Microsoft vient de publier le Patch Tuesday d'Avril 2015. Il comporte 11 bulletins de sécurité, dont 4 bulletins qualifiés de critique. Il corrige des vulnérabilités de Windows, Office, Internet Explorer et SharePoint.

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

Microsoft a publié un outil permettant de tester si vous Management Pack suivent les bonnes pratiques de compatibilité et de conformité pour System Center 2012 R2 Operations Manager. Microsoft Platform Ready Test Tool 1.1 est principalement destiné aux partenaires qui veulent tester, commercialiser et obtenir la certification.

Télécharger Microsoft Platform Ready Test Tool 1.1 for System Center 2012 R2 Operations Manager

Vous avez pu remarquer que Microsoft met un point d’honneur à étoffer ses services sur l’ensemble des plateformes. Stanislas Quastana (MSFT) nous propose un billet regroupant la liste des applications iOS éditées par Microsoft. Cette liste sera tenue à jour en fonction des sorties. Elle vous permettra de savoir ce que vous pouvez mettre à disposition à vos utilisateurs au travers de votre solution de MDM telle que System Center Configuration Manager/Microsoft Intune.

Accéder au billet

La fin de support de SQL Server 2005 arrive à grand pas ! Elle est programmée pour le 12 avril 2016. Si vous utilisez des applications utilisent encore cette version, il est vivement recommander de migrer vers une version supérieure.

Plus d’informations sur : http://blogs.microsoft.com/blog/2015/04/13/are-you-still-running-sql-server-2005-now-is-the-time-to-upgrade-to-a-modern-data-platform

Il y a quelques mois, Pieter Wigle (MSFT) proposait un article très intéressant sur la protection d‘un serveur NDES avec le rôle Web Application Proxy. Microsoft vient de publier un livre blanc relatif à ses articles pour détailler la sécurisation du serveur NDES. Le serveur NDES peut être utilisé pour distribuer des certificats sur les périphériques mobiles avec System Center 2012 R2 Configuration Manager et Windows Intune. Les différents points qu’il détaille permettent d’implémenter ce rôle en DMZ pour distribuer des certificats dans des scénarios périphériques mobiles gérés ou en BYOD.

Le livre blanc aborde :

• L’aperçu et le fonctionnement de NDES
• La topologie réseau
• La configuration NDES
• La sécurisation du serveur

C’est donc un guide à garder précieusement pour les implémentations qui intègrent ce rôle.

Télécharger Securing and Hardening Network Device Enrollment Service for Microsoft Intune and System Center Configuration Manager

Les solutions de supervision proposées par Microsoft au travers du Management Pack Hyper-V et SCVMM sont relativement incomplètes notamment dans certains scénarios comme avec des Replicas, etc… Daniele Grandini (MVP SCCDM) propose un Management Pack communautaire pour Hyper-V à utiliser via System Center 2012 R2 Operations Manager. La version 1.0.0.84 mise à jour dernièrement permet :

• La découverte des objets sans nécessiter l’intégration via VMM
• Une découverte optimisée qui est exécutée lorsque les machines virtuelles sont déplacées, démarrées ou arrêtées
• Un scénario complet de supervision des replicas avec diagnostic, restauration (désactivée par défaut) et des tâches pour résumer le réplica.
• Plusieurs moniteurs liés aux GPU à RemoteFX qui découlent du Management Pack de Microsoft
• La supervision du niveau de fragmentation des VHD(x)
• Le pourcentage d’uptime des VMs

Pour connaître plus de détails : https://nocentdocent.wordpress.com/2015/04/03/hyper-v-monitoring-with-scom-sysctr/

Télécharger Hyper-V 2012 R2 management pack for Operations Manager 2012 R2

UPDATE : Cette version est dépréciée et fusionnée avec Hyper-V

Microsoft a publié la Preview des services d’intégration Linux pour Microsoft Azure en version 4.0. Cette version supporte :

