Network Monitor 3.3 - Disponibile per il download

Si arricchisce ulteriormente di nuove funzionalità questa release di Microsoft Network Monitor. Questo update, dalla 3.2 alla 3.3, introduce il supporto ufficiale del nuovo OS Microsoft, Windows 7 ed di Microsoft Hyper-V. E' disponibile in versioni a 32/64 bit e Itanium.

Direttamente dal blog del team di sviluppo di Network Monitor:

"...
· Ability to capture WWAN (mobile broadband) and Tunnel traffic on Windows 7.
· Full Hyper-V support on Windows Server 2008
· Right-click-add-to-alias: Right-click a frame in the Frame Summary window with an IPv4, IPv6 or MAC address to add that address as a new alias. This is one of those little things that simplifies your work-flow.
· Right-click-go-to-definition: Have you ever wondered where and how the protocols fields you see in the Frame Details are defined in our in-built parsers? Wonder no more. Introducing right-click-go-to-definition: right-click a field in the Frame Details window and select Go To Data Field Definition or Go To Data Type Definition to see where the field is defined in the NPL parsers.
· Autoscroll: Another one of those little, but priceless things … auto-scroll. See the most recent traffic as it comes in. In a live capture, click the AutoScroll button on the main toolbar to have the Frame Summary window automatically scroll down to display the most recent frames as they come in. Click Autoscroll again to freeze the view in its present location.
· Core Parser Set: We heard your concerns about our parsing performance, and created an optimized Core parser set that only contains 32 protocol parsers for network layer and transport protocols (e.g., Ethernet, IP, and TCP). This parser set can increase your parsing performance by up to 200% depending on the data you are viewing. To enable the Core parser set, go to Tools > Options from the main menu, and click on the Parser tab. Click on the Common folder and click the stubs button to load stub parsers for this folder. Do the same thing for the Windows folder
· ETL Support: Network Monitor 3.3 can open and correlate information in ETL files generated by Network Tracing in Windows 7.

And now for the main event … two of our most exciting features that will revolutionize how you analyze your traces:

· Frame Commenting: Read all about this feature in our previous blog article. Briefly, Frame Commenting lets you attach comments to frames in a saved capture file. Select the Frame Comments tab in the lower-right window to add, view, edit, or delete comments. With this feature you can annotate a trace with your comments and observations and store that metadata directly with the capture file itself!
· Experts: Experts are stand-alone applications that analyze Network Monitor capture data. In Network Monitor 3.3 we provide a simple interface for registering experts with the product and invoking them on a saved capture file. We have made some initial experts available online at http://go.microsoft.com/fwlink/?LinkID=133950. Simply install the experts and run them directly from the UI on a capture file.

..."
fonte: NM Team Blog

Network Monitor è uno strumento fondamentale durante le fasi di analisi e troubleshooting.

Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
Annuncio sul blog del Team di sviluppo di NM
Donwload di Network Monitor 3.3

MS09-008 - Impedisce la distribuzione della configurazione con WPAD

E' stato gia' segnalato sul blog di ISAserver.it da Mauro Cerutti che la patch ha una influenza diretta sul comportamento del DNS per ISA Server.
La patch introduce in Windows Server 2000/2003 la block list, funzionalità originariamente presente solo in Windows 2008. 
Con la block list sono bloccate le query DNS inerenti il resource record WPAD, utilizzato per configurare automaticamente i client ISA Server di tipo Firewall Client e WebProxy Client.
Il funzionamento della block list è abbastanza semplice:
confronta la parte più a sinistra della query DNS (hostname) con il contenuto della lista. Se il servizio DNS trova una corrispondenza, la query non ottiene risposta.

 
Questo comportamento è valido solo per le query indirizzate a zone primarie/secondarie presenti sul server DNS.

E' importante mettere in evidenza che la block list è attiva solo sui server DNS dove è applicata la patch relativa alla vulnerabililità MS09-008 e non è stato ancora configurato il resource record WPAD. La block list non è attiva su installazioni già in essere con WPAD.

Ad oggi, a seguito dell'installazione della patch, sui sistemi Windows 2000 SP4, Windows 2003 SP1+, Windows 2008 è attiva la block list. Quindi se partite con un deployment che prevede l'utilizzo del WPAD per ISA Server su un DNS 2000/2003/2008 dovete sbloccare l'entry WPAD sul server DNS.

Windows 2000/2003
si deve intervenire direttamente sul registry di sistema nella sezione:
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

Il servizio DNS deve essere riavviato per rendere attive le modifiche.

