Microsoft a publié de nouveaux services PaaS pour Microsoft Azure Stack. On retrouve des services provenant d’Azure App Service et notamment Web Apps, API apps, et Mobile apps. Vous devez redéployer la TP2 avec les sources mis à jour.

Accédez à la documentation

Télécharger Azure Stack TP2

Microsoft a publié la version 5.52 d’Enhanced Mitigation Experience Toolkit (EMET). Cet outil permet l’analyse et empêche l’exploitation des vulnérabilités logicielles grâce à des technologies de sécurité. Il adresse notamment la protection contre les logiciels malveillants. L’outil s’adapte à n’importe quel logiciel mais des tests doivent être opérés pour assurer leur fonctionnement. Notez que l’outil ne rendra pas impossible l’exploitation de vulnérabilité mais réduit les risques encourus.

La version 5.52 apporte des corrections de bugs :

• Un problème avec l’atténuation EAF qui cause le blocage de quelques applications sur Windows 7 SP1.
• Un correctif à l’installeur MSI qui permet la mise à niveau in-place.
• Suppression de l’atténuation EAF+ pour Chrome de « Popular Software.xml »
• Correction de l’import pour les atténuations système.

Télécharger

• Enhanced Mitigation Experience Toolkit 5.52
• Enhanced Mitigation Experience Toolkit (EMET) 5.52 User Guide
• Enhanced Mitigation Experience Toolkit (EMET) 5.5 converter

Microsoft a publié le portail d’entreprise Microsoft Intune pour Android. Le portail d’entreprise permet l’enregistrement du périphérique à la solution d’administration, l’accès au catalogue d’application, la gestion du périphérique, etc. La publication hors ligne permet à l’administrateur de le déployer sans avoir accès au GooglePlay Store. Il faut pour cela :

• Connecter le périphérique à un ordinateur en utilisant l’USB pour copier le fichier APKi sur le périphérique.
• Depuis les paramètres du périphérique, naviguez dans Security puis cochez "Unknown sources".
• Sur le périphérique, naviguez vers l’APK et exécutez-le.

Télécharger Microsoft Intune Company Portal for Android

Si vous avez essayé l’accès conditionnel avec Microsoft Intune lors des phases de Preview, vous devez vérifier leur état. En effet le passage de la fonctionnalité en production peut avoir désactiver les stratégies que vous aviez créé.

Microsoft vient de publier les outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

• Cisco EAP Supplicant Installer
• Surface Data Eraser pour effacer de manière sécurisée les données des Surface.
• Surface Deployment Accelerator permet de facilement déployer une image Windows sur des Surface.
• Surface Diagnostic Toolkit fournit des outils pour tester le matériel.
• Surface Dock Updater permet de mettre à jour le Dock.
• Surface UEFI Configurator
• Surface UEFI Manager

Télécharger Surface Tools for IT

Microsoft a mis à jour la documentation sur l’outil System Preparation (Sysprep) que vous connaissez surement déjà. Sysprep est utilisé pour préparer l’installation de Windows dans le but de créer une image qui sera ensuite redéployée. Sysprep a pour but de généraliser l’image en :

• Supprimant notamment les éléments spécifiques au système comme le SID.
• Désinstallant les drivers spécifiques à la machine.
• Préparant la machine à redémarrer dans l’expérience utilisateur par défaut.
• Chargeant un fichier de réponse de personnalisation.

Parmi les changements, on retrouve la capacité de préparer une image à partir d’un système Windows 10 qui a été mis à niveau. Microsoft s’apprête à supprimer l’interface graphique de SysPrep.

L’article revient aussi sur les limitations et les scénarios non supportés.

Plus d’informations sur : https://msdn.microsoft.com/en-us/windows/hardware/commercialize/manufacture/desktop/sysprep--system-preparation--overview

Le document proposé par Microsoft, décrit comment les attaques sur les identifiants surviennent et quelles stratégies et mesures peuvent être implémentées pour les atténuer. On retrouve notamment :

• Les attaques Pass-The-Hash
• Kerberos Pass the ticket
• Kerberos Golden Ticket et Silver Ticket
• Les Key Loggers
• Shoulder surfing

Télécharger Windows 10 Credential Theft Mitigation Guide

Microsoft a publié un kit de formation pour SQL Server 2016. Il fournit des ressources pour les développeurs, formateurs, consultants et évangélistes avec les points importants à comprendre pour introduire SQL Server 2016. Il contient des présentations, des démos, des vidéos, etc.

