Auch zu Forefront Threat Management Gateway 2010 (TMG) gibt es ein neues Service Pack. SP2 steht zum Download bereit und bietet folgende Neuerungen:
- Neuer Site Activity Report
- Verbesserte und einfacher anzupassende Fehlerseiten
- Kerberos Authentifizierung bei Network Load Balancing (NLB) Arrays
Das Service Pack 1 zu Forefront Unified Access Gateway 2010 (UAG) steht zum Download bereit und bringt folgende Neuerungen mit sich:
- Veröffentlichung von Lync 2010
- Veröffentlichung von Dynamics CRM 2011
- Veröffentlichung von SharePoint 2010 mit Office Web Apps
- Unterstützung für weitere Browser (iPhone 4, iPad, Android, etc.)
Speziell für die Veröffentlichung von Exchange Server 2010 mit Forefront Threat Management Gateway 2010 (TMG 2010) und Forefront Unified Access Gateway 2010 (UAG 2010) gibt es ein eigenes Whitepaper.
Es zeigt sowohl die erforderlichen Schritte der Bereitstellung, als auch die Unterschiede bei der Verwendung von TMG und UAG.
Das Update 1 für Threat Management Gateway 2010 (TMG) SP1 ist zum Download verfügbar. Die Neuerungen sind:
- SafeSearch Enforcement
Forefront TMG can enforce blocking adult text, images and videos from search results by popular search engines. SafeSearch can be enforced on specific groups or to the entire organization.
- Including non-primary URL filtering categorizations
Forefront TMG uses an algorithm to select a URL’s “primary” category from among up to four categorizations provided by Microsoft Reputation Services (MRS). In Update 1 you can control access to sites that match any of the non-primary categorizations provided by MRS. For example, a URL with a primary categorization of News can now match a rule by any of its non-primary categorizations (such as Web Mail).
- Support for Exchange 2010 SP1
- Bug fixes and various other improvements (http://go.microsoft.com/fwlink/?LinkId=201151)
Mehr Informationen zum Update 1 für TMG 2010 SP1: http://go.microsoft.com/fwlink/?LinkId=201154
Das Service Pack 1 (SP1) zu Forefront Threat Management Gateway 2010 (TMG) ist im Download verfügbar.
Die Neuerungen im SP1 sind (aus dem Forefront Team Blog):
- Improved reporting features
- New user activity reports to monitor Web surfing information
- Improved look and feel for all TMG reports
- Enhancements to URL filtering
- User override for access restriction on sites blocked by URL filtering, allowing more flexible and easier deployment of web access policy
- Override for URL categorization at the enterprise level
- Customized site access denial notification pages to fit an organization’s need
- Enhanced branch office support
- Simplified deployment of BranchCache at the branch office (for Windows Server 2008 R2 users), using Forefront TMG as the Hosted Cache Server
- Forefront TMG and a read-only domain control can be located on the same server, reducing TCO at branch offices
- Support for publishing SharePoint 2010
Kurz und knapp: Ein Best Practives Analayzer Tool (BPA), mit dem die Konfiguration von Installationen auf optimale Einstellungen und den Zustand untersucht werden kann, gibt es auch für
Die virtuelle Demoumgebung zur Microsoft Business Ready Security-Strategie gibt es nun aktualisiert als Version 3.0b zum Download.