Windows Server 2008
si può utilizzare il comando DNSCMD per disattivare la block list
DNSCMD /config /enableglobalqueryblocklist 0

DHCP Server
Se si distribuisce la configurazione tramite DHCP server non corriamo rischi di blocco A MENO CHE NON UTILIZZIAMO come server di distribuzione un server che abbia nome host WPAD o alias WPAD. In quest'ultimo caso la block list entrerebbe in gioco bloccando la risoluzione dei nomi. Solitamente la configurazione WPAD punta direttamente all'FQDN di ISA Server - es. FI-ISA01.isaserver.it -, se non direttamente con l'indirizzo IP dell'interfaccia di rete interna.
L'articolo KB968732 di Microsoft comunque nella sezione FAQ, punto 6. dice:

"...I have a WPAD server deployed in my network. Will I be affected?
Answer: No. If you have WPAD deployed in a network, and you already have the name WPAD registered in DNS, then it will not be blocked. However, if you have WPAD in the network and it uses DHCP to distribute the wpad.dat file with nothing in DNS, then the DNS query for WPAD will be blocked..."

A mio avviso l'affermazione non sembra corretta in quanto la block list entra in gioco solo su hostname WPAD e nel caso in cui, come frequentemente avviene, ISA Server è anche il server di distribuzione - con hostname ovviamente diverso dal "WPAD" - il blocco risulta inapplicabile. Se la DHCP Option usa l'FQDN di ISA la query DNS NON SARA' BLOCCATA, risolvendo e ditribuendo tranquillamente la configurazione ai client Firewall Client e WebProxy.

Di seguito il tracciato in cui il server DHCP comunca la client la configurazione DHCP Option 252:

e subito dopo la query verso il server DNS per la risoluzione del nome
 
...con relativa risposta. Ovviamente la block list era attiva sul server DNS ma come è giusto aspettarsi su hostname NON WPAD non interviene.
 
Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti

Microsoft Security Bulletin MS09-008 – Important
KB961063-MS09-008: Description of the security update for DNS server: March 10, 2009
KB968732-Changes to DNS server behavior after you install the security update for DNS server
Windows Server 2008 DNS Block Feature - ISA Team Blog 
DNS Server Global Query Block List
Windows DNS and the Kaminsky bug
Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8) - ISAserver.it
Automatic Discovery con ISA Server 2006/2004

EventID 14109 - The ISA Server Standard Edition cannot run

Sono stati segnalati problemi con ISA Server 2006 dopo l'applicazione della patch MS09-12 per Windows Server 2003 SP1/SP2. Il problema segnalato interessa solo la versione Standard in esecuzione su sistemi con un numero totale di core superiore a 4.

Dopo il riavvio del server ISA non riparte generanto un EventID 14109. Il problema è risolvibile modificando il boot.ini del server ed inserendo il parametro /numproc=4 , forzandolo così ad utilizzare solo 4 processori.

Di seguito il post completo di Jim Harrison sul blog del Team di sviluppo di ISA Server:

"...We've received several reports of ISA Server Standard Edition restart failures after installation of last week's security updates.

The error message observed in this circumstance is: "Event ID 14109 (The ISA Server Standard Edition cannot run. Either the server is using more than 4 processors....)."

Notes:
1. this specific problem only affects ISA Server Standard Edition and only when it's running on a computer that has a total of more than 4 CPU cores.
2. this issue does not affect Forefront TMG (MBE)

The problem occurs when you install the MS09-012 patch under very specific circumstances.  The Windows Sustained Engineering team is producing a detailed explanation of this behavior for the MS09-012 bulletin articles and will post that as soon as it's ready.

In the meantime, you can employ the following workaround to put your ISA Server back in service:

1. log on to the computer using a local administrator account
2. click the Start button, select Run
3. in the Run dialog, enter cmd and click OK
4. in the command window
    a. type attrib -a -s -r -h c:\boot.ini and hit Enter
    b. type notepad c:\boot.ini and hit Enter
5. at the end of the line under [operating systems], enter /numprocs=4
Note: if you have multiple boot entries, you should add this entry to the end of the line that is used to boot the default OS instance where ISA Server runs
6. save the boot.ini file
7. in the command window, type attrib +a +s +r +h c:\boot.ini and hit Enter
8. reboot your computer..."
fonte: ISA Team Blog

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
MS09-12 - Vulnerabilities in Windows Could Allow Elevation of Privilege (959454)
KB959454 - MS09-012: Vulnerabilities in Windows could allow elevation of privilege
KB833721 - Opzioni dei parametri disponibili per i file Boot.ini di Windows XP e di Windows Server 2003
Download - Security Update for Windows Server 2003 (KB956572)
Donwload - Security Update for Windows Server 2003 (KB952004)

ISAserver.it/VMexperts.org & Microsoft Technet Italia (Offerta riservata)

Per tutti i membri delle Community ISAserver.it e VMexperts.org è previsto uno sconto sull'abbonamento Microsoft Technet Plus Direct.
In periodi di crisi poter risparmiare qualcosa anche sul Technet+ è sempre molto positivo!! 