Télécharger SQL Server 2016 Training Kit

Microsoft a publié un article dans la base de connaissances concernant System Center 2012 Configuration Manager SP2 ou R2 SP1 et la vue v_GS_AntimalwareHealthStatus qui revoie un état incorrect des définitions Endpoint. L’état est basé sur la valeur de AntivirusSignatureUpdateDateTime. Ceci est un problème connu qui a été corrigé dans Configuration Manager à partir de la version 1511.

Vous pouvez exécuter la requête suivante pour récupérer l’information d’une autre façon :

declare @USERSIDS as varchar(64)='Disabled'

select distinct b.Name, (a.SignatureUpTo1DayOld) AS SignatureUpTo1DayOld 

, (a.SignatureUpTo3DaysOld) AS SignatureUpTo3DaysOld 

, (a.SignatureUpTo7DaysOld) AS SignatureUpTo7DaysOld 

, (a.SignatureOlderThan7Days) AS SignatureOlderThan7Days 

, (a.NoSignature) AS NoSignature 

, a.EpInstalled 

from fn_rbac_EndpointProtectionStatus(@UserSIDs) AS a 

inner join fn_rbac_FullCollectionMembership_valid(@UserSIDs) AS b on b.ResourceID = a.ResourceID 

where b.CollectionID='SMS00001' 

and a.EpInstalled = 1 

and b.ResourceType <> 2

Plus d’informations sur la KB3183902 : v_GS_AntimalwareHealthStatus view reports incorrect Endpoint Definition status in Configuration Manager 2012

Microsoft a publié un article dans la base de connaissances pour expliquer comment bloquer temporairement la mise à jour d’un driver sur Windows 10. En effet, le système se garde constamment à jour et de ce fait les drivers peuvent s’installer automatiquement. Ceci s’applique si les machines sont directement connectées à Microsoft Update.

Vous pouvez télécharger le package Show or hide updates" troubleshooter pour cacher les drivers de l’interface Windows 10.

Plus d’informations sur : How to temporarily prevent a driver update from reinstalling in Windows 10

Microsoft vient de publier un ebook gratuit sur l’utilisation de SQL Server 2016 pour la Data Science. L’ebook revient sur comment installer, configurer et utiliser les services Microsoft SQL Server R.

Télécharger Data Science with Microsoft SQL Server 2016

Plus d’informations sur : https://blogs.technet.microsoft.com/machinelearning/2016/10/19/data-science-with-microsoft-sql-server-2016-free-ebook/

Microsoft a publié un article présentant les piliers de la stratégie de protection des données de l’entreprise utilisant les services d’Office 365 avec Microsoft Intune. L’article revient sur :

• La sécurisation des accès à Exchange Online
• La sécurisation des accès à SharePoint Online
• La gestion des applications mobiles (MAM) pour iOS et Android
• Les stratégies de protection de l’information Windows (WIP)
• L’effacement des données d’entreprise

Lire (en anglais) : Protect Office 365 company data with Intune

Microsoft a publié un article dans la base de connaissances concernant un problème touchant System Center 2012 R2 Configuration Manager et le déploiement de système d’exploitation. Vous êtes dans un scénario où vous utilisez des séquences de tâches de Build and Capture ou de déploiement de Windows 10 1511. Dans ce cas de figure, l’utilisation de la tâche Install Software Updates peut bloquer lors de l’installation des mises à jour Office. Dans certains cas, cela peut durer plus de 24 heures.

Le problème survient si vous utilisez une image de Windows 10 1511 qui n’a pas été patchée avec le correctif cumulatif du 10 May 2016. Un deadlock survient alors à l’étape Install Software Update lorsqu’il y a un nombre important de mises à jour à installer. C’est souvent le cas pour les mises à jour Office.  C’est les processus CCMExec et TSInsallSWUpdate qui se bloquent.

Vous devez donc appliquer le correctif cumulatif de Mai 2016 pour Windows 10 1511.

