Архив

Archive for Март 2011

Microsoft Security Update Guide, Second Edition–новая версия руководства по обновлениям безопасности для продуктов Microsoft


CO-016-0407

Microsoft выпускает множество различной документации относительно обеспечения безопасности своих продуктов через различные ресурсы – мануалы, бюллетени и т.д.  Для обеспечения максимальной безопасности Вашей IT-инфраструктуры Microsoft выпустила вторую редакцию мануала по обновлениям безопасности (security update), в котором рассмотрены вопросы выпуска обновлений безопасности,  их распространения в Вашей IT-инфраструктуре и ресурсах об обновлениях безопасности (Security Update). Выпущенное руководство описывает, как использовать эти ресурсы эффективно, чтобы обеспечить безопасность Вашей ИТ-среды. Скачать Microsoft Security Update Guide, Second Edition можно по этой ссылке с центра загрузок Microsoft. Сразу скажу, что документация выпущена на английском языке.

Реклама
Рубрики:Security Метки: , , ,

Новый Antimalware-движок с 23 марта 2011г.


1d4e2619cce70747a98e0f87590

В рамках регулярного обновления Antimalware-технологий для обеспечения защиты от последней  угроз Microsoft  планирует 23 марта 2011г.  выпустить новый Antimalware-движок  (версия из диапазона 1.1.670X.0) для своих антивирусных продуктов Microsoft Security Essentials (MSE), Forefront Client Security (FCS), Forefront Endpoint Security.

Административные шаблоны для Internet Explorer 9


ie-logo-150x150

Для централизованного  распространения параметров пользовательского интерфейса, а также управлением настройками новой версии веб-браузера Internet Explorer 9, как впрочем и для других версий браузера, можно использовать административные шаблоны. При установке Internet Explorer 9 в операционных системах Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008 административные шаблоны устанавливаются автоматически вместе с веб-браузером. Однако в некоторых случаях бывает необходимо управлять настройками Internet Explorer 9 также и в операционной системе Windows Server 2003 SP2. Так как установка IE 9 в этой версии операционной системы  не поддерживается, то административные шаблоны для управления IE9 необходимо устанавливать вручную. Скачать их можно с центра загрузок Microsoft по этой ссылке. Для установки административных шаблонов IE9  в Windows Server 2003 SP2 x32/x64 необходимо выполнить следующее:

1. Скопировать файл inetres.adm в папку  %WINDIR%\inf\ , где %WINDIR% – каталог установки операционной системы Windows Server 2003 SP2;
2.  Открыть редактор групповых политик (gpedit.msc); раскрыть Local Computer Policy, далее раскрыть  Computer Configuration;
3. Щелкнуть правой кнопкой на административных шаблонах (Administrative Templates). Если в списке есть шаблон Inetres, выбираем его и нажимаем  Remove и затем Close;
4. После этого снова  щелкнуть правой кнопкой на административных шаблонах (Administrative Templates) и щелкнуть Add/Remove Templates. Нажимаем Add и указываем путь к фалу с шаблоном inetres.adm в папку  %WINDIR%\inf\ и добавляем шаблон в перечень (щелкаем Open и Close).

Доступна финальная версия браузера Internet Explorer 9


Internet-Explorer-9-IE9-Power-Tips-from-Microsoft-2

Сегодня стала доступна для скачивания финальная версия веб-браузера Windows Internet Explorer 9 (9.0.8112.16421). Браузер устанавливается на 32-битные  и 64-битные операционные системы Windows Vista/Windows 7/Windows Server 2008/Windows Server 2008R2.

Все новшества новой версии браузера можно почитать в руководстве IE9 – скачиваем с центра загрузки Microsoft отсюда. На текущий момент доступна англоязычная версия руководства.