Mithilfe von 13 virtuellen Maschinen können in verschiedenen Szenarien die Funktionen rund um Produkte, wie Microsoft Forefront oder Active Directory Rights Management Services selbst getestet werden:
Secure Messaging - Enable more secure business communication from virtually any location or device, while preventing unauthorized use of confidential information
- Seamless, secure access through Forefront Unified Access Gateway (UAG)
- Automatically control confidential e-mail with built-in information protection using Active Directory Rights Management Services (AD RMS)
- Protect Exchange with multiple best-in-class anti-malware engines using Forefront Protection 2010 for Exchange Server
- Outlook Web Access 2010 integration with AD RMS
- Outlook 2010 automatic protection using AD RMS
Secure Collaboration - Secure business collaboration from virtually anywhere and on any device, while preventing unauthorized use of confidential information
- Secure collaboration by using Active Directory Federation Services 2.0 (AD FS) and AD RMS (for Partner employees)
- Secure collaboration by using Forefront UAG (for Internal employees)
- Secure collaboration by using UAG (for Internal employees)
Secure Endpoint - Protect client and server operating systems from emerging threats and information loss, while enabling secure access from virtually anywhere and on any device
- Advanced threat protection with Forefront Threat Management Gaetway 2010 (TMG)
- Malware protection when not connecting to the company network
- Malware protection when using USB drives
- DirectAccess with Forefront UAG
Information Protection - Discover, protect, and control information contained in data in motion, data at rest, and data in use for organizations
- Protecting data-in-motion with Exchange 2010 and AD RMS
- Protecting data-at-rest with SharePoint 2007, AD FS and AD RMS
- Protection data-at-rest with File Classification Infrastructure (FCI) and AD RMS
Identity and Access Management - Simplify identity and access management for secure, compliant access to applications on-premises and in the cloud from any location or device
- Secure Remote Access
- Group management with Forefront Identity Manager 2010 (FIM) and Outlook
- Self-service password reset with FIM 2010
- Claims-based authentication with AD FS 2.0
 Der Release Candidate von Forefront Threat Management Gateway 2010 (TMG) ist seit Freitag zum Download verfügbar.
Die finale Version in Englisch, Deutsch und Japanisch soll am 01.12.2009, in den weiteren acht Sprachen ab 15.12.2009 erhältlich sein. In der Preisliste wird neben den Standard- und Enterprise-Servervarianten dann auch die sogenannte "Forefront TMG Web Protection Service Subscription" angeboten, mit der die Aktualisierungen für das URL-Filtering und das Antimalware-Scanning in einer Lizenz abgedeckt sind.
 Seit der Weltweiten Partnerkonferenz von Microsoft in New Orleans (WPC09) stehen nun die endgültigen Namen der neuen Forefront-Produkte fest, die bisher unter dem Codenamen Forefront „Stirling“ (aktuell als Beta 2) entwickelt wurden.
Forefront Protection Suite - Nachfolger der Forefront Security Suite:
- Forefront Protection Manager 2010 - bisher die Forefront „Stirling“ Console
- Forefront Protection 2010 for Exchange - Nachfolger von Forefront Security for Exchange
- Forefront Protection 2010 for SharePoint - Nachfolger von Forefront Security for SharePoint
- Forefront Endpoint Protection 2010 – Nachfolger von Forefront Client Security
- Forefront Threat Management Gateway Web Security Service - Subscription zu Threat Management Gateway, wie z.B. Anti-Malware
- Und: Forefront Online Protection for Exchange – Nachfolger von Forefront Online Security for Exchange bzw. Exchange Hosted Filtering
Gestern wurde es nun endlich offiziell: Die Beta 2 von Forefront Codename "Stirling" steht bereit (PressPass).
Besonders interessant ist dabei die Ankündigung, dass zukünftig Partner eigene Lösungen entwickeln können, die die Funktionalität von Forefront "Stirling" erweitern werden. Die ersten Partner sind: Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point und RSA
Und ganz nebenbei noch ein paar "Annährerungen": Der Identity Lifecycle Manager (ILM) heisst zukünftig Forefront Identity Manager (FIM) und die Exchange Hosted Services Filtering (EHS-F) nennen sich seit 1. April Forefront Online Security for Exchange (FOSE).
Auch das TechCenter zu Forefront "Stirling" wurde zeitgleich aktualisiert und bietet zahlreiche Informationen und Material:
*=Stand heute fehlen hier noch die Downloads für die "Stirling" Console und Forefront Client Security (FCS).
Beide Produkte sind jedoch im Beta 2 VHD-Download vorinstalliert enthalten.