Plus d’informations sur la KB3172742 - Image deployment hangs during Build and Capture task sequences when you try to install Office updates

L’équipe Exchange a publié un billet à propos de problèmes lors de l’utilisation d’Exchange Server 2016 sur Windows Server 2016. Des crashs sont observés pour le processus IIS (W3WP.exe) causant des instabilités. Une mise à jour est en cours de réalisation pour corriger le problème.

Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2016/11/04/update-on-windows-server-2016-and-exchange-server-2016/

Microsoft a publié un article dans la base de connaissances concernant un problème touchant System Center 2012 R2 Configuration Manager. Vous découvrez que le contenu des mises à jour pour SCEP a été supprimé des packages de déploiement. Lorsque vous essayez de distribuer les packages, des erreurs sont levées :

The source directory "//name/source/Updates/SCEP/bfdc178c-6e80-47cb-b698-b34dc39b67f4" for package "FCS0012D" does not exist.

Le problème survient quand le partage des mises à jour est commun avec un autre package de mises à jour logicielles. Quand Configuration Manager effectue le nettoyage des dossiers orphelins, i lne reconnaît pas certains dossiers qui appartiennent à un autre déploiement actif.

Pour résoudre le problème, vous devez recréer le package en question et vous assurer qu’il fait référence à un emplacement source unique.

Source : KB3121616 Deployment package distribution fails with a "Source directory does not exist" error

Microsoft a publié un guide présentant les nouveautés de la suite System Center 2016. On retrouve notamment les sujets :

• La gestion des datacenters virtualisés avec Virtual Machine Manager
• Superviser les infrastructures du datacenter et applications en utilisant Operations Manager
• Déployer, configurer et garder vos périphériques Windows et mobile à jour avec Configuration Manager.
• Automatiser les tâches du datacenter avec Orchestrator et Service Management Automation.
• Gérer les événements et incidents avec Service Manager
• Protéger le datacenter avec Data Protection Manager
• System Center 2016 et Operations Management Suite (OMS)
• Le support hétérogène et Cloud

Télécharger System Center 2016 What's New Whitepaper

Ceci avait été annoncé à la sortie de Windows 10, le système intègre un système de P2P appelé Delivery Optimization pour le téléchargement des mises à jour. En dehors du bénéfice éventuel pour les consommateurs, quelles sont les impacts sur l’entreprise ? Michael Niehaus (MSFT) a réalisé un billet donné des détails sur les considérations :

• Windows 10 1511 et 1607 sont configurés par défaut pour Delivery Optimization mais le mode de téléchargement diffère en fonction des éditions :
  • Enterprise, Enterprise LTSB, et Education sont configurés pour le mode LAN
  • Les autres éditions sont configurées en mode Internet
• Il existe des prérequis minimums pour que le PC cache et fournisse le contenu à d’autres machines : 4GB de RAM et 256 GB d’espace disque total.
• Delivery Optimization est seulement utilisé pour les Features Upgrades (Builds), les correctifs cumulatifs et les mises à jour d’applications universelles (si elles font plus de 100 MB)
• Windows 10 1607 n’utilise plus BITS par défaut pour télécharger le contenu depuis WSUS, il est donc recommandé de déployer une stratégie avec le mode de téléchargement Bypass pour revenir à ce mode et notamment utiliser BranchCache.

Plus d’informations sur son billet : https://blogs.technet.microsoft.com/mniehaus/2016/08/16/windows-10-delivery-optimization-and-wsus-take-2/

System Center Configuration Manager 1511 est sorti il y a un peu moins d’un an et Microsoft rappelle que la fin de support est prévue pour le 8 décembre 2016. En effet, une version de Configuration Manager Current Branch est supportée pour 12 mois. Passé cette date, Microsoft ne fournira plus de correctifs de sécurité. Vous devez donc passer vers la dernière version en date.

Notez aussi que la version de base 1606 ne peut être utilisée pour mettre à jour SCCM 2012 SP1 ou SCCM 2012 R2. Vous devez donc mettre à jour votre infrastructure vers SCCM 2012 SP2 ou 2012 R2 SP1.

