I've run into this delightful scenario a few times--the network team generates CSRs and certificates for the environment, and since they want to do SSL termination on their network devices, complete the certificate process there.  When you ask for an export of the certificate from, say, an F5, they will just give you the unsigned certificate--so that when you import it into your server, you end up with something unusable, since it has no private key.

Assuming you can get both the certificate *and* the private key from them, here's how you can create a usable certificate.

In my case, I received an email that had the text of both my certificate and the private key (I've truncated it and obscured some of the text):

The standard certificate part starts at -----BEGIN CERTIFICATE----- and ends at -----END CERTIFICATE-----.  So, copy and paste that data (including the BEGIN and END tags) into a new text document and save it with a creative name like "CertificateFromJerkFaceNetworkEngineer.txt".  The private key starts at -----BEGIN RSA PRIVATE KEY----- and ends at -----END RSA PRIVATE KEY-----.  Copy and paste that text (including the BEGIN and END tags) into a new text document, and save it with an equally creative name like "HeThinksHesSoSmartGivingMeASeparatePrivateKey.txt."

Next, you need a way to sign the certificate with the private key.  You can do this with the OpenSSL tools.  The ones I use are at http://slproweb.com/products/Win32OpenSSL.html (Select the "WIn32 Open SSL" installer that has all of the components). Download and install to default directory.

Now, for the fun part--create a certificate you can use:

C:\OpenSSL-Win32\bin\openssl.exe pkcs12 -export -in CertificateFromJerkFaceNetworkEngineer.txt -inkey HeThinksHesSoSmartGivingMeASeparatePrivateKey.txt -out CertificateWithAKeyYouCanActuallyUse.p12

When prompted, enter a password twice (once to enter, once to confirm).  You are now the proud owner of a .p12 file than you can import through the normal certificate import process.

PorBret Arsenault- Director de Seguridad

En noviembre, el Director General de Microsoft Satya Nadella puso de relieve la necesidad de un nuevo enfoque de la seguridad empresarial y esbozó algunas de las inversiones que estamos realizando. Este nuevo enfoque permite a nuestros clientes acelerar su adopción de una  postura de seguridad de protección, detección y respuesta.

Mantener nuestra red segura, al tiempo que protegemos nuestros datos y los de nuestros clientes, es de suma importancia. Como Director de Seguridad de Información en Microsoft, constantemente busco maneras de mejorar nuestra postura de seguridad, a través de nuevas tecnologías que aceleren nuestra capacidad para proteger, detectar y responder a incidentes cibernéticos.

La protección del entorno de Microsoft implica una administración de seguridad para más de un millón de dispositivos corporativos en todo el mundo, utilizando múltiples plataformas. La diversidad de nuestro entorno informático a menudo refleja el de nuestros clientes, lo que nos permite desarrollar servicios que satisfagan sus necesidades de seguridad. Con frecuencia, mi equipo es el primer cliente de las tecnologías de nuestra compañía y trabajamos duro para asegurar que los productos estén preparados para el cliente antes de que salgan al mercado.

A medida que los atacantes se vuelven más sofisticados, necesitamos evolucionar nuestra capacidad de obtener información en tiempo real y la inteligencia predictiva en nuestra red para que podamos estar un paso adelante de las amenazas. Debemos ser capaces de correlacionar los datos de seguridad con nuestros datos de inteligencia sobre amenazas para discernir el bien del mal. Y hay que aprovechar la industria y nuestros socios para asegurar un enfoque amplio e integral. Estas tres cosas se alinean con el enfoque de Microsoft en cuanto a seguridad para nuestros clientes - una plataforma de seguridad integral y ágil, retroalimentada por la información de nuestro gráfico de la seguridad inteligente y la integración con los socios y la industria. En los 100 días desde que Satya presentó nuestro enfoque más vigoroso de la seguridad, hemos hecho algunos avances significativos, lo que me gustaría compartir con ustedes hoy.

Plataforma segura

Hemos hecho una serie de mejoras a nuestra plataforma de TI para permitir rápidas innovaciones al tiempo que protegemos los datos y activos corporativos.

• Disponibilidad general de la aplicación de seguridad en la nube Microsoft Cloud App Security
  En septiembre Microsoft hizo una inversión importante para la seguridad cuando adquirimos Adallom, el intermediario de seguridad con acceso a la nube (CASB) líder, para la protección de datos de clientes dentro de las aplicaciones SaaS. Desde su adquisición, hemos trabajado duro para integrar la experiencia y tecnología de Adallom con las capacidades de seguridad en la nube que tenemos en Microsoft Azure y Office 365.

• Hoy anunciamos Microsoft Cloud App Security, basada en la tecnología de Adallom, con disponibilidad general en abril de 2016. Microsoft Cloud App Security tiene el mismo nivel de visibilidad y control que los departamentos de TI en su red local con sus aplicaciones SaaS, incluyendo Box, SalesForce, ServiceNow, Ariba y por supuesto Office 365.

• Para obtener más información, lea el blog del equipo de Active Directory.

• Las mejoras de seguridad nuevas en Office 365
  Microsoft Cloud App Security también activará nuevas capacidades de gestión avanzada de seguridad integradas en Office 365 que mejoren la visibilidad y el control de TI. Estas incluyen:

• Alertas de seguridad avanzadas, que notifiquen a los administradores de Office 365 actividades anómalas o sospechosas en el servicio, para que puedan tomar medidas.

• Descubrimiento de aplicaciones en la nube, lo que le permite a TI analizar a qué servicios en la nube se conectan sus usuarios.

• Permisos de aplicaciones, lo que proporciona la capacidad de aprobar o revocar permisos para servicios de terceros que sus usuarios están autorizados al conectarse a Office 365.

• Lea el blog de ​​hoy de Office para obtener más información sobre estas nuevas capacidades de seguridad de Office 365.

• Customer Lockbox para SharePoint Online y OneDrive de negocios comienza a implementarse a principios del 2o trimestre
  En los casos muy raros cuando un ingeniero de Microsoft deba solicitar acceso al servicio de Office 365, como cuando solucione un problema del cliente con contenidos de buzón o documentos, necesitan pasar por varios niveles de aprobación dentro de Microsoft. En diciembre, se anunció la disponibilidad general de Customer Lockbox para Exchange Online, que integra al cliente en el proceso de aprobación.

• Hoy anunciamos que Customer Lockbox para SharePoint Online y OneDrive para Negocios comenzará a implementarse a principios del 2o trimestre de este año. Al extender Customer Lockbox a los servicios adicionales de Office 365, proporcionamos a los clientes nuevos derechos de aprobación, una mayor transparencia y control sobre sus datos en Office 365.

• Para obtener más información sobre Customer Lockbox para SharePoint y OneDrive para Negocios, por favor, lea este artículo en el blog de ​​Office.

• Más opciones de gestión de la seguridad y de información en Azure Security Center
  Los clientes tienen la posibilidad de configurar sus directrices de seguridad para cada una de sus suscripciones de Azure. Dentro de una suscripción, las organizaciones podrían ejecutar cargas de trabajo con diferentes requisitos de seguridad. Para dar cabida a esto, ahora además de configurar una Directriz de seguridad en el nivel de suscripción, los clientes también tienen la opción de configurar una Directriz de seguridad para un Grupo de recursos - lo que les permite adaptarla con base en las necesidades de seguridad de cargas de trabajo específicas.

• Un nuevo Power BI Dashboard permite a los clientes visualizar, analizar y filtrar recomendaciones y alertas de seguridad desde cualquier lugar, incluyendo un dispositivo móvil. Los clientes pueden utilizar el panel de control de Power BI para revelar las tendencias y patrones de ataque.