Ein paar Punkte zu den Features und dem Funktionsumfang in Forefront "Stirling" Beta 2:
- Forefront Codename “Stirling“ Console
- Zentrales Richtlinien-Management für FCS, FSE, FOSE und FSSP
- Reporting Services und Portal mit SQL Reporting Server für TMG
- Enterprise Security Assessment und Remediation
- Security-Status in Echtzeit
- Investigation und Remediation für Sicherheitsvorfälle
- Gemeinsame Erkennung von Angriffen im gesamten Netzwerk
- Koordinierte Responses um die Angriffe zu adressieren
- Forefront Client Security (FCS)
- Nächste Generation der Microsoft Anti-Malware
- Zusätzlicher Schutz des Clients durch:
- Erkennung von Buffer Overruns die eingehend an den Client gerichtet sind
- Integration mit NAP durch einen integrierten System Health Agent (SHA)
- Forefront Security for Exchange (FSE)
- Premium On Premise Antispam-Schutz mit Cloudmark-Engine
- Premium Cloud Antispam-Schutz mit Forefront Security for Exchange (FOSE)
- Integration in Stirling
- Unterstützung für Exchange 2007 (E12) und Exchange 2010 (E14)
- Forefront Security for SharePoint (FSSP)
- Integration in Stirling
- Höhere Scanning Performance bei geplanten Scans
- Forefront Threat Management Gateway (TMG)
- Integration in Stirling
- Intrusion Prevention
- Email Protection “Preview”
Nach langer Pause gibt es wieder Neuigkeiten zur nächsten Generation der Forefront Produkte, die ja bekanntlich derzeit noch unter dem Codename "Stirling" geführt werden.
Gemäß dem Forefront Team Blog gilt folgender Zeitplan für das Erscheinen der Produkte von Forefront "Stirling":
- Forefront Security for Exchange (Version 11) und Forefront Threat Management Gateway (Nachfolger von ISA 2006) in Q4 2009
- Forefront Security for SharePoint (Version 11), Forefront Client Security (Version 2) und Forefront Stirling Management Console in H1 2010
Primäre Gründe für die leichte Verschiebung im Zeitplan sind neue Anforderungen, die über das Feedback von Kunden im Technology Adoption Program (TAP) in derzeitigen Beta-Phase gegeben wurden. Dazu gehört die Interoperabilität mit Produkten von Drittherstellern in Bezug auf das Security Assessment Sharing (SAS) und das Behavior Monitoring (BM), um das Netzwerk und den Endpoint noch besser vor so genannten Zero-Day-Attacken schützen zu können.
Vor dem Release von Forefront Stirling wird übrigens in Kürze noch eine Beta 2 und auch ein Release Candidate erwartet.
Für das Microsoft Whale Communications Intelligent Application Gateway 2007 (IAG) steht jetzt das Service Pack 2 zum Download bereit. Das SP 2 enthält neue Features bezüglich Deployment und Disaster Recovery, Verbesserte Kreberos constrained delegation, Anmeldung mit dem User Principal Name (UPN) und Verbesserungen beim Einsatz in Nicht-Windows-Umgebungen, wie unter Linux und Mac oder mit dem Firefox-Browser. Außerdem ist eine direkte Unterstützung für den Remote-Zugriff auf Microsoft CRM und Microsoft Office Communications Server Web Client mit enthalten.
Auch die Intelligent Application Gateway 2007 Virtual Machine Trial Version wurde entsprechend auf Service Pack 2 aktualisiert. Das Image für Microsoft Windows Server 2008 mit Hyper-V oder Microsoft Hyper-V Server 2008 erfordert die Registrierung und einen Key und ist bis 15.05.2009 lauffähig.
Das IAG 2007 selbst gibt es übrigens jetzt auch als Virtual Applicance für Hyper-V. Bisher war IAG nur als Hardware Appliance über OEMs erhältlich.
