Desde el pasado Viernes 25 de Febrero está disponible para descargar el paquete acumulativo de parches número 3 para la primera actualización del Service Pack 1 de Microsoft Forefront Threat Management Gateway 2010, o lo que es lo mismo, el MS Forefront TMG 2010 Service Pack 1 Update 1 Rollup 3.

A pesar de que pueda parecer un poco compleja la nomenclatura, hay que tener presente que un Rollup es un acumulativo de hotfixes que se genera para que sea más fácil a los administradores de los sistemas afectados aplicarlos. Así, este es el tercer de paquete acumulativo de hotfixes que se debe aplicar a aquellos administradores que extendieron las funcionalidades del Service Pack 1 de Forefront TMG 2010 mediante la instalación de la Update 1.

El paquete recoge las soluciones a 17 problemas documentados en la Knowledge Base de Microsoft y puede ser desccargado directamente desde la página de soporte que se ha habilitado para el mismo en la siguiente URL: KB/2498770: Descargar MS Forefront TMG 2010 Service Pack 1 Update 1 Rollup 3.
 

A menudo los administradores tienen reparos a la hora de implementar soluciones antimalware sobre los servidores que ofertan el correo electrónico, el Active Directory, o cualquier otro servicio de criticidad para la compañía. Es cierto que las configuraciones que son válidas para una infraestructura de clientes a veces no son adecuadas para servidores e, incluso entre ellos, hay que diferenciar múltiples roles. No es lo mismo la aplicación de una solución para un Controlador de Dominio, que para un servidor de Exchange. En este sentido las recomendaciones del fabricantes a la hora de configurar el antimalware en el servidor son importantísimas, máxime cuando tiene la visión tanto del rol de servicio como de la aplicación antimalware, como en este ejemplo con servidores Microsoft.

Consciente de este hecho, Microsoft ha desarrollado diferentes plantillas de configuración de MS Forefront Endpoint Protection 2010 para diferentes roles de servidores que usen tecnología Microsoft en una organización. Las plantillas pueden descargarse desde la página de herramientas de MS Forefront Endpoint Protection 2010 en formato exe: Descargar Forefront Endpoint Protection 2010 Group Policy Tool.

Aplicación de políticas

Una vez descargado el fichero y ejecutado, se habrán creado 16 ficheros de configuración xml, para diferentes roles de servicios.


Figura 1: Ficheros xml de configuración en base a roles

Los fichero en formato xml podrán ser utilizados, junto con la herramienta de administración de Políticas GPO para MS FEP 2010 ya mencionada con anterioridad en el artículo: MS Forefront Endpoint Protection 2010: Gestión de Políticas por medio de GPOs.


Figura 2: Importación de configuración de políticas para los controladores de dominio

Las configuraciones están optimizadas para los sistemas soportados por Microsoft, siguiendo las configuraciones estandarizadas. Si existen configuraciones especiales de los roles en el entorno de aplicación, entonces deberá evaluarse la aplicación de dichas plantillas con precaución.
 

Muy a menudo los administradores de Firewall, se encuentran problemas a la hora de establecer las mejores configuraciones en cuanto a reglas de acceso en sus servidores. Se dan cuenta que el orden de aplicación de las reglas en crítico e incluso puede llegar a afectar al rendimiento general del sistema. Cuanto mayor número de reglas más es el esfuerzo exigido al servidor, pero en determinadas condiciones es necesaria la creación de un gran número de ellas.

Cada organización es un mundo y a veces puede suponer que una organización pequeña tenga más reglas que una grande. Por ejemplo si establece un control de filtrado de categorías por tipo de usuarios, frente a otras que son menos restrictivas. A mayor número de reglas, existe tendencia a cometer mayores errores. Una regla que se sube y se antepone a otra que no debiera, dos que en función de cómo se posicionen ofrecen comportamientos diferentes, etc. Un buen consejo en este sentido y que aporta MS Forefront TMG 2010, es utilizar la función de agrupar reglas, para despejar la vista y manejar reglas que por sus características deben siempre aplicarse en un orden específico.


Figura: Políticas de firewall agrupadas

A menudo el orden de aplicación de reglas es significativo, la recomendación por las características de MS Forefront Threat Magement Gateway 2010, podrían ser estas:

- Reglas globales que deniegan tráfico.
- Reglas globales que permiten tráfico.
- Reglas de acceso apara equipos concretos.
- Reglas de acceso para usuarios específicos.
- Otras reglas de permisividad.