• El blog de Azure tiene más información sobre la importancia de esta nueva y mejorada capacidad.

• Extensión de la seguridad y auditoría en Microsoft Operations Management Suite (OMS)
  Un renovado tablero de Seguridad y Auditoría proporcionará una mayor línea de visión en eventos relacionados con la seguridad en los centros de datos de clientes. Esto incluye información sobre los sucesos de autenticación y control de acceso, actividad de redes, protecciones contra malware y actualizaciones del sistema.

• Puede encontrar más información sobre estas nuevas mejoras de Microsoft Operations Management Suite en este artículo en el blog sobre Gestión híbrida.

Gráfico de Seguridad Inteligente

Al evolucionar los clientes sus estrategias de seguridad de un modelo simple de "proteger y recuperar" a una postura más integral de proteger, detectar y responder, la inteligencia se vuelve vital. En noviembre compartimos cómo usamos una visión única de nuestro gráfico de seguridad inteligente, formada por billones de señales de miles de millones de fuentes, para detectar mejor los ataques, acelerar nuestra respuesta y proteger mejor a nuestros clientes y socios de las amenazas de hoy en día.

Estos nuevos productos mejorarán nuestra señal de seguridad, para protegerlo y que usted se proteja mejor.

• Azure Active Directory Identity Protection en una vista previa pública
  Un gran ejemplo de una nueva inversión de seguridad de Microsoft en esta área es Azure Active Directory Identity Protection. Las capacidades de seguridad de Azure Active Directory se basan en la experiencia proteger las identidades del consumidor de Microsoft, y se obtiene una tremenda precisión mediante el análisis de la señal de más de 14 mil millones de inicios de sesión para ayudar a identificar 30 mil usuarios potencialmente comprometidas por día. Azure Active Directory Identity Protection se basa en estos resultados y detecta actividades sospechosas de usuarios finales y las identidades privilegiadas basadas en señales como ataques de fuerza bruta, credenciales filtradas, firmas desde lugares desconocidos y dispositivos infectados. Sobre la base de estas actividades sospechosas, se calcula la gravedad de riesgo de un usuario y se pueden configurar directrices basadas en el riesgo, lo que permite al servicio proteger automáticamente las identidades de su organización contra amenazas futuras.  Estamos anunciando que Azure Active Directory Identity Protection estará disponible para la versión previa pública la próxima semana.

• Para obtener más información sobre el Azure Active Directory Identity Protection lea este artículo en el blog del equipo de Active Directory.

• Azure Security Center Advanced Threat Detection
  Después de años de examinar vertederos de fallas que nuestros clientes han optado por enviar a Microsoft desde más de mil millones de PCs en todo el mundo, Microsoft ha desarrollado la capacidad de analizar estos datos para detectar con eficacia los sistemas en peligro debido a que las fallas a menudo son el resultado de intentos fallidos de explotación y malware frágil.

• Estas capacidades se han integrado en Azure Security Center, lo que facilita la detección avanzada de amenazas para clientes que alojan máquinas virtuales en Microsoft Azure. Ahora, Azure Security Center recoge automáticamente los eventos de fallas de máquinas virtuales Azure, analiza los datos y avisa al cliente cuando se detecta que una de sus máquinas virtuales puede estar afectada. Del mismo modo, un análisis adicional del comportamiento de redes también se han integrado en Azure Security Center al evolucionar estas capacidades para detectar y mitigar una gama aún más amplia de amenazas y proporcionar información práctica a nuestros clientes.

• Puede encontrar más información sobre estas nuevas capacidades de Azure Security Center en este artículo en el blog de Azure.

• Nueva visualización de amenazas en OMS
  Operaciones Management Suite (OMS) se nutre de la inteligencia global de Microsoft contra amenazas para que le avise cuando los registros del firewall o cortafuegos, Datos por cable o registros de IIS indiquen que uno de los servidores se está comunicando con una dirección IP maliciosa. Al trazar el origen de estos ataques a un mapa interactivo, los clientes ahora podrán visualizar patrones de ataque y hacer un mayor análisis para aprender más.

• Puede encontrar más información sobre estas nuevas mejoras de Microsoft Operations Management Suite en este artículo en el blog de ​​Gestión híbrida.

Trabajamos con los socios

Ninguna compañía puede resolver los problemas de seguridad que nuestros clientes enfrentan hoy en día, por lo que el ecosistema de seguridad y todos nuestros socios de seguridad son la clave de nuestro enfoque. Hoy estamos anunciando nuevas soluciones de los socios de Azure Security Center que facilitan más que nunca a los clientes llevar sus soluciones de seguridad de confianza con ellos a la nube.

• Ofertas ampliadas de los socios de Azure Security Center
  Anunciamos que en las próximas semanas, Azure Security Center mostrará las implementaciones que recomiendan un cortafuegos de próxima generación, y permitir a los clientes el suministro de Check Point vSEC en tan sólo unos clics. Las soluciones de un cortafuegos de próxima generación de Cisco y Fortinet van a continuar, como las soluciones de Cortafuegos para a aplicaciones en la Web llamadas Imperva SecureSphere e Imperva Incapsula. Las alertas de estas soluciones de socios también se integrarán en el Centro de seguridad para que los clientes puedan ver y responder a los problemas de seguridad que afectan a sus recursos con Azure en un solo lugar.

• Para obtener más información sobre estas nuevas ofertas de los socios de Azure Security Center, consulte este artículo en el blog de Azure.

Nuestros clientes pueden comenzar a utilizar la tecnología anunciada hoy para protegerse mejor frente a las amenazas actuales y emergentes. En laConferencia RSA 2016de la próxima semanaampliaremos nuestro enfoque y compromiso de proporcionar la plataforma, inteligencia y socios que ayudarán a proteger a nuestros clientes ahora y en el futuro.

Bret Arsenault

Original: https://blogs.windows.com/windowsexperience/2016/03/01/announcing-windows-defender-advanced-threat-protection/

Hi folks,

We are very pleased to announce that Foxit Redactor for Office is now generally available for purchase.  Their announcement is available here, and you can do a trial or purchase from here.

We look forward to our continued collaboration with Foxit team to provide great value to our customers together.

Thanks,

Dan

------------

Hi Everyone,

We've gotten a lot of feedback that organizations often need to share documents for which some of the information cannot be disclosed to everyone. They don't want a multitude of documents and they don't want to restrict a flow of the information that is less sensitive. What they really want is agency-style redaction behaviors. Today we're announcing a preview of the offer so you can begin to integrate the concept into your workflows. The final release of the offer will add several additional capabilities shortly. 

What it is not

There are many ways of doing redaction, some better than others. Some vendors have approached this problem by deleting the content from the document as the user opens it. This approach has several quite poor side effects:

1. Loss of document context (Hmm, this does not make sense. Stuff seems to be deleted).
2. Loss of document meaning (am I missing 3 words or 3 FULL pages?)
3. The now necessary re-flowing of the pages creates very confusing interactions (Go to Page 22, paragraph 3. I'm there but I don't see what you're quoting? I said PAGE TWENTY TWO, PARAGRAPH THREE. I know what you said but that is not what I see).

We can go on but, the net of it, is hacking at the content and quite frankly ruins the authenticity of the overall experience. This is not a suitable approach.

