Consider the following scenario: a standard user was tricked to run a malicious code and his device was compromised. Typically, standard users do not have high privileges, so the next thing for the attackers is getting their hands on privileged accounts. How? They can delete an important file required by Office or by slowing down the operating system. Eventually, the user will contact the helpdesk and to troubleshoot the issue they will need to login with privileged accounts.

But if the end-user device is compromised, the attacker can harvest these precious credentials and use them to attack additional resources in the network.

Why the credentials are available on the remote host? By default, Remote Desktop is using Remote Interactive process to authenticate: the user’s credentials are sent (over a secure channel) to the remote device and if the login successful then the user can access the remote desktop.

A view from the security event log (Type 10 means Remote Interactive logon) after remote desktop login

A view from common hacking tool running on the target device after the user was successfully authenticated

As we can see, now the attacker can obtain the privileged user credentials (NTLM hash or Kerberos tickets) from memory, and start moving laterally inside the network. Furthermore, rebooting the target device after use is the only way to ensure that credentials from stale or leaked logon sessions are removed completely from memory.

Restricted admin mode

Microsoft introduced restricted admin mode to address this issue in Windows 2012 R2 (and it was back-ported to any supported operating system later).

Using restricted admin mode, RDP is using a network logon process, instead of remote interactive. Using network logon ensures that the user’s credentials are never sent to the target device, therefore they are not available for theft.

To use restricted admin mode the remote target need to support it (see below), and you need to use the following command line:

mstsc /v:<server name> /restirctedAdmin

A view from the security event log after using restirctedAdmin switch:

And now for something interesting, running the same hacking tool on the system reveals that the user token is there, but it’s populated with the target device computer account details!

When we are trying to access other network resources while connected to the remote session we can see “access denied” errors, and that’s because we are authenticating (and try to access resources) using the computer account, not the user account.

Restricted admin is disabled by default, and you need to explicitly add the switch /restrictedAdmin to mstsc command line, and enable it on the target device (see Step-By-Step: Enabling Restricted Admin Mode for Remote Desktop Connections).

Windows Defender Remote Credential Guard

Remote Credential Guard enables you to protect your privileged credentials and access network resources from within the remote session.

To use the remote Credential Guard mode the remote target need to support it (see below), and you need to use the following command line:

mstsc /v:<server name> /remoteguard

Comparison between Remote Desktop security modes

Group Policy

Using Group Policy you can require that all outbound Remote Desktop requests will use RestrictedAdmin mode.

The setting is under Computer ConfigurationPoliciesAdministrative TemplatesSystemCredentials Delegation

Further reading and resources:

• https://docs.microsoft.com/en-us/windows/access-protection/remote-credential-guard
• https://blogs.technet.microsoft.com/johnromsft/2016/06/14/why-you-should-use-rdp-restrictedadmin/

Twenty-five years ago, in the summer of 1992, planning for a new product began – and that point in time has had a tremendous impact on my life and the lives of millions of IT Pros – and it has enabled us all to support 100s of millions of workers around the globe.

Check out this preview of ConfigMgr @ 25:

We are celebrating the 25^th anniversary of a vision document outlining a new project named ‘Hermes’, and the coding that began a few weeks later – with two engineers and an intern using a Gateway 486 with a 500 MB hard drive.

That project became a product, and that product created an industry we now call PC management.

Between then and now, System Center Configuration Manager (ConfigMgr) has had a couple different names, but it has, nonetheless grown to be the world’s most commonly used solution for managing enterprise PCs.  From the time that first line code was written and checked-in 25 years ago, it has grown to more than 8 million lines of code – but, as we have continually re-architected and refreshed ConfigMgr, we have retired many more lines than that.

Three facts consistently amaze me about ConfigMgr and the incredible community of users:

1. ConfigMgr manages more than 75% of all Enterprise PCs.
2. Its usage continues to grow.
3. The number of monthly active users of ConfigMgr continues to grow by over 1M devices every week.

The data is clear:  The world is moving to Windows 10 and ConfigMgr is the tool that’s used by enterprises to make this move happen.

There has never, ever been more interest in ConfigMgr than there is today!

As I have reflected on the history of ConfigMgr (and as I watched an advance screening of the upcoming ConfigMgr documentary), I kept thinking about how the ConfigMgr user base is among the very strongest technical communities on the planet.

One of the most impressive things to me about this community is how the team has consistently pushed the architecture and capabilities forward – and this has enabled ConfigMgr to not only remain relevant, but also establish itself as a critical agent of evolving the infrastructure in just about every Enterprise organization.

As we reach marquee milestones like 25^th anniversaries, I wanted to reflect with the community on the history of ConfigMgr, its impact, and, perhaps most importantly, talk about its very bright future.

Now We Want to Tell Your Story

Those millions of IT Pros are the real story and the real heroes of this story.  That’s why we would love to hear your story.  How has SMS/ConfigMgr/Intune impacted your lives or your organizations.

Tell us your story by writing or uploading videos to aka.ms/ConfigMgr25.

As much as I love the documentary previewed above, is only Part 1 of a very important story that has 2 parts.  Part 2 is up to you.

Record your own memories and stories about ConfigMgr and post them at aka.ms/ConfigMgr25.  If you're going to be at Microsoft Ignite, you can also record your stories at our mini-studio next to the Microsoft booth.

We’ll use your video submissions (both via the site above, or at our video booth next to the Microsoft booth at Ignite) to create an entirely crowd-sourced video we’ll call “The People’s History of ConfigMgr.”

One last note:  If you have a spare minute during lunch on Tuesday at Ignite, come film a Lunch Break episode with me!

Many of you have probably seen the “Brad Anderson’s Lunch Break” series we publish on YouTube, and from 11am to 2pm on Tuesday I’ll be in a golf cart in front of the conference center – and anyone can hop in for a quick lap around the bus loop – and you can ask me anything.

We’ll have cameras all over the golf cart and we’ll post a special “Lunch Break @ Ignite!” episode the following week.

See you there!

The past is hard to let go of, let's be honest. In the IT world, there is a lot of truth to some of the old tools are also some of the best. You SCCM (or dare I still say SMS) guys should know this, for those who still use things like ccmclean instead of ccmsetup /uninstall still or SMS Installer.

One thing Windows has been great at over the years is keeping backwards compatibility with older applications, but those days are coming to an end, and quickly. For example, a moment of silence to any 16-bit app running on Windows 10 x64. You really don't want a single application (or small handful) holding you hostage from going to the next version of Windows, either.

So, to the problem statement: A customer was using a application suite they built in-house using 2 different compilers, in Visual Basic 6 and Visual Studio .NET 2008. When they ran the application making a call to the same SQL database, the VB6 app failed, but the VS.NET 2008 app worked. For those wondering or maybe not old enough to remember, Visual Basic 6 was released in January of 1999. I remember receiving my copy on my desk at work and had a giant smile from ear to ear that morning.

The failure they were experiencing was that all too familiar "Logon failed for NT AUTHORITYANONYMOUS LOGON". Well, this is easy, mysery solved - it's SPN entries in AD. Wrong, and not so fast.

Some items of note here: VB6 has been out of support for about a decade now, and although the VS.NET 2008 product is still supported, is soon slated for retirement. But, it is still supported for now. That would be as simple as moving the code to a newer version of Visual Studio. VB6, not so easy as the upgrading from VB6 to the newer Visual Studio isn't a "Load/Compile/Distribute scenario".

This "Anonymous Logon" issue is not a new by any means, and is caused when Service Principle Names (SPNs) are incorrectly configured in the environment due to a term called KCD or “Kerberos Constrained Delegation”. To further complicate troubleshooting, the older compiler was making a COM+ call to the database server. I was able to work around this issue by selecting “Trust this computer for delegation to specified services only” and “Use any authentication protocol”.

I found that by switching to this method (of any authentication protocol) allowed clients to connect to the server and authenticate, making the application work. There was another application that worked fine with using Kerberos only, therefore proving the SPNs were properly set. I also saw that through SQL Management Studio all connections made to the SQL server with the option of using any authentication protocol were using Kerberos, but without KCD.

What’s the difference, Kerberos is Kerberos, right?
When KCD is configured to use Kerberos only, the system performing the delegation (“SQLServer”) must possess a Kerberos service ticket from the delegated user (“ConnectingClient”) as evidence that it is acting on behalf of that user. By changing settings to the “use any authentication protocol”, Kerberos is still being used, but the security is lessened that the service ticket used from what is called Kerberos Services4User, or SFU. SFU provides protocol transition. In simpler terms: A client authenticates with a protocol other than Kerberos and then transitions to Kerberos, but does not use constrained delegation and is less secure.

The main impact to security in this method is that the delegating service is able to delegate an account without the direct involvement of the account owner. What this means is that on no certain terms are any promises or guarantees made to security of this account.

There are a few concerns with this workaround:

• The workaround does work, however security is reduced.
• If you are looking to replace or modernize an app to newer code (newer compiler like VB6 to VB.NET), then this may be acceptable solution if you are willing to take the security risks for now.
• The only other way to fix this issue is to disable Credential Guard, which isn't recommended.
• One thing to always keep in mind is to test future Windows 10 builds. In the future, this workaround as well as other security changes may prohibit old apps from working.