Der Einsatz von Microsoft Internet Security & Acceleration Server (ISA) und dem Nachfolgeprodukt Forefront Edge Threat Management Gateway (TMG) werden ab sofort für den Einsatz auf Virtualisierungsplattformen wie Hyper-V (und den im Server Virtualization Validation Program (SVVP) gelisteten Plattformen) gemäß folgenden Programmen offiziell unterstützt:
- Microsoft Support Lifecycle
- Microsoft ISA Server system requirements
- Forefront TMG system requirements
- Microsoft Server Virtualization Validation Program (SVVP)
- Support Policy for Microsoft software running on non-Microsoft hardware virtualization software
Mehr Informationen dazu auch im TechNet und auch für Virtualisierungssoftware anderer Hersteller im KB-Artikel 897615 Support policy for Microsoft software running in non-Microsoft hardware virtualization software.
Zum Thema Sicherheit und auch speziell zu den Produkten der Microsoft Forefront-Familie gibt es inzwischen zahlreiche interessante Webcasts, die zwar bereits stattgefunden haben, aber man sich jederzeit "On demand" ansehen kann. Außerdem stehen für die nächsten Wochen weitere interessante Webcasts an, die vor allem tiefere Einblicke in die Forefront-Produkte ermöglichen (mit einem * gekennzeichnet).
Forefront Client Security:
Forefront Server Security:
Forefront Edge Security:
Forefront Stirling:
Sicherheit Allgemein:
Viel Spaß! 
Seit Kurzem gibt es unter http://www.ssl-vpn.de ein Community Wiki zu Intelligent Application Gateway 2007 (IAG) mit vielen Artikeln, Tutolials, FAQs usw.
Wie zu erwarten dürfen in diesem Wiki natürlich auch eigene interessante und nützliche Informationen und Tips zu IAG eingetragen, sowie Fragen rund um das Gateway gestellt und beantwortet werden.
In einem Review unter dem Titel Microsoft lands a winning SSL VPN in Whale im Online-Magazin InfoWorld bekam das Intelligent Application Gateway 2007 (IAG) ein Excellent-Rating mit einer Note von 8,7 von maximal 10. 
Zwei Highlights aus dem Artikel:
- “When it comes to end point policies, the sky is the limit with IAG. The software comes with an extensive list of predefined policies, and admins can edit existing ones or create their own policies as necessary… IAG's end point control engine is one of the most capable I've reviewed.”
- “Microsoft made a good move in acquiring the Whale technology and merging it with ISA Server. The total package makes for one flexible yet secure solution for remote access to the enterprise. The end point control is one of the best going, but full functionality is limited to Windows and Internet Explorer clients. Same thing for network-level remote access -- it’s available for non-Windows platforms, but to get the total package it requires IE and ActiveX. I like the appliance form factor, and my test unit from Celestix is first rate. Along with Juniper and F5, admins should give Microsoft IAG a look when SSL VPNs come knockin' at their door.”
Auf der Interop 2007 Trade Show in Las Vegas kündigte Microsoft nicht nur die zukünfige Interoperabilität der Network Access Protection (NAP) Technologie mit dem Trusted Computing Group's (TCG) Trusted Network Connect (TNC) Network Access Control Standard (einschliesslich des NAC-Standards von Juniper Networks) an, sondern auch eine Beta-Version von Service Pack 1 für das Intelligent Application Gateway (IAG) 2007.
Neben der bisher noch fehlenden Unterstüzung von Windows Vista und Windows Mobile 5 soll das SP1 vor allem mehr Performance in das IAG bringen (bis zu 100% höherer Durchsatz). Darüber hinaus kommen Remote Access-Unterstützung für die Active Directory Federation Services (ADFS), um Anmeldeinformationen sicher über Unternehmensnetzwerkgrezen hinweig zu bereitzustellen, und die Unterstützung von Kerberos Constrained Delegation (KCD).
Die von Microsoft übernommene Whale Communications bot mit dem Intelligent Application Gateway (IAG) in bestimmten Ausbaustufen ein sogenanntes AirGap, mit dem eine physikalische Trennnung von Netzwerken erfolgen konnte.