Инсталляционные файлы самого браузера для различных версий операционных систем скачиваем по ссылкам:

Версия
операционной системы
Русскоязычная
версия
Англоязычная
версия
Windows 7 x86 IE9 Win7 x86 RU IE9 Win7 x86 EN
Windows 7 64-bit /
Windows Server 2008 R2
64-bit
IE9 Win7 x64/
Server 2008R2 x64
RU
IE9 Win7 x64/
Server 2008R2 x64
EN
Windows Vista 64-bit Edition /
Windows Server 2008 64-bit
IE9 Vista x64 /
Server 2008 x64
RU
IE9 Vista x64 /
Server 2008 x64
EN
Windows Vista x86/
Windows Server 2008 x32
IE9 Vista x32 /
Server 2008 x32
RU
IE9 Vista x32 /
Server 2008 x32
EN

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 2 : ISP Load Balancing – обеспечение балансировки нагрузки


TMG2010

В предыдущем посте по избыточности поставщиков услуг Интернет я рассмотрел настройку Forefront TMG 2010 для обеспечения отказоустойчивости линков. В этом посте я продолжу тему настройки  избыточности поставщиков услуг Интернет и рассмотрю как настроить второй режим избыточности – балансировку нагрузки (ISP Load Balancing), для чего: 

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункт “Сети” (Networks), переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-14-21-05-42

2. Выбираем режим избыточности Load Balancing with failover capability:

forefront-tmg-2011-03-14-21-05-56

3. Далее необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-14-21-06-15

4. Проверяем сетевые параметры подключения к первому ISP-провайдеру, при необходимости изменяем. Как и в предыдущем посте напоминаю, что все сделанные изменения будут применены к настройкам сетевого адаптера, привязанного к этому подключению:

forefront-tmg-2011-03-14-21-06-36

5. Далее необходимо остановиться на следующем: иногда есть необходимость пропуска трафика к каким-либо узлам/подсетям/диапазонам адресов именно через определенный канал (определенный ISP-провайдер). В таком случае необходимо в следующем окне добавить соответственно IP-адрес(а) узла/подсети/диапазона адресов:   я приведу пример на узле, т.е. добавлю IP-адрес сервера времени ISP-провайдера: 

forefront-tmg-2011-03-14-21-07-05

Далее нажимаем New

forefront-tmg-2011-03-14-21-07-59

и из меню выбираем Computer:

forefront-tmg-2011-03-14-21-08-23

В появившемся диалоговом окне вводим понятное обозначение для этого узла и его IP-адрес:

forefront-tmg-2011-03-14-21-09-22

Далее нажимаем Добавить (Add):

forefront-tmg-2011-03-14-21-09-36

Как Вы могли заметить в перечне есть один узел, который добавляется всегда по умолчанию – это адрес DNS-сервера ISP-провайдера на текущем линке. Мы добавили для этого подключения еще один узел (в данном случае для демонстрации — это не всегда нужно в реальности). Нажимаем далее для продолжения:

forefront-tmg-2011-03-14-21-09-43

6. Для второго линка (второго ISP-провайдера) выполняем аналогичные действия как и для первого:

forefront-tmg-2011-03-14-21-09-59

проверяем настройки:

forefront-tmg-2011-03-14-21-10-10

и нажимаем Далее (Next) – для этого подключения кроме адреса DNS-сервера провайдера мы не будем добавлять выделенных узлов (Dedicated Servers):

forefront-tmg-2011-03-14-21-10-14

7. Теперь осталось сделать заключительное действие – правильно распределить нагрузку на каналы:

forefront-tmg-2011-03-14-21-10-20

Для равномерной нагрузки необходимо ползунок установить посредине (50/50). Тут также стоить не забывать о том, что каналы к ISP-провайдерам могут быть не одинаковые по скорости, а также разные по стоимости оплаты трафика. Вообще все это зависит от конкретной ситуации, поэтому как распределить нагрузку между линками решать Вам.

