Microsoft Ignite MSLogo_edited

Proxsys @ Microsoft Ignite - Dag 3

28 september 2017 door Erik Loef

Weer een nieuwe dag met een boordevolle agenda! Op sommige tijdstippen zelfs meer dan 5 interessante presentaties in de agenda, dus veel keuzes nog te maken. Daarnaast is er op het evenement ook een grote beurs aanwezig waar veel leveranciers aanwezig zijn met zeker net zoveel interessante oplossingen om te bekijken. Helaas sluit deze al om 18:00 uur. Naast de sessies houden we ook de diverse blogs in de gaten en begon de dag al goed met een aankondiging dat Microsoft nu met zijn eigen Sharepoint migratie tool komt (on premise fileserver en sharepoint naar sharepoint online/onedrive)

De volgende zaken zijn ons vandaag opgevallen

Azure Information Protection

Een dienst die een jaar geleden nog in public preview was heeft zeer veel aandacht gekregen de afgelopen periode. Een interessante dienst, die we bij Proxsys op korte termijn ook gaan inzetten. Met Azure Information Protection kun je je bestanden eenvoudig classificeren. Het zit direct in Office ingebouwd. Tevens kan Azure Information Protection op basis van bepaalde keywords een document automatisch omzetten naar een classificatie, tijdens het bewerken van het document.

Vervolgens kan Azure Information Protection ervoor zorgen dat de documenten en emails alleen bekeken kunnen worden door geautoriseerde personen. Tevens werden er roadmap zaken gedeeld:

  • Op de korte termijn gaat Microsoft de classificatie mogelijkheden ook in de Office for Mac, iOS en de webversie bouwen.
  • Office DLP en Azure Information Protection gaan dezelfde classificatie labels delen. (was eerst los)
  • Tevens gaat Microsoft conditional access toevoegen aan de beveiligde data. (een mooie vooruitgang!)

Windows Server

Jeff Woosly gaf een interessante presentatie over Windows Server en de toekomst daarvan. Hij begon met een waarschuwing dat over 2 jaar het support voor 2008/R2 stopt! Dit betreft nu 50% van de install base volgens de Windows updates data. Dit getal ligt bij Proxsys veel lager, maar zet ons wel direct aan het denken dat er nog klanten zijn die 2008 R2 RDS draaien, niet voor lang meer als het aan ons ligt. Uiteraard had hij een mooie oplossing om dan alles direct maar in Azure te stallen.

Server 2016 krijgt net als Windows 10 twee keer per jaar een grote upgrade, waarbij na 18 maanden het support stopt. Deze server heeft geen GUI! Er is ook een LTSC versie die elke 2-3 jaar wordt gereleased, met 5 jaar standaard support (5 jaar daarbovenop bij te kopen). Het Windows Insider programma komt nu ook uit voor server. Ook gaat in 2016 bij default SMBv1 uit, iets waar we bij Proxsys ook druk mee bezig zijn.

Rondom Nano Server komt Microsoft terug en willen ze eigenlijk dat je meer met Server Core gaat doen en uiteindelijk middels project Honululu de systemen GUI based kan gaan managen.

Priviliged Access Management

Iets waar we als Proxsys dagelijks mee te maken hebben, het geven van de juiste rechten voor een leverancier, klant en onze eigen mensen. Met name voor accounts die extra rechten hebben (installatie en configuratie rechten) wordt aanbevolen dat deze maar maximaal twee uur deze rechten moeten hebben. Daarna moet het wachtwoord of het gehele account verlopen. Er kwamen een aantal oplossingen voorbij zoals MIM-PAM, maar ook commerciële tools die dit kunnen bewerkstelligen. Dit principe heet JIT (Just In Time Administration) en JEA (Just Enough Administration). Interessante concepten waar we een roadmap voor moeten uitstippelen om het nog veiliger (en werkbaar) te kunnen maken.

Windows 10 Security Update

Met de Windows 10 Fall Update komen er diverse mooie uitbreidingen om het OS standaard al veiliger te maken. Een aantal highlights en statements:

  • You can’t defeat the threats of the present with tools from the past
  • Windows Defender Application Guard (Enterprise feature), hiermee kun je een applicatie in een geïsoleerde omgeving draaien. Een goede use case hiervoor is bijvoorbeeld je internet browser als je naar wat ‘gevaarlijkere’ websites moet, of het niet vertrouwd.
  • Exploit Guard, voorheen EMET, hiermee kun je applicaties beschermen tegen oneigenlijk gebruik (zero-days)
  • Network Protection, dit is een uitbreiding van Smartscreen, waarbij niet alleen de IE en Edge browser worden behoed voor malafide sites, maar nu dus ook in de applicatielaag.
  • Controlled Folder Access, hiermee kun je ervoor zorgen dat alleen bekende applicaties (zoals Word, Excel e.d. ) in een map (zoals my documents) kan schrijven. Dit kun je dus inzetten als ransomware beveiliging.
  • Windows Defender Cloud Protection Service hiermee worden automatisch bestanden naar de cloud geüpload (als defender deze niet kent) en wordt er vanuit de cloud verder naar gekeken om zo de processing power van de cloud te gebruiken.

Case of the unexplained

Zoals iedereen wel weet zijn er problemen met computers, om de complexe problemen op te lossen zijn er door Mark Russinovich de Sysinternal tools ontwikkeld. Elk jaar geeft hijzelf dan ook een presentatie over het gebruik van deze tools om complexe problemen op te lossen. Deze presentatie is zeer populair (er staan 100-en mensen al vroeg voor in de rij). De problemen kunnen performance problemen zijn, applicatie crashes of blue screens. Zo krijgt Mark door het jaar heen diverse cases opgestuurd en in deze presentatie worden de mooiste, meest complexe doorgenomen en wordt uitgelegd hoe het troubleshooting proces plaatsvind. Een mooie inzage hoe IT problemen aan te pakken en hoe een foutmelding niet direct je altijd in de juiste richting stuurt. De tool ProcMon van Sysinternals is daarbij de tool bij uitstek om de oorzaak van een IT probleem boven water te krijgen.