Zum Nachfolger, dem Microsoft Intelligent Application Gateway 2007, findet man in den offiziellen FAQs zu IAG 2007 folgende Passage zur Verfügbarkeit von AirGap:
Q. What happened to AirGap?
A. ISA Server, combined with IAG 2007, serves the need for network separation and full control of inbound and outbound content and adds significant edge security functionality to address a broad set of customer requirements. The consolidated appliance provides a flexible software-driven solution that is responsive to the need for performance, management, and scalability in addition to comprehensive security. The blending of stateful packet filtering, circuit filtering, application-layer filtering, Web proxy, and endpoint security into a single appliance affords the administrator with a variety of options for configuring policy-driven solutions for access to applications and network resources.
ISA Server delivers the ability to filter traffic rather than rely on a mechanistic solution, providing three types of firewall functionality: packet filtering (also called circuit-layer), stateful filtering, and application-layer filtering. The ability to apply rule-based filtering to all traffic that traverses the network boundary enables the combined solution to directly address threats such as worms or malware that may originate from authenticated users.
The solution combines ISA’s robust IPsec and firewall security features, content inspection capabilities and Web caching features with IAG’s full-featured application-layer SSL VPN, endpoint compliance, and application security functionality to provide a cost-effective integrated network protection and remote access solution providing superior inbound and outbound security.
Eine etwas unbefriedigende Antwort auf die doch übersichtliche Frage. Deshalb eine kurze Antwort hier: Das AirGap gibt es noch. In der Network Engines Appliance NS-4700.
Weitere OEM-Hersteller von IAG-Appliances sind derzeit Celestix und Pyramid. Einen interessanter Artikel zu AirGap findet man im Übrigen in Wikipedia.
Für Internet Security and Acceleration (ISA) Server 2004 steht Service Pack 3 zum Download bereit. Neben der seit langem fälligen Unterstüzung für die Veröffentlichung von Exchange Server 2007 enthält das Service Pack folgende Verbesserungen und Features:
- All software updates issued since ISA Server 2004 was released to manufacturing.
- Fixes for common issues reported by customers through Microsoft Customer Service and Support.
- Improved log viewer functionality, including an enhanced details pane view, text coloring, and new log filtering functionality.
- Updated ISA Server Microsoft Management Console (MMC) snap-in functionality that provides access to troubleshooting tools and options available directly from the ISA Server Management console.
- Integration with the Microsoft ISA Server Best Practices Analyzer Tool. For more information, see http://go.microsoft.com/fwlink/?LinkId=79754.
- New diagnostic logging functionality.
Neu im Download-Center das Microsoft Forefront and System Center Demonstration Toolkit. Eine VM-Demo-Umgebung, mit der Sie folgende Funktionalitäten von Microsoft Forefront und System Center zeigen können:
- System Center Configuration Manager pushing Forefront Client Security signatures to keep a client machine updated
- Forefront Security for Exchange Server blocking viruses in emails received in Outlook 2007
- System Center Operations Manager monitoring the health of servers and clients in the environment
- Intelligent Application Gateway adapting user access to SharePoint 2007 based on end-point policy detection
- Forefront Client Security performing Real-time Protection against malware.
Mit dem Demo-Kit wird wider eine Start-Demo.hta mitgeliefert, die das Szenario erklärt und ein komfortables Umschalten zwischen den virtuellen Maschinen erlaubt.
Wenn Sie den ISA Server 2006- oder ISA Server 2004-Firewallclient auf einem Computer installiert haben und vor dort aus versuchen, eine ausgehende Point-to-Point Tunneling Protocol (PPTP)-basierte Virtual Private Network (VPN)-Verbindung zu öffnen, kommt die Verbindung nicht zustande. Als Ergebnis erhalten Sie eine Fehlermeldung mit folgendem ähnlichen Inhalt:
Connecting to 192.168.0.10
Error 769: The specified destination is not reachable.
Die einfache Erklärung für diesen Fehler ist, dass der ISA-Firewallclient keine PPTP-Verbindungen unterstützt. Für eine PTTP-Verbindung wird neben dem TCP-Protokoll (IP Protokoll 17) auch das GRE-Protokoll (Generic Routing Encapsulation Protocol, IP Protokoll 47) verwendet. Der Firewallclient unterstützt jedoch nur TCP- und UDP-Verbindungen, die über Winsock hergestellt werden. Die Lösung: Konfigurieren Sie den Client als SecureNAT-Client. Weitere Informationen dazu liefert auch der KB-Artikel 887006.
