Je viens d’écrire 2 articles sur le sujet, histoire d’avoir une bonne idée des possibilités de filtrage d’URL disponibles avec Forefront TMG.
C’est aux adresses suivantes :
Filtrage d'URLs dans Forefront TMG (Beta 3) - partie 1 : Vue d'ensemble
http://blogs.technet.com/stanislas/archive/2009/06/26/filtrage-d-urls-dans-forefront-tmg-beta-3-partie-1-vue-d-ensemble.aspx
Filtrage d'URLs dans Forefront TMG (Beta 3) - partie 2 : côté administrateur et côté utilisateur
http://blogs.technet.com/stanislas/archive/2009/06/26/filtrage-d-urls-dans-forefront-tmg-beta-3-partie-2-c-t-administrateur-et-c-t-utilisateur.aspx
Mise à jour de sécurité pour ISA Server 2004, 2006 et Forefront TMG (MBE)
Voilà après 4 annnées de tranquilité, il fallait bien que ça arrive : un bulletin de sécurité pour ISA Server 2004, 2006 et TMG (MBE) concernant 2 vulnérabilités
Executive Summary
This security update resolves a privately reported vulnerability and a publicly disclosed vulnerability in Microsoft Internet Security and Acceleration (ISA) Server and Microsoft Forefront Threat Management Gateway (TMG), Medium Business Edition (MBE). These vulnerabilities could allow denial of service if an attacker sends specially crafted network packages to the affected system, or information disclosure or spoofing if a user clicks on a malicious URL or visits a Web site that contains content controlled by the attacker.
This security update is rated Important for Forefront TMG MBE, ISA Server 2004, and ISA Server 2006. For more information, see the subsection, Affected and Non-Affected Software, in this section.
The security update addresses the vulnerabilities by modifying the way that the firewall engine handles the TCP state and the way that HTTP forms authentication handles input. For more information about the vulnerabilities, see the Frequently Asked Questions (FAQ) subsection for the specific vulnerability entry under the next section, Vulnerability Information.
Recommendation. Microsoft recommends that customers apply the update at the earliest opportunity.
Known Issues. None.
Les 2 vulnérabililités sont les suivantes :
Web Proxy TCP State Limited Denial of Service Vulnerability - CVE-2009-0077
A denial of service vulnerability exists in the way the firewall engine handles TCP state for Web proxy or Web publishing listeners. The vulnerability could allow a remote user to cause a Web listener to stop responding to new requests.
To view this vulnerability as a standard entry in the Common Vulnerabilities and Exposures list, see CVE-2009-0077.
Cross-Site Scripting Vulnerability - CVE-2009-0237
A cross-site scripting (XSS) vulnerability exists in the HTML forms authentication component in ISA Server or Forefront TMG, cookieauth.dll, which could allow malicious script code to run on the machine of another user under the guise of the server running cookieauth.dll. This is a non-persistent cross-site scripting vulnerability that can lead to spoofing and information disclosure.
To view this vulnerability as a standard entry in the Common Vulnerabilities and Exposures list, see CVE-2009-0237.
