IT Blog – Jesper Ravn

I forbindelse med en test-installation af Forefront Client Security, havde jeg den udfordring, at afinstallere det eksisterende Antivirus system.
FCS skulle rulles ud på en række Vista laptops, som benyttede AVG 7.5.
Jeg valgte at gøre det på følgende måde:

• Disable services via en GPO for eksisterende Antivirus system (AVG 7.5 Client Security)
  
• Deploy FCS og lade FCS og den inaktive AVG sameksistere en kort periode.
  
• Afinstaller AVG via et startup eller logon script, konfigureret i en GPO.
  

For at disable AVG services fra en central GPO, skal man gøre følgende:
Start en MMC console på en lokal vista laptop, som har AVG installeret. Add “Security Templates”.
Højre musetast på profil templates og vælg “New Templates”.
Navngiv den nye Security Template.

 
Disable herefter alle AVG services.


Højre musetast på den nye AVG template og vælg “Save As”.

 

Opret en GPO som vi feks kan kalde AVGremove.
Kopier AVG.inf hen til en given GPMC Admin Vista Workstation og importer den nyoprettede template fra AVGremove GPO’en.
Når de enkelte Vista laptop’s starter vil alle AVG services bliver disablet.
Deploy herefter FCS til de ønskede Vista klienter. Nedenstående billede viser de to antivirus systemer, hvor AVG er inaktiv.



Lav til sidst et VBscript, hvor man via et GPO startup script afinstallere AVG.

‘Remove AVG – Startup Script
Dim wshShell
Set wshShell = WScript.CreateObject (“WSCript.shell”)
wshshell.run “”"C:\Program Files\Grisoft\AVG7\setup.exe”"” & “/UNINSTALL”, 1
set wshshell = nothing

Link ovenstående startup script til AVGremove GPO’en.

Efter jeg har grundinstalleret FCS, er det nu tid til, at konfigurere FCS og WSUS.
Se tidligere blog-post omkring installationen af FCS.
http://jravn.dk/?p=52

FCS konfiguration:
Start FCS console, som første gang automatisk åbner en “Configuration Wizard”.
Vi benytter en “one-server topology”, så servernavnet for alle rollerne vil være det samme.


Angiv den tidligere oprettet FCS account.


Angiv navn på Report server.

 
FCS konfigurationen verificeres og afsluttes.

 
Giv herefter FCS account’en db_owner rettigheder på SystemCenterReporting databasen.
Start SQL Server Management Studio og udfold database – SystemCenterReporting – Security.
Højre musetast på Users og vælg “New Users”. Angiv FCS, som db_owner.

 
Start til sidst FCS konsollen.

 

Konfiguration af Windows Firewall klient:
Før vi kan deploy FCS til klienterne, skal man forinden sikre sig, at de nødvendige porte er åben mellem FCS hosten og klienterne.
De nødvendige porte er som følger:

Opret en FCS GPO, som linkes til de ønskede workstation og server OU’s. Denne GPO kan med fordel også benyttes til WSUS settings.
Gå til Computer Configuration – Administrative Templates – Network – Network Configuration – Windows Firewall – Domain Profile.
Vælg her Windows Firewall: Allow define port exceptions og sæt denne til Enabled. Vælg Show og indsæt nedenstående:

1270:TCP:192.168.35.3:enable:1270 TCP
1270:UDP:192.168.35.3:enable:1270 UDP
80:TCP:192.168.35.3:enable:80 Distibution
8530:TCP:192.168.35.3:enable:8530 Distibution

Konfiguration af WSUS:
Products and Classifications:
For Products, vælg her Forefront Client Security.
For Classifications, vælg følgende updates: Critical – Definition – Security – Updates.

Synchronization Schedule:
Konfigurer, som vist på nedenstående billede.

Automatic Approvals:
Opret en ny FCS regl og konfigurer, som vist på nedenstående billede.



Deploy FCS:
Jeg ønsker at downloade og installere FCS til klienterne via distribution serveren. Det kræver at der oprettes en FCS policy.
Et andet alternativ er at lave en command line installation til SMS 2003/SCCM/SCE 2007/GPO.
For mere info omkring command line installation, se dette link:
http://technet.microsoft.com/en-us/library/bb404279.aspx

For at oprette en FCS policy, vælg fanebladet “Policy Management” i FCS konsollen.
Klik på New og konfigurer som vist på nedenstående billede:

Angiv Policy navn.

 
Angiv Protection settings.

Angiv Malware signatur updates mfl.

Angiv Alert level. jeg vælger her 4.