ConfigManager roadmap

Een tool die we bij Proxsys intensief gebruiken om alle systemen up-to-date te houden en software uit te rollen is ConfigManager. Microsoft zelf heeft ook een cloudversie voor beheer, die heet Intune. De bedoeling van Intune is om daar Windows 10 mee te gaan managen (dit noemen ze modern management). Wat er gebeurt is dat ConfigManager wordt gebruikt om Windows 10 te managen, omdat dit ook al voor Windows 7/8 werd ingezet. Een belangrijke aankondiging rondom ConfigManager:

  • Co-management komt met de nieuwste versie, waarmee je een laptop met Intune en ConfigManager tegelijk kan managen om zo heel geleidelijk te kunnen migreren (zeer interessant voor Proxsys!)
  • De Cloud Management Gateway gaat een steeds belangrijkere rol krijgen om externe zaken te gaan managen.
  • Client Peer Cache komt eraan, waarmee updates van andere PC’s afgehaald kunnen worden.
  • Cloud Protection Service komt in de Windows Defender client.
  • SCCM gaat 3 upgrades per jaar te krijgen met Windows 10 en Office 365 upgrades.
  • Windows Analytics wordt geïntegreerd in SCCM.
  • Surface driver en firmware management komt in SCCM.
  • Een Data Warehouse waarbij je tot 3 jaar data in kan opslaan.

Tijdens de presentatie werd aan het eind nogmaals benadrukt dat Microsoft er nog veel effort in gaat steken, immers worden er nu wereldwijd 100 miljoen devices mee beheerd.

Identity Management: Azure AD Domain Services

Microsofts Azure komt het beste tot z’n recht als de functionaliteiten worden geconsumeerd in een Platform- of 'Software as a Service’ (PaaS/SaaS) model. Voor nieuw te bouwen, of zelf aan te passen applicaties zijn hiermee in korte tijd zeer robuuste en functierijke applicaties te bouwen.

Veel bedrijven zitten echter opgescheept met oudere applicaties die zich niet naar dit ‘cloud friendly’ model laten ombouwen. Hiervoor heeft Azure het alternatief met de ‘Infrastructure as a Service’ (IaaS) bouwblokken. Deze bouwblokken kunnen in allerlei combinaties worden gebruikt om een Virtuele Machine zich te laten gedragen alsof het een traditionele omgeving betreft.

Naast het simpelweg kunnen opstarten van een VM hebben traditionele applicaties vaak een afhankelijkheid van een Active Directory omgeving. Deze AD doortrekken- of helemaal opnieuw opbouwen in Azure IaaS levert een hoop extra kosten op in de vorm van VM capaciteit, VPN transport en beheerkosten. Het alternatief voor deze AD functionaliteit welke Microsoft sinds ongeveer een jaar levert is ‘Azure Active Directory Domain Services’. Hiermee wordt de AD functionaliteit als een Platform dienst door Microsoft geleverd op een manier die de traditionele applicaties nodig hebben om te kunnen werken.

Vandaag hebben we ons laten bijpraten over de ins- en outs en roadmap van deze dienst. De toepasbaarheid hiervan voor Proxsys wordt relevanter naarmate meer klantscenario's zich lenen voor een volledige Azure gebaseerde omgeving.

Modern Application Architectures: Microservices

Voor applicaties die zich lenen voor een implementatie van de laatste technieken is een nieuwe ontwerptrend bezig aan een enorme opkomst: een Microservices gebaseerde architectuur.

Door elke afgebakende functionaliteit van een applicatie in een eigen geïsoleerde omgeving te ontwikkelen en schalen kunnen voor elke functie de best passende technieken worden ingezet. Microsoft heeft hier een enorm sterke positie doordat zowel in de Azure cloud als op de aankomende Windows Servers versie 1709 zowel Windows als Linux gebaseerde containers en VM's kunnen draaien.

Het op een juiste manier inzetten van de functionaliteiten die een Microservices architectuur biedt, vereist een nieuwe manier van denken en ontwikkelen. Voor Proxsys zijn deze ontwikkelingen relevant voor de eigen applicaties die worden gebruikt voor interne automatisering van beheerstaken en facturatie.

IoT Edge

Azure’s Internet-of-Things productsuite kan worden ingezet om de generieke onderdelen van een Internet-of-Things oplossing als PaaS te consumeren. Denk hierbij aan het op een veilige manier beheren van de IoT apparaten, loggen en analyseren van data en uitvoeren van acties voor bijvoorbeeld het aansturen van een ‘Azure Function’.

Met IoT Edge bouwt Microsoft verder op de reeds bestaande ‘IoT Gateway SDK’. Door een IoT Edge device (zoals een kleine/embedded PC) volledig te laten beheren/aansturen vanuit Azure kan een gedeelte van de IoT functionaliteit op een veilige manier terug worden gebracht naar een lokale aansturing. Dit is comfortabel en in sommige gevallen zelfs noodzakelijk om sneller en onafhankelijk van het netwerktransport te kunnen acteren op gebeurtenissen. Ook kunnen de kosten van het cloud gebruik hiermee worden teruggebracht door de lokale compute –capaciteit efficiënter in te zetten.

Zo, dag 3 zit er weer op. Op naar morgen.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners