martedì, settembre 26, 2006

Come configurare ISA per mitigare la vulnerabilità Critica della libreria VGX.DLL (KB925486)

In questo breve tutorial vediamo come configurare ISA Server 2006 per mitigare la vulnerabilità "critica" KB925486 che interessa la libreria VGX.DLL.

Questa procedura di emergenza può essere adottata fino al rilascio della Patch per Windows, prevista per il 10 di Ottobre prossimo.

*****
Aggiornamento (27.9.06):
Rilasciata via Microsoft Update la patch KB925486.
E' possibile verificare, sulle macchine Windows Server 2003, l'installazione della patch controllando la seguente sezione del Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB925486\Filelist
oppure utilizzare l'utility gratuita Microsoft MBSA 2.0.
*****

La presente procedura prevede l'utilizzo dell'HTTP Filter di ISA Server 2004/2006.
Non è possibile utilizzarla con ISA Server 2000.


Le "firme" utilizzate, aggiornate al 21.9.06, fanno riferimento alla documentazione ufficiale Microsoft (vedi Riferimenti).

E' disponibile gratuitamente, sul sito di Jim Harrison (www.isatools.org), uno script VBS per la configurazione automatica dell'HTTP Filter. Per ulteriori informazioni consultare la sezione Riferimenti.

Configurare ISA Server 2006 Enterprise Edition
Per prima cosa verifichiamo che il filtro WebProxy e HTTP siano attivi!

Lanciamo la ISA Management Console.

1. Verifica stato Web Proxy Filter e HTTP Filter


  • Andiamo nella sezione Enterprise Add-ins che troviamo in: Enterprise > Enterprise Add-ins
  • Selezioniamo il tab Application Filters e verifichiamo che il filtro Web Proxy (Web Proxy Filter) sia Enable.



  • Selezioniamo il tab Web Filters e verifichiamo che il filtro HTTP (HTTP Filter)sia Enable.



Nota:
Se nella Enterprise Policy abbiamo una sola regola - Default Policy -, allora possiamo passare direttamente a configurare il filtro HTTP nella Firewall Policy dell'Array. La procedura è identica sia per la versione Standard che per la versione Enterprise.

2. Configurazione della Firewall Policy


  1. Andiamo nella sezione Firewall Policy del nostro Array: Arrays > [ISAServer] > Firewall Policy.
  2. Facciamo clic con il tasto destro del mouse sulla prima Access Rule e verifichiamo se compare il menu a discesa con la voce Configure HTTP.



    Se non compare procediamo con la regola subito seguente. Una volta trovata la regola facciamo clic sulla voce Configure HTTP.
  3. Facciamo clic sul tab Signature
  4. Adesso clic sul pulsante Add..




  5. Riempiamo i vari campi secondo i valori riportati nella prima riga della tabella seguente dopodiché facciamo clic su OK...



    ...così da ottenere un risultato di questo tipo:



    Nota: Facciamo clic su OK quando viene visualizzato il messaggio ISA Server Configuration.


  6. Ripetiamo la procedura dal punto 4 fino a completare tutte le righe della tabella
  7. Una volta completata la procedura facciamo clic su OK così da ottenere il seguente risultato:


  8. Per salvare l'intera configurazione di ISA Server facciamo clic su APPLY.



Importante:

L'intera procedura deve essere eseguita su tutte le Access Rule che utilizzano il protocollo HTTP!



Buon lavoro a tutti

Luca Conte


Riferimenti:
Link script VBS:
http://isatools.org/block_vml.vbs

Bollettino di Sicurezza (MS06-055)
Advisory Microsoft (ITA)
Articolo KB Microsoft (ENG)
Riferimento CVE (ENG)
Advisory Secunia(ENG)
Workaround con ISA Server(ENG)
Microsoft MBSA (ENG)

sabato, settembre 16, 2006

The Best of ISAServer.org - aperto il forum

Ho aperto il forum dedicato alla proposta/traduzione di articoli tratti da ISAServer.org di T.Shinder.

I primi due articoli che saranno tradotti sono:
1 .Smantellare il mito che ISA non dovrebbe essere un server membro del dominio
2. Progettare una soluzione con ISA Server in reti complesse

A questi articoli si affiancheranno articoli scritti da me!

Se avete suggerimenti oppure volete candidarvi per darmi una mano a tradurre...postate sul forum oppure scrivetemi a lconte@isaserver.it

giovedì, settembre 14, 2006

Su ISAServer.it i migliori articoli di ISAServer.org in ITALIANO

Sono entusiasta di annunciare che su ISAServer.it saranno pubblicati articoli, in Italiano, di ISAServer.org.