Efter Policy konfigurationen er vi nu klar til at sende FCS ud til de ønskede klienter. Klik på knappen deploy og angiv de ønskede OU’er/Grupper.



Der vil herefter blive oprettet ny FCS GPO, som linker sig til de valgte OU’er/Grupper. FCS og MOM agenten vil nu automatisk blive installeret.
For mere info omkring FCS se disse links.
http://technet.microsoft.com/en-us/library/bb432630.aspx

Best Practices Analyzer for FCS v1.0:
http://www.microsoft.com/downloads/details.aspx?familyid=0cefac3f-91ed-40c3-a684-603f149a4e32&displaylang=en

Forefront Client Security (FCS), er Microsoft Enterprise system, som tilbyder malware protection til servere og klienter.
Det er et client/server system, som benytter WSUS og MOM 2005 agenter til at distribuere FCS klienten og signatur filerne ud til de enkelte noder i netværket.
Hvis man i forvejen har en MOM 2005 infrastruktur, kan man ikke benytte den til FCS. FCS kræver sin egen MOM installation. MOM understøtter dog multi-home agents.
Antivirus og Antispyware komponenterne i FCS klienten baserer sig på Windows OneCare og Windows Defender og kører som en såkaldt “single engine”.
Det er kun Forefront Security (Exchange-Sharepoint), som benytter multi-engines.
FCS v1 er p.t. ikke supporteret på Windows 2003 x64 eller Windows 2008 RC versionerne.

Installationen tager udgangspunkt i en såkaldt “one-server topology”.
Før man kan installere FCS, skal man sikre sig at “software prerequisites” er på plads. De er som følger:

• Windows 2003 x86 + SP2
  
• SQL Server 2005 + SP2
  
• GPMC med SP1
  
• WSUS 3.0
  

SQL 2005:
Installer SQL server 2005 med følgende komponenter:
SQL Server Database Services – Reporting Services – Integration Services – Workstation components.

Under Service Account, vælg her Domain user account.
Vælg at SQL Server Agent skal startes ved afslutning af installationen.

Jeg ønsker at installerer den nye FCS database over på min data-partition, hvor der er godt med diskplads.
For at ændre database og log location, skal man gøre følgende:
Åben SQL Server Management Studio og logon til serveren.
Åben SQL Server properties og vælg database setting.
Jeg ændrer her location til D:\Database og D:\Log.
Installer til sidst SP2 og reboot serveren.

Installation af GPMC + WSUS:
Installer GPMC og WSUS 3.0

Installation af FCS:
opret en AD bruger account (FCS), som er domain admin.
Denne bruger, benytter vi som service og action account under hele installationen af FCS.
Kør FCS setup Wizard og vælg alle rollerne.

Angiv gruppenavn og service account.

Angiv database størrelse. Default er 15 GB.

Angiv størrelse på Report database.

Angiv URL for Report Server.

Vi bruger igen vores FCS account. Der er vigtigt at denne bruger, er lokal administrator ude på de enkelte Workstations og servere.

Jeg vælger her at installere FCS på min data partition.

Installationen godkendes. Hvis der er noget galt her, stopper installationen.

 

Installationen afsluttes.

 


I min næste blog-post, vil jeg beskrive hvordan man konfigurerer WSUS og FCS.
For mere info omkring installation af FCS, se nedenstående links:

System requirements for Client Security:
http://technet.microsoft.com/da-dk/library/bb418802(en-us).aspx

Installing a one-server topology:
http://technet.microsoft.com/en-us/library/bb404225.aspx

Forefront Client Security Team Blog:
http://blogs.technet.com/clientsecurity/default.aspx

Jeg orker ikke at skulle google hver gang jeg skal konfigurere IE7 via Group Policies.
Jeg har derfor prøvet at lave en konfig-plan for IE7, som jeg kan anvende næste gang det bliver nødvendigt.

Basis konfigurationen af IE7, er som følger:

Download og installer IE7 adm templates fra din GPO admin server/workstation.
http://www.microsoft.com/downloads/details.aspx?FamilyID=11ab3e81-6462-4fda-8ee5-fcb8264c44b1&displaylang=en

Remove eksisterende ” inetres.adm” templates under “Administrative Templares.
Gå til C:\Windows\inf og omdøb ” inetres.adm” til “inetres_org.adm”
Kopier C:\Program Files\Microsoft Group Policy\ inetres.adm til C:\Windows\inf.
Import herefter den nye IE7 template.