Informations complémentaires dans le bulletin de sécurité : MSRC bulletin MS09-016 http://www.microsoft.com/technet/security/bulletin/ms09-016.mspx
La mise à jour est disponible via Microsoft Update mais vous pouvez aussi télécharger le correctif en passant par les fiches de la base de connaissance par version d'ISA / TMG :
ISA Server 2004
Correctif Pour ISA Server 2004 Standard et Entreprise
MS09-016: Description of the security update for ISA Server 2004: April 14, 2009
http://support.microsoft.com/kb/960995/en-us/
Note : Pour appliquer ce correctif, il faut que le SP3 d'ISA Server 2004 Standard ou Entreprise ait été installé
Note 2 : l'application de ce correctif implique un redémarrage du serveur
ISA Server 2006
A cross-site scripting vulnerability in ISA Server 2006 allows for redirection to malicious sites
http://support.microsoft.com/kb/968077/en-us/
FIX: ISA Server stops accepting new requests after you configure Web publishing, Web proxy, or Automatic discovery
http://support.microsoft.com/kb/958951/en-us/
Correctif pour ISA Server 2006 Standard et Entreprise
MS09-016: Description of the ISA Server 2006 hotfix package: April 14, 2009
http://support.microsoft.com/kb/968078/en-us/
Note : l'application de ce correctif implique un redémarrage du serveur
Forefront Threat Management Gateway Medium Business Edition
You encounter a Web listener TCP State vulnerability in Forefront Threat Management Gateway MBE
http://support.microsoft.com/kb/961831/en-us/
A cross-site scripting vulnerability in Forefront Threat Management Gateway MBE allows for redirection to malicious sites
http://support.microsoft.com/kb/968076/en-us/
Correctif pour Pour Microsoft Forefront Threat Management Gateway, Medium Business Edition
Windows Essential Business Server 2008 Standard
MS09-016: Description of the Forefront Threat Management Gateway MBE hotfix package: April 14, 2009
http://support.microsoft.com/kb/968075/en-us/
Note : l'application de ce correctif implique un redémarrage du serveur
Last Note : ces vulnérabilités ne concernent pas ISA Server 2000 SP2
et comme dirait mon collègue Pascal : “Patchez-vous bien”
La session des Microsoft TechDays 09 “Forefront Threat Management Gateway (successeur d'ISA Server) : la nouvelle génération de passerelle de sécurité” est enfin disponible en vidéo (avec possibilité de télécharger le fichier vidéo et les slides).
C’est à l’adresse suivante : http://www.microsoft.com/france/vision/mstechdays09/Webcast.aspx?eID=109a0921-1eb9-43ef-ad2c-64386f40393e
Des scénarios de migration sont bien entendus prévus (ils ne sont pas encore finalisés du fait que Forefront TMG est encore en beta), aujourd’*** seule la migration depuis ISA Server 2006 est possible
- Migration is supported only from ISA Server 2006 Standard Edition. Migration from ISA Server 2000, ISA Server 2004 Standard Edition, ISA Server 2004 Enterprise Edition, or ISA Server 2006 Enterprise Edition is not supported.
- Migration of settings from ISA Server 2006 Standard Edition running in workgroup mode is not supported. The ISA Server 2006 Standard Edition computer from which configuration settings are exported must be a domain member.
- Features provided by the ISA Server 2006 Supportability Pack will not be available after migration.
- If you have enabled the Local Host network to listen for Web proxy client requests, this setting is not migrated.
- Customized log field selections are not migrated. When ISA Server 2006 configuration settings are imported, customized log field selections are overwritten with default log field settings.
- Report configuration settings are not migrated.
- If you have specified a custom value for the number of times that an event must occur before an alert is triggered, this custom value is not migrated.
- If you are running a third-party add-in for ISA Server 2006, contact the vendor in order to check on the availability of an updated version for Forefront TMG.
Plus d’informations à l’adresse suivante : http://technet.microsoft.com/en-us/library/dd440998.aspx
Migration depuis ISA Server 2006 : http://technet.microsoft.com/en-us/library/dd440994.aspx
Il vient juste d’arriver il y a quelques minutes : Forefront Threat Management Gateway beta 2 (le successeur d’ISA Server 2006) est disponible en téléchargement public sur microsoft.com
C’est à l’adresse suivante : http://www.microsoft.com/downloads/details.aspx?FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd&DisplayLang=en
Sinon pour ceux qui vont aux Techdays 2009 à Paris, il y aura une session spécialement sur ce produit (cf. http://blogs.technet.com/stanislas/archive/2009/02/04/microsoft-techdays-2009-session-sur-forefront-tmg.aspx)
Si vous voulez en savoir plus sur le successeur d’ISA Server 2006, une session des Techdays 2009 est faite pour vous :
SEC2005 – Forefront Threat Management Gateway, le successeur d’ISA Server 2006
Elle aura lieu le mercredi 11 février de 14h30 à 15h30 et sera animé par Eric Detoc et moi.
il y aura de la démo et plein d’informations qui seront communiquées pour la première fois en public en France (je ne compte pas les clients privilégiés du TAP ;-))
Pour vous inscrire c’est par ici : http://www.microsoft.com/france/mstechdays
Les 10, 11 et 12 février prochains, ce sera le grand retour des Microsoft Techdays au Palais des Congrés à Paris.