• Windows Server 2012 R2
• Microsoft Azure

Pour rappel, il apporte les fonctionnalités suivantes :

• Support de drivers réseau et stockage IDE/SCSI
• Support Fastpath Boot
• Synchronisation temps
• Arrêt intégré
• Support Symmetric Multi-Processing
• Support de la souris intégré
• Système Heartbeat
• Support de l’échange KVP (Key Value Pair) pour obtenir des informations sur la machine virtuelles à partir de l’hôte
• Live Migration
• Jumbo Frames
• VLAN tagging et Trunking
• Injection d’IP statique
• Retaillage des disques VHDX Linux
• Support de Synthetic Fibre Channel
• Support de la sauvegarde des machines virtuelles Linux en live
• Support de la mémoire dynamique
• Support des périphériques vidéo synthétiques
• Support du kernel PAE

Télécharger Linux Integration Services v4.0 Preview for Microsoft Azure

Microsoft vient de publier un correctif permettant d’étendre la période d’expiration de Windows Server Technical Preview Octobre 2014. Cette version expire à partir du 15 avril. L’extension se fait sans interruption et jusqu’à mai 2015.

Télécharger Windows Server Technical Preview and Hyper-V Server Technical Preview Expiration Extension

Le 8 avril dernier, Microsoft a annoncé Nano Server et les conteneurs Hyper-V. Nano Server est un système d’exploitation qui a été construit pour exécuter des applications (C#, Java, Node.js, Python, etc.) et des conteneurs spécialement créés pour le Cloud. Ce système est une version retravaillée de Windows Server avec une emprunte réduite du système. Il est gérable à distance, optimisé pour le cloud et pour les workflows DevOps. Il est ainsi optimisé pour de meilleures utilisations de ressources, des démarrages rapides, une surface d’attaque réduite, et sur une gestion moins lourde (peu de mises à jour…)

En terme de chiffre, cette version réduit de :

• 93% la taille VHD
• 92% des bulletins critiques
• 80% des redémarrages

Pour ce faire, Microsoft a supprimé l’interface graphique, le support 32 bits (WOW64), MSI et le nombre de composants core par défaut. Il n’y a pas non plus de connexion locale ou de support de Remote Desktop. La gestion se fait à distance via WMI et PowerShell.

En outre, ce sont les conteneurs Hyper-V qui ont été annoncés afin d’offrir un nouveau niveau d’isolation. Le code s’exécute alors dans un conteneur dédié et isolé afin de ne pas impacter le système d’exploitation hôte ou les autres conteneurs. Microsoft a travaillé avec la communauté Docker pour prendre en compte les innovations dans ses produits et services.

Plus d’informations sur :

• Microsoft Announces Nano Server for Modern Apps and Cloud
• Microsoft Unveils New Container Technologies for the Next Generation Cloud

Microsoft vient de lancer un appel aux clients/entreprises et aux administrateurs réseaux qui souhaiteraient se joindre à un programme d’amélioration de Windows DNS.

Plus d’informations sur : http://blogs.technet.com/b/networking/archive/2015/04/09/make-us-better-join-the-ipam-customer-panel.aspx

Pour joindre le programme, remplissez le formulaire suivant.

Microsoft vient de lancer un appel aux clients/entreprises qui souhaiteraient se joindre à un programme d’amélioration de sa solution d’IP Address Management (IPAM).

Plus d’informations sur : http://blogs.technet.com/b/networking/archive/2015/04/09/make-us-better-join-the-ipam-customer-panel.aspx

Pour joindre le programme, remplissez le formulaire suivant.

L’équipe DPM a publié une série de billets sur System Center 2012 Data Protection Manager (DPM) et la maintenance de la base de données du produit. On retrouve notamment des bonnes pratiques comme la vérification de l’intégrité et identifier la fragmentation de la base.

