel eller annat format så kan du enkelt få ut motsvarande information i det formatet du önskar.

Utvecklingen av Microsofts anti-malware(antivirus) fortsätter och imorgon kommer bl.a. en uppdatering med nya funktioner till Forefront Endpoint Protection 2010 och System Center 2012 Endpoint Protection. På System Center team-bloggen kan vi läsa om följande tre nyheter:

1. Anti-tampering improvements
   Det här är en funktion som enkelt förklarat skyddar mot att vilande programkod inte manipuleras/förändras och den här har nu förbättrats ytterligare för att ge ett bättre skydd.
2. Ny malware remedition functionalitet
   Redan idag är standardåtgärderna för skadlig kod i virusdefinitionen för att på sätt kunna avgöra om filen kan raderas eller bör placeras i karantän för att inte påverka något verksamhets kritiskt. Exakt vad den här nyheten innebär skall bli intressant att se.
3. Improve overall performance
   Trots att Microsofts är ett av de antimalware som tar minst prestanda så fortsätter man optimera produkten för att den skall påverka prestandan så lite som möjligt.

Om du kör Endpoint Protection stand-alone kan du ladda ner nya versionen imorgon via Microsoft Update.

System Center 2012 Endpoint Protection på Mac eller Linux

I och med System Center Configuration Manager 2012 Service Pack 1 fick vi även stöd för att köra System Center 2012 Endpoint Protection på Linux/Unix system och Mac OSX. Det är dock inte supporterat och möjligt att köra Endpoint Protection på alla plattformar eller versioner från Apple eller Linux/Unix. En beskrivande kb-artikel över vilka plattformar som suppertas i dagsläget finns nu framtagen i kb nummer 2798547

Det här har att göra med endpoint kontrollen som verifierar vilken webbläsare en klient använder.
För att lösa det här problemet behöver man göra en förändring i filen Default.asp som finns under
%ProgramFiles%\Microsoft Forefront Unified Access Gateway\von\FileAccess

Det finns en del förslag på ändringar runt om på olika forum och bloggar men den korrekta ändringen som jag fått av Erez Ben-Ari som är Support Escalation Engineer på Microsoft skall vara att ändra rad 20 i Default.asp till följande:
ver = parseInt(lowerAgent.substr(lowerAgent.indexOf(”msie”)+5,2))
Istället för tidigare:
ver = CInt(lowerAgent.substr(lowerAgent.indexOf(”msie”)+5,2))

Genomför ändringen och aktivera sedan konfiguration via UAG konsolen.

Äntligen så har Service Pack 3 till Forefront Unified Access Gateway (UAG) nu släppts till allmänheten.
Vi på Onevinn har fått fördelen att testa betan av SP3 under en tid, vilket har varit väldigt lyckat.

Absolut största och viktigaste nyheten som de flesta har längtat efter är att få klientstöd för

• Windows 8
• Internet Explorer 10
• RDP 8.0 klienten.

Det fungerar nu utan problem att köra från din Windows 8 klient mot UAGn och nå alla resurser du behöver.
Även fast det har fungerat att köra DirectAccess från Windows 8 mot UAGn så är det först nu i Service Pack 3 som det är fullt supporterat.

Det är heller inga problem att köra från en Windows 8 RT platta, dock så behöver du köra IE 10 i desktop läge för att få stöd för ActiveX för exempelvis RDP funktionalitet.

UAG SP3 innehåller även nya mallar för att publicera Exchange 2013 och SharePoint 2013

Så gör dina Windows 8 -användare riktigt lyckliga och uppgradera din Forefront UAG.
Service Pack 3 finner du här: http://www.microsoft.com/en-us/download/details.aspx?id=36788

Det har även publicerats en artikel om UAG SP3 som beskriver UAG funktioner med alternativa tekniska lösningar istället för UAG. Dock har det blivit en del missuppfattningar att dessa funktioner inte längre finns eller är supporterade med SP3. Mer information finns på Onevinns blogg: http://blogg.onevinn.se/2013/02/28/service-pack-3-for-uag-ytterligare-information/

Microsoft skriver bland annat:
Vi som stöder den är företag som vill förändra synen på arbete – från en plats man går till, till något man gör. Vi ser det som vårt ansvar att gå i bräschen för en kultur där medarbetare är medmänniskor, där vi värdesätter prestation framför närvaro. Där vi erbjuder teknik som gör att vi kan arbeta när, var och hur vi vill. Så att människor får mer tid och naturen lite andrum.
http://www.microsoft.com/sverige/dna/jobba-hemma-dagen/default.aspx

Vilken teknik erbjuder då Microsoft för att jobba hemifrån eller från andra platser än själva kontoret?