Comme les années précédentes, l’évènement est gratuit pour les clients et c’est la bonne occasion pour vous de découvrir nos nouveaux produits ainsi que de se former / apprendre sur les solutions existantes.
Comme chaque année, il y aura des sessions sur quasiment toute notre offre : Infrastructure, Développement, Sécurité, Communication Unifiée, Base de données, Services, Windows Azure, Windows 7…
Et je serai encore speaker sur les sessions suivantes :
- Forefront Threat Management Gateway, le successeur d’ISA Server 2006
- Le virus est mort ! Vive le malware !?
- Windows Server 2008 R2 – Demo Extravaganza
- Nouveautés en terme de sécurité dans Windows 7 – Démonstrations
Je vous communiquerai bientôt la liste complète des sessions autour de la sécurité (il y en a plein et ce sera super intéressant)
S'inscrire aux Microsoft TechDays 2009 avec un Live ID (Windows Live Messenger...) : cliquer ici
S'inscrire aux Microsoft TechDays 2009 sans Live ID : cliquer ici
Plus d’informations sur les Microsoft Techdays 2009 à Paris : http://www.microsoft.com/france/mstechdays/default.aspx
Un article TechNet assez intéressant sur la publication d’une passerelle Terminal Server avec ISA Server 2006 : "Enhance TS Gateway Security with ISA Server 2006" par Thomas Shinder et Yuri Diogenes
Au programme : les bonnes pratiques de configuration ainsi que l’utilisation de Network Access Proteciton (NAP) pour améliorer encore un peu la sécurité des accès Terminal Server depuis Internet
Lire l’article :
.gif)
.gif)
Toute personne ayant aujourd’*** un SBS 2003 R2 Premium dispose (et utilise généralement) ISA Server 2006.
Avec la nouvelle version SBS 2008, on me pose souvent la question : Quid de ISA Server ? Est ce qu’il va y avoir la nouvelle version (qui s’appellera Forefront TMG) ? Est-ce qu’ISA Server 2006 peut s’installer sur SBS 2008 ? …
La mauvaise nouvelle c’est qu’il n’y a pas d’ISA Server ou de Forefront TMG prévu dans SBS 2008 (y compris la version Premium). ISA Server 2006 ne s’installe pas (et n’est pas supporté sur Windows Server 2008). Forefront TMG s’installe sur Windows Server 2008 64 bit et est présent dans Windows EBS (Essential Business Server) une offre pour les grosses PMEs.
Julie, notre chef de produit SBS/EBS vient cependant de me pousser quelques informations intéressantes pour les clients de la version Premium de SBS 2003 R2 qui ont souscrit à la Software Assurance :
Source : http://www.microsoft.com/sbs/en/us/licensing-faq.aspx (Julie mettre à jour cette FAQ sur le site produit fr) :
How will ISA server be replaced in SBS 2008 (that is, will ISA be included in SBS 2008 and if so, which ISA version will be included)?
A. ISA will not be included in SBS 2008. For SBS 2003 R2 customers with SA, an ISA Server 2006 license plus a separate Windows Server 2003 R2 Standard Edition license (since ISA Server 2006 does not run on Windows Server 2008) will be granted until such time as the ISA Server successor product, Threat Management Gateway (TMG) 2010, is released, at which point TMG 2010 license will be granted.
Donc avec une machine complémentaire, vous aurez à nouveau la possibilité de protéger vos accès avec la prochaine version d’ISA (Forefront TMG) qui au passage est plutôt pas mal.
Jim Harrison (qui est LE monsieur ISA Server chez Microsoft Corp) vient d'être interviewé sur le sujet de la virtualisation des serveurs ISA ou Forefront TMG.