Lire :

• DPMDB Maintenance Part 1: Database consistency check and your DPMDB
• DPMDB Maintenance Part 2: Identifying and dealing with fragmentation in your DPMDB
• DPMDB Maintenance Part 3: Dealing with a large DPMDB

Microsoft Cloud Platform System (CPS) (nom de code San Diego) est une solution convergée comprenant la couche matérielle et logicielle intégrée. Elle est construite par DELL et Microsoft en combinant Windows Server 2012 R2, System Center 2012 R2 et Windows Azure Pack. Le but est d’offrir une solution clé en main construite et installée dans les usines de DELL qui est ensuite facilement intégrable dans le SI des entreprises. Microsoft propose aujourd’hui un article détaillé sur la stratégie mise en œuvre pour assurer l’orchestration des mises à jour et patchs sans avoir de temps d’arrêt.

Le processus a été réfléchi pour ne pas impacter la charge de travail en mettant à jour éléments après éléments tout en prenant en compte les inter et intra dépendances. Microsoft a créé un moteur appelée P&U qui comprend notamment un package définissant la séquence d’installation. Ces packages sont testés par Microsoft sur des environnements de test et de production. Ces packages P&U sont publiés sur une cadence trimestrielle. La technologie Cluster Aware Updating (CAU) est notamment utilisé pour migrer les machines virtuelles d’un nœud à un autre.

Pour connaître en détail la stratégie, je vous invite à lire le billet : http://blogs.technet.com/b/privatecloud/archive/2015/04/01/zero-downtime-patch-amp-update-orchestration-on-the-microsoft-cloud-platform-system.aspx

Microsoft vient de publier l’Update Rollup 1 de l’agent de supervision Microsoft Monitoring Agent. Ce dernier permet une utilisation autonome pour collecter des traces d’applications web exécutées sur IIS 7.0, 7.5 ou 8.0 localement. Cet agent est construit sur la base des informations renvoyée par l’agent System Center Operations Manager, la fonctionnalité APM .Net et le collecteur autonome IntelliTrace de Visual Studio. Notez d’ailleurs que le nom de l’agent SCOM 2012 R2 a été renommé en ce sens. Cette mise à jour comprend les changements suivants :

• Les paramétrages proxy sont ajoutés à l’assistant d’installation de l’agent
• Des étapes de validation de compte sont ajoutées à l’assistant pour se connecter à Operational Insights
• L’état de connexion est ajouté au panneau de configuration

Voici la matrice de compatibilité :

• Visual Studio Ultimate 2013
• Visual Studio Ultimate 2012 Update 4
• System Center 2012 R2 Operations Manager
• System Center 2012 SP1 – OperationsManager (quand multihomé avec System Center Operations Manager 2012 R2)
• System Center 2012 – Operations Manager (quand multihomé avec System Center Operations Manager 2012 R2)
• System Center Operations Manager 2007 R2 (quand multihomé avec System Center Operations Manager 2012 R2)

Plus d’informations sur la KB3032946

Télécharger Microsoft Monitoring Agent Update Rollup 1

Microsoft vient d’annoncer le support de SQL Server 2012 Service Pack 2 par System Center 2012 Service Manager SP1. Ce support n’est assuré qu’avec l’application de l’Update Rollup 6. Notez que le SP1 de SQL Server 2012 ne sera plus supporté par Microsoft à partir de juillet 2015.

Source : http://blogs.technet.com/b/servicemanager/archive/2015/04/01/service-manager-2012-sp1-now-supports-sql-server-2012-service-pack-2.aspx

Microsoft a annoncé la disponibilité générale du service Azure AD Device Registration. Ce dernier est notamment utilisé par la solution de gestion des périphériques mobiles d'Office 365 et notamment l’application de stratégies de conformité. Azure AD Device Registration permet de provisionner l’identité sur des périphériques. Une fois le périphérique authentifié par Azure AD, il vérifie si ce dernier est conforme avant d’accéder aux données d’entreprise.