Det gäller att hitta en balansgång att kunna jobba på distans så enkelt och smidigt som möjligt med hög säkerhet. Alternativen är många då det finns flera lösningar från Microsoft att kunna jobba på distans, och så gott som alla har redan produkter och licenser på plats för att få till en säker lösning för distansarbete.
Några exempel på dessa lösningar finner ni här

DirectAccess

Det absolut bästa alternativet om man har många klienter som jobbar på distans mot företagsnätverket är DirectAccess. Många ser den stora fördelen att klienten alltid är ansluten mot företaget och når de resurser den behöver så länge det finns Internetanslutning. Självklart underlättar ju detta för användaren men rent krasst går detta att åstadkomma med traditionell VPN också.
Den absolut största fördelen är att företaget alltid kan hantera sina klienter vart de än befinner sig och ha kontroll över maskiner som aldrig är på det fysiska företagsnätverket. Det är viktigt att inte glömma bort vikten av att ha kontroll över sin maskinpark och särskilt över de klienter som oftast är anslutna till Internet utanför företaget och dess säkerhetslösningar.
Det enda som behövs för att få upp en fungerande Direct Accesslösning är klienter med Windows 7 (Ultimate, Enterprise) eller Windows 8 (Enterprise) och antingen Forefront UAG eller Windows Server 2012.  Så har du detta är det inget att fundera på! Kör hårt

VPN

Traditionell VPN är även det en bra metod att nå sitt företagsnätverk och med tanke på att alla Windows operativ har en inbyggd VPN klient krävs heller ingen installation på klienterna. Rekommenderade VPN-servrar är antingen Windows Server 2012, Forefront UAG eller Forefront TMG. Vill man automatisera anslutningen till företaget kan man antingen konfigurera så att klienten kopplar upp sig vid inloggning i Windows eller första gången man startar webbläsaren.
I många fall vill man att klienterna skall följa surfpolicyn även på hemmaplan och att webbläsaren då kopplar upp till TMGn och surfar ut den vägen mot Internet för att skydda klientens internet access vart den än befinner sig.
Ett alternativ för utökad säkerhet är att använda smart card för användarna, det finns även andra lösningar för flerfaktorsautentisering med tredjepartsprodukter såsom PointSharp ID.

RDP (Remote Desktop Protocol)/Fjärrskrivbord

Det är skrämmande vanligt att köra ren RDP rakt över Internet för att nå interna servrar. Relativt förståeligt då RDP protokollet med fjärrskrivbord är ett grymt användarvänligt och smidigt sätt att jobba på en server eller en klient från distans. Beroende på vilka säkerhetskrav man har på företaget så kan det här faktiskt vara ett helt ok sätt att jobba på distans.

Här kommer några råd på vägen om du använder dig av RDP.

Först och främst, använd enbart detta på nyare operativsystem som har stöd för NLA, vilket står för Network Layer Authentication, som påtvingar en autentisering som måste bli godkänd innan RDP-sessionen etableras. Utan NLA sätts RDP sessionen igång innan autentisering har skett vilket gör att maskinen är mer sårbar mot DoS attacker med mera. 

Dock är RDP fortfarande en relativt osäker metod och det blir en hel del begränsningar att nå flera maskiner bakom en brandvägg.

En bra lösning som både höjer säkerheten och ger mer flexibilitet är TS Gateway (Terminal Services Gateway) som kom i Windows Server 2008 och som i Windows Server 2012 heter RD Gateway (Remote Desktop Gateway).
Med den här tekniken löser du många problem, bland annat tunnlas trafiken över HTTPS (TCP 443) istället för standard porten 3389 vilket krypterar trafiken på ett bättre sätt och även ger möjlighet att köra RDP bakom en brandvägg som bara släpper igenom HTTP/HTTPS trafik. För att höja säkerheten kan och bör du placera din TS/RD Gateway bakom till exempel en Forefront TMG för att få till pre-autentisering så enbart autentiserad trafik kommer fram till gatewayen och därifrån kan du då styra vem som får nå vilka servrar/datorer på insidan.