La vidéo est assez intéressante et complète bien les informations que j'ai publiées précédemment ce blog (cf. ici)
Note : il faut pas être anglophobe car c’est en anglais ok course
Virtualize your ISA or Forefront TMG servers
Pour ceux qui veulent télécharger le fichier vidéo (ou ceux qui n’ont pas Silverlight), sélectionnez la version qui vous plait, bouton droit, sauvegarder sous…
et oui, je suis de retour sur ce blog que j’avais (je l’avoue) un peu délaissé pour cause de (beaucoup) de travail.
Je suis toujours joignable via mon contact sur blog TechNet mais je vais publier ici, les posts de mes autres blogs spécifiques à ISA Server et Forefront TMG (la prochaine verison d’ISA Server).
Donc quelques nouveautés concernant ISA Server 2006 dans le SP1 (Moez en a pas mal parlé déjà) en vidéo :
Nouveaute du Service Pack 1 d'ISA Server 2006 - Bouton Test Publication Web
Cette e-démonstration présente la fonctionnalité "bouton de test de publication Web", une des nouveautés du Service Pack 1 d'ISA Server 2006
Voir la vidéo : http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=b005b9cc-a8b6-400e-a085-d85d2c5685cd
Nouveautes du Service Pack 1 d'ISA Server 2006 - Change Tracking
Cette e-démonstration présente la fonctionnalité "Change Tracking", une des nouveautés du Service Pack 1 d'ISA Server 2006
Voir la vidéo : http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=57c4eda7-0e90-4979-ad5b-89584f03171c
Nouveaute du Service Pack 1 d'ISA Server 2006 - Simulateur de Trafic
Cette e-démonstration présente la fonctionnalité "simulateur de trafic", une des nouveautés du Service Pack 1 d'ISA Server 2006
Voir la vidéo : http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=709ede1e-b0ff-4654-9788-2db3fb519ec1
Nouveaute du Service Pack 1 d'ISA Server 2006 - Journaux de diagnostic
Cette e-démonstration présente la fonctionnalité "Journaux de diagnostic", une des nouveautés du Service Pack 1 d'ISA Server 2006
Voir la vidéo : http://www.microsoft.com/france/vision/WebcastTechnet.aspx?eid=03acb28a-4865-43ee-aef5-a9fa7e92b4dfa
Pierre-Yves Laffont vient de publier un livre blanc qui décrit comment bloquer l’accès à des sites à caractère pornographique avec ISA Server 2006, à l’aide d’une liste noire (blacklist) mise à jour régulièrement par l’Université Toulouse 1 Sciences Sociales.
Ce document est disponible sur le site de SupporTech INSA Lyon :
http://supportech.insa-lyon.fr/Download/WhitePapers/ISA/ISA2006-Blacklist.docx
Le document est au format .docx, c'est à dire de l'OpenXML. Si vous n'avez pas Office 2007, il suffit d'installer la mise à jour permettant le support de ce format.
Pack de compatibilité Microsoft Office pour les formats de fichier Word, Excel et PowerPoint 2007
http://www.microsoft.com/downloads/details.aspx?familyid=941B3470-3AE9-4AEE-8F43-C6BB74CD1466&displaylang=fr
Les fichiers associés au livre blanc sont disponibles pour la version Standard et la version Entreprise d'ISA Server 2006 :
Pour ISA Server 2006 Standard : http://supportech.insa-lyon.fr/Download/WhitePapers/ISA/ISA2006-Blacklist-standard.zip
Pour ISA Server 2006 Entreprise : http://supportech.insa-lyon.fr/Download/WhitePapers/ISA/ISA2006-Blacklist-enterprise.zip
Pour ceux qui ont de l'ISA Server 2004, vous trouverez toujours sur le site de SupporTech, l'équivalent pour ISA Server 2004 (publié il y a déjà quelques temps par Daniel Boteanu) :
http://supportech.insa-lyon.fr/DesktopDefault.aspx?tabindex=3&tabid=3&ItemId=45
Les Microsoft TechDays auront lieu du lundi 5 au mercredi 7 février au Palais des Congrès de Paris. Vous aurez l'occasion, lors de la première édition de cet événement exceptionnel, de faire le point sur tous les produits, technologies et solutions de Microsoft
Il sera possible d'assister gratuitement à :
- Plus de 200 sessions (Longhorn Server, Vista, ISA Server, VPN, Forefront, Exchange, SQL, Dev….)