About Windows 10 and Security

Windows 10 was built with security in mind. I’ve seen many customers want to see a more secure and stable platform, and there have been many improvements made to Windows 10 to accommodate this, among the highlights:

• Windows Defender SmartScreen helps prevent malicious applications from being downloaded
• Credential Guard helps keep attackers from gaining access through Pass-the-Hash or Pass-the-Ticket attacks
• Enterprise certificate pinning helps prevent man-in-the-middle attacks that leverage PKI
• Device Guard helps keep a device from running malware or other untrusted apps
• Windows Defender Antivirus, which helps keep devices free of viruses and other malware
• Blocking of untrusted fonts helps prevent fonts from being used in elevation-of-privilege attacks
• Memory protections help prevent malware from using memory manipulation techniques such as buffer overruns
• UEFI Secure Boot helps protect the platform from bootkits and rootkits
• Early Launch Antimalware (ELAM) helps protect the platform from rootkits disguised as drivers
• Device Health Attestation helps prevent compromised devices from accessing an organization’s assets

With advancements to the security model in Windows come changes to how applications are developed and behave. Windows 10 really does change how applications are delivered in the sense that I warn software developers and those who distribute software and Windows to “expect something to break”. It’s not because of bad code or any intention to just make everything “not work”, but often security requirements in the OS leaves older coding techniques behind.

For every enterprise or organization, I suggest always keeping a small amount of testers from each department running the “next” version of your OS build to provide feedback on new applications and report things that may not work.

About Windows 10 and Credential Guard

The purpose of Credential Guard is to use virtualization based security to protect domain account Kerberos and NTLM credentials from theft by malicious software, and to isolate these secrets so that only privileged system software can access them. Credential Guard also protects logon session and Credential Manager credentials.

With Credential Guard enabled, it is no longer allowed to use Kerberos unconstrained delegation as it can allow attackers to extract Kerberos keys from the isolated Local Security Authority (LSA) process. Microsoft recommends using KCD instead.

The conclusion and ending...

I would encourage all developers to apply the concept of ”always looking ahead” when writing new code. You should look into having a newer build of Windows available to you in order to test functionality for the next release of the image, so you can have more assurance your apps are safe.

Keep in mind for testing you can use some of the newer features in Gen2 Hyper-V machines on Server 2016 and Windows 10 1607 and later. These include more modern security features such as Virtual TPM and Secure Boot. This will allow testing of features like Credential Guard and Bitlocker in a more contained environment.

A moment of silence to Visual Basic 6 as well. I became a MCSD in VB6 and wrote many apps with it. But, as much as it hurts, deploying anything that pre-dates Active Directory going forward is a bad idea.

— Easy link to my blog: http://aka.ms/leesteve —
If you like my blogs, please share it on social media and/or leave a comment.

Nach den jüngsten Ransomware-Ausbrüchen wollte ich wissen, wie sich in betroffenen Firmen die Einstellung zur Planung und Umsetzung von Maßnahmen geändert hat, die die Cyber-Resilienz verbessern. Daher bat ich das Detection and Response Team von Microsoft, mir von seinen Erfahrungen zu berichten. Dieses Team unterstützt unsere Kunden sowohl proaktiv als auch in Echtzeit dabei, auf Cyber-Angriffe zu reagieren und beeinträchtigte Geschäftsabläufe und Daten wiederherzustellen. Ich habe in diesen Post einige anonymisierte Kundenszenarien aufgenommen, von denen mir das Team erzählt hat und die darauf hindeuten, dass ein Plan für Cyber-Resilienz unerlässlich ist.

Warum Cyber-Resilienz wichtig ist

Organisationen rund um den Globus sind in hohem Maße von Technik abhängig. Zum Ende des ersten Quartals des laufenden Jahres 2017 gab es mehr als 3,7 Milliarden Internet-Nutzer weltweit, und diese Zahl wächst stetig. Mit zunehmender Verbreitung des Internets wächst auch die Angriffsfläche. Die aktuelle Bedrohungslage in puncto Cyber-Sicherheit ist eine ernsthafte Gefahr für Menschen und Vermögenswerte. Daher sollten Organisationen die Balance dabei finden, sowohl den Zugang zu Daten und Internet zu ermöglichen als auch das Risiko zu kontrollieren. Üblicherweise wählen Unternehmen für die Cyber-Sicherheit einen Ansatz, bei dem sie Tools und Technologien implementieren und Mitarbeiter für den Schutz und die Reaktion auf Vorfälle bereitstellen. Dies ist zweifelsohne wichtig. Die Umsetzung von Tools und Technologien für Cyber-Sicherheit dient aber vor allem dem Zweck, die Geschäftskontinuität zu gewährleisten. Unternehmen sollten sich auch auf strategischer Ebene zur Gesamtsituation Gedanken machen, wie sich ihre kritischen Systeme, die IT-Infrastruktur und die Rechenzentren so verstärken lassen, dass sie im Falle menschlichen Versagens und bei Cyber-Bedrohungen, die zu Ausfallzeiten führen, widerstandsfähig bleiben. An diesem Punkt kommt eine Strategie für Cyber-Resilienz ins Spiel: Organisationen müssen eine solche Strategie ausarbeiten und ein zugehöriges Programm umsetzen, das speziell auf ihre geschäftlichen Anforderungen zugeschnitten ist, um bei einem Sicherheitsvorfall die Geschäftskontinuität zu gewährleisten.

In der Studie „State of Cybersecurity and Digital Trust“ von Accenture sagen zwar 75 Prozent der Befragten, sie wären hinsichtlich ihrer Abwehrkraft sehr zuversichtlich. Allerdings geben nur 37 Prozent an, sie hätten Vertrauen in die Fähigkeit ihres Unternehmens, Verstöße aufzudecken. 36 Prozent der Befragten geben an, dass sie der Fähigkeit ihres Unternehmens vertrauen, Unterbrechungen zu minimieren. Laut Gartner belaufen sich die durchschnittlichen Kosten bei Ausfallzeiten auf 5.600 US-Dollar pro Minute – mehr als 300.000 US-Dollar pro Stunde. Menschliches Fehlverhalten führt am häufigsten zu Ausfallzeiten. Einige Studien gelangen zu der Schlussfolgerung, dass menschliches Fehlverhalten für 75 Prozent aller Ausfallzeiten ursächlich ist.

Angesichts der Tatsache, dass Unternehmen mehr denn je von IT abhängig sind, ist Business Continuity and Disaster Response (BCDR) eine wichtige Komponente des gesamten Unternehmens – und kein Problem, das nur IT-Teams betrifft. Jedes Unternehmen muss für den Umgang mit Ausfällen vorbereitet sein, die durch unvorhergesehene Ereignisse verursacht werden. Ein Ausfall kritischer Anwendungen und Dienstleistungen könnte zu einem Produktions- und Betriebsstopp, Einnahmeausfällen und einem Vertrauensverlust der Kunden in das Unternehmen führen. Ein durchdachter, effektiv umgesetzter Cyber-Resilienzplan kann dazu beitragen, dass die Computersysteme, die IT-Infrastruktur und die Rechenzentren von Unternehmen den Auswirkungen von Cyber-Angriffen und von menschlichem Fehlverhalten widerstehen können.

Cyber-Resilienz-Szenarien

Immer wieder hört man von Unternehmen, die Cyber-Angriffe und/oder Datenverluste erlitten haben. Wer eine Strategie entwickelt und Maßnahmen zum Ausbau der Cyber-Resilienz ergreift, ist eher in der Lage, Schäden durch derartige Vorfälle gering zu halten und Kosten zu reduzieren, die für die Wiederherstellung anfallen.

Beispiel 1 – Ransomware infiziert zahlreiche Unternehmen weltweit:

Jüngste Ransomware-Attacken in der ersten Hälfte des Jahres 2017 haben gezeigt, wie wichtig es ist, auf kritische IP, Systeme und Infrastruktur selbst dann zugreifen zu können, wenn sie durch Ransomware gesperrt werden. Die WannaCry-Ransomware hatte Auswirkungen auf zahlreiche Branchen und Unternehmen in aller Welt, sogar auf Werke der Automobilindustrie, die für eine gewisse Zeit die Produktion ruhen lassen mussten. Die Motivation für die Angriffe mag ganz unterschiedlich gewesen sein – unbestritten ist, dass sie zu Ausfallzeiten für die betroffenen Unternehmen geführt haben, und die Wiederherstellung war kostspielig.

Ransomware kann also jede Art von Unternehmen treffen. Um das Ausmaß der Schäden bei einem solchen Vorfall zumindest zu begrenzen, empfiehlt es sich, Computersysteme kontinuierlich zu patchen und auf dem neuesten Stand zu halten, Daten regelmäßig zu sichern, umfassend getestete Notfallpläne anzulegen und sowohl die eigenen Mitarbeiter als auch die Auftragnehmer zum Thema Cyber-Angriffe (wie Phishing und Ransomware) zu schulen.