Inställningar för en konfigurerad RDP klient som ansluter mot en RD Gateway

Hälsovalidera klienterna med NAP

För att komplettera säkerheten är Network Access Protection (NAP) en grym funktion där du kan hälsovalidera klienterna och då kontrollera om klienten har ett aktivt och uppdaterat antimalware, brandvägg påslagen eller de senaste windowsuppdateringarna installerade. Det går även att anpassa NAP-klienten för att kontrollera i stort sett vad som helst på en klient. Det fungerar även att kontrollera om realtidsskydd är aktiverat med de senaste definitionerna med de flesta stora antimalwareprodukterna och alltså inte bara med Microsofts egna.
Genom att kombinera NAP med någon av de ovanstående teknikerna kan du ställa krav på klienten enligt IT-policyn, så när klienten ansluter med RDP, VPN eller DA så aktiveras den lokala brandväggen med automatik och realtidsskydded slås på. Vid VPN och DA kan du även ge en begränsad access om klienten inte är godkänd enligt NAPs säkerhetskrav så klienten når antimalwareservrar och andra manageringsservrar för att bli godkänd och då med automatik flyttas ut från karantän och få tillgång till det som den behöver efter att det som saknades åtgärdats.

Här visar jag hur det kan se ut med en Windows 8 som ansluter mot en TMG med NAP: http://itsäkerhetsguiden.se/2012/06/25/demo-av-windows-8-som-vpn-klient-mot-tmg/

Portal

När vi behöver nå företagsresurser från alla typer av enheter så brukar ju den gemensamma faktorn vara att man har en webbläsare av något slag.
Med Forefront Unified Access Gateway (UAG) kan du publicera de flesta interna tjänsterna inklusive fjärrskrivbord, filutdelningar med mera som då nås via din webbläsare.
En stor fördel med UAGn är att du kan publicera de olika tjänsterna i webbportalen och ge olika typer av behörighet baserat på vem som loggar in och ifrån vilken klient. På det sättet kan du ge olika behörighet för en användare om han surfar från en företagsdator, iPad/Android-platta eller kanske från ett internetcafe i Thailand.

Läs mer om Forefront UAG på ITSäkerhetsguiden.se/UAG

Hur hittar man hit?
Den nya adressen är itsäkerhetsguiden.se (Japp, det fungerar faktiskt med ä, men anger du itsakerhetsguiden.se så fungerar även detta).
Är du lat finns det också en förkortad URL med adressen: itsg.se

Det finns fler säkerhetsfunktioner än de flesta vet om!
Det är fortfarande många som är omedvetna om all säkerhetsfunktionalitet som Microsoft levererar och som de flesta företag också redan betalar för i sina licensavtal. De flesta företag och myndigheter har dubbla licenser och betalar dyra och onödiga pengar till tredjepartsleverantörer, allt ifrån antivirus och brandväggar till diskkryptering och VPN-lösningar, trots att de kan få minst lika hög säkerhet, bättre användarupplevelse och förenklad administration med Microsoftlösningar.
Ett klassiskt exempel är klientoperativet Windows. Alla senare Windowsoperativ har en inbyggd VPN klient, lokal brandvägg, diskkryptering (beroende på licensavtal), webbfilter och Windows 8 kommer nu även med förinstallerat Antivirus/Antimalware. Sedan finns det många fler säkerhetsfunktioner som tillsammans gör att klienten når de säkerhetskrav som verksamheten kräver.

Den här bilden illustrerar några av de säkerhetsfunktioner som finns idag.

Det finns både för och nackdelar med att man hanterar Endpoint Protection lokalt via System Center Configuration Manager. En av de absolut största fördelarna är att man har en och samma konsol för all hantering av klienter och servrar och att man då också kan få mer specifika antimalwareåtgärder baserat på alla den information som Configuration Manager har av klienterna. Exempelvis om man vill påtvinga en fullscan av alla klienter som har en vissa applikation installerad osv.

En nackdel är dock att Endpoint Protection är beroende utav samma förvaltningsrutiner som finns för övrig hantering av miljön och då de tidsbegränsningarna som finns i Configuration Manager. Dessa tidsbegränsningarna har dock minskat för varje ny version av Configuration Manager sedan Forefront blev integrerat i Configuration Manager 2007 och vi har nu riktigt trevliga nyheter som nu har kommit i Service Pack 1 till system Center Configuration Manager 2012.

