SCCM 2012 r2 in a closed network

Last time I installed an SCCM 2012 r2 environment for a client, they have a special application that is running in a separate domain and have no internet access at all. I had only a few firewall openings that were needed to running this application.

I already had WSUS installed against an upstream server for indexing. Because the internet access to all servers were cutoff I needed to find a way to download all Critical and Security updates for all windows servers and clients in that environment. Normally you use WSUS only for indexing, SCCM 2012 r2 will download the requested updates directly from Microsoft Update Services. You could also download manual all required updates from the Microsoft Update catalogues and import them into the SCCM 2012 r2 environment. This will be a lot of work every month to do so..

My WSUS server have access to the upstream server and the upstream server already downloaded all required updates.

I created a rule within WSUS to auto approve all security and critical updates and download these automatically to specific directory. In SCCM you could import required updates from a file share so the next thing I created an ADR, in that ADR i told SCCM 2012 r2 to not download the updates but import them from a file share. I pointed to the file share where I downloaded the updates from WSUS.

SCCM accept these updates and distributed them to my clients.

Two Way Authentication with external IDP’s

More and more web applications like Twitter, Facebook and Outlook.com, using a two way authentication protocol too create a secure environment and make sure the owner has access to their content.

Also companies are building two way authentication systems so users can access from their home computers or for vendors an application such as SharePoint and work more together on documents.

To establish a secure environment some companies are using a third party IDP (Identity Provider) This has the advantage that the company does not need to create and manage an own IDP with a whole own new infrastructure to supply to the end users.

So how works an IDP, it’s quit simple to explain. An IDP is nothing more than a user DataBase. A user log in to a web application. The application does not recognise the user. And will redirect the user to the IDP. The user log in with his e-mail address and a own created password. father this the user will get an secondary password that will send to his mobile phone. when he fill in this password he will be able to enter the application.

Now your logged in but how do you application know you?
There are several solutions possible. Ill describe one of them here.

The user account is stored in an Active directory and disabled So what is happening?
When a User logon on a IDP the IDP creates a SAML token and redirect you to the web application . This token is checked against UAG to see if the user has the correct permissions and UAG give a OKAY and redirects you again to an ADFS server. This ADFS server is only federating with your web app. and in the web app the user will be recognised with his E-mail address and have access. To secure your session UAG will monitor your activity and mark your cookies as active. When there is inactivity the user will automatically log out and need to rerun the authentication process.

To make sure ADFS can sync the users against your web app you don’t want to add these users by hand in the Active Directory. You can use FIM (Forefront Identy Manager) from Microsoft to import the users from the IDP Pull request in to your AD.†IDP Flow Chart

Mail – Security, Security, Security!!!

Veel software pakketen kunnen tegenwoordig e-mail ontvangen en versturen denk hierbij aan CRM pakketen (Microsoft Dynamics CRM) ERP pakketten (Microsoft Dynamics Navision)

Deze paketten hebben vaak een eigen mail connector om mail via SMTP te versturen. Dit is ook gelijk ÈÈn van de veiligste manieren om mail vanuit een applicatie te versturen en de juiste!
Microsoft Dynamics CRM 2011 heeft een eigen E-Mail router. Deze haalt mail op en kan mail vanuit CRM versturen. Voordeel is hiervan is dat indien je zeker met meerdere personen gebruik maakt van CRM deze netjes worden gearchiveerd in het pakket. Nadeel is dat je altijd gebruik moet maken van CRM zelf. Microsoft heeft hiervoor een oplossing althans voor Dynamics CRM. De Outlook plugin, hiermee kan je CRM gebruiken binnen Outlook. Wel met een side note dat bepaalde functies niet werken en dus je gebruik moet maken van de CRM applicatie zelf.. Microsoft Dynamics NAV 2009 in tegenstelling maakt gebruik alleen van zijn eigen SMTP send connector. Hiermee maak je direct een verbinding met de exchange server. Wel kan je doormiddel van een keuze kiezen om je mail te laten versturen via Outlook.

Deze functie heeft wel een nadeel, je zult bij het versturen van een mailtje altijd een melding krijgen dat NAV verbinding wil maken met je Outlook client. Echter deze melding heeft Microsoft ingebouwd om dat er bepaalde virussen anders zonder jouw medeweten een mailtje kunnen versturen naar iedereen in jouw adress boek. Door goede spam filters en virusscanners zijn deze virussen vrij ongevaarlijk geworden. Toch moet hier wel bij nagedacht worden is mijn mening. Je kan altijd nog een virus op je PC krijgen. Al vertrouwen steeds meer mensen er op dat zij uitgezonderd zijn en nooit een virus kunnen krijgen. Persoonlijk vind ik zulke mensen een gevaar voor het netwerk. Ik zou daarom ook nooit zomaar externe medewerkers op mijn netwerk willen toestaan.

Ook het geforceerd open breken van je Outlook client wat mogelijk is je krijgt dan een soort gelijke melding als deze;†”A program is trying to send an e-mail message on your behalf. If this is unexpected, click Deny and verify your antivirus software is up-to-date.” Dit is voor mij een vrij vriendelijke melding om aan te geven dat een ander programma een mail wilt versturen via jouw client. Ik vind het daarom ook onverantwoord dat men in het register key’s gaan aanpassen omdat ze de melding vervelend vinden. Daarnaast als dit een vrij bekend programma is kan je vaak op de website van de fabrikant een Outlook plugin vinden waardoor toegang altijd wordt toegestaan voor deze applicatie.