What it is

Microsoft and Foxit have developed a patent pending approach to this problem. We want you to see the document you were meant to see, but without the 'juicy tidbits' that are, well, not meant for you to see. Let's review a few use cases…

You're a leading pharmaceutical company and you have a drug trial going on with 1000 patients. You have a staff (army) of physicians who need to study the side effects of the drugs. It's critical they:

1. See EVERYTHING in the document except for the patient info.
2. Be able to SEARCH for everything in the document except for the patient info using normal search tools without having to open the document.
3. Maintain document formatting, flow, pagination, etc.
4. Be able to print (single, multiple) documents using normal tools and devices without having to open the document.
5. Be able to tell the document owner that this patient needs to be contacted.

It's pretty easy to see the power of the solution to this pharmaceutical company. Let's try another, this time with follow along pictures.

You are now a seller and you want to send out order invoices. Today you have to generate TWO copies of the document. One is the actual invoice with prices. The other is the order landing form as they call it. In the paper-based days this was easy. Mail the invoice and glue the landing form to the shipping box. In these days of electronic retail, we could send one doc with different rights. Let's see what that looks like:

Here you see an order from Contoso. You'll note a few special things about this particular PDF. First, it has agency-style redactions where the discount and total is. This is to protect the seller's special pricing for the mega-store Contoso (Smaller companies like Fabrikam don't get those same deep discounts). The second thing you'll notice is that there is a header at the top. This header educates the user that this is one of those special dual mode documents.

Zooming in on the header:

The user is taught how to get a viewer to see 'behind' the redactions and they are taught how to get a free evaluation tool to learn how to make their own redacted documents. The free Microsoft RMS Sharing app, Foxit Reader and PhantomPDF will  all able to show both modes of this file.

The free RMS Sharing application does not yet render these files (coming soon) but the preview version of the Foxit PhantomPDF does. Here's what it looks like:

In this view, no surprise, the PDF with redaction looks just like it did in the above PDF preview view. However, in this case there is an added 'yellow bar' that offers to let you VIEW THE FULL CONTENT. Selecting this button validates that you're authorized to see the file. If you are – lucky you – you will see the below view of the file:

At this point you can toggle back to the REDACTED VIEW of the file.

Before we walk you through creating your own with the preview offer, let's talk about the near-magical (and patent pending) abilities of these redacted PDFs.

1. You can view the redacted document in ANY PDF viewer, on ANY device. Really.

2. The PDF is indexed for search in ANY storage environment: Windows, email, SharePoint, document libraries, specialty enterprise content management systems, custom code using Windows IFilter, etc. For example, you could type XBOX ONE in your Windows start menu and the above file will be found. You can NOT, by design, find it by the 332.49 price however.  The redacted information will not be indexed in this case.

3. "Quick resizing of the window" or any other trickery does NOT make the black bars slip to reveal the text. In fact, the black bars do not really protected the text as the text is GONE from the PDF. (Our little secret: An RMS protected PDF is hidden inside the redacted PDF. The hidden text is visible in that fully-encrypted copy).

How to create your own

Few would doubt that Word is the defacto tool for document creation and that PDF is an extremely common way of disseminating 'published' information. The combination of these two formats and their respective tooling is the only way to enable a mainstream scenario.

So, once you install the Foxit^® Redaction Plugin for Microsoft Word^, you'll see this familiar toolbar. In addition to the previously available CREATE PDF and CREATE AND EMAIL actions you now see MARK FOR REDACTION and CREATE REDACTED actions. These do, well, what they say.

One would simply select text and MARK FOR REDACTION as many time as is necessary. Once the content is redacted, the user would invoke the MARK FOR REDACTION action that will save the document out as a redacted PDF and launch the Foxit viewer to preview the content.

 Selecting CREATE REDACTED offers the user the familiar RMS templates.

 And, just as we started with, the author sees the PDF that others will see:

How to get it

The Foxit^® Redaction Plugin for Microsoft Word is available now in Public Preview. We're worked with Foxit to offer you these general terms:

1. 90 days of free to use

2. Trial license supports up to 100 users in your organization. 

3. The product supports Microsoft Word 2013

If you'd like more different terms, please contact Foxit via their web page info.

Our team are working on generally availability for later this year. That will include all of the above in completed for as well as the RMS viewer being able to render these dual-personality PDFs.

For more information on the preview download, please visit this link: www.foxitsoftware.com/redact

In closing, here's a short interview with Foxit’s VP of Sales, Phil Lee 

Dan: Hi Phil, Can you tell us about Foxit Software?

Phil: Foxit Software is a leading software provider of fast, affordable and secure PDF solutions. Businesses and consumers increase productivity by using Foxit's cost effective products to securely work with PDF documents and forms. Foxit is the #1 pre-installed PDF software, shipped on one-third of all new Windows PCs, including those from HP®, Acer, and ASUS®.  Foxit boasts over 325 million users and has sold to over 100,000 customers located in over 200 countries.

Dan: Some customers, like my two examples above, will want automated processing of redacted fields. Is this something Foxit would partner with them on? What services are you looking to offer?

Phil: Foxit would love to partner with these customers on automated processing.  In fact, Foxit will be releasing the first round of server based PDF processing tools later this summer.  In that roadmap, we do plan to include both RMS and redaction related capabilities.  We would be very interested in speaking with customers who are looking for these types of automated processing capabilities for PDF.

Dan: What other PDF related tools does Foxit offer?

Phil: In addition to the Redaction Plugin for Microsoft Word, Foxit provides other PDF centric products that support RMS and SharePoint to allow users to:

Consume, modify, and protect PDF on Windows desktops in Active Directory® RMS and Azure® RMS environments with the Foxit Enterprise Reader and/or Foxit PhantomPDF.

Consume and annotate protected PDF on mobile devices in Azure RMS environments through the Foxit Mobile PDF product line.

Server side protection of PDF for SharePoint 2007, 2010, and 2013 environments and Exchange 2010 and 2013 environments with the Foxit PDF Secure RMS Protector.

Protect PDF files through programmatic interfaces in both Active Directory RMS and Azure RM environments with the Foxit RMS PDF Protection Tool.

Windows Search of PDF on SharePoint servers by providing super-fast PDF file indexing allowing users to index a large amount of PDF documents through the Foxit PDF IFilter.

Note: Foxit products support the new RMS protected PPDF file format.

Dan: So finally, if organizations want to test the Redaction feature set, how do they reach you?

Phil: Right now, the Foxit Redaction Plugin is available as a preview that you can download and add to your installed version of Microsoft Word 2013.   Users can download the plugin at www.foxitsoftware.com/redact.

Other products can be downloaded from the Foxit Download Center.

And that’s it.  I encourage you to try out Foxit Redaction Plugin for Microsoft Word. As always, let us know what you think.

Cheers,

  Dan on behalf of the RMS team

@TheRMSGuy                              -- our twitter account for late breaking news
www.yammer.com/askIPteam       -- a customer facing portal for all things RMS

In our corporate deployment of Windows 10, we wanted to customize the Start Menu by removing some of the default tiles like Get Office, Groove Music, Money, Xbox, Games, Music & TV, Windows Phone Companion and add a few tiles customized to our environment. 