Vi har nu en hel del antimalwarerelaterade åtgärder som genomförs i så gott som realtid på klienterna. Inom någon sekund så kommer följande åtgärder vidtas av Endpoint Protection när de aktiveras från Configuration Manager:

• Köra en full scan av en maskin för att göra en djup genomsökning av skadlig kod
• Köra en quick scan av en maskin att bekämpa skadlig kod på de vanligaste lokationerna utan att ta någon märkvärd prestanda av maskinen
• Trigga en kontroll för att ladda hem de senaste antimalwaredefinitionerna
• Återställa filer som hamnat i karantän

Vi har också fått en nyhet som förenklar för våra konfigurationpolicies till Endpoint Protection.
Tidigare har man fått skapa en konfigurationspolicy per maskin där man t.ex. använt färdiga policymallar för standard undantag för bl.a. en SQL server eller IIS server och om man då haft en server med båda dessa roller har man fått skapa en egen policy för de maskinerna.
En nyheter i Service Pack 1 är att man nu kan applicera flera policys till samma maskin och istället för tidigare (där man gick efter policyns prioritetsordning) så slår numera alla policys och dess undantag på maskinen. Det här både underlättar för administrationen och minskar antal policys och ger bättre översikt i gränssnittet.
Om det finns andra inställningar än just undantag för t.ex. schemalagda scanningar i flera policies som slagit på en och samma maskin så är det fortfarande prioriteringsordningen som avgör vilken inställning som slår.

En annan nyheter har att göra att man numera centralt kan avgöra åtgärdsordning när flera typer av skadlig kod påträffas.
Via konsolen redovisas vilka virus och annan skadlig kod som påträffats och därifrån kan man enkelt definiera vilket malware som skall hanteras först och då också vilken åtgärd som skall tas, exempelvis om man vill vidta fördefinierad åtgärd som radering eller karantänplacering eller helt enkelt markerar den som oskadlig.

Det kom en viktig uppdatering till Service Pack 1 dagen efter dess release som är väldigt viktig att lägga på. Service Pack 1 till ConfigMgr 2012 finns att ladda hem från TechNet/MSDN och volymlicenssidan. Läs mer om SP1 och även om nyheterna i Windows Intune på produktbloggen

Ladda hem viktig fix vid installation av SP1 från kb2801987

Ännu en uppdatering har släppts till Forefront Threat Management Gateway (TMG) och det här är RollUp (RU) 3 till Service Pack (SP) 2.
Precis som namnet SP2RU3 antyder så är förkravet att du har Service Pack 2 installerat på din TMG Server/servrar. Dessa RollUps är även kumulativa vilket betyder att den ersätter tidigare SP2RU uppdateringar och därav behöver varken SP2RU1 eller SP2RU2 vara installerad.
Observera att uppdateringar alltid skall installeras på samtliga TMG och EMS servrar i miljön där installationsordningen är att börja med EMS, sedan den TMG som är reporting server och sedan fortsätta med övriga TMG servrar i arrayen.

Den här fixen innehåller rättningar för 10 olika problem som du skulle kunna vara drabbad av. Men generellt så rekommenderar jag att du alltid installerar dessa RollUps om du upplever något problem i din TMG miljö.

Exempel på rättningar är:

• Instabilitet om du använder Enhanced NAT
• Problem med web farms som slutar svara
• Viss utgående PPTP VPN från en intern klient bakom TMG brandväggen misslyckas.

Läs mer om vilka fixar som ingår och beställ uppdateringen från kb2735208

“It is with great pride we announce that Anders Olsson has been awarded as a Microsoft® Most Valuable Professional (MVP) for 1/1/2013 – 1/1/2014 “

Jag är fortfarande MVP inom Microsoft Forefront och vi är nu högst 18 stycken Forefront MVPer i världen, där jag är själv om denna titel i Sverige.

Det skall bli ett riktigt intressant 2013 med tanke på den nya plattformen Windows Server 2012 och Windows 8 samt System Center sviten, där det finns mycket godsaker att leka med för att få en säker infrastruktur.

En god vän och extremt duktig tekniker vid namn Ben-Ari har precis blivit klar med sin bok som beskriver hur du planerar och implementerar dessa lösningar med hjälp av Windows Server 2012.

Detta är en bok som jag varmt kan rekommendera om du vill lära dig mer om Remote Access lösningarna i Windows Server 2012.

Den finns redan nu att förhandsboka på exempelvis bokus

Gott nytt år på er!

Ett tipps på nyårslöfte är att börja nyttja fler funktioner som du redan betalar för i dina Microsoftlicenser, på det sättet sparar du både pengar och får bättre IT-lösningar.