Plus d’informations sur : https://blogs.technet.microsoft.com/configurationmgr/2016/11/03/support-for-version-1511-of-the-current-branch-of-microsoft-system-center-configuration-manager-ending-soon/

J’en parlais dans ma session aux Microsoft Experiences, les nouveaux usages (mobilité, etc.) demandent une remise en cause du modèle d’administration que nous connaissons. La gestion traditionnelle s’apparente à une gestion avec l’installation d’un client et avec une sécurisation basée sur la sécurisation du périphérique. Le cycle de vie est alors le suivant :

• Déploiement de système d’exploitation
• Déploiement d’applications
• Gestion des mises à jour logicielles
• Gestion de la conformité

La gestion moderne aborde une approche différente basée sur la protection de la donnée et de l’identité. Dans ce cas, on s’abstrait du périphérique ; ce qui permet d’obtenir le cycle de vie suivant :

• Enregistrement
• Provisionnement des ressources
• Gestion et Protection
• Retrait

L’article de Microsoft revient sur la transition vers ce nouveau modèle avec les grands enjeux à prendre en compte.

Lire (en anglais) : Manage Windows 10 in your organization - transitioning to modern management

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Disponibilité Général de l’UltraPerformance Gateway pour Azure ExpressRoute.
• Les considérations pour l’intégration des applications avec Azure Active Directory.

Enterprise Mobility + Security (EMS)

• Mise à jour d’octobre 2016 de la documentation pour Azure Information Protection.

Azure Backup

• Azure Backup supporte maintenant les machines virtuelles Azure chiffrées avec Azure Disk Encryption.
• Azure Backup est disponible au Canada

Azure SQL

• Public Preview du support de jusqu’à 10 ans pour la rétention de la sauvegarde pour Azure SQL Database. Ceci fait passer la barre de 35 jours à 10 ans.

Azure Active Directory

• Public Preview de l’audit avancé et journaux de connexion pour le nouveau portail Azure.
• Public Preview des rapports d’erreur da synchronisation dans Azure Active Directory Connect Health. Ces rapports donnent une visibilité simple des types d’erreurs (attribut dupliqué, échec de validation de la donnée, etc.) ayant lieu lors de l’export des objets.
• Public Preview de l’Invitation API pour Azure Active Directory B2B.
• Preview d’Azure Active Directory PowerShell 2.0 : Cette version permet la gestion des groupes dynamiques, la création de groupe Office 365, gérer l’état de traitement des groupes.

Azure Automation

• Gestion des erreurs avec le mode graphique d’Azure Automation.

Azure Government

• Microsoft préparerait l’ouverture d’un Datacenter dédié au Department of Defense (DoD).

• Publication de la documentation d’Azure Government.

• Publication de la documentation sur l’obtention du DoD Level 4.
• Extension des services pour FedRAMP High avec Azure Service Bus, Azure Notification Hubs, Azure Site Recovery, Azure StorSimple, Azure Backup.

Certifications

• Obtention de la certification CSA STAR.

Autres services

• (Public Preview) Azure Analysis Services est basé sur SQL Server Analysis Services afin de fournir un moteur OLAP d’entreprise et une plateforme de modélisation BI. Il devient possible de créer des modèles sémantiques BI.
• Azure Cool blob Storage est disponible dans d’autres régions : US East, US West, Germany Central, Germany Northeast, Australia Southeast et Brazil South
• Azure Search est disponible au Canada.
• Disponibilité Générale du tier S3 pour Azure Search. Ce niveau de service a été créé pour permettre la gestion de volumes importants de documents avec un trafic important. On retrouve deux configurations S3 et S3 High Density (HD). Le premier permet de gérer plusieurs centaines de requêtes par seconde avec des partitions supportant 120 millions de documents (200 GB) permettant la recherche sur 1,4 milliards de documents (2,4TB). S3 High Density cible les fournisseurs SaaS et partenaires voulant construire des applications. Dynamics 365 utilise par exemple Azure Search S3 HD.
• Nouvelles régions disponibles (Canada Central et West Central US) pour Azure Search.
• Disponibilité Générale de la librairie cliente Azure Storage pour Xamarin.
• CDN : Il devient possible de créer des profils standard Akamai pour filtrer l’accès au contenu en fonction de l’emplacement.
• Azure DocumentDB : Nouvelle expérience de démarrage, sauvegarde et restauration et support du pare-feu.

Mon collègue Romain Serre (MVP Datacenter and Cloud Management) a eu un problème sur son lab avec System Center Configuration Manager. Une partie des serveurs où le client Configuration Manager est installé, ne remontaient pas correctement dans la console d’administration.