Beispiel 2 – Datenverluste beeinträchtigen nach wie vor die US-amerikanische Gesundheitsbranche:

Cyber-Angriffe beeinträchtigen weiterhin messbar die Gesundheitsbranche, da Cyber-Kriminelle medizinische Daten, zu denen sie sich Zugang verschafft haben, nutzen könnten, um daraus durch Betrug oder Identitätsdiebstahl Gewinn zu schlagen. Auch enthalten personenbezogene Daten häufig Informationen zur Krankengeschichte des Patienten, die für gezielte „Spear Phishing“-Angriffe genutzt werden könnten. Mit Stand vom 9. August 2017 wurde auf der – häufig als „Wall of Shame“ (Schandmauer) bezeichneten – Website des HIPAA Breach Reporting Tools des US-Gesundheitsministeriums die Zahl der Datenschutzverletzungen seit dem Jahr 2009 mit 2.018 beziffert. Die Zahl der von Datenschutzverletzungen im Gesundheitswesen Betroffenen ist in den letzten Jahren explosionsartig gestiegen: von 31,5 Millionen am 30. Mai 2014 auf rund 175 Millionen am 9. August 2017.

Aus diesen Trends und Statistiken lassen sich drei wesentliche Erkenntnisse ableiten: Zunächst einmal müssen Mitarbeiter und Patienten im Gesundheitswesen auf verdächtige Kommunikation (wie betrügerische oder Phishing-E-Mails) achten und ihre IT-Organisation darüber in Kenntnis setzen. Sie sollten Identitätsdiebstahl nach Möglichkeit erkennen können. Auch sollten personenbezogene Gesundheits- und Identifikationsdaten nur dann offenbart werden, wenn eine ausdrückliche Notwendigkeit dafür gegeben ist (beispielsweise wenn Patienten für eine medizinische Untersuchung oder einen Eingriff einen Identitätsnachweis erbringen müssen). Und schließlich lassen sich die Auswirkungen einer Exposition besser in Schach halten, wenn Datenklassifizierungs- und -schutzlösungen eingesetzt werden, die sensible Informationen während ihres gesamten Lebenszyklus absichern.

Beispiel 3 – Menschliches Versagen führte zur Offenlegung von Kundendaten bei einem Finanzdienstleister:

Zwar ergreift die Branche für Finanzdienstleistungen und das Bankwesen im Vergleich zu anderen Branchen deutlich strengere Überwachungs- und Kontrollmaßnahmen, was ihre Infrastruktur und ihre Daten angeht, aber trotzdem ist auch diese Branche immer wieder von Datenverlust betroffen. Anfang 2017 machte ein Finanzdienstleistungsunternehmen versehentlich eine Datenbank mit sensiblen Informationen Tausender seiner Kunden öffentlich zugänglich. Das Unternehmen gab an, der Vorfall sei auf menschliches Versagen eines externen Anbieters zurückzuführen gewesen.

Das zeigt deutlich, dass Unternehmen unbedingt allen Auftragnehmern, die Zugang zu ihrem Netzwerk und zu ihren Daten haben, streng Rechenschaftspflicht auferlegen müssen. Diese Problematik trat beispielsweise beim Ausbruch der Petya-Ransomware zutage, denn eine der Ursachen der Krise war, dass sich externe Auftragnehmer nicht an die Cyber-Sicherheitsrichtlinien des Unternehmens gehalten hatten.

Überlegungen zu einem Cyber-Resilienz-Programm

Damit Computersysteme, IT-Infrastruktur und Rechenzentren Beschädigungen aufgrund von menschlichem Versagen, Cyber-Bedrohungen und Cyber-Angriffen besser widerstehen können, empfehlen wir Unternehmen, ein Cyber-Resilienz-Programm zu erarbeiten, das sich auf eine Kombination aus Menschen, Prozessen und Cloud-Diensten stützt.

Menschen:

Jede Person, die Zugang zum Unternehmensnetzwerk hat, vom Vollzeitmitarbeiter bis zum Berater und Auftragnehmer, sollte regelmäßig geschult werden, um eine cyber-resiliente Einstellung zu entwickeln. Hierzu gehört nicht nur die Einhaltung der IT-Sicherheitsrichtlinien im Zusammenhang mit einer identitätsbasierten Zugangskontrolle. Die Betreffenden müssen auch die IT bei verdächtigen Ereignissen und Infektionen schnellstmöglich warnen, um die Zeit bis zur Wiederherstellung nach Kräften zu minimieren.

Prozesse:

Unternehmen sollten die Umsetzung mehrerer Prozesse erwägen, um sich cyber-resilient aufzustellen. Einige davon können als IT-Sicherheitsrichtlinien implementiert werden. In der nachstehenden Tabelle werden derartige Prozesse vorgeschlagen.

Cloud-Dienste:

Um die Cyber-Resilienz aufrechtzuerhalten, müssen die vorgeschlagenen Prozesse regelmäßig durchgeführt werden. Dabei sollte einerseits die Risikobereitschaft des Unternehmens berücksichtigt werden, andererseits seine Fähigkeit, die Prozesse durch eine Kombination aus menschlichen Anstrengungen und technologischen Produkten und Dienstleistungen umzusetzen.

Glücklicherweise können cloud-basierte Architekturen verwendet werden, um eine lokale Infrastruktur schnell wiederherzustellen oder ein Failover zu einer gespiegelten Infrastruktur durchzuführen. Bei der Entscheidung zugunsten von Cloud-Diensten sollte unbedingt geprüft werden, wie der Provider seine Bewertungen durchführt. Audits und Zertifizierungen Dritter können ein Zeugnis zu seiner Leistung abgeben.

Cloud-Dienste wie Microsoft Azure und Office 365 können zumindest als erster Schritt dienen, um Unternehmen in puncto Cyber-Resilienz auf Vordermann zu bringen.

Partnerschaftliche Zusammenarbeit von Microsoft mit dem Ökosystem

Cyber-Resilienz ist kein Thema, das wir alleine angehen können. Unser Anliegen ist es sicherzustellen, dass unsere Produkte zu der Technologie passen, die unsere Kunden bereits verwenden. Microsoft fördert ein lebhaftes Partner-Ökosystem, das uns hilft, die Standards der ganzen Branche hochzuschrauben. Über unser Technologiepartner-Netzwerk können wir unseren Kunden proaktive Tools zur Bekämpfung von Sicherheitsrisiken bieten sowie Lösungen mit einer Vielzahl von Features wie Anwendungsfirewall und Bedrohungserkennung. Wir arbeiten auch eng mit Kunden und Normungsgremien der Industrie zusammen, um die konkreten Cyber-Resilienz-Bedürfnisse der Kunden besser erfüllen und Branchenbestimmungen einhalten zu können. Microsoft arbeitet bereits seit geraumer Zeit mit dem Center for Internet Security (CIS) zusammen, um nachzuweisen, dass seine Betriebssysteme und in jüngster Zeit auch seine Cloud-Plattform Azure vor Cyber-Bedrohungen geschützt sind. Microsoft arbeitet aktuell darauf hin, dass Azure die Benchmark-Anforderungen des CIS erfüllt. CIS-Benchmarks sind die einzigen konsensbasierten, bewährten Leitfäden zur Sicherheitskonfiguration, die von Politik, Wirtschaft, Industrie und Wissenschaft entwickelt wurden und akzeptiert werden. Darüber hinaus arbeitet Microsoft aktiv daran, seine Angebote an den Empfehlungssatz der SANS Critical Security Controls anzupassen, der von Unternehmen verwendet wird, um sich gegen die wichtigsten realen Bedrohungen der heutigen Internetwelt zu wappnen.

Zusammenfassung

Ein Cyber-Resilienz-Programm zu entwickeln und umzusetzen ist kein leichtes Unterfangen – kein Ziel, sondern ein Prozess. Einem Unternehmen wird dabei Fokussierung und stetes Engagement abverlangt. Wenn Sie weitere, ausführlichere Orientierung zu diesem Thema wünschen, sei auf ein diesbezügliches Weißbuch verwiesen, das noch dieses Jahr veröffentlicht werden soll.

Time for some fun with PowerShell.

A colleague of mine has PowerShell script that queries a bunch of data from the last 90 days. The intention of the script is to only collect data from the current quarter, but depending on when the script is run the last 90 days could include time (and subsequently data) from the previous quarter.

I was about to recommend he use the first day of the current calendar quarter as the start date for his query versus the day 90 days ago, but realized this would require some code so I set out to find some. Not finding anything relevant with my BingFu, I came up with this initial code:

[code language="powershell"]
$Today = Get-Date
$Quarter = [Math]::Ceiling($Today.Month / 3)
Switch ($Quarter) {
1 {
$StartDate = "1/1/" + $Today.Year.ToString()
}
2 {
$StartDate = "4/1/" + $Today.Year.ToString()
}
3 {
$StartDate = "7/1/" + $Today.Year.ToString()
}
4 {
$StartDate = "10/1/" + $Today.Year.ToString()
}
}
[/code]

This code does the following:

1. Grab the current date.
2. Take the current month, divide it by 3 (dividing 12 months by 3 gives us 4 quarters of 3 months), and round-up any fractional number by using the Ceiling method in the Math operator (so 0.6 becomes 1, 1.33 becomes 2, etc...).
3. Use a Switch construct to take the rounded up number stored in the $Quarter variable and select the right month and day, always appending the current Year to the pre-determined Month/Day combination.