The solution that I found was from Jörgen Nilsson, who wrote an excellent step-by-step blog linked below.

http://ccmexec.com/2015/09/customizing-the-windows-10-start-menu-and-add-ie-shortcut-during-osd/#comments

(この記事は 2016 年 3 月 29 日に Exchange Team Blog に投稿された記事 Important notice for Office 365 email customers who have configured connectorsの翻訳です。最新情報については、翻訳元の記事をご参照ください。)

• インターネット上の宛先に NDR (配信不能レポート) メッセージを送信する必要があり、このメッセージを Office 365 で中継する必要があるお客様。
• 独自のメール サーバー (オンプレミス環境) からのメッセージを、Office 365 に登録 (Office 365 でドメインを追加する方法を参照) していないドメインから送信する必要があるお客様。たとえば、お客様の組織を「Contoso」として、組織に属していないドメイン「fabrikam.com」からメールを送信する必要がある場合です。
• オンプレミス サーバーで転送ルールが設定されており、メッセージを Office 365 で中継する必要があるお客様。たとえば、お客様の組織のドメインを「contoso.com」として、組織のオンプレミス サーバーのユーザー「kate@contoso.com」が転送を有効にしている場合です。このユーザー宛のメッセージはすべて kate@tailspintoys.comに転送されます。john@fabrikam.comが kate@contoso.comにメッセージを送信すると、このメッセージは kate@tailspintoys.comに自動的に転送されます。これを Office 365 の視点から見ると、メッセージは john@fabrikam.comから kate@tailspintoys.comへと送信されることになります。Kate のメールは転送されているため、送信者のドメインも受信者のドメインも組織には属していません。

2017 年 2 月 1 日以降、Office 365 では、上記の場合におけるメッセージの中継が既定でサポートされなくなります。組織で上記の処理を継続する必要がある場合は、以下のすべての条件を満たす必要があります。

• Office 365 で、組織の独自のメール サーバー (オンプレミス環境) から受信するメールの認証に証明書を使用するように指定したコネクタを作成している。
• 独自のメール サーバー (オンプレミス環境) が、証明書を使用して Office 365 にメールを送信するように構成されている。
• この証明書が CA によって署名されており、証明書の名前 (CN) またはサブジェクト代替名 (SAN) に、Office 365 に登録したドメインが含まれている。

上記の条件を満たすには、以下の手順を実行してください。

Office 365 で証明書ベースのコネクタを作成または編集する

前述の場合に該当するメッセージを Office 365 でインターネットに中継するには、以下の手順を実行する必要があります。

1. Office 365 管理センターにサインインし、[Admin] > [Exchange] に移動します。

2. [mail flow] > [connectors] に移動し、次のいずれかを実行します。

コネクタが存在しない場合は、「+」([Add]) を選択してコネクタを作成します。

コネクタが既に存在する場合は、コネクタを選択し、変更を加えるために [Edit] を選択します。

3. [Select your mail flow scenario] ページで、[From:] として [Your organization’s email server] を、[To:] として [Office 365] を選択します。このように指定することで、オンプレミス サーバーをメッセージの送信元とするコネクタが作成されます。

4. コネクタ名などの情報を入力してから、[Next.] を選択します。

5. [New connector] または [Edit connector] ページで最初のオプションを選択し、TLS 証明書を使用して組織のメッセージの送信元を識別するようにします。このオプションで指定するドメイン名は、使用する証明書の CN 名または SAN と一致する必要があります。このドメインは組織に属するドメインにする必要があると共に、既に Office 365 に追加されている必要があります。たとえば、contoso.com が組織に属しているとすれば、組織が Office 365 との通信に使用する証明書の CN 名または SAN 名にこのドメインが含まれています。

オンプレミス環境を構成する

Office 365 でメッセージを中継するようにオンプレミス サーバーを構成するには、以下の手順を実行します。

1. 組織でオンプレミス サーバーに Exchange サーバーを使用している場合は、TLS でメッセージを送信するようにサーバーを構成する必要があります。その手順については「Office 365 と独自の電子メール サーバーの間のメールをルーティングするようにコネクタを設定する」ページのパート 2.2「Office 365 を介してインターネットへメールを中継するように電子メール サーバーを設定する」を参照してください。既にハイブリッド構成ウィザードを使用したことがある場合には同じものを使用しますが、前のセクションの手順 5 に記載した条件を満たす証明書を使用するようにします。
2. オンプレミス環境に証明書をインストールします。詳細な手順については、「メール フローおよびクライアント アクセスの構成」ページの「手順 6: SSL 証明書を構成する」セクションを参照してください。

Office 365 でメッセージを中継する方法の詳細については「Exchange Online および Office 365 でのメール フローのベスト プラクティス」の「一部のメールボックスが Office 365 内に存在し、残りのメールボックスが組織のメール サーバー内に存在するメール フローをセットアップする」セクションをご覧ください。

Carolyn Liu

※ 本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

インターネットでの通信を行うには、何らかの形で「IPアドレス」をネットワークインターフェイスの各ポートに割り当てる必要があります。
発信元を示すのに自身のIPアドレスを、宛先を示すのに相手のIPアドレスがパケットのIPヘッダに記載されます。複雑に絡み合うインターネットなかを、宛先のIPアドレスを頼りにパケットは相手に送り届けられ、そして相手は発信元IPアドレスへ返信を行うわけです。

さて、Azure の仮想マシンの場合、1つのネットワークインターフェイス(NIC)に対して「パブリックIPアドレス」と「プライベートIPアドレス」の2つの設定があります。 

(ネットワークインターフェイスのIPアドレスの設定: パブリックとプライベート、2つのIPアドレスの設定がある)

● プライベートIPアドレス

仮想マシンのNICに実際に割り当てられるのは「プライベートIPアドレス」です。VNETに設定されたサブネットから選ばれたIPアドレスがDHCPで割り当てられます。NICに対して特定のIPアドレスをゲストOS側で設定するのではなく、必ずDHCPで割り振ることから、DIP(Dynamic IP)とも呼ばれます。
なお、「プライベートIPアドレス」とありますが、192.168.x.x 等のいわゆる(RFC1918で定められた)IPアドレスレンジである必要はありません。任意のアドレスレンジを設定することができます。
もちろん、インターネットで誰かが使っているレンジを使用するとそ事の通信で齟齬を起こしますので、特に理由がない限りはいわゆるプライベートIPアドレスのレンジから割り当てる方が無難です。

 「動的」の「プライベートIPアドレス」の場合、仮想マシンの起動すると、NICに対してサブネットから空いてる適当なIPアドレスがDHCPによって割り当てられ、仮想マシンが停止されると解放されます。次回起動時に同じIPアドレスが割り当てられる保証はありません。
一方、「静的」の場合は、DHCPを通じてIPアドレスが割り当てられるのは同じですが、設定したIPアドレスが必ずそのNICに割り当てられます。

 デフォルトは「動的」になっており、また通常は動的で問題ありません。
ただし、内部的なDNSサーバを立ち上げたり、ActiveDirectory のドメインコントローラを立ち上げるなど、IPアドレスが変わると困ってしまうサービスを使用する場合は「静的」にします。

この「プライベートIPアドレス」で通信できる範囲は以下の通りです 

• 同じVNETに所属する仮想マシンやサービスとの間
• S2S VPN で接続されたネットワーク
• VNET-to-VNET VPNで接続された相互のVNETに属する仮想マシン、サービス
• P2S VPN で接続された端末
• ExpressRoute で接続されたオンプレミスのネットワーク
• 同じ ExpressRoute に接続した VNET の間

インターネットへはこの「プライベートIPアドレス」では直接通信できません。
インターネットからの通信を受け付ける場合には、次の「パブリックIPアドレス」が必要になります。 

● パブリックIPアドレス

「パブリックIPアドレス」はインターネットからの通信を受け付けるのに必要なアドレスになります。
この「パブリックIPアドレス」は仮想マシンのNICには直接は割り当れません。

外部からそのIPアドレスへパケットを送ると、Azure でNATがかけられ「プライベートIPアドレス」に書き換え(マップ)された上で、仮想マシンのNICに到着します。仮想マシンから送付した場合は逆に「プライベートIPアドレス」から「パブリックIPアドレス」に書き換え(マップ)されます。
NICには直接設定されてないけど、実質的に使用されている事から、「VIP」(Virtual IP)とも呼ばれます。