Plus d’informations sur : http://msdn.microsoft.com/en-us/library/azure/dn903763.aspx

Microsoft a publié une information supplémentaire concernant le problème de pool d’applications WSUS qui causait notamment des erreurs HTTP 503 dans les logs WSUS (wsyncmgr.log et WCM.log) sur System Center Configuration Manager 2007 et 2012.

Ce problème a un effet de bord supplémentaire ! Il peut engendrer une utilisation importante du processeur par le processus LSASS.exe sur les contrôleurs de domaine. Les utilisateurs peuvent alors expérimenter des délais de connexion très longs (plus de 10 minutes).

Dans ce cas, vous devez vérifier si vous faites face au problème de synchronisation et le corriger pour retrouver une situation normale.

Dans System Center 2012 Operations Manager, la Web Console dispose d’un timeout (30 mn par défaut) qui déconnecte les utilisateurs. Ce mécanisme est mis en place par sécurité mais peut poser problème dans certaines conditions où les opérateurs doivent garder une console ouverte.

Il est possible de changer le timeout en passant à une valeur plus haute ou illimitée. Pour ce faire, vous devez ouvrir le fichier Web.config localisé dans <Répertoire d’installation de la console>\System Center 2012 R2\Operations Manager\WebConsole\WebHost\web.config

1. Editez-le en utilisant notepad.
2. Localisez la balise : <connection autoSignIn=”True” autoSignOutInterval=”30″>
3. Copiez collé le bloc <connection … à </connection> dans une zone non commenctée
4. Changez la valeur d’autoSignOutInterval à une valeur plus élevée (en minutes) ou à 0 pour une durée illimitée.

Il y a plusieurs mois, Microsoft a changé sa stratégie en mettant une date de validité sur les certifications passées ! Ainsi l’acquisition des statuts MCSE ou MCSA est valable dans le temps et doit être revalidée au bout de deux ans. L’équipe BornToLearn vienet d’annoncer qu’il sera maintenant possible de revalider/recertifier une certification obtenue en passant des activités Microsoft Virtual Academy. C’est une bonne nouvelle car cela signifie que vous n’êtes pas obligé de payer à nouveau pour garder votre statut. L’autre avantage est que MVA va vous permettre de garder vos compétences à niveau avec les dernières nouveautés depuis le passage de votre certification.

Pour ce faire, vous devez :

1. Sélectionner le chemin de validation des compétences pour votre certification expirée
2. Passez toutes les évaluations de chaque cours du chemin sélectionné
3. Quand vous avez terminé, envoyez un message à certquest@microsoft.com avec votre nom d’utilisateur MVA et votre MCID.

Plus d’informations sur : https://www.microsoft.com/learning/en-us/recertification-virtual-academy.aspx

Source : https://borntolearn.mslearn.net/b/weblog/archive/2015/04/02/introducing-recertification-through-microsoft-virtual-academy

A la manière de celui proposé pour System Center Configuration Manager, Microsoft a publié un guide de survie pour Microsoft Intune. Vous y trouverez des liens et des ressources pour bien démarrer sur ce service.

Accéder au Microsoft Intune Survival Guide

Microsoft vient de publier l’application Work Folders sur l’Apple Store à destination des iPhones. Les WorkFolders permettent aux utilisateurs d’accéder à leurs fichiers/documents de manière sécurisée en dehors de l’entreprise quel que soit le périphérique utilisé. L’application pour iOS permet :