Le informazioni sulle modalità per avere lo sconto vi saranno inviate via posta elettronica all'indirizzo e-mail alla quale ricevete la newsletter. Se non sei un membro della community registrati subito:

ISAserver.it - registrati subito qui oppure iscriviti alla newsletter qui.
VMexperts.org - registrati subito qui oppure iscriviti alla newsletter qui.

Un sincero ringraziamento a Microsoft Technet Italia che concretamente sostiene le community tecniche più rappresentative del panorama IT.

Lunedì c'é posta per te!!*

(*) Era un pò che aspettavo il momento giusto per riciclarla. :-) 

Per chi non sa cosa sia Technet+ Direct può consultare la pagina:
http://technet.microsoft.com/it-it/subscriptions/bb892759.aspx

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

GFI WebMonitor 2009 - Disponibile per il download

E' disponbile la nuova versione di GFI WebMonitor, la nota suite di protezione per Microsoft ISA Server, della software house GFI Software.

Maggiori info sui costi e funzionalità: http://www.gfi.com/webmon

Un interessante Whitepaper sugli effetti del webmonitoring sulla produttività aziendale:
http://www.gfi.com/whitepapers/web_monitoring_for%20employee_productivity_enhancement.pdf

E' possibile scaricare la trial 30gg direttamente da qui

A completamento del post vi riporto le principali novità introdotte in questa release:

"...
Un database WebGrade aggiornato che offre la copertura di oltre 165 milioni d URL
Il database WebGrade è stato notevolmente migliorato in modo da aumentare la copertura di indirizzi URL in più lingue. La dimensione del database è aumentata passando da 10 a 165 milioni di TLD (Top Level Domains - Domini di primo livello).
Ricerche on line nel database WebGrade
A causa della natura in costante mutazione del web, GFI WebMonitor interroga i server GFI in merito alla classificazione di URL non presenti nel database contenuto nella cache locale. Se una URL non risulta classificata, viene elaborata dal server e aggiunta al database.
Monitoraggio della larghezza di banda dell'utente o del sito
Grazie alle funzioni di monitoraggio della larghezza di banda dell'utente e del sito, l'amministratore ha la facoltà di rintracciare il traffico scaricato e caricato e le visite ai siti web per utente oppure per sito web. Anche i rapporti illustrano la quantità di larghezza di banda utilizzata da ogni categoria di siti web.
Principali trasgressori dei criteri aziendali
WebMonitor riporta ora informazioni dettagliate su tutti gli utenti ai quali ha impedito la violazione di criteri aziendali. Tali violazioni possono includere la navigazione in siti ad accesso limitato oppure lo scaricamento di file infetti da malware o ancora di tipi di file bloccati da criteri di controllo dei download.
Eccezioni per criteri aziendali da parte di WebFilter
Oltre a blacklist o whitelist generiche, l'amministratore può definire eccezioni di sito web per ogni dato criterio. Un esempio tipico è rappresentato dal blocco o dall'autorizzazione di "tutti i siti tranne cnn.com"
Controllo di MSN
Monitoraggio e blocco di messaggi in entrata e uscita e di trasferimenti di file tramite MSN e MS Live Messenger, grazie ai criteri di controllo dei download (Download Control Policies) di web Monitor.
Protezione da siti di phishing
Tutti i siti web che gli utenti tentano di accedere sono controllati e confrontati con un database aggiornabile automaticamente. Se un sito web compare nell'elenco di URL di phishing, viene bloccato e all'utente viene visualizzato un opportuno messaggio.
Criteri di controllo dei download basati sugli utenti, gruppi o IP
L'amministratore ha la facoltà di creare più criteri basati su utenti, gruppi o IP per riflettere i criteri di protezione dell'organizzazione. Per esempio, può creare un criterio in base al quale nessun dipendente può scaricare video e file mp3.
..."
fonte: GFI Software

A breve seguirà anche una review sul prodotto.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com