(プライベートIPアドレスはNICに割り当てられ、パブリックIPアドレスはインターネットとのアクセスでマップされる)

 「パブリックIPアドレス」にもまた「動的」と「静的」があります。

「動的」は仮想マシンが起動したときにIPアドレスが割り当てられ、停止したときに解放されます。
「静的」は特定のIPアドレスが常に割り当てられます。なお、静的に確保された「パブリックIPアドレス」は「予約済IPアドレス」とも呼ばれます。 

「パブリックIPアドレス」には「プライベートIPアドレス」の時と異なる点がいくつかあります。VIPとしてマップ(NAT)されるというのもその1つです。それ以外にも、以下の点が異なります。

● パブリックIPアドレスには「DNS名」が付けれる

「パブリックIPアドレス」は、<指定の名前>.<ロケーション>.cloudapp.azure.comというDNS名を設定することができます。
例えば、東日本リージョンで動作している foocontoso という名前の仮想マシンなら、foocontoso.japaneast.cloudapp.azure.comというDNS名を付けれます。

インターネット側の端末などからは、IPアドレスの値だけではなく、foocontoso.japaneast.cloudapp.azure.comという名前でもアクセスを行う事ができる訳です。 

これは特に、「動的」の「パブリックIPアドレス」の場合に便利です。
動的のIPアドレスは仮想マシンの停止~起動で IPアドレスの値が変わりえます。IPアドレスを指定してのアクセスだと、毎回IPアドレスを確認する必要が出てきます。
IPアドレスが変わってもこのDNS名とIPアドレスの対応は追従しますので、DNS名ならば IPアドレスの変化を気にする必要がなくなります。

お客様側のDNSの設定を追加することで、<名前>.<ロケーション>.cloudapp.azure.comではないDNS名を使う事も可能です。
例えば foo.contoso.com. の CNAME として foocontoso.japaneast.cloudapp.azure.com. とすれば、「動的」の「パブリックIPアドレス」でも foo.contoso.com のような独自のDNS名を割り当てる事ができます。 

一方、CNAMEではなくAレコードが必要なメールサーバの構築をする場合や、ファイアーウォールの設定で、通信できる対象をIPアドレスで指定しなければならない場合、「動的」では不向きとなります。
こうした時には「静的」の「パブリックIPアドレス」を使用します。
「静的」でIPアドレスを固定し、独自のDNSでそのIPアドレスへの名前をAレコードで定義する、固定されたIPアドレスをファイアーウォールで通信の許可先として設定する、などが可能になるためです。

● パブリックIPアドレスの値を決めることはできない 

「パブリックIPアドレス」ではIPアドレスの値そのものを利用者が決めることはできません。 

「静的」でも「動的」でも、どのIPアドレスが割り当てられるかは、割り当てられるまで分かりません。
割り当てられるのは Azure のもつグローバルIPアドレスのプールにあるIPアドレスのどれかで、例えば2つのパブリックIPアドレスで連番がほしい、などは指定できません。

● あえて「パブリックIPアドレス」を割り当てないことができる 

ネットワークインターフェイスにとって「プライベートIPアドレス」は必須のもので、動的か静的かぐらいしか選択肢がありません。
しかし、「パブリックIPアドレス」は、動的で割り当てるのか静的で割り当てるのか以外に、そもそも「割り当てない」という選択肢があります。

 「パブリックIPアドレス」を割り当てなかったネットワークインターフェイスへは、外部からアクセスする手段がなくなります。たとえ仮想マシンが SSH や RDP で接続待ちしていても、宛先としてのIPアドレスがないので外部から接続することはできません。

逆に、仮想マシンが外部へ通信することができます。このときは、Azure が保有している適当なパブリックIPアドレスが一時的に利用されます。 

DBサーバのように外部からアクセスされては困る場合、だけど WindowsUpdate や  yum update で外部のサーバからのアップデートは取得したいときなどは、「パブリックIPアドレス」を割り当てなければいいわけです。

●「静的」の 「パブリックIPアドレス」は有償である

これも重要な点です。「パブリックIPアドレス」は課金対象です。使えば使っただけコストがかかります。 
ではどれぐらいかかるかですが、以下料金ページに説明があります。

https://azure.microsoft.com/ja-jp/pricing/details/ip-addresses/

 ただ、少々複雑なため、次回に改めて説明します。

The new Surface Deployment Accelerator (SDA) is designed to simplify Surface image creation and deployment to save you time and ensure you have the latest Surface firmware and drivers.

In our new Microsoft Mechanics video, Milad Aslaner, program manager on the Surface commercial engineering team, demonstrates how Surface Deployment Accelerator’s wizard-based design guides you through the steps to create and deploy Windows images to Surface devices in your organization with automated installation of the latest drivers and firmware.

As Milad demonstrates, the Surface Deployment Accelerator can help simplify the task of image creation.

The Surface Deployment Accelerator leverages the Microsoft Deployment Toolkit and Windows Assessment and Deployment Toolkit, and you can install it on Windows Server 2012 R2 or newer.

The SDA assists you with the two primary approaches for installing Windows 8.1 or Windows 10 images on your Surface devices:

• Using an image installation task sequence to create and install a reference Windows image with the latest Microsoft Surfacedrivers, updates, and applications, and
• Using this reference image to re-capture your own custom Windows (WIM) images.

Download the Surface Deployment Accelerator today and try it for yourself.

We hope that you find this video demonstration useful. Keep checking back on this blog and on Microsoft Mechanics for the latest Surface management and engineering news.

こんにちは、Surface 担当の横田です。

Surface を企業で導入する際に、会社のマスターイメージを使用した展開をおこなうお客様も多いと思います。昨年夏の Windows 10、昨年秋の Surface Pro 4 のリリース以降、Windows 10 + Surface でのマスターイメージ展開の方法についてのお問い合わせも多くいただいています。皆様の Surface 展開の参考となるように、このたび、「Surface Device 展開および管理ガイド」をリリースしました。

「Surface Device 展開および管理ガイド」
 

このドキュメントでは、Windows 10 のマスターイメージを作成し、 Surface Pro 4 や Surface Book、Surface 3 に展開する一連の方法を、マイクロソフトが無償で提供する OS 展開ツール Microsoft Deployment Toolkit (MDT) を使用した方法を中心にステップ バイ ステップで解説しています。皆様が Surface を企業内で展開する際のご参考としてぜひご活用ください。

Данную статью меня сподвигла написать проблема, которую я недавно решал у одного из заказчиков. Более точно сказать было даже несколько проблем, которые, как обычно, наслоились друг на друга (или их "наслоили" администраторы пытавшиеся решить проблему). Статья не ставит перед собой целью всестороннее и подробнейшее описание всей системы Service Broker, со всеми ее возможностями. Здесь лишь описана среда, с которой я сталкивался наиболее часто в ходе решения проблем.

Наверное все, кто читают данный блог знают, что такое Service Broker в SQL Server, но, для того чтобы начать с одной исходной точки, я скажу пару слов об этой штуковине.

Впервые эта полезная вещь появилась в SQL Server 2005, и с тех пор не сильно изменилась. Точнее сказать она приросла некоторыми новыми возможностями, но принципы, заложенные в те годы, так и остались неизменными.

Итак.