For at gøre oplevelsen med IE7 transperant for brugerne, vælger jeg her at konfigurere følgende:

Computer Configuration – Administrative Templates – Windows Components – Internet Explorer
Prevent participation in the Customer Experience Improvement Program = Enabled
Prevent Performance of first run customization settings =    Enabled
Turn on Menu Bar by Default = Enabled

User Configuration – Windows Settings – Internet Explorer Maintenance – URLs – Important URLs
Important URLs (Homepage) = http://jravn.dk

Indsæt til sidst vigtige virksomheds websider i “Trusted Sites og intranet”. Det kunne feks være som følger:

User Configuration – Windows Settings – Internet Explorer – Security – Security Zones and Content Ratings
Intranet – Outlook Web Acces – Citrix Web Interface – Bank mfl.

For mere info til ovenstående, se dette link (Internet Explorer 7 Deployment Guide):
http://www.microsoft.com/downloads/details.aspx?familyid=E41D8800-D134-4356-A2E7-C01BEE790908&displaylang=en

Nedenstående lister de fleste af de anbefalede sikkerheds indstillinger for IE7, som Microsoft har udarbejdet i dette dokument.
http://www.microsoft.com/downloads/details.aspx?FamilyID=6AA4C1DA-6021-468E-A8CF-AF4AFE4C84B2&displaylang=en

Min plan er at køre med dem i forskellige miljøer og vende tilbage til denne blog-post, hvis jeg fremover oplever problemer med nedenstående.

Security Zones.

Recommendations for Increased Security.

Note til Punkt 1-2-3:
Ved at at enable disse punkter vil alle Add-on blive disablet i brugernes IE. Derfor skal man forinden planlægge og teste denne lockdown.
Nedenstående links er doku til disse punkter:

About ActiveX Controls:
http://msdn2.microsoft.com/en-us/library/aa751971.aspx

Introduction to ActiveX – Part 1-2-3:
http://blogs.technet.com/askperf/archive/2007/11/16/introduction-to-activex-part-one.aspx
http://blogs.technet.com/askperf/archive/2007/11/30/introduction-to-activex-part-two-managing-activex-controls.aspx
http://blogs.technet.com/askperf/archive/2007/12/04/introduction-to-activex-part-three-security-and-security-zones.aspx

The ActiveX Installer Service in Windows Vista:
http://www.microsoft.com/technet/technetmag/issues/2007/07/AxIS/default.aspx

Note til Punkt 4:
Ved at disable “Allow Active Scripting” disabler man også Javascript, som mange web sites bruger i dag. Det betyder at man også skal planlægge og teste denne indstilling.
IT afdelingen skal her indstille sig på, at vedligeholde en Trusted Site liste.
Hvis man tillader at brugerne selv kan tilføje til Trusted Sites kan man installere “Internet Explorer 5 Power Tweaks Web Accessory” ude på de enkelte workstations.
Fordelen er her, at den integrerer Trusted Sites i IE menuen.
Alternativt til ovenstående, kan man opsætte en Secure Proxy i form af ISA 2006 + GFI Webmonitor eller Bluecoat, som kan scanne http trafik.

Xobni er et rigtig godt Add-on til din Outlook.
Den kan hente navn og tlf. nummer udefra de enkelte mails. Samtidig kan den analysere dine mails, hvor man herefter får en lang række nyttige informationer.
Med Xobni får man også en super hurtig søgning af mails.

Nedenstående billede viser her de informationer Xobni giver, ved at klikke på en given person i sin indbakke i Outlook.
Man får at vide hvor mange ind og udgående mails man har sendt/modtaget til denne person.
Man får et overblik over hvilke andre personer der er tilknyttet til Jesper Ravn samt alle mails og alle vedhæftede filer.

 

Under Organize får man en liste over alle de personer man har sendt e-mails til, samt hvor lang tid man sidst har kommunikeret med dem (Stay In Touch).



Med Xobni Analytics får man en mail statistik som vist på nedenstående billede.

 

Efter at have installeret og testet Xobni, har jeg allerede nu svært ved at undvære den. Feks når jeg tilgår min Outlook via Citrix.
Jeg har kun en feature request, som jeg har sendt af sted og det er at kunne oprette kontakt personer som getanagram.
http://www.getanagram.com/

Xobni er stadigvæk i en beta version, men jeg har testet den i Outlook 2003 og 2007 og har ikke oplevet nogen problemer.
Du kan anmode om beta udgaven på deres Web site – http://www.xobni.com/

For mere info se nedenstående link:
http://www.xobni.com/support/faq
http://www.xobni.com/blog/