8. Для завершения конфигурации нажимаем Finish:

forefront-tmg-2011-03-14-21-10-31

9. Применяем наши настройки (Apply):

forefront-tmg-2011-03-14-21-11-05

можно добавить описание наших действий:

forefront-tmg-2011-03-14-21-11-10

Вот и все – балансировка нагрузка между двумя каналами ISP завершена:

forefront-tmg-2011-03-14-21-11-29

Еще хотел упомянуть момент о том, что если для линков IP-адреса  назначаются  динамически, то необходимо добавить вручную маршруты до шлюзов по умолчанию для каждого из подключений. Это можно сделать как я рассказывал в предыдущем посте или через графический интерфейс:  

forefront-tmg-2011-03-14-21-22-23

На этом пока все.

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 1 : ISP Failover – обеспечение отказоустойчивости


TMG2010Доступность IT-сервисов является очень важным моментом в  работе IT-инфраструктуры любого предприятия, тем более теперь, когда от работы IT-инфраструктуры зависят бизнес-процессы.  Не исключением из этого правила является работа Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) в качестве точке взаимоподключения корпоративной сети предприятия и сети Интернет. При наличии двух независимых подключений к сети Интернет на узле Forefront TMG 2010, возможно их использовать для:

1. Обеспечения отказоустойчивости (ISP Failover) – при “падении” одного из линков траффик будет перенаправляться через второй линк;
2. Обеспечения балансировки нагрузки (ISP Load Balancing) на узле Forefront TMG 2010.

В этом посте я постараюсь описать как сконфигурировать Forefront TMG 2010 с использованием двух подключений к сети Интернет для первого варианта – обеспечения отказоустойчивости.

В режиме обеспечения отказоустойчивости для соединения с Интернет активным является один из двух ISP-линков.

Для начала расскажу немного теории, а именно при каких условиях Forefront TMG 2010 считает, что основной линк “упал”:   

TMG 2010 проверяет “доступность”  линка путем опроса корневых DNS-серверов по протоколу  UDP через порт 53. TMG 2010  опрашивает эти DNS-сервера каждые 60 секунд. Несколько корневых серверов опрашиваются последовательно (при каждой попытке опрашивается один из корневых DNS-серверов) чтобы определить, есть ли какие-либо  проблемы с подключением к определенному из корневых серверов DNS. Если несколько корневых DNS-серверов не отвечают на запросы с первого раза, TMG 2010 повторяет попытки соединения еще 2 раза (всего 3 попытки соединения с учетом первой) с интервалом в 60 секунд между каждой из попыток. Если и эти попытки соединения не увенчались успехом, Forefront TMG 2010 переключается на резервный линк и пропускает клиентский трафик через него.  После переключения TMG 2010 с основного линка на резервный, TMG будет тестировать доступность основного линка каждые 300 секунд. Как только основной линк станет доступным (первая попытка соединения будет успешной), TMG 2010 будет опрашивать основной линк еще 2 раза с интервалом  в 60 секунд и если на все 3 попытки опроса будет положительный ответ, то TMG 2010 пометит основной канал как доступным и будет его использовать для пропуска клиентского трафика.

Сразу отвечу на один из возможных вопросов : значения по умолчанию интервала опроса линков и количества попыток соединения в TMG 2010 не настраиваются через графический интерфейс, а конфигурируются через изменения в настройках COM-объекта ISPPredundancyConfig .

Необходимо еще отметить некоторые ограничения в ISP-избыточности, в частности:

  • Сетевые ISP-подключения,  должны   существовать  только  в стандартной внешней
    сети (default external network);
  • Каждое ISP-подключение должно иметь уникальные адреса IP-подсети и использовать уникальный шлюз по умолчанию. На этом нюансе необходимо остановиться детальнее: операционная система Windows не поддерживает несколько шлюзов по умолчанию для линков с динамически назначаемыми IP-адресами. Т.е., если первый и второй провайдер выдают для подключений IP-адреса по DHCP на основном и резервном линках, то Windows добавит только один шлюз по умолчанию в таблицу маршрутизации, в связи с чем второй необходимо добавить самостоятельно  с помощью команды route –p add.  Рекомендуется  добавить  маршруты по умолчанию на первый и второй шлюзы провайдеров вручную перед включением ISP-избыточности в TMG 2010  следующими командами
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE1;
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE2,
    где IPGATE1 и IPGATE2 – IP-адреса шлюзов ISP-провайдеров.
  • ISP-избыточность поддерживает только  два соединений с поставщиком услуг Интернет;
  • Поддерживается только NAT и Web proxy трафик;
  • Все сетевые адаптеры всех членов массива TMG должны иметь одинаковые настройки таких параметров как checksum offloading settings. Желательно использовать одинаковые сетевые адаптеры для предотвращения несовместимости.