Как следует из https://technet.microsoft.com/ru-ru/library/ms166049(v=sql.105).aspx,компонент Service Broker помогает создавать асинхронные слабосвязанные приложения, в которых независимые компоненты совместно выполняют ту или иную задачу. Эти компоненты обмениваются сообщениями, которые содержат данные, необходимые для выполнения задачи. В этом разделе описываются следующие аспекты компонента Service Broker:

• диалоги;
• упорядочение и координация сообщений;
• асинхронное программирование на основе транзакций;
• поддержка слабосвязанных приложений;
• составные части компонента Service Broker.

Основными строительными кирпичиками системы являются:

• Сообщения. Блоки информации, которыми обмениваются участники.
• Контракт. Сообщения собираются в контракт для того, что бы обмен сообщениями был более формализован.
• Очереди. Сообщения для отправки и при получении помещаются в специальные очереди, которые есть как у отправителя, так и у получателя.
• Сервис. Все вышеперечисленные компоненты соединяются сервисом, который и является единицей взаимодействия в системе.
• Маршруты. Для доставки сообщений на сервисы создаются маршруты доставки.
• Диалог. Программируемый способ отправки сообщения от инициатора к получателю и обратно.
• Транзакции. Вся обработка данных при передаче и получении производится по транзактному принципу, исключающему утрату данных.
  

Надо сказать, что инфраструктура Service Broker оказалась настолько успешной, что она широко используются в SQL Server для реализации других возможностей, таких как Query Notification, AlwaysOn Availability Group и некоторых других компонент SQL Server.

Давайте пошагово разберемся как происходит формирование и передача сообщений в системе Service Broker. Для целей демонстрации я использовал скрипты, очень похожие на те, что опубликованы здесь https://technet.microsoft.com/en-us/library/bb839483(v=sql.105).aspx.

Моя тестовая среда включает в себя:

• Два экземпляра SQL Server установленных на разных виртуальных машинах
• Контроллер домена.
• Точки доступа (Endpoints)  настроены для использования Windows аутентификации.
• На обоих серверах созданы пользователи без логинов, использующие сертификаты для взаимной аутентификации.
• Сертификаты скопированы на оба сервера с использованием backup.

 Как это все работает вместе. Ниже приведена упрощенная схема обмена сообщениями и ее описание.

1. При отправке с инициатора сообщение попадает во внутреннюю очередь передачи представляющую собой внутреннюю системную таблицу sys.sysxmitqueue, выполнив запрос к ней мы получим, то, что ожидали.

Для просмотра сообщений, находящихся в очереди, во вне "выставлено" динамическое представление  sys.transmission_queue, выполнив запрос к которому вы получите почти тот же результат. Однако в этом представлении есть очень полезный элемент, это столбец  transmission_status, содержащий информацию об ошибке, возникшей при передаче и обработке сообщения.

Например: "Connection attempt failed with error: '10061(No connection could be made because the target machine actively refused it.)'."

Также сообщение логируется в журнале транзакций, что обеспечивает его транзактную обработку.

Все сообщения от всех создаваемых сервисов проходят через эту внутреннюю таблицу и  соответственночерез просмотр, и при отсутствии ошибок передаются далее. Перед передачей сообщения могут шифроваться с использованием сертификатов. Будут сообщения шифроваться или нет зависит от настроек диалога инициирующего соединение. 

2. После помещения сообщения в очередь передачи (sys.transmission_queue)выполняется его классифицирование. 

Суть классификации состоит в том, чтобы определить, где размещен сервис, которому это сообщение адресуется. Для определения направления передачи используются маршруты доставки,созданные на этапе развертывания сервиса. В данном случае настроено два маршрута. Один указывает на удаленный сервис-получатель, другой указывает на локальный экземпляр SQL Server для доставки локальных оповещений.

Мы можем увидеть выполнение этапа классификации с помощью трасс SQL Profiler, если выберем события относящиеся к Service Broker. Обращаю внимание, что часть событий относящихся к Service Broker размещены в разделе Security Audit.

 3. После выполнения классификации сообщения, устанавливается соединение с удаленной (как в данном случае) точкой соединения (Endpoint). В данном случае - это сервер использующий протокол TCP, с именем SQL2014-I1 и номером порта (Endpoint) 4022. Если при выполнении соединения возникнет ошибка, то она появится в трассе (как показано ниже) и в столбце transmission_statusпросмотра sys.transmission_queue.

 4. На следующем этапе происходит отправка сообщения сервису получателю и его подтверждение от принимающей стороны. Если на донном этапе выполнить запрос к представлению transmission_queue, то оно возвратит пустой результат, поскольку все данные из очереди отправителя переданы.

В трассе на инициаторе и отправителе мы увидим подтверждение передачи.

 5. Поскольку сообщение доставлено до получателя, то оно должно появиться во входной очереди получателя.

По правде говоря, имя очереди получателя, к которой мы в данном случае сделали запрос, это виртуальный объект типа просмотр (View). Реально, данные на получателе сохраняются системной таблице, доступ к которой можно получить через DAC.

В данном случае это внутренняя таблица queue_messages_293576084. Выполнив запрос к которой мы получим почти те же данные, что и при обращении к очереди InstTargetQueue.

И так. Мы прошли по всей цепочке от момента формирования сообщения до получения его целевым сервисом.

Далее, целевой сервис должен прочитать сообщения из очереди (желательно по одному) и отправить подтверждение о получении инициатору диалога. Делается эта процедура с использованием специального синтаксиса, который есть в прилагаемых скриптах https://technet.microsoft.com/en-us/library/bb839483(v=sql.105).aspx.

По мере чтения данных из очереди она пустеет, а отправителю посылается подтверждающие сообщения (или не посылаются) форма, состав которых, а также посылаются они, или нет, зависит от разработчика сервиса.

Если по мере чтения очереди программируется отправка подтверждающих сообщений, то они проходят тот же путь, что и от получателя, только в обратном порядке.

В данном блоге мы достаточно подробно рассмотрели весь путь от отправителя до получателя и в следующем начнем рассмотрение вопросов связанных с решением проблем с Service Broker на каждом из этапов обработки и передачи.. 

Александр Каленик, Senior Premier Field Engineer (PFE), MSFT (Russia)  

Apr.

7

Script Download:  
The script is available for download from https://gallery.technet.microsoft.com/scriptcenter/How-to-configure-DTC-to-cc0f3f18.

You can also use  Microsoft Script Browser for Windows PowerShell ISE to download the sample with one button click from within your scripting environment. 

This script shows how to configure DTC to solve distributed transaction error using PowserShell.

You can find more All-In-One Script Framework script samples at http://aka.ms/onescriptingallery

Опубликовано обновление модуля «Расчеты с персоналом» для версий AX 2009 SP1 (FP39), AX 2012 R2 и AX 2012 R3 в части следующих законодательных требований:

• Приказ Фонда Социального страхования РФ от 25.02.2016 № 54 - о внесении изменений в печатную форму 4-ФСС.

• Приказ Фонда Социального страхования РФ от 29.03.2016 № 123 - о внесении изменений в электронный формат 4-ФСС.

  Обновление, содержащее обновленную печатную форму 4-ФСС,  доступно по следующей ссылке: https://mbs.microsoft.com/knowledgebase/KBDisplay.aspx?scid=kb;EN-US;3152153.