Bereits seit ISA Server Version 2004 ist es nicht mehr zwingend erforderlich, dass der ISA Server Mitglied der Domäne sein muss, um den Zugriff in Firewallrichtlinien anhand von Benutzerkonten aus dem Active Directory zu regeln. Mit ISA Server 2006 wurde nun eine weitere Möglichkeit hinzugefügt, die es erlaubt, Benutzer per LDAP in Active Directory zu authentifizieren.
Chrisitan Gröbner zeigt in einer Schritt-für-Schritt-Anleitung auf MS ISA FAQ, wie Sie den ISA Server 2006 konfigurieren müssen, um beispielsweise bei einer Veröffentlichung von Outlook Web Access (OWA) die Authentifizierung per LDAP vornehmen können.
Keine komplizierte Testumgebung, keine Installation, um die Microsoft Produkte und Technologien zu testen. Das sind die TechNet Virtual Labs. Einfach die Übungsunterlage herunterladen und in einem 90-minutügen Zeitfenster können Sie jedes der Module live testen und Microsoft Forefront in den TechNet Virtual Labs zu folgenden Bereichen erleben:
Forefront Client Security
- Microsoft Operations Manager 2005 Technical Overview with Forefront Client Security
- Deploying Forefront Client Security - Part 1
Forefront Server Security
- Forefront Security for Exchange Server
- Forefront Security for SharePoint
- Antigen Servers: Protecting SharePoint Servers and Instant Messaging
- Antigen Servers: Protecting Exchange Server against Viruses and Spam
Forefront Edge Security: ISA
- Forefront Edge Security and Access
- Publishing Exchange Server and SharePoint Server with ISA Server 2006
- Using ISA Server 2006 in Branch Offices and Deploying ISA Server 2006 for Edge Protection
- Publishing an Exchange Server with ISA Server 2004
- Configuring Outbound Access and Publishing Web Servers with ISA 2004
- VPN Scenarios with ISA Server 2004
- What's New in ISA Server 2004 – Monitoring
Secure Messaging and Collaboration
- Secure Messaging and Collaboration
Seit heute ist endlich das von Whale Communications übernommene Intelligent Application Gateway 2007 (IAG) verfügbar. Damit steht der Edge Security in der Microsoft Forefront Palette neben dem ISA Server jetzt auch eine SSL-VPN-Lösung zur Verfügung.
Als Appliance in zwei Ausbaustufen stellt das IAG einen SSL-basierten Zugriff mit Endpunkt-basierter Sicherheitsüberprüfung in Unternehmensnetzwerken bereit. IAG setzt dabei auf Windows Server 2003 und ISA Server 2006 auf und wird noch 2007 durch die Appliance-Hersteller Celestix Networks und Network Engines über den Reseller-Channel erhältlich sein.
Man muss nicht unbedingt einen ganzen Server bereitstellen, um Windows Server 2003 R2, Exchange Server 2007, SQL Server 2005 oder ISA 2006 zu testen. Microsoft stellt seit einiger Zeit im TechNet vorkonfigurierte Virtual Hard Disks (VHD) bereit, damit Sie die genannten Produkte und Technologien einfach und kostenlos evaluieren können.
Obwohl die Abbilder in komprimierter Form zur Verfügung stehen, sollten Sie ein wenig Zeit einplanen, da je nach Produkt ein paar Gigabyte heruntergeladen werden müssen. Danach einfach die virtuellen Maschinen in Virtual PC 2004 oder Virtual Server 2005 R2 hinzufügen und bis zu 30 Tage lang ausführlich testen (MSDN und TechNet Subscribers bis zu 365 Tage).
Zusammen mit Dieter Rauscher (MSISAFAQ) zeigt Michael Kalbe in einem Level 100 TechNet Webcast die neuen Features von Internet Security & Acceleration Server 2006 (ISA 2006). Sehenswert!
|