Es importante tener en cuenta cuando utilizar determinados objetos, tanto en origen como en destino. Si van a utilizarse objetos usuarios o bien se plantean el uso de usuarios no autenticados para otras. Si van a emplearse direcciones IP o nombres DNS. El rendimiento general del sistema puede verse afectado, por tráficos adicionales que no eran contemplados por los administradores. Por ejemplo en el número de consultas que los servidores MS Forefront TMG 2010, que pueden realizar sobre los servidores DNS para la resolución de nombres cualificados.

A menudo cuando se migran infraestructuras de Firewall, se tienen en cuenta parámetros antiguos que deben ser reevaluados. Por ejemplo las características nuevas que aporta MS Forefront TMG 2010, sobre su antecesor MS ISA Server 2010, implica un mayor tráfico del servidor que deberá ser tenido en cuenta. Por ejemplo en caso de que se encuentre habilitado el servicio de reputación para la categorización de URLs.

Para todos aquellos que deseen conocer la perspectiva de Microsoft y quieran seguir sus recomendaciones, podrán encontrar en la página de Technet unas buenas consideraciones que deberán tener en cuenta para administrar un Servidor MS Forefront TMG 2010.
 

En algunos escenarios, como cuando el soporte remoto de un sitio es complejo o cuando se tenga un caso abierto con Microsoft, es necesario realizar una recolección de datos específicos que ayuden a solucionar un determinado problema. En este caso, el equipo de Microsoft Forefront Endpoint Protection 2010 ha publicado la herramienta Microsoft Security Cliente Support Tool para recoger los datos necesarios en un entorno problemático de clientes con FEP2010.

Una vez ejecutada en el cliente con problemas, la herramienta regenerará un fichero comprimido en formato .cab con los siguientes datos:

- Ficheros de log del gestor de eventos.
- Lista de servicios correindo en la máquina.
- Lista de procesos en ejecución.
- Ficheros de log de Configuration Mananger.
- Drivers instalados en la máquina.
- Configuraciones de autoruns.
- Información del sistema.
- Política del firewall.

Además de esos ficheros de apoyo, la herramienta buscará información específica de Forefront Endpoint Protection 2010, es decir:

- Cualquier fichero de traza del servicio de Microsoft Antimalware.
- El hisotrial de Windows Update.
- Todos los eventos de del servicio antimalware de Microsoft en el visor de eventos del sistema.
- Configuraciones del registro de Microsoft Antimalware.
- El log de esta propia herramienta.
- El log del fichero de firmas.


Figura 1: Ejecución de MSCSupportTool

La herramienta está disponible en la siguiente URL: Descargar MSCSuportTool. Una vez instalada se ubicará en la siguiente ruta por defecto: C:\Program Files\Microsoft Security Client\Antimalware y se ejecutará invocándola con el siguiene comando: Mpcmdrun -GetFiles. Tras un sencillo asistene como se puede ver en la Figura 1, los datos estarán listos para ser analizados o enviados al equipo encargado del caso.
 

============================================================================
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (1 de 4)
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (2 de 4)
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (3 de 4)
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (4 de 4)
============================================================================

Configurar el Servidor de Informes (continuación)

Una vez desplegado el árbol de opciones, en el vínculo de configuración de DefaultDataSources, deberá asignarse la infomación relativa a la nueva cuenta creada para ser utilizada en la base de datos de reporting.


Figura 9: Asignación de la nueva cuenta al servicio de informes

Tras haberse aplicado los cambios, deberá realizarse el último paso para tener listo el proceso.
Actualizar la información de la cuenta en el registro del sistema

Para realizar esta actualización en el registro se deber abrir la aplicación REGEDIT y buscar la siguiente ruta de claves:

HKLM\Software\Microsoft\Microsoft Forefront\Forefront Endpoint Protection 2010\Server

Aquí deberá modificarse el valor de REPORTUSER asignando la nueva cuenta en formato dominio\cuenta, tal y como se ve en la figura 10.


Figura 10: Asignación de cuenta a nivel de registro

Tras aceptar los cambios, el proceso se habrá completado satisfactoriamente y MS Forefront Endpoint Protection 2010 empezará a utilizar la nueva cuenta para acceder a la base de datos de reporting.

============================================================================
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (1 de 4)
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (2 de 4)
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (3 de 4)
- Cambiar la cuenta del servicio de informes para acceder a la Base de Datos de Reporting (4 de 4)
============================================================================