Checking $StartDate shows that no matter what was used for $Today's date, the correct first day of the corresponding calendar quarter was used. However... That Switch construct seemed like a little bit overkill (and I was hard coding the month) for something that should be simple, so I thought long and hard about how to streamline it further and came up with this replacement one-liner for the Switch construct:

[code language="powershell"]
$StartDate = "$(($Quarter * 3 - 2))/1/" + $Today.Year.ToString()
[/code]

This code multiplies the rounded up Quarter number by 3 (so 1 becomes 3, 2 becomes 6, etc..), then subtracts 2 from it (so 3 becomes 1, 6 becomes 4, etc...), and then uses that number as the Month, still hard coding the day of "1", and appends the current year.

This reduced the total number of lines down to 3. You could go a step further and try to cram it all on one line like the following, but please don't do that as it is a lot harder to read / unnecessarily uses two cmdlet calls for the same data / we aren't paying by the carriage return :

[code language="powershell"]
$StartDate = "$((([Math]::Ceiling((Get-Date).Month / 3)) * 3 - 2))/1/" + (Get-Date).Year.ToString()
[/code]

Lastly I provided my colleague this additional code in case the maximum the query could go backwards in time was 90 days, so that the StartDate would be 90 days or the first day of the current quarter, which ever was more recent/closest to today:

[code language="powershell"]
$90Days = (Get-Date).AddDays(-90)
If ((Get-Date $StartDate) -lt $90Days) {
$StartDate = $90Days.ToShortDateString()
}
[/code]

So there you have it, a couple of lines to get the first day of the current quarter in PowerShell.

Thanks!

Dan Sheehan

Senior Premier Field Engineer

Hello, Claus here again. I am very excited about how the RDMA networking landscape is evolving. We took RDMA mainstream in Windows Server 2012 when we introduced SMB Direct and even more so in Windows Server 2016 where Storage Spaces Direct is leveraging SMB Direct for east-west traffic.

More partners than ever offer RDMA enabled network adapters. Most partners focus on either iWARP or RoCE. In this post, we are taking a closer look at Microsoft SDDC-Premium certified Cavium FastLinQ® 41000 RDMA adapter, which comes in 10G, 25G, 40G or even 50G versions. The FastLinQ® NIC is a unique NIC, in that it supports both iWARP and RoCE, and can do both at the same time. This provides great flexibility for customer as they can deploy the RDMA technology of their choice, or they can connect both Hyper-V hosts with RoCE adapters and Hyper-V hosts with iWARP adapters to the same Storage Spaces Direct cluster equipped with FastLinQ® 41000 NICs.

Figure 1 Cavium FastLinQ® 41000

We use a 4-node cluster, each node configured with the following hardware:

• DellEMC PowerEdge R730XD
• 2x Intel® Xeon® E5-2697v4 (18 cores @ 2.3 GHz)
• 128GiB DDR4 DRAM
• 4x 800GB Dell Express Flash NVMe SM1715
• 8x 800GB Toshiba PX04SHB080 SSD
• Cavium FastLinQ® QL41262H 25GbE Adapter (2-Port)

• BIOS configuration
  • BIOS performance profile
  • C States disabled
  • HT On

We deployed Windows Server 2016 Storage Spaces Direct and VMFleet with:

• 4x 3-way mirror CSV volumes
• Cache configured for read/write
• 18 VMs per node

First, we configured VMFleet for throughput. Each VM runs DISKSPD, with 512KB IO size at 100% read at various queue depths:

Aggregate throughput is very close to what's possible with the cache devices in the system. Also, the aggregate throughput and latency is very consistent whether it is with iWARP, RoCE or using both at the same time. In these tests, DCB is configured to enable PFC for RoCE but iWARP is without any DCB configuration.

Next, we reconfigured VMFleet for IOPS. Each VM runs DISKSPD, with 4KB IO size at 90% read and 10% write at various queue depths:

Again, very similar and consistent IOPS rates and latency numbers for iWARP, RoCE or when using both at the same time.

As mentioned in the beginning, more and more partners are offering RDMA network adapters, most focusing on either iWARP or RoCE. The Cavium FastLinQ® 41000 can do both, which means customers can deploy either or both, or even change over time if the need arises. The numbers look very good and consistent regardless if it used with iWARP, RoCE or both at the same time.

What do you think?

Until next time

Claus

Por: Fernando Hernández, Staff News Center Microsoft Latinoamérica.

Un factor que consideramos vital al momento de trabajar en equipo es la comunicación. Ya sea en la escuela trabajo u otros proyectos, si los mensajes llegan rápido y directo a la persona con quien tienen un asunto pendiente, será más sencillo alcanzar los objetivos como equipo.

¿Pero cómo podría mejorar y ser más efectiva este tipo de colaboración entre compañeros? Muy sencillo. Con Microsoft Teams, el nuevo espacio de trabajo de Office 365 que provee herramientas como salas de conversación, capacidades para hacer video llamadas de Skype, y hasta compartir archivos a través de todas las aplicaciones de Office con cada miembro del equipo que conforma al equipo.

Y a manera de introducción, les vamos a explicar de manera breve, cómo pueden empezar a utilizar y aprovechar Teams desde su cuenta de Office 365:

La puerta de entrada a la colaboración

Para utilizar Teams sólo deben iniciar sesión en su cuenta de Office 365, abrir el panel de aplicaciones disponibles de Office y sólo deben dar clic en el ícono de Teams para inicar.

Estar al tanto de lo que pasa

Con Teams ustedes pueden trabajar con diversos equipos y estar actualizados sobre las tareas y pendientes de cada uno de ellos de manera específica. En la sección de actividad que se encuentra en la parte izquierda del panel ustedes podrán seleccionar:

• ‘Actividad del equipo’: Al seleccionar esta sección podrán enterarse de todos los comentarios y repuestas que ha hecho cada miembro del equipo sobre algún tema.
• ‘Mi actividad’: En esta sección podrán tener registro de todas las conversaciones y respuestas que ustedes han dado sobre algún tema.

Conversar con una o varias personas

Teams les brinda la capacidad de tener conversaciones privadas con cualquier miembro del equipo. Al seleccionar la sección de ‘Chats’ en su panel izquierdo podrán iniciar una nueva conversación o continuar la conversación que dejaron tiempo atrás, con sólo dar clic en la lista de contactos que les aparecerá.

Todos sus compromisos organizados

Todas las reuniones y compromisos que ustedes han organizado lo pueden encontrar en la sección de ‘Reuniones’ del lado izquierdo en su panel. Al dar clic podrán ver su agenda completa.

Todos sus archivos están sincronizados

Antes de empezar a colaborar con sus compañeros, pueden subir todos sus archivos a un SharePoint dedicado en exclusiva para Teams. Al hacer esto, sólo tendrán que dar clic en la sección de ‘archivos’ al lado izquierdo en su panel y verán que los documentos que ya subieron estarán disponibles para que los puedan compartir con el resto de su equipo.

Personalicen sus equipos

Al seleccionar la sección de ‘Equipos’ en su panel, podrán ver una lista de canales, que son secciones que pueden crear o unirse dentro de un Equipo. Ustedes pueden organizar cada canal por tema, departamento o proyecto. Además todos los canales están abiertos a los miembros del equipo, por lo que cada uno tendrá acceso a ver qué tema se trata en el momento.

Las herramientas que Teams tiene para ustedes, les permitirán trabajar de mejor manera, tener mejores ideas y les permitirá a ustedes y sus colegas, estar en el mismo canal para ejecutarlas de la manera más creativa y efectiva, en un menor tiempo y dentro de una sola aplicación. Recuerden que para comenzar a utilizar Teams sólo tienen que ingresar a su cuenta de Office 365.

What are Windows/Modern/UWP apps?

The official term (at the time of this post ) is Windows Apps. These apps started in Windows 8 and can be added via the Store.  They do not have an old school msi or a homegrown 'opps I installed spycrap' installer, they follow a completely different set of APIs, they usually have a cute basic icon.  UWP apps are built to work cross several platforms (thus the Universal Windows Platform name) and can be installed on Desktop, Phone or Xbox etc.  UWP apps are Windows apps, but not all Windows apps were built to be UWP apps.

Today I'm going to focus on the Windows Apps that come with Windows 10 Enterprise builds.

Definitions:

First, it's good to call out that there are a few flavors of Windows Apps on Windows 10. Here is how I define them.

• System Apps - Appx items that reside in the C:Windows*
• Apps - Appx items installed in C:Program FilesWindowsApps and have two subcategories
  • Provisioned - Installed after 1st Logon
  • Installed - Installed as part of the OS
• Other - Appx items that do not have a direct tile or UI (background apps like the Print UI or payment UI)
• And the odd ducks that dance to their own music - Apps that you can remove from Settings App but do not appear elsewhere.