- Des rencontres avec des partenaires experts
- Des rencontres avec des communautés spécialisées
- Des ateliers techniques
- Des hands on lab...
Grâce à la richesse et à la diversité de ses sujets, les Microsoft TechDays seront l'occasion incontournable de faire le point sur les thématiques et les technologies qui vous concernent et vous intéressent.
En résumé : les TechDays c'est comme un TechEd ou ITForum mais gratuit, entièrement en français et avec plus de monde (si si c'est possible)
Pour s'inscrire c’est à l’adresse suivante : http://www.microsoft.com/france/mstechdays/
PS : pour les personnes qui n'habitent pas en région parisienne, il est possible d'obtenir des réductions pour vos billets d'avion ou de train (jusqu'à 45% de réduction sur Air France). Pour plus d'informations : http://www.microsoft.com/france/mstechdays/se_rendre.aspx?e=0c6563b3b88c4df18d2e
J'animerai bien entendu plusieurs sessions sur ISA Server, Whales, la protection de la messagerie avec ISA et Forefront.... 
Frédéric Esnouf (MVP ISA) vient de traduire en français son document “Comprendre et mettre en oeuvre ISA 2004 en tant que firewall applicatif – Mise en oeuvre des filtres RPC”.
Une excellente lecture pour tous ceux qui veulent gérer de manière granulaire les flux RPC entre deux réseaux.
Le document est téléchargeable sous la forme d’un fichier PDF à l’adresse suivante :
http://www.isaserverfr.org/externe/articles/ISA-FiltresRPC-1-1.pdf
The ISA Server Sustained Engineering Team is excited to announce the RTW of the Microsoft ISA Server Best Practices Analyzer Tool (IsaBPA) V4.
What is ISABPA ?
The ISA Server Best Practices Analyzer is a diagnostic tool that automatically performs specific tests on configuration data collected on the local ISA Server computer from the ISA Server hierarchy of administration COM objects, Windows Management Instrumentation (WMI) classes, the system registry, files on disk, and the Domain Name System (DNS) settings.
The resulting report details critical configuration issues, potential problems, and information about the local computer. By following the recommendations of the tool, administrators can achieve greater performance, scalability, reliability, and uptime.
What has changed in the new version?
- ISA Data Packager (formerly known as Pack ISA Server Diagnostics) enhancements. This tool packs the ISAInfo report, IsaBPA report, ISA Server traces, MSDE logs, event log, data from several performance counters, network captures and Oakley logs into a single file and places it on the desktop, ready to be sent to support engineers in case there is a problem. This release also enables you to set your ISA trace filter according to your scenario and to collect only relevant information. The IsaBPA package also contains the ISA traces files. The ISA Data Packager (IDP) eliminates several round trips between the customer and PSS, hence reducing support cost and increasing customer satisfaction.
- We added new checks to the new IsaBPA. There are now 210 rules. The focus of this release was on rules checking the logging, CSS, branch office scenario and Web Publishing Load Balancing. These new suites join the Hardware, Authentication, OWA, SSL Certificates and Site-to-site VPN with IPsec suites that were introduced in previous versions.
- View more settings. The detailed View pane contains almost all ISA Server configuration settings that can be viewed in ISA Server Management, including all policy rules, network rules, networks, alerts. More than 900 configuration settings are now displayed.
- More documentation. The UE team enhanced the help file. It contains approximately 100 pages. You can find which checks are being performed, how to operate the IsaBPA and of course how to fix the found issues.
- Bug fixes. We fixed several bugs that were discovered in the previous version. Thanks PSS for the quick and constructive feedback.
Téléchargement :
http://www.microsoft.com/downloads/details.aspx?FamilyId=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063&displaylang=en