En regardant de plus près, le Management Point rejette le client avec la cause suivante :

MP has rejected a message from client GUID:40D0641E-2114-4E56-8B89-3D36F037416A because it was not signed using the hash algorithm that is required by this site.

 Possible causes: This Client is running on a Operating System that does not support the hash algorithm required by this site (or) Client is earlier than Configuration Manager 2012 or did not use the hash algorithm required by this site.

Il s’avère que les serveurs impactés comprenaient à la fois le client SCCM et l’agent SCVMM. L’agent SCVMM génère un certificat SHA-1 pour ses besoins. Dans ce scénario, le client SCCM prenait le certificat généré par SCVMM en lieu et place du certificat auto signé qu’il avait lui-même généré. SHA-1 n’est plus supporté par SCCM et d’ailleurs sera totalement non supporté l’an prochain.

Pour résoudre le problème, il existe deux solutions :

• Désactiver l’option « Use PKI client certificate (client authentication capability) when available»
• Modifier la façon dont le certificat client est sélectionné en spécifiant le magasin SMS

Il suffit ensuite de redémarrer le service de l’agent pour qu’il reprenne son fonctionnement.

Microsoft propose aujourd’hui la Pre-Release de la version 3.1 appelé Policy Analyzer. Ce dernier permet d’analyser et comparer les paramètres du système qu’ils soient appliqués par GPO ou localement. Vous pouvez ensuite exporter le résultat au format Excel. Le but est de comparer facilement des valeurs en conflit.

Parmi les améliorations, on retrouve :

• Utilisation des textes localisés correctes
• Les options pour spécifier les répertoires différents pour les fichiers ADMX
• Option pour afficher les textes explicatifs avec les paramétrages
• Les scripts PowerShell pour couper ou fusionner les fichiers Policy Rules
• Meilleur mapping pour les chemins de la stratégie
• Ajout du support des valeurs REG_QWORD

Télécharger Policy Analyzer v3.1 PRE-RELEASE

Microsoft vient de publier le Management Pack (version 10.0.0.1) pour System Center 2016 Virtual Machine Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter qu’il ne supporte que System Center 2016 Operations Manager Update Rollup 1 et plus.

Voici les fonctionnalités couvertes :

• Intégration d’OpsMgr avec Virtual Machine Manager. Le lien entre les deux produits est fort et demande l’installation des consoles sur les serveurs respectifs
• Supervision Multi-Hyperviseur
• Performance and Resource Optimization (PRO) afin d’adapter le positionnement de la machine virtuelle en fonction des informations remontées par OpsMgr.
• Intégration du Mode Maintenance
• Reporting dans VMM
• Support de SQL Server Analysis Services

Télécharger System Center 2016 Management Pack for Virtual Machine Manager 2016

Windows Server 2016 est en disponibilité générale depuis quelques semaines. Si vous intégrez ce système, vous devez donc regarder du côté de votre infrastructure KMS (Key Management Service) pour prendre en compte Windows Server 2016.

Si l’hôte KMS exécute Windows Server 2012, vous devez appliquer les mises à jour suivantes :

• KB3058168
• KB3172615

Si l’hôte KMS exécute Windows Server 2012 R2, vous devez appliquer les mises à jour suivantes :

• KB3058168
• KB3171614

Windows Server 2008 R2 n’est pas supporté par l’activation de Windows Server 2016 puisque le système est entré dans sa période de support étendu.

Vous pouvez ensuite ajouter la clé KMS en cherchant Windows Srv 2016 DataCtr/Std KMS sur le portail MVLS.

Plus d’informations sur :

• https://blogs.technet.microsoft.com/askpfeplat/2016/10/24/kms-activation-for-windows-server-2016/
• https://blogs.technet.microsoft.com/askcore/2016/10/19/windows-server-2016-volume-activation-tips/

Microsoft vient de publier le Management Pack pour les hôtes Hyper-V protégés (Guarded) de Windows Server 2016. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

On retrouve la supervision des éléments suivants :

• Découvre et supervise les hôtes protégés (Guarded)
• Découvre et supervise les instances du service Host Guardian
• Détecte les problèmes de disponibilité
• Détecte les problèmes de configuration

Télécharger Windows Server 2016 Guarded Fabric Management Pack