Или по следующим прямым ссылкам: AX 2009 SP1 | AX 2012 R2 | AX 2012 R3

 Настройки модуля «Электронная отчетность» для обновленного XML формата 4-ФСС доступны по следующим прямым ссылкам:

• Для партнеров

• Для клиентов

了解您的使用者是怎麼使用 Office 365 對於 Office 365 管理員來說是極其重要的一件事。它可以讓您更有效率的監控您提供的服務、找到各式各樣的問題、提供相關支援以及訓練並且將您的狀況回報給您的主管。

今天我們很高興的告訴大家一個嶄新報表入口網站的來到，它可以為您的Office 365服務提供您更有價值的分析，並將能夠深入至每個使用者的使用情況，這一切將被置放至新的 Office 365 系統管理中心中。

全新報表來囉

我們在一年前開始改造 Office 365，因為我們認為從一開始就將客戶的回饋納入系統開發的過程是相當重要的。第一版的新報表入口網站包含一個全新的活動儀表板以及多種報表，讓您可以全面且一致的了解 Office 365 服務。

活動儀錶板– 讓您清楚看到所有Office 365 的使用情況

此新報表功能的核心思想，是要讓您更加了解貴組織使用Office 365 的情況，讓您可以輕鬆地做決定並且向您的主管回報。圖表呈現將能使關鍵數據視覺化，讓您可以更快速的理解資訊背後的意義。您可以觀察每個使用者的工作量以並且了解每個產品活動的關鍵摘要。您也可以將報表以7、30、60、90天的方式分析從中分析數據中的重要趨勢。

快速分析使用資訊

當我們在使用 Office 365 時，我們的組織會想要清楚的瞭解這項投資得到的效益。尤其是在進行產品首度發行時，Office 365 管理員常常需要每周或甚至每天回報使用者的使用情況。您可以透過全新的報表入口網站快速的創造出訂閱 Office 365 的價值，您可以為您的 Office 365 租用戶大略的分析這些使用資訊，也能夠針對每個工作進行詳盡的分析。

清楚掌握每個用戶的使用情況

若您想要特別了解某個單一服務或是取得細節的使用資訊，您可以利用全新的報表功能，即使至個人使用者層級的資訊都可以輕易取得。為了提高生產力以及增加用戶使用 Office 365 的情況，您需要理解每個服務當前狀況以及組織中每個終端使用者目前使用的概況，或更重要的，他們不願意使用的原因。您也能夠將全部的報表輸出成 CSV 檔，並且用 Excel 或其他工具快速進行過濾或分析的動作。

更多功能即將到來

目前為止，以下的報表僅提供給美國、澳洲以及加拿大:

• 活躍的 Office 365 使用者
• 電子郵件的活動情況
• Office 啟用狀況

而我們將於四月份將此服務延伸至歐洲、亞太地區以及拉丁美洲。您可以在新版系統管理中心左邊的列表中找到這些表單的連結。

這只是一個開始，我們會將在四月份提供更多報表功能給美國、澳洲、加拿大地區的組織，比如說 SharePoint 以及 OneDrive 網站使用率或是 Yammer 以及商務用Skype 的活動情形之報表。而歐洲、亞太、拉丁美洲等區域，將於五月享受到這些新服務。我們將會逐步添加更多針對 SharePoint 以及商務用 OneDrive 使用資訊以及使用者之間的互動的相關報表 (像是使用者在使用這些服務時，通常使用甚麼樣的作業系統或是瀏覽器等等)

千萬不用擔心，您將能夠一直使用舊版的系統管理中心，直到新版網站擁有相同效益的報表。在新版網站裡，我們減少沒必要的資訊並且整合報表，讓您可以更快速的找到您想尋求的資料。您將不會找到和舊報表一模一樣的備份，相反的，您將會得到改進之後的報表，相信它們將能夠給您更多的見解。

我們也會提供您一個 Power BI 內容包，它將結合貴組織之 Office 365 使用數據及使用者資訊，您將能夠從中得到用戶使用情況的分析及洞察。透過此內容包，您將擁有進階分析藍本，它將可以輕易地幫助您分享您的洞察給組織裡的其他成員。Power BI 之內容包預計於今年六月隆重登場。

新的隱私功能讓您能夠以匿名使用者資訊來保護使用者的隱私，並且使您符合組織的規範要求。

今年秋天，我們將會提供新公用API，它們能夠幫助您以程式設計方式存取使用資料，並且將它們整合進一個客製化的應用程式，就像一個公司的報表入口網站一般。

幫助我們讓我們變的更好

請使用網頁中的回饋圖示，讓我們知道您的想法。您的回饋對我們來說是相當重要的，這將能使我們持續的改善 Office 365 中的報表功能。當然，我們會仔細閱讀我們得到每一個訊息。

В этой части мы рассмотрим планирование ответов на риски, как позитивные, так и негативные.

Olá Wiki Ninjas Brasil.

Sejam muito bem-vindos à mais uma Wiki Life.

Todos que acompanham este blog sabem do esforço do time que compõem o Wiki Ninjas Brasil em incentivar a produção de artigos para o TechNet Wiki. Uma questão sempre enfatizada é o fato do Wiki estar aberto à participação de todos, desde que interessados em disseminar conhecimentos de forma a auxiliar outros profissionais.

Práticas como a publicação de artigos que não sigam o modelo típico de um Wiki, opiniões pessoais ou, mesmo, conteúdos sem nenhuma relação com tecnologias Microsoft devem ser evitadas e seguem passíveis de punição. Infelizmente problemas deste tipo têm sido recorrentes dentro do Wiki brasileiro nos últimos tempos, o que traz bastante preocupação e pode comprometer a imagem de um ótimo trabalho que vinha acontecendo até então em nossa comunidade.

Embora o TechNet Wiki seja uma iniciativa democrática, existem diretrizes que devem ser respeitadas no que se refere à geração de conteúdo para o mesmo. O Wiki Ninja Rafael Bandeira de Oliveira fez uma excelente explanação sobre isto recentemente, a qual pode ser encontrada no seguinte endereço:

http://blogs.technet.com/b/wikininjasbr/archive/2016/03/31/quinta-feira-conselho-spotlight-a-import-226-ncia-de-seguir-as-regras-para-a-cria-231-227-o-de-artigos.aspx

Caso tenha interesse em contribuir com o TechNet Wiki, reiteramos mais uma vez o convite para se acessar o link abaixo a fim de obter maiores esclarecimentos:

http://blogs.technet.com/b/wikininjasbr/archive/2016/01/06/quarta-feira-wiki-life-como-usar-o-editor-do-technet-wiki.aspx

E por hoje é isso... Até a próxima!

Wiki Ninja Renato Groffe (Wiki, Facebook, LinkedIn, MSDN)

I love to talk about things which amaze me. so there was a situation, where a network admin was in a real panic state. He was seeing a very weird behaviour on few machines on the network. He was using SCEP which was detecting the malware as coinminer but as soon as it was getting detected,the infected files were coming back on it. So admin's statement to that was "it appears SCEP is not detecting or not able to clean it" . To be honest that's a statement you can make if you do not understand how threat detection works and how malwares work.

After looking at this behaviour, i pulled my favourite tools, one which does not need any installation "netstat -ano", that gave me all the incoming SMB(TCP 445) connections to this machine and obviously source machines as well. After i saw that , I used tool called network monitor( netmon 3.4 ) . I filtered the traffic for SMB traffic and could clearly see the IP address i saw in netstat -ano output sending SMB traffic and trying to create infection file in users profile folders, same locations admin was showing me where infection was coming back again after it was getting removed.

so I suggested them to take me to the machine which was sending this SMB traffic and trying to create these files. when we went there, we found SCEP was disabled. They had a group policy that disabled it, obviously it was not detecting and cleaning since it was not running at all. So i again used network monitor on this machine to analyse the behaviour of this machine. I ran following filter in netmon where filename.exe is the exe file this malware was trying to create on the target machine. here path is usual path this malware was trying to create these files on target machine.