Questa mattina ho ricevuto la conferma ufficiale.

Ovviamente gli articoli tradotti saranno solamente i migliori ed i più interessanti per la realtà italiana (The Best of ISAServer.org).

La cadenza sarà di circa due articoli al mese.

Su ISAServer.it sarà creata una apposita sezione dedicata agli articoli tradotti.

Sul forum di ISAServer.it sarà creata un'area dedicata alla selezione e traduzione dei pezzi. Non andate a guardare ora perché ancora non è stata creata :-)...

Per che vuole dare il proprio contributo, basta postare sul forum.

Sito Web di ISAServer.it
Il nuovo sito web è in fase realizzazione. Avrà una interfaccia abbastanza scarna - non sono un Web Designer ed il tempo e' poco - ma ci sarà posto per i contenuti...


Ulteriori novità saranno postate sul blog...

mercoledì, settembre 13, 2006

Una "dritta" per la pubblicazione di OWA

Sul blog di T.Shinder - v.sez. Riferimenti - è stata pubblicata una interessante "dritta" per risolvere il "problema" con OWA di dover inserire sempre la URL completa - es. https://owa.isaserver.it/exchange - per poter accedere alla posta tramite ISA.


In cosa consiste la dritta?
Reindirizza automaticamente le richieste incomplete ricevute da ISA Server per OWA - es. https://owa.isaserver.it - verso il giusto percorso - es. https://owa.isaserver.it/exchange -.


Come si realizza?

1) Creare un Web Publishing di tipo DENY con Public Name uguale a owa.mydmain - vedi fig.1 - dove mydomain è il dominio pubblico - es. isaserver.it -.


Fig.1 -Definizione nome pubblico

2) Una volta creata la regola di Web Publishing è necessario aggiungere la URL di reindirizzamento. Per farlo basta entrare nelle proprietà della Web Publishing creata, aprire la sezione Action, abilitare il campo Redirect HTTP requests to this Web page ed inserire la URL completa owa.mydomain/exchange - vedi fig. 2 -.

Fig.2 - Reindirizzamento alla URL corretta

3) A questo punto possiamo pubblicare il server OWA utilizzando il Wizard di ISA Server.

In quale ordine dovranno essere collocate le regole?
- Deny Web Publishing Rule
- Allow OWA Publishing

La regola di Deny prima della regola di Allow!

NOTA: Per chi avesse già in produzione il server OWA basta solo creare la regola di Web Publishing ai punti 1 e 2 e collocarla "prima" della regola di pubblicazione di OWA.

Conclusioni:
Adesso possiamo inserire tranquillamente nel nostro browser la URL https://owa.mydomain ed essere certi che il nostro ISA Server reindirizzerà, automaticamente, la richiesta verso la URL corretta - https://owa.mydomain/exchange -....Veramente forte!

Riferimenti:
La "dritta" è di Gijs - ISAServer.org -. Il post originale sul blog di T.Shinder, in inglese, è disponibile qui http://blogs.isaserver.org/shinder/

Buon lavoro con ISAServer.it

Luca

mercoledì, settembre 06, 2006

HTML Error Reports per ISA Server (anche in ITALIANO)

Sono disponibili, anche in Italiano, i file di errore HTML utilizzati da ISA Server.

Il file autoestraente e' scaricabile direttamente dal sito Microsoft al seguente link: http://www.microsoft.com/downloads/details.aspx?familyid=975D9595-78CB-496E-B6FA-3DEA3DFC62E6&displaylang=en

Breve Descrizione:
Questi file HTML sono utilizzati da ISA Server quando si verificano errori durante la navigazione da parte degli utenti LAN o Internet.

Sono contenuti nella cartella %programfiles%\Microsoft ISA Server\ErrorHTMLs

E' possibile modificare questi file così da adattarli alle specifiche esigenze aziendali (es. persona di riferimento, numeri di telefono , link ecc. ).

Per chi non ha problemi con l'inglese può trovare un utile articolo su ISAServer.org >>.

Un articolo in italiano sarà disponibile su ISAServer.it, il link sarà fornito sul blog.

Nuovo Firewall Client per ISA (anche 64-bit)

E' disponibile per il download la versione aggiornata del firewall Client per ISA Server - Standard/Enterprise nelle versioni 2000/2004/2006 -.

La nuova versione supporta anche i nuovi OS a 64-bit - es. Windows XP 64, Vista 64 -.

La versione del nuovo firewall client e': 4.0.3441.633

Il nuovissimo firewall client e' scaricabile direttamente dal sito Microsoft: http://www.microsoft.com/downloads/details.aspx?FamilyID=45855498-66ba-43d3-a8f1-37837d380389&DisplayLang=en