Don’t wanna see them options:

Many companies and users want to remove or hide extra apps to avoid internal support calls, end user confusion, etc.  It’s the "No Mom! You don’t need to click that… no…sigh" Just kidding, we're here to work and not play Candy Crush.  I get it.

There are several possibilities I like to call out for managing Windows Apps that don’t have to follow the nuke 'em all! option:

First - Rules! (mainly my rules, but overall great guidelines)

Rule 1: Leave anything in C:Windows* alone.  Not worth it, nope, nada, pain in the wrong place, leave them be, please. Just, no. Not at this time.

Rule 2: Do not uninstall the Store, hide it, yes. Uninstall = unsupported = Reset or reinstall.

Rule 3: If there's an Appx Package with no App tile on Start or direct UI access - leave it alone. It's not hurting anyone. Wooosaaaa. Namaste.

Rule 4: Test test test before deploy. Test in a blocked OU and then test again in a normal OU. I've seen several cases where old policies cause unintended results.

Option 1:

Use Group Policy to customize Start menu to show only the App Tiles you choose.  Additionally, you can use Group Policy to Hide All Apps list.

• This can be implemented any time after deployment so you don’t have to worry about reimaging the machine.
• Editing XML can be fussy.  Make sure to use a plain text editor, avoid adding extra spaces and keep the formatting UTF-8.
• Be mindful of old Windows 7 or earlier Group Policies that were for Start menu. They do not apply to Windows 10 unless specifically stated in the Policy Description.

Policies:

Computer configurationAdministrative TemplatesStart Menu and TaskbarStart Layout
User ConfigurationAdministrative TemplatesStart Menu and TaskbarRemove All Programs list from the Start menu

Tons of details:

https://docs.microsoft.com/en-us/windows/configuration/windows-10-start-layout-options-and-policies

Option 2:

Use Applocker to block users from accessing certain apps

• Caveat - You will still see the app icon - not ideal. But users will be told this is purposefully blocked so should not generate calls.
• Use this option for any apps installed to C:Windows*.

Tons of details:

https://docs.microsoft.com/en-us/windows/device-security/applocker/manage-packaged-apps-with-applocker

Option 3:

The Store - You can use Group Policy to block users from accessing the Store, additionally you can then use the Business Store to control apps that are offered or turn off Store updates.

• Feature Plug - Store for Business is a great option to control the apps the users has available.

Policies:

Computer ConfigurationAdministrative TemplatesWindows ComponentsStoreTurn off the Store Application
Computer ConfigurationAdministrative TemplatesWindows ComponentsStoreDisable all apps from the Windows Store
Computer ConfigurationAdministrative TemplatesWindows ComponentsStoreTurn off Automatic Download and install of updates

Tons of details:

https://docs.microsoft.com/en-us/windows/configuration/stop-employees-from-using-the-windows-store https://docs.microsoft.com/en-us/microsoft-store/windows-store-for-business-overview

Option 4:

Use LTSB versions of Windows 10, which does not have any Apps.  This is only available for Volume License customers and any environment would have to weigh the options to see if this is a viable solution for the needs, but I did want to call this out as a No-Apps option. More Info: https://www.microsoft.com/Licensing/servicecenter/default.aspx https://technet.microsoft.com/en-us/windows/release-info.aspx https://blogs.technet.microsoft.com/mniehaus/2016/08/04/windows-10-1607-downloads-available-on-vlsc/

Option 5:

Uninstall the Installed or Provisioned Appx items.

• Follow Rules above.
• Some apps will not uninstall. Because. They. Don’t. Stop asking. Dont make me turn the car around! But seriously. If PowerShell does not remove them,the app is specifically blocked from uninstall, likely because the OS is dependent on them.
• Test on VMs before deploying in a live environment
• Be surgical.  There are several scripts out there that will try to rip everything off the machine. I prefer to be more precise and remove just the specific ones. (sorry - not a fan of any delete *.* type scripts)

5a. Scripted uninstall:

Michael Niehaus put this out there - good stuff!  Attached to the blog are his scripts. There is a part two update listed also. https://blogs.technet.microsoft.com/mniehaus/2015/11/11/removing-windows-10-in-box-apps-during-a-task-sequence/

5b. Provisioned Apps:

Here's how Provisioned apps appear immediately after 1st logon (everything listed as "Pending" in 1511 or with a Download arrow in 1607).  With a network connection you will see those eventually populate with the real icon. Usually takes 20-30 minutes. Windows 10 1511 Provisioned apps at first boot

Windows 10 1607 Provisioned apps at first boot

If you are deploying an image, you can use Michael's blog above or DISM prior to deployment to remove provisioned packages: https://technet.microsoft.com/en-us/itpro/powershell/windows/dism/remove-appxprovisionedpackage (Fully disclosure, DISM and deployment are not my jam. Still learning that world!)

Or you can uninstall any provisioned app via PowerShell after its installed. Just remember:

• Use the Package name from the Get-AppxProvisionedApps
• Package name contains the version number which will be different for each build.
• Use the Remove-AppxProvisionedPackage cmdlet and not Remove-AppxPackage
• Provisioned Apps uninstalled while online are for that user profile only.

Example:

Remove-AppxProvisionedPackage -Online -PackageName Microsoft.Microsoft3DViewer_1.1702.21039.0_neutral_~_8wekyb3d8bbwe

5c. Installed apps:

Installed apps just need to use the UI to uninstall or the non-provisioned PowerShell cmdlet:

Remove-AppxPackage -package Microsoft.BingNews_8wekyb3d8bbwe

Some apps ride the special bus:

1. Contact Support/Get Help - This is removable via  "Manage Optional features" in Settings App Listed as "Contact Support"
2. Feedback changed to Feedback Hub in 1607 and changed from a System app to Windows app
3. News and Sway changed from provisioned to installed in 1607
4. Sport and Finance changed from provisioned to installable from Store in 1607
5. It might not be a Windows App - You might think some apps are Modern/UWP apps, but they're really Win32.

To see this, run Procmon against Quick Assist (win32 on 1607) and Groove(Windows App) music.

How to learn more about Windows 10 apps:

You'll need:

1. Virtual Machine(s) of each build
2. Settings App-> Apps list view
3. Two PowerShell scripts.

get-appxpackage | select name,version,Packagefamilyname,installlocation|export-csv c:users<user>desktopGetApps.txt

get-appxprovisionedpackage -online | select displayname,version,packagename|export-csv c:users<user>desktopGetProvisionedApps.txt

If you don’t want to import into Excel you can format the output as a table in PowerShell

Get-AppxPackage |Select Name,PackageFamilyName

Get-AppxProvisionedPackage -Online | select displayname,packagename

*Note the output:

GetAppx grabs "Package Family Name" -  this is what you use to remove Installed apps

Get-AppxProvisionedpackage grabs "PackageName" - this is what you use to remove Provisioned apps

Big Picture Time:

Let's say I did this….

1. Built a vanilla VM for each major Windows 10 release based off a standard Enterprise ISO, install the latest updates for each.
2. Let provisioning finish
3. Ran the two PowerShell commands on each VM

get-appxpackage | select name,version,Packagefamilyname,installlocation|export-csv d:users<user>desktopGetApps.txt

get-appxprovisionedpackage -online | select displayname,version,packagename|export-csv d:users<user>desktopGetProvisionedApps.txt

4.  Import both files as CSV into Excel and do a few hours of cut and paste magic to compare each build. The end result might be (very) similar to the results here:

https://docs.microsoft.com/en-us/windows/application-management/apps-in-windows-10?branch=w10appstatus

Takeaways: 

• There are several less intrusive methods to controlling apps.
• Not all apps are bad.
• Apps do change per Windows 10 version.
• Feedback hub does work as a voice for changing apps from System to Installed or Provisioned.  Check for requests/issues and vote up if you agree with the request!

We hope you're getting excited about the upcoming launch of Project Honolulu! To give you a better understanding of what we've built, we've made a couple of short videos:

Check out the Overview of Project Honolulu for a broad look at Project Honolulu, its architecture, deployment options, and its capabilities:

If you want to be ready to deploy Honolulu as soon as it becomes available for download, watch Getting Started with Project Honolulu to learn about how to install and get straight to managing servers, failover clusters, and hyper-converged clusters in your environment:

Note that these videos include a link to download Project Honolulu - this download link will give you access to Project Honolulu as soon as it's released within a couple of days.

These are the first of a series of videos we will publish to help you manage your environments with Project Honolulu. Continue to follow this team blog for more content about the future of management and be the first to know when Project Honolulu becomes available for download!

This document may be helpful when setting up SQL profiler tracing on Lync/SFB servers.

Identify the Lync SPROC which is possibly causing the issue. You can find the SPROC reference normally in User service CLS logging /queries etc. Navigate to backend SQL database and make a note of the SPROC name.

Open SQL server profiler on the SQL backend server. Click File > Template > New Template.

Select the relevant SQL version and enter a template name.

Select the condition for profiler trace like SRPC start/end , RPC start/end etc.

Click on the Column filter tab on right hand side bottom page, select the database name and enter the Lync/SFB database and click OK.

Navigate to Objectname and enter the SPROC like below and click OK.

Save the template. Navigate to File > Template > export template.

Save the template locally for future or sending to customers etc. You can import the saved template in another SQL server and start the tracing.

If you need custom configuration like circular logging , location etc.

Connect to the SQL instance where in database/SPROC is located.

Run the profiler trace with new saved template.

While it was running , navigate to File > export > Script trace definition> SQL version.

Save the profiler template as a script and modify the maxfilesize and InsertFileNameHere to make the logging circular. You can find start/stop steps ;https://blogs.technet.microsoft.com/beatrice_popa/2013/01/16/how-to-capture-a-circular-sql-server-profiler-trace/

Cloud-Dienste eröffnen dank ihrer Flexibilität und Agilität viele neue Möglichkeiten in den verschiedensten Bereichen – angefangen bei Infrastruktur-Planungen über unzählige Plattform Services bis hin zu maßgeschneiderten Software-as-a-Service-Angeboten. Die Cloud ist zweifelsohne eine der wichtigsten Triebfedern der Digitalen Transformation.

Mit Azure Stack hat Microsoft eine Variante seiner Cloud-Plattform im Programm, auf deren Basis verschiedene Dienste von Microsoft Azure im eigenen Rechenzentrum eingesetzt werden können. Unternehmen profitieren dabei von der Skalierbarkeit und dem effizienten Management einer Cloud-Lösung, ohne auf die Kontrollmöglichkeiten eines eigenen Rechenzentrums verzichten zu müssen. Ein einheitliches Benutzer-Portal für Azure Stack und Azure ermöglicht es außerdem, hybride Cloud-Szenarien mit geringerem Installationsaufwand umzusetzen.

Für tiefergehende Informationen findet am 9. Oktober 2017 eine kostenlose Fachkonferenz rund um Azure Stack in München statt. Unter dem Motto „Datacenter Transformation: Meet and Discuss Azure Stack“ erfahren Teilnehmer dort, wie Azure Stack funktioniert, welche Möglichkeiten sich dadurch ergeben, was der Unterschied zu öffentlichen Cloud-Diensten ist und welche Punkte beachtet werden sollten.

Auf der Agenda stehen neben einer ausführlichen Einführung und einer Live-Demo zu Azure Stack auch verschiedene tiefergehende Vorträge zu Themen wie Business-Modell, Integration ins Rechenzentrum, hybride Services oder Development Kit. Außerdem sind mit Hewlett Packard Enterprise, Cisco, Dell EMC, Lenovo und Intel fünf Hardware-Partner vor Ort, um sich den Fragen der Teilnehmer zu stellen.

Jetzt anmelden

Darüber hinaus bietet die technische Dokumentation zu Azure Stack viele tiefergehende Informationen zu Themen wie Deployment, Verwaltung und Sicherheit. Außerdem kann man einen Blick in die Blogbeiträge zur Integration ins Rechenzentrum, zu Security und Compliance oder zum Betrieb von Azure Stack empfehlen.

Office 365 offers customers familiar, top-of-the-line productivity tools, collaboration solutions, and built-in security.

• Office 365 for partners
• Skype for Business for partners
• Technical presales and deployment services for Office 365
• Office 365 training for your team
• Office 365 Roadmap

Find Office 365-related courses on the US Partner Community Hot Sheet – a comprehensive and frequently updated schedule of in-person partner events, community calls, and webcasts.

Office 365 Partner Community

• Blog series
• Community calls
• Training/enablement
• Yammer group
• YouTube playlist

Sales Training

Technical training

Related competencies

• Cloud Productivity competency (follow the learning path)
• Small and Midmarket Cloud Solutions competency (follow the learning path)
• Communications competency (follow the learning path)
• Project and Portfolio Management competency (follow the learning path)
• Collaboration and Content competency (follow the learning path)

On-demand learning

• Modern SMB training on Drumbeat
• Office 365 technical learning path
• Office 365 courses on Microsoft Virtual Academy
• Office 365 videos on Channel 9
• Technical resources to accelerate Office 365 deployment
• SMB Partner Tech series for Office 365
• Skype for Business learning path
• Skype for Business courses on Microsoft Virtual Academy
• Skype for Business videos on Channel 9
• Skype for Business Operation Framework assessment

Partner content

• Microsoft FastTrack website
• Microsoft FastTrack partner resources
• Cloud SureStep
• Cloud Services Partner Dashboard
• How to activate and assign Office 365 internal-use rights licenses
• Microsoft Trust Center for Office 365
• Office Dev Center
• Skype Developer Platform

Back in June when we announced Windows AutoPilot, we also talked about another feature to automatically step up from Windows 10 Pro to Windows 10 Enterprise on Azure AD user logon, a key requirement to be able to use an off the shelf OEM device as soon as it comes out of the box, without reimaging.

So how exactly does this work?  Many assume that this is done by Intune (or other MDM services) pushing down a policy to change the Windows 10 product key, either using a MAK key or a KMS key.  And while that’s certainly possible to do, that approach is not ideal:  MAK keys have limited activation counts, so you have to make sure you don’t run out of activations, and KMS requires periodic connectivity to the corporate network as well as on-premises infrastructure.

That’s where the new Windows 10 Subscription Activation feature comes in.  By leveraging Azure Active Directory, you can eliminate product keys altogether. Instead, you can assign Windows 10 Enterprise E3 or E5 licenses directly to Azure AD users (just like you would with Office 365 or EMS) so that when a user logs onto a Windows 10 Pro device, it automatically steps up to Windows 10 Enterprise, making all the enterprise features instantly available.  You can see the result of this step-up in the Settings app, where it shows you that the subscription is active:

The device will check with Azure Active Directory to ensure that the user still has a valid subscription license, so periodic internet access is required. If the license is removed or if the device is unable to check after a period of trying, it will step down to Windows 10 Pro automatically.

This also works for traditional Active Directory-joined devices too, as long as you have   (Note that using the “Add work account” process to associate your Azure Active Directory account with a device is not supported, since these devices are assumed to be personal ones.)

If you have an active per-user Windows 10 Enterprise E3 or E5 or Windows VDA E3 or E5 subscription, there are some steps that need to be performed to make the license available in Azure Active Directory:  a corresponding $0 Add-On license, which starts the process of adding the license to Azure AD, and then your designated volume licensing admin (online services contact) will receive and process some e-mailed instructions.  For more information on that, see the Windows 10 Subscription Activation documentation.  Once this is done, you can see the license in Azure Active Directory:

Note that this is not designed as a straight replacement for KMS or MAK activation.  Windows 10 Subscription Activation requires that the original Windows 10 Pro OS is already activated (typically through OEM activation using the key embedded in the firmware of the device) – this enables automatic compliance for the underlying Pro edition licensing requirement to deploy Windows .

Windows 10 Subscription Activation is supported with Windows 10 Pro 1703 and later releases.  Azure Active Directory is also needed, but any Azure AD edition will work.  A per-user Windows 10 Enterprise E3 or E5 subscription through an Enterprise Agreement (EA) or Microsoft Products & Services Agreements (MPSA) is also needed.  (For SMB customers, similar capabilities were announced last year as part of the Cloud Solution Provider [CSP] channel.)

To learn more about Windows 10 Subscription Activation, check out the Microsoft Ignite session that will be presented next week.  (The recording of that session will be available soon after.)

Before deploying Windows 10, it's a good idea to check the readiness of your existing machines running Windows 7, 8/8.1, Or even Windows 10.

In this blog post I will use setup.exe with /compat scanonly switch to check the compatibility without performing the upgrade. The reason for not choosing the Upgrade task sequence for this job is to avoid sending the whole 3.5 GB source files over the network.

Package & Command line

Here's the command line with switches to silently check the compatibility. setup.exe /Auto Upgrade /Quiet /NoReboot /Compat ScanOnly

Since the clients don't need to download the full set of source files to check the compatibility, as the setup.exe only validates the existence of the files which can be even on a network share. Instead of creating a package with full set of source files, all i am using is a 1KB batch file to call a network share where the source files are located.

Command line of the batch file: -

start /wait \<ServerShare>setup.exe /Auto Upgrade /Quiet /NoReboot /Compat ScanOnly

exit /b %errorlevel%

The client will still download some source files which is significantly less than the whole set. Here's a snapshot of the SMB traffic during this operation -

Program

The program for the package above simply executes the batch file. Based on the above network traffic, you might want to set the estimated disk space and the Max allowed run time.

It should run regardless a user is logged on or not.

Results

The resultant output of the scan results is not the typical 0 for success, refer the table below for the list expected Decimal Output returned by ConfigMgr and Hex Code returned by the windows setup log files.

Reporting

For reporting purposes, you can leverage the attached report which takes the package name as input. Refer the screenshot below.

Task Sequence

The above package can also be called out in a Task Sequence where you can add additional steps to capture logs in case of failure. Attaching the exported TS for reference.

Step 1 – Add an Install Package step to run the above package. Make sure you check the box Continue on error in the Options tab.

Step 2- Add a group to Capture Logs if the result is anything other than -1047526896 which is Success/No issues found.

Step 3 – Map Network Drive to a server share where you want to dump the log files

Step 4 – Create Folder for each computer.

Step 5 – Copy the Log files to the network share.

Step 6 – Copy the XML files to the network share.

Step 7 – Disconnect the Network Drive

Reporting – TS

Refer the attached report which takes the Task Sequence name as input to display the compatibility results. Screenshot below.

Download Reports - Note – The reports are built using SSRS 2016 schema.

Download Task Sequence

Thanks,

Arnab Mitra

We've released a new driver and firmware update for Surface Pro 4 devices running Windows 10 Anniversary Update or above. This update includes drivers for the Surface Smart Cover Backlight, Surface PTP Filter, Surface Fingerprint Sensor Driver, and Surface Pro Type Cover Integration. These updates enable support for the new Surface Pro Type Cover and Surface Pro Signature Type Covers.

These updates are available in MSI and ZIP format from the Surface Pro 4 Drivers and Firmware page in the Microsoft Download Center. Click Download to download the following files:

• SurfacePro4_Win10_15063_1704001_0.msi
• SurfacePro4_Win10_15063_1704001_0.zip
• SurfacePro4_Win10_14393_1704001_0.msi
• SurfacePro4_Win10_14393_1704001_1.zip

For your reference, here is a full list of the driver versions that are updated in this release and the improvements they provide:

Surface Pro 3:

• Surface Smart Cover Backlight v3.0.0.0 enables support for Surface Pro Type Cover and Surface Pro Signature Type Covers.
• Surface PTP Filter v1.0.173.1 Enables support for Surface Pro Type Cover and the Surface Pro Signature Type Covers.
• Surface Fingerprint Sensor Driver v2.2.11.0 enables support for Surface Pro Type Cover and Surface Pro Signature Type Covers.
• Surface Pro Type Cover Integration v1.0.2.0 enables support for Surface Pro Type Cover and Surface Pro Signature Type Covers.

こんにちは。SharePoint サポートの井上です。

SharePoint Online への初回アクセス時に、特定の条件に該当する場合のみサイトの一部が英語で表示される現象が報告されております。

現時点で確認されている再現条件は以下の通りとなりますが、以下に紹介する条件以外にも、極稀に同様の現象が発生するとの報告を確認しております。

確認されている再現条件

1) 既定の言語に英語以外を指定して、サイトを作成
* 本例では既定の言語が日本語のサイトをご紹介いたします。

2) サイトにアクセス権限を付与する前に、ユーザーがサイトにアクセス
* 以下のような画面が表示されます。


3) その後、該当のユーザーがセキュリティ グループを介してサイトに権限を付与
* セキュリティ グループ以外に、”外部ユーザー以外のすべてのユーザー” に対して権限を付与した場合も同様となります。

4) 該当のユーザーがサイトにアクセス
* 以下のように、画面の一部を除いて英語表記になっていることがご確認いただけます。

同様の現象が発生した場合は、F5 キーを押してページをリロードするなどで回避が可能です。

また、2 回目以降のアクセスでは、正常に画面が表示されることが報告されております。

初回アクセス時に画面表示の一部が英語になる以外の影響は現時点では報告されておりませんので、この点についてはご安心ください。

本動作につきましては、製品の問題と認識しており開発部門へのフィードバックを実施しております。

現時点においては今後の対応方針やスケジュールについて情報が確認できておりませんが、進展があった場合は本ブログ記事でもご案内する予定でございます。

今回の投稿は以上です。

本情報の内容は、作成日時点でのものであり、予告なく変更される場合があります。

執筆者: Kumail Hussain (Sr. Program Manager)

このポストは、8 月 23 日に投稿された Announcing the public preview of Azure Archive Blob Storage and Blob-Level Tiering の翻訳です。

近年の爆発的とも言えるデータ量の増加は、スタートアップから大企業に至るまで、あらゆる業界における大きな悩みの種です。このようなデータのほとんどは、日常的にアクセスすることのない人事情報、診療記録、顧客情報、財務記録、バックアップなどですが、ビジネス継続性やコンプライアンス要件の面で長期間保持する必要があります。また、近年は人工知能やデータ分析が進化し、今まで重要とされていなかったデータの価値が新たに認識され始めています。このような膨大な量のデータ セットを長期間保持するために、スケーラブルでコスト効率の良いソリューションが求められています。

昨年リリースされた Cool Blob Storage では、アクセス頻度の低いデータを Cool 階層に分類することでストレージ コストを削減できるようになりました。このたびパブリック プレビューが発表された Archive Blob Storage では、アクセスがほとんどないデータを最も低価格の階層に保存して、さらなるコスト削減を実現します。また、Blob レベルの階層化のパブリック プレビューでは、すべての階層におけるオブジェクト レベルのデータ ライフサイクル管理を簡潔にし、ストレージ コストを最適化できます。

エンタープライズ向けにバックアップおよびアーカイブ サービスを手がける主力企業 HubStor の CEO は次のように述べています。「この画期的な機能は、当社がまさに求めていたものです。Azure Archive Blob Storage は、ストレージ分野でのマイクロソフトの高い競争力を証明しています」。

Azure Archive Blob Storage

Azure Archive Blob Storage は、アクセス頻度がきわめて低くレイテンシ要件も柔軟な (数時間単位) データの格納に適した、耐久性、高可用性、安全性を備えた低料金のストレージです。詳細については、「Azure Blob Storage: Hot、Cool、Archive の各階層 (英語)」を参照してください。

Blob Storage アカウントで、Hot および Cool のアクセス階層に加えて Archive 階層を使用できるようになります。Archive Storage には以下のような特長があります。

• コスト効率: Archive 階層は全階層の中で最も安く提供され、アクセスがほとんどなく長期間保持する必要があるデータに最適です。各リージョンのプレビュー料金は、Azure Storage の料金ページでご確認ください。
• シームレスな統合: Archive Blob Storage は、Hot および Cool の各アクセス階層と同様に操作できるため、新しいアクセス階層を自社アプリケーションに容易に統合できます。
• 可用性: Archive 階層では、Cool 階層と同様に 99% の可用性が SLA で保証されます (一般提供開始後)。
• 耐久性: Azure Storage のデータ レプリケーション オプションにより、Archive 階層を含むすべての階層で高い耐久性を確保しています。
• セキュリティ: Archive 階層のデータは、すべて格納時に自動的に暗号化されます。

Blob レベルの階層化: データを移動することなく簡単にストレージ コストを最適化

データのライフサイクル管理を簡素化するために、データを Blob レベルで階層化できるようになりました。使用パターンの変化に応じて、データをアカウント間で移動させることなく Blob のアクセス階層を Hot、Cool、Archive の間で簡単に変更できます。この 3 つのアクセス階層に保存されているすべての Blob は、同一アカウントに共存させることができます。

柔軟な管理

Archive Storage と Blob レベルの階層化は、すべての Blob Storage アカウントで使用可能です。現在、大量のデータを保存するのに汎用アカウントを使用しているお客様は、一般提供開始時に Cool 階層、Archive 階層、Blob レベルの階層化に対応したアカウントにアップグレードすることができます。

リリース開始時には、.NET (図 1 参照)、Python (プレビュー)、Node.js クライアント ライブラリ、REST API からこの機能を使用できます。Java クライアント ライブラリとポータル (図 2 参照) については、来週から順次サポートが開始されます。その他の SDK やツールは、今後数か月以内に対応する予定です。

図 1: .NET クライアント ライブラリを使用して Blob アクセス階層を設定

図 2: ポータルで Blob アクセス階層を設定

料金

プレビュー期間中の Azure Archive Blob Storage には割引料金が適用されます。詳細については Azure Blob Storage の料金ページを参照してください。

使用方法

パブリック プレビューへの参加をご希望のお客様は、サブスクリプションへの登録リクエストをお送りください。リクエストの承認後 (1 ～ 2 日後)、米国東部 2 リージョンの新規 LRS Blob Storage アカウントで Archive アクセス階層を使用できるようになります。また、すべてのパブリック リージョンの新規アカウントで Blob レベルの階層化を使用できるようになります。プレビュー期間中は LRS アカウントのみのサポートとなりますが、一般提供開始後は新規および既存の GRS アカウントおよび RA-GRS アカウントでも使用できるようになります。Blob レベルの階層化は、スナップショット対応の Blob ではサポートされません。プレビュー機能は、一般提供が開始されるまでは運用環境で使用しないようご注意ください。

リクエストを送信するには、以下の PowerShell コマンドまたは CLI コマンドを実行してください。

PowerShell

Register-AzureRmProviderFeature -FeatureName AllowArchive -ProviderNamespace Microsoft.Storage

コマンドを実行すると、以下のようなメッセージが返されます。

FeatureName         ProviderName      RegistrationState 
-----------         ------------      ----------------- 
AllowArchive        Microsoft.Storage   Pending 

承認には 1 ～ 2 日程度を要します。以下のコマンドを実行すると、登録が承認されたことを確認できます。

Get-AzureRmProviderFeature -FeatureName AllowArchive -ProviderNamespace  Microsoft.Storage

承認が完了し機能が登録されている場合、以下のように出力されます。

FeatureName         ProviderName      RegistrationState 
-----------         ------------      ----------------- 
AllowArchive        Microsoft.Storage   Registered  

CLI 2.0

az feature register –-namespace Microsoft.Storage –-name AllowArchive

コマンドを実行すると、以下のようなメッセージが返されます。

{
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Features/providers/Microsoft.Storage/features/AllowArchive",
"name": "Microsoft.Storage/AllowArchive",
"properties": {
"state": "Pending"
},
"type": "Microsoft.Features/providers/features"
}

承認には 1 ～ 2 日程度を要します。以下のコマンドを実行すると、登録が承認されたことを確認できます。

-az feature show –-namespace Microsoft.Storage –-name AllowArchive

承認が完了し機能が登録されている場合、以下のように出力されます。

{
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Features/providers/Microsoft.Storage/features/AllowArchive",
"name": "Microsoft.Storage/AllowArchive",
"properties": {
"state": "Registered"
},
"type": "Microsoft.Features/providers/features"
}

フィードバックのお願い

マイクロソフトは、皆様のクラウド データ ストレージ戦略の最適化に、Azure Archive Blob Storage をお役立ていただけることを期待しています。今回ご紹介したプレビュー機能について、ぜひメール (archivefeedback@microsoft.com) で皆様のご意見をお聞かせください。

執筆者: Rebecca Zhang (Program Manager, Azure SQL Database)

このポストは、8 月 28 日に投稿された Preview: SQL Transparent Data Encryption (TDE) with Bring Your Own Key support の翻訳です。

Azure SQL Database および Azure SQL Data Warehouse で、透過的データ暗号化 (TDE) 機能の Bring Your Own Key (BYOK) サポートのプレビューが開始されます。これにより、Azure Key Vault にマスター キーを格納して、保存データを TDE で暗号化する際に使用するキーを制御できるようになります。

このサポートにより、TDE Protector の透過性と制御性が向上し、ハードウェア セキュリティ モジュール (HSM) を基盤とする外部サービスのセキュリティが強化されると共に、権限分散レベルも向上します。

TDE では、データベースやデータ ウェアハウスのディストリビューションに格納されたデータベース暗号化キー (DEK) と呼ばれる対称キーを使用してデータを暗号化します。この DEK を保護するには、以前は Azure SQL サービスで管理された証明書が必要でした。しかし、BYOK のサポートにより、Key Vault に格納されている非対称キーで DEK を保護できるようになります。Key Vault は高可用性でスケーラブルなクラウド ベースのキー ストアです。集約的なキー管理が可能で、FIPS 140-2 レベル 2 の検証を受けた HSM を使用し、キーとデータを分けて管理することでセキュリティが強化されています。

BYOK がサポートされた TDE は Azure SQL Database と SQL Data Warehouse の全機能に対応しており、Azure ポータル、PowerShell (英語)、REST API (英語) から Key Vault に格納されているキーを有効化し TDE で使用することができます。

Azure ポータルのエクスペリエンスは、従来どおりのシンプルなものとなっています。次に、3 つの一般的なシナリオについて説明します。

TDE を有効化する

データベースまたはデータ ウェアハウスでは、従来どおりの操作で簡単に TDE を有効化することができます。

TDE Protector を設定する

自身が所有するキーを、サーバー上のデータベースやデータ ウェアハウスの TDE Protector として使用することができます。コンテナーから既存のキーを選択するか、Key Vault で新たにキーを作成します。

キーをローテーションする

Key Vault で現在のキーに新しいバージョンを追加すると、TDE Protector をローテーションすることができます。また、いつでも TDE Protector を Key Vault 内の他のキーに切り替えたり、従来のようなサービスが管理する証明書に戻したりできます。このような変更は Azure SQL サービスが自動的に検知します。TDE Protector のローテーションはオンラインで高速に処理されます。すべてのデータを再暗号化するのではなく、TDE Protector を使用するそれぞれのデータベースやデータ ウェアハウスのディストリビューションの DEK を再暗号化します。

BYOK がサポートされることで、TDE の暗号化機能のメリットと Key Vault の外部キー管理サービスのメリットをさらに活用できるようになります。

Azure ポータルからアクセスするか、または PowerShell での使用方法 (英語) を確認して、この機能を今すぐご利用ください。ベスト プラクティスやその他の機能の詳細については、Channel 9 のビデオ (英語) を視聴していただくか、「透過的データ暗号化で Bring Your Own Key をサポート (英語)」のドキュメントを参照してください。

TDE の BYOK サポートに関するご意見は、SQL Database および SQL Data Warehouse のフォーラム (英語) までお気軽にお寄せください。

執筆者: Tom Shinder (Program Manager, Azure Security Engineering)

このポストは、8 月 29 日に投稿された SMB Version 1 disabled Azure Gallery Windows operating system images の翻訳です。

現在 Azure セキュリティ チームでは、Azure ギャラリーで公開中の Windows オペレーティング システムの既定の動作の変更を行っています。この変更は、ネットワーク ファイル共有プロトコルのサーバー メッセージ ブロック バージョン 1 (SMB v1) の問題を悪用するマルウェア対策であり、Petya および WannaCry (英語) によるランサムウェア攻撃が SMB v1 の脆弱性を利用して拡大したことを受けています。

SMB v1 使用時のセキュリティ上の問題に対処するために、Azure ギャラリーで公開されているほぼすべての Windows オペレーティング システムで SMB v1 プロトコルが無効化されます。これにより、Azure Virtual Machines サービスで新規作成される仮想マシンの SMB v1 プロトコルは既定で無効となります。下図のように手動で無効化する必要はありません。

この変更によってサービスが中断される可能性はほぼありませんが、以下の項目を確認する必要があります。

• 変更の影響を受ける Windows オペレーティング システムのイメージはどれか
• 現在の SMB v1 使用状況
• 現在実行中の仮想マシンにどのような影響があるか
• Linux における SMB v1 の影響
• PaaS イメージに変更による影響があるか
• 仮想マシンで SMB v1 を有効化した場合にアラートを発生できるツールはどれか。またそのツールは Azure Security Center で対応可能か

今回の変更と上記の確認項目の詳細については、ブログ記事「Azure でサーバー メッセージ ブロック バージョン 1 (SMB v1) を無効化する (英語)」を参照してください。

執筆者: Ruchi Chopra (Principal PM Manager)

このポストは、9 月 6 日に投稿された Seamless cost reporting and analysis for Enterprise customers: now in preview の翻訳です。

このたび、Azure ポータルで Enterprise Cost Management のプレビューをリリースいたします。これにより、Azure Enterprise Agreement (EA) ユーザーは、複数のピボットにまたがるサブスクリプションのコストを Azure ポータルで表示および分析できるようになります。この機能は、サブスクリプション管理者がコストを可視化できるようにしたいという EA ユーザーの皆様からのご要望により生まれました。また、リソース グループやタグごとの細かいコスト レポートを作成したいというニーズにも対応しています。

最高のコスト管理エクスペリエンスを Azure ポータルに実装するという取り組みはまだ始まったばかりです。今回のリリースを皮切りに、今後数か月で Azure コストやサービスの管理をさらに便利にする新機能を順次提供していきます。

現在使用可能な一部の新機能をご紹介します。

今すぐお試しください

この機能は、https://portal.azure.com から Azure ポータルにサインインするだけで使用できます。[Browse]、[Subscriptions] の順に選択してからサブスクリプションをクリックすると、[Overview] ブレードに以下のグラフが表示されます。

左の円グラフでは、どのリソースでコストが多く発生しているかを簡単に把握できます。右のバーン レート グラフでは当月中のコストとその先の予測を確認し、必要な対応を早期に行うことができます。

円グラフまたは [Resource] メニューの [Cost analysis] をクリックすると、リソースごとのコストの内訳を表示する [Costs by resource] レポートが表示されます。ここでは、[Resource Group]、[Tag]、[Resource Type] などのフィルターをコストに適用できます。特にコストの高い項目が判明したら、リソースのアクティビティ ログを右クリックで表示し、必要な対応を行うことができます。また、結果を CSV ファイルでダウンロードしてオフラインで分析することも可能です。

さらに、いずれかのリソースを左クリックすると [Cost history] レポートが表示され、コストの傾向やスパイクを確認できます。リソース グループやリソースのコスト履歴を取得したり、結果をグループ化したりしてコストの発生源を容易に特定できます。

注: Azure ポータルで上記のようなサブスクリプション レベルのコスト情報にアクセスするには、サブスクリプション レベルで請求閲覧者、閲覧者、共同作成者、所有者のいずれかのアクセス許可が必要です。

機能の詳細については、こちらのドキュメントを参照してください。

このプレビュー機能は、Enterprise ユーザー向けの Azure ポータルの高性能な管理エクスペリエンス実現に向けた最初の取り組みです。今後数か月にわたり、Azure のコストやサービスの管理性をさらに向上させる新機能を提供していく予定です。マイクロソフトでは、皆様のご意見をお待ちしております。ぜひこちら (英語) までフィードバックをお寄せください。