SMB2.CCreate.Name == "ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\filename.exe"

The output of this in network monitor gave me list of other machines this malware was trying to infect from this machine, it was a huge list of machines. Admin used that list to check the status of SCEP on those machines and if they are detecting and cleaning on those machines. Meanwhile they also got this machine out of those GPOs which disabled SCEP on it.

so if SCEP was running as usual of this HUB of malware :), this issue would not have occurred at all. Even if we are seeing this behaviour where your AV is cleaning the malware and its coming right back. Its not the magical malware or some super malware which will come right back after it got cleaned. if its coming back like this obviously source is on the network. we have network protocols , which do certain things for us on the network. There are not too many protocols that do file access or share access on the network. in windows networks we have SMB protocol for share and file access and these are the protocols used by malware to create files in the shares to spread infections on the network.

In one scenario, admin was looking for containment method while he gets his infected machines cleaned using AV and his scenario i saw same method of file creation. one of the short term containment idea that i gave them  was to stop inbound SMB traffic on these infected machines using windows firewall,using netsh command

"netsh advfirewall firewall add rule name ="block445in" protocol=TCP dir=in localport=445 action=block"

SMB may be required for GPO( to get RSOP reports) so you may want to revert this after you get back to normal but you can stop the spread using this idea.

I had another admin, who wanted to disable the NIC when their AV detects a malware(sounds paranoid, i know) , technically you can do that but it has challenges :)

Technique is simple , i have written a blog post sometime back to do few things based on event id : http://blogs.technet.com/b/sooraj-sec/archive/2013/05/03/generating-netstat-output-when-a-specific-event-occurs-in-the-eventlog-using-powershell.aspx

Get the VBS file as below

Step1 :Copy the contents of the script given in above post shown below in a notepad and save it as EvtMon.vbs and put this in a folder lets call it yourfolder e.g. in c:\yourfolder location

'======================================================================
' Print out the help when something is not typed in correctly or when
' nothing at all is typed in.

PublicSub PrintHelp
    Wscript.Echo "Usage:"
    Wscript.Echo "  EvtMon EventNumber [LogFileDisplayName]"
    Wscript.Echo "    LogFile is optional.  If used, the eventlog name"
    Wscript.Echo "    file ie, application, system, security, etc..."
EndSub

' Get the arguments.  Check for event nubmer and log file as arugments
Set objArgs = WScript.Arguments

' See how many arguments we have and colect them.
if objArgs.Count < 1 OR objArgs.Count > 2 Then
    PrintHelp
ElseIf objArgs.Count > 1 Then
    EventNumber = objArgs(0)
    LogFile = objArgs(1)
Else
    EventNumber = objArgs(0)
    LogFile = ""
EndIf

If EventNumber <> ""Then

    strComputer = "."

    ' Attatch to the WMI Service
    Set objWMIService = GetObject("winmgmts:{(Security)}\\"& _
            strComputer & "\root\cimv2")

    ' if the LogFile is populated add this to our query.  Create a
    ' Event Log monitoring object and send it a query.
    If LogFile = ""Then
        Set colMonitoredEvents = objWMIService.ExecNotificationQuery _   
            ("Select * from __InstanceCreationEvent Where " _
                & "TargetInstance ISA 'Win32_NTLogEvent' " _
                    & "and TargetInstance.EventCode = '" _
                    & EventNumber & "'")
    Else
        Set colMonitoredEvents = objWMIService.ExecNotificationQuery _   
            ("Select * from __InstanceCreationEvent Where " _
                & "TargetInstance ISA 'Win32_NTLogEvent' " _
                    & "and TargetInstance.EventCode = '" _
                    & EventNumber _
                    & "' and TargetInstance.LogFile = '" _
                    & LogFile & "'")
    EndIf

    ' Create an object which returns when the next event occurs.
    Set objLatestEvent = colMonitoredEvents.NextEvent
   
    ' Print some info based on the event log we encountered.
    Wscript.Echo objLatestEvent.TargetInstance.User
    Wscript.Echo objLatestEvent.TargetInstance.TimeWritten
    Wscript.Echo objLatestEvent.TargetInstance.Message
    WScript.Echo objLatestEvent.TargetInstance.Logfile
    Wscript.Echo
End If

Following batch file can block in bound and outbound SMB traffic along with above script, you need to give the event id that your AV generates when it detects malware, please see the link i gave above to check the command.

================================ you can copy it as 445-instop.bat from below=======================================================

@echo off

cscript //NoLogo EvtMon.vbs %2 %3

powershell.exe -command "&  netsh advfirewall firewall add rule name ="block445in" protocol=TCP dir=in localport=445 action=block

powershell.exe -command "&  netsh advfirewall firewall add rule name ="block445out" protocol=TCP dir=out remoteport=445 action=block

ping -n 1 4.3.2.1

goto :EOF

=======================================================================================

Following batch file along with the vbs script in my blog post can be used to disable NIC for a particular eventid(AV generates for detection).

challenge with following is, you need to know the name of the NIC to disable, so its practically its not a feasible option 

===============================you can copy as NIC-disable.bat from below========================================================

@echo off

cscript //NoLogo EvtMon.vbs %2 %3

powershell.exe -command "&  netsh interface set interface "Wi-Fi" admin=disable

ping -n 1 4.3.2.1

goto :EOF

===================================================================================

This paranoid approach , to be honest, in my opinion not very amazing even with windows firewall and blocking ports based on event id for malware detection because it will work for malwares for which your AV has signatures not for new variants. But if you want it done anyways, you can technically :).

Note for reader :I have e written this post in one single sitting and not much of editing done. I will do the editing in second sitting, i wanted to write is before i forget about it.

Today’s Tip…

I ran across this frequently asked questions blog post: http://blogs.technet.com/b/ad/archive/2016/01/08/azure-ad-mailbag-powershell-tips-and-tricks.aspx and it's good some good example for using Azure AD PowerShell…

Question: Why is Azure Active Directory PowerShell separate from Azure PowerShell?

Answer: Azure Active Directory is used by all Microsoft online services including Microsoft Office 365. It pre-dates the current Azure PowerShell. In addition, Azure Active Directory does not currently leverage Azure Resource Management.

Question: Where do I get the latest version of Azure AD PowerShell?

Answer: The current version can be found here: https://msdn.microsoft.com/en-us/library/jj151815.aspx#bkmk_installmodule. There is also a preview version of Azure AD PowerShell with support for MFA that we discussed in a previous post: http://blogs.technet.com/b/ad/archive/2015/10/20/azure-ad-powershell-public-preview-of-support-for-azure-mfa-new-device-management-commands.aspx

Question: I'm using B2B or I have invited some external users to my Azure Active Directory, is there any way to see all these users?

Answer: Yes, PowerShell! These types of accounts are called Guest Accounts. You can run this command:

Get-MsolUser -All | where {$_.UserType -eq "Guest"}

Question: I want to find all users containing something specific. Is there any way to do this?

Answer: Yes, PowerShell! For example, let's say I wanted to find everyone in a specific department:

Get-MsolUser -All | where {$_.Department -like "*IT*"}

Question: I want to see all of the users in my Azure Active Directory that have a specific Administrator role, for example like Company Administrators. Is there a way to see that?

Answer: Yes, I think you are getting the point by now, PowerShell! First we want to get a list of all roles. To do that run

Get-MsolRole

We are looking for Company Administrators. To do that we run:

$companyAdminRole = Get-MsolRole -RoleName "Company Administrator"

Get-MsolRoleMember -RoleObjectId $companyAdminRole.ObjectId

Question: Is there a way to check to see if the user is a member of a group using PowerShell?

Answer: This one we went and created a PowerShell Function you can use:

Then run:

IsMemberOfGroup "GroupName" userprincipalname