• Attacher des fichiers pour un visionnage hors ligne
• Sauvegarder l’espace de stockage en montrant tous les fichiers mais en stockant localement les fichiers importants
• Les fichiers stockés sont chiffrés
• L’accès de l’application se fait par un mot de passe applicatif afin d’éviter les accès non souhaités
• Permet l’authentification DIGEST et Active Directory Federation Services mais aussi des mécanismes d’authentification à facteurs multiples
• Recherche de fichiers et dossiers
• Possibilité de voir les fichiers dans l’application via des visionneuses pour tous types de fichiers directement inclus dedans
• Ouverture de fichiers avec d’autres applications qui peuvent être spécialisées dans l’ouverture de ces derniers.
• Intégration avec Microsoft Intune pour permettre la gestion de l’application et brider des copier/coller vers des applications non gérées
• L’effacement à distance peut maintenant supprimer les fichiers Work Folders sans avoir à supprimer l’application ou réinitialiser le périphérique

Pour rappel, il existe déjà l’application pour iPad.

Plus d’informations sur : http://blogs.technet.com/b/filecab/archive/2015/04/03/work-folders-for-ios-iphone-release.aspx

System Center 2012 Configuration Manager comprend la solution antivirale et anti logiciels malveillants : System Center Endpoint Protection. Cette intégration permet notamment d’obtenir une seule et unique console d’administration pour gérer tous les aspects d’administration liés aux périphériques gérés. Elle offre une intégration complète pour déployer les mises à jour de définitions via la gestion de mises à jour logicielles, le client ConfigMgr et le rôle Software Update Point. Microsoft publie des mises à jour de définition à raison de trois fois par jour (toutes les 8 heures). Vous pouvez d’ailleurs connaître le contenu de ces mises à jour via l’URL suivante : http://www.microsoft.com/security/portal/definitions/whatsnew.aspx

Pour voir la liste des dernières mises à jour de définitions, rendez-vous sur le catalogue Microsoft Update

Je ne reviendrais pas sur le fonctionnement du déploiement des mises à jour. Cet article a pour but d’expliquer le découpage des fichiers qui composent les mises à jour de définitions du client Endpoint Protection. Chaque définition peut faire jusqu’à plusieurs centaines de MB. J’aborde ce sujet car les entreprises ont tendance à demander si les clients ConfigMgr téléchargent l’ensemble des sources des mises à jour de définition trois fois par jour.

Chaque mise à jour de définitions comprend l’ensemble des fichiers permettant au client Endpoint Protection de se mettre à jour après une installation du client ou une version de définition n-1.

L’agent SCEP utilise le principe de modules de définition virus (VDMs) pour stocker les informations nécessaires à la détection des logiciels malveillants :

• Le fichier MpAvBase.vdm contient le module de définition de base antivirus. Microsoft le met à jour une fois par mois. Il contient toutes les informations permettant de construire les définitions incrémentielles.
• Le fichier MpAvDlta.vdm contient le module de définition incrémentiel antivirus. Microsoft met à jour ce fichier plusieurs fois par jours afin d’appliquer les changements relatifs au fichier de base (MpAvBase.vdm)
• Le fichier MpAsBase.vdm contient le module de définition de base anti logiciels malveillants. Microsoft le met à jour une fois par mois. Il contient toutes les informations permettant de construire les définitions incrémentielles.
• Le fichier MpAsDlta.vdm contient le module de définition incrémentiel anti logiciels malveillants. Microsoft met à jour ce fichier plusieurs fois par jours afin d’appliquer les changements relatifs au fichier de base (MpAsBase.vdm)
• Enfin le fichier MpEngine.dll contient le moteur de protection de SCEP. C’est le moteur qui fait référence aux fichiers .vdm pour protéger et analyser le système.

Une fois par mois, Microsoft combine les définitions de base et les fichiers incrémentiels (MpA*Dlta.vdm) pour inclure les changements et recommencer ainsi le cycle. La taille des fichiers de base augmente et reste fixe pour le mois suivant alors que la taille des fichiers incrémentiels diminue. Ces derniers grossiront au fil des publications du mois en cours.

On distingue 3 scénarios de mises à jour de définitions :

• Pour une nouvelle installation ou agent n’ayant pas été mis à jour depuis plus d’un mois, l’agent reçoit l’ensemble des mises à jour de définitions. La taille peut faire quelques centaines de MB.
• L’agent SCEP utilise des mises à jour de définitions du mois précédent. il reçoit alors le delta des mises à jour du moteur, des fichiers de base et des fichiers incrémentiels. Le delta envoyé est une partie des fichiers qui ont changé depuis la dernière version. La taille est de l’ordre de la dizaine de MB.
• L’agent SCEP utilise des définitions récentes. Dans cette situation, seuls les fichiers incrémentiels MpAvDlta.vdm et MpAsDlta.vdm doivent être mis à jour. Un différentiel binaire des fichiers est alors crée et déployé (quelques Kb).

Microsoft vient d’annoncer la disponibilité générale de la solution de gestion des périphériques mobiles (MDM) intégrée à Office 365 pour tout le monde (Business, Enterprise, EDU et gouvernement). Auparavant, cette dernière n’était disponible que pour les contrats d’entreprise. Les tenants seront mis à jour sous 4 à 6 semaines. Office 365 peut être utilisé comme première solution pour permettre la gestion des périphériques modernes sous iOS, Android et Windows Phone.

Cette solution offre Elle offre :

• Appliquer des stratégies de sécurité pour valider la synchronisation des documents et emails sur les périphériques gérés par l’entreprise
• Appliquer des stratégies pour forcer la sécurité des périphériques : verrouillage avec un PIN, bloquer les jailbreak…
• Effectuer un effacement des données Office 365 à distance
• Garder la productivité des utilisateurs en laissant l’utilisation du client Mail par défaut

Elle se base sur Microsoft Intune et Azure Active Directory pour couvrir les systèmes suivants :

• Android 4 ou plus
• iOS 7 ou plus
• Windows Phone 8.1

Plus d’informations sur : http://blogs.office.com/2015/03/30/announcing-general-availability-of-built-in-mobile-device-management-for-office-365/

En décembre dernier, Microsoft annonçait la sortie de Microsoft Desktop Optimization Pack 2014 R2 avec le Service Pack 3 d’Application Virtualization (App-V) 5.0. Microsoft n’a pas fait d’annonce sur son blog mais cette version est supportée par :

• System Center 2012 Configuration Manager SP1
• System Center 2012 R2 Configuration Manager

Ce support est assuré sans application de Cumulative Update ou de Service Pack.
Mais (car il y a un mais) le support se fait à fonctionnalités correspondante à Application Virtualization 5.0 SP2. Cela signifie que toutes les nouveautés et améliorations introduites par le SP3 ne sont pas prises en charge par les versions actuelles citées ci-dessus. Ce support sera apporté dans la prochaine version du produit. Pour rappel, on retrouve notamment :

• Un groupe de connexion peut inclure des packages optionnels
• Dé-publier ou supprimer un package optionnel sans avoir à changer le groupe de connexion
• Publier des groupes de connexion qui contient des packages publiés globalement ou aux utilisateurs
• Faire qu’un groupe de connexion peut ignorer une version de package
• Limiter les capacités de publication des utilisateurs finaux
• Activer ou désactiver un groupe de connexion pour un utilisateur spécifique
• Fusionner des chemins de package identique dans un seul répertoire virtuel dans un groupe de connexion
• Consolidation des journaux d’évènements dans Applications and Services Logs/Microsoft/AppV/ServiceLog

Voici une procédure simple mais très intéressante, Matt Shadbolt (MSFT) décrit comment associer un annuaire déjà synchronisé avec Intune en utilisant DirSync avec un tenant Microsoft Azure. Vous devez pour cela passer par la partie Active Directory du portail Microsoft Azure et ajouter un annuaire Active Directory.

Pour voir la procédure complète : http://blogs.technet.com/b/configmgrdogs/archive/2015/03/20/associating-your-intune-dirsync-directory-with-your-azure-tenant.aspx