Теперь перейдем непосредственно к практике настройки отказоустойчивости Интернет-соединения (ISP Failover):

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункту “Сети” (Networks),переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-12-23-27-46
Откроется мастер конфигурации ISP-избыточности, нажимаем Next для продолжения:

forefront-tmg-2011-03-12-23-28-24
2.  Выбираем один из видов ISP-избыточности -  ISP Failover или ISP Load Balancing:

forefront-tmg-2011-03-12-23-28-30

в нашем случае выбираем ISP Failover и нажимаем Next:

forefront-tmg-2011-03-12-23-28-38
3. Теперь необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-12-23-28-54

Нажимаем Next: 

forefront-tmg-2011-03-12-23-44-05

4. В следующем окне будет предложено проверить существующую конфигурацию подключения к первому ISP-провайдеру и, при необходимости, внести соответствующие изменения. Хочется отметить, что внесенные в этом диалоговом окне изменения, будут применены к соответствующему сетевому адаптеру.

После проверки и, при надобности, внесения изменений нажимаем Next:

forefront-tmg-2011-03-12-23-44-21

5. Аналогичные действия делаем для подключения ко второму ISP-провайдеру:

forefront-tmg-2011-03-12-23-44-36

Проверяем конфигурацию:

forefront-tmg-2011-03-12-23-44-47

6. Теперь необходимо выбрать какой из линков будет основным, для примера я выбрал первый (ISP1):

forefront-tmg-2011-03-12-23-44-56

7. Для окончания настройки нажимаем Finish:

forefront-tmg-2011-03-12-23-45-04

Для применения конфигурации необходимо нажать Apply:

forefront-tmg-2011-03-12-23-45-26

Нажимаем Применить (Apply):

forefront-tmg-2011-03-12-23-45-35

Нажимаем для завершения OK:

forefront-tmg-2011-03-12-23-45-48

После всех наших настроек в консоли управления Forefront TMG 2010 мы можем увидеть перечень сконфигурированных линков их конфигурацию и роль:

forefront-tmg-2011-03-13-00-32-03

На этом конфигурация отказоустойчивости подключения к Интернет закончено. Думаю ничего сложного не было, Smile

SysInternalsUpdater–бесплатная программка для проверки обновлений утилит Марка Руссиновича Windows SysInternals


windows_sysinternals

Большинству системных администраторов знакомы удобные, функциональные утилиты Марка Руссиновича Windows SysInternals, которые позволяют облегчить администратору множество различных задач – мониторинг процессов, управление загрузкой приложений и множество других. Следующие утилиты наиболее знакомые  для всех из пакета Windows SysInternals : Process Explorer, AutoRuns, Process Monitor. Все эти и другие программки не требуют инсталляции и могут быть сразу использованы после скачивания, но также они частенько обновляются. Для отслеживания обновления утилит из пакета Windows SysInternals существует одна замечательная программка — SysInternalsUpdater, которая недавно вышла и используется для проверки обновлений утилит Windows SysInternals.  Сама утилита SysInternalsUpdater полностью бесплатна и написана Emiel Wieldraaijer, текущая версия – 1.0.1. Скачиваем SysInternalsUpdater по этой ссылке. Пользоваться ей крайне просто, поэтому я процесс использования описывать не буду в этом посте.

Скриншот полезной утилиты SysInternalsUpdater от Emiel Wieldraaijer:

sysinternals_updater

%d такие блоггеры, как: