Что стряслось?

Во время новогодних праздников в сети появилась информацию о новых атаках по сторонним каналам, направленных на эксплуатацию механизма спекулятивного выполнения кода (speculative execution side-channel vulnerabilities) в современных процессорах Intel, AMD и ARM. Стоит отметить, что уязвимости затрагивают устройства различных производителей, а также различные ОС Windows, iOS, MacOS, Android, Linux. Данные атаки получили названия Meltdown и Spectre, позволяют получить доступ к так называемой "привилегированной памяти", что в результате может привести к раскрытию информации (Information Disclosure).

Компания Microsoft опубликовала рекомендации по обеспечению защиты от данных атак в статье ADV180002. Данные рекомедации включают инструкции по обеспечению закрытия следующих уявимостей, используемых в атаках Meltdown и Spectre:

CVE-2017-5715 - Branch target injection (Spectre)
CVE-2017-5753 - Bounds check bypass (Spectre)
CVE-2017-5754 - Rogue data cache load (Meltdown)

Что делать?

Общие рекомендации по защите ваших устройств приведены в статье KB4073229.

• Если вы используете клиентские ОС Windows 7 Service Pack 1, Windows 8.1, Windows 10, обратитесь к статье KB4073119.
• Если вы используете серверные ОС Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, обратитесь к статье KB4072698.
• Если вы используете СУБД SQL Server, обратитесь к статье KB4073225.
• Если вы используете устройства Surface или Surface Book, обратитесь к статье KB4073065.
• Если вы используете облачные сервисы Microsoft Azure, все необходимые изменения уже внесены. За подробностями вы можете обратиться к статье KB4073235.

Обратите внимание, что для полноценной защиты от атак, использующих данные уявимости, необходимо не только установить обновления ОС, но и обновление прошивки (firmware) от производителя вашего аппаратного обеспечения. Перед установкой обновлений следует обратиться к производителю используемого вами антивирусного ПО для подтверждения совместимости с новыми механизмами управления памятью. Более подробные инструкции по проведению процедуры обновления приведены в соответствующей статье базы знаний из списка выше.

Как проверить, что ваше устройство защищено?

Статья с рекомендациями по безопасности ADV180002 содержит инструкции по запуску скрипта PowerShell, проверяющего текущий статус механизмов защиты вашего устройства.

После установки всех необходимых обновлений (в том числе и обновлений прошивки от производителя устройства) результат выполнения скрипта выглядит следующим образом:

Если у вас остались вопросы - добро пожаловать в комментарии.

И, вместо заключения, хочу поделиться забавным комиксом в тему от портала https://xkcd.com

Артём Синицын

руководитель программ информационной безопасности Microsoft

@ArtyomSinitsyn

Recently I ran into an issue with a customer attempting to update their MetadataExchangeURI for their Federation settings, however when running the necessary cmdlets they noticed the MetadataExchangeURI would not update. As a result this was preventing the admin from completing the setup for federating their domain.

We did some testing today, and we found that we had to set the domain back to managed in order to get the MetadataExchangeURI to update. The cause appears to be that even though the MetadataExchangeURI is updated in Microsoft’s MSODS system, it still returns the old value in Microsoft's OrgID system. OrgID does not successfully update the value because when the protocol is set to SAMLP, no updates to the MetadataExchangeURI are allowed. OrgID is a legacy authentication platform first used with live accounts. It is no longer servicing authentication but has not yet been completely decoupled from AAD.  As a result this type of inconsistency between the two services will cause issues. Thus we ran some additional test, and subsequently found a workaround to update the MetadataExchangeURI as WSFed, then change the domain to managed, and federate again with the correct values using SAMLP.

Steps to resolve are as follows:

First, Set your values to what you want it to be using a variable.

$domainName = "Davengers.us"

$BrandName = "ADFS"

$browserSSOLoginURL = "https://adfs.davengers.us/adfs/services/trust/2005/usernamemixed"

$logoutURL = "https://adfs.davengers.us/adfs/ls/"

$issuerProviderID = "http://davengers.us/adfs/services/trust/"

$idpSigningCert = "[insert cert info]"

$MetadataURL = "https://newvalue/adfs/services/trust/mex"

$ssoProtocol = "SAMLP"

Steps to resolve are as follows:

1. Open Windows Azure Active Directory PowerShell and connect to the MSOL service.
   1. Connect-msolservice
2. Confirm if the domain is currently set to managed or federated.
   1. Get-MsolDomain
3. Set the domain back to managed.
   1. Set-MsolDomainAuthentication -DomainName $domainame -Authentication Managed
4. Federate the domain as WSFed, with the correct URL’s.
   1. Set-MsolDomainAuthentication -DomainName $domainName -FederationBrandName $BrandName -Authentication Federated -PassiveLogOnUri $browserSSOLoginURL -SigningCertificate $idpSigningCert -IssuerUri $issuerProviderID -LogOffUri $logoutURL -PreferredAuthenticationProtocol WSFed -MetadataExchangeUri $MetadataURL
5. Set the domain back to managed. There may be a 1-2 minute replication if you get an error.
   1. Set-MsolDomainAuthentication -DomainName $domainName -Authentication Managed
6. Federate the domain as SAMLP with all the correct URL’s.
   1. Set-MsolDomainAuthentication -DomainName $domainName -FederationBrandName $BrandName -Authentication Federated -PassiveLogOnUri $browserSSOLoginURL -SigningCertificate $idpSigningCert -IssuerUri $issuerProviderID -LogOffUri $logoutURL -PreferredAuthenticationProtocol SAMLP -MetadataExchangeUri $MetadataURL
7. View the results and confirm everything is set as expected.
   1. Get-MsolDomainFederationSettings -domainName $domainName | FL

Thanks to Dragos C. and John K. For assistance in writing and editing the article.

Applies to:

Windows Server 2012 R2

Ephemeral port also known as (a.k.a.) Dynamic ports related hotfixes for “Windows Server 2012 R2”:

Install 3149157 Reliability and scalability improvements in TCP/IP for Windows 8.1 and Windows Server 2012 R2

https://support.microsoft.com/?id=3149157

tcpip.sys 6.3.9600.18264

3123245 Update improves port exhaustion identification in Windows Server 2012 R2

https://support.microsoft.com/kb/3123245

Netstat -anoq

// The q is the new switch backported from Windows Server 2016.

2897602 FIX: TCP connections that use ephemeral loopback addresses are dropped suddenly in Windows

https://support.microsoft.com/kb/2897602

//  For apps that uses loopback addresses (127.0.0.x)

I h.t.h.,

Yong

Reference(s):

Detecting ephemeral port exhaustion
https://blogs.technet.microsoft.com/clinth/2013/08/09/detecting-ephemeral-port-exhaustion/

Server "Hangs" and Ephemeral Port Exhaustion issues
https://blogs.technet.microsoft.com/kimberj/2012/07/06/server-hangs-and-ephemeral-port-exhaustion-issues/

Port Exhaustion and You (or, why the Netstat tool is your friend)
https://blogs.technet.microsoft.com/askds/2008/10/29/port-exhaustion-and-you-or-why-the-netstat-tool-is-your-friend/

Dynamic Ports in Windows Server 2008 and Windows Vista (or: How I learned to stop worrying and love the IANA)
https://blogs.technet.microsoft.com/askds/2007/08/24/dynamic-ports-in-windows-server-2008-and-windows-vista-or-how-i-learned-to-stop-worrying-and-love-the-iana/

¿Cuál es el propósito de esta alerta?

Esta alerta le proporciona información general sobre nuevas actualizaciones de seguridad publicadas el martes, 9 de enero de 2018.  Cada mes, Microsoft publica actualizaciones de seguridad para solucionar vulnerabilidades de seguridad en los productos de Microsoft.

Descripción de la actualización de seguridad

El martes, 9 de enero de 2018, Microsoft publicará nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:

Descripción de las vulnerabilidades de seguridad

A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.

(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.

(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.

Guía de actualizaciones de seguridad

La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.

Portal de la Guía de actualizaciones de seguridad:  https://aka.ms/securityupdateguide

Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750

Detalles de la vulnerabilidad

A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.

Respecto a la coherencia de la información

Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.

Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).

Saludos!

Microsoft CSS Security Team

Qual é o propósito deste alerta?

Este alerta tem como objetivo fornecer uma visão geral das novas atualizações de segurança que foram lançadas em terça-feira, 9 de janeiro de 2018.  A Microsoft lança atualizações de segurança mensalmente para solucionar vulnerabilidades de segurança em produtos da Microsoft.

Visão geral da atualização de segurança

Em terça-feira, 9 de janeiro de 2018, a Microsoft lançou novas atualizações de segurança que afetam os seguintes produtos da Microsoft:

Visão geral da vulnerabilidade de segurança

Veja abaixo um resumo mostrando o número de vulnerabilidades solucionadas neste lançamento, discriminadas por produto/componente e por impacto.

(1) Vulnerabilidades que sobrepõem componentes podem ser representadas mais de uma vez na tabela.

(2) No momento do lançamento, as pontuações de CVE só estavam disponíveis para o Windows, o Internet Explorer e o Microsoft Edge.

Guia de Atualizações de Segurança

O Guia de Atualizações de Segurança é nosso recurso recomendado para informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Como lembrete, o Guia de Atualizações de Segurança agora substituiu formalmente as páginas de boletins de segurança tradicionais.

Portal do Guia de Atualizações de Segurança:  https://aka.ms/securityupdateguide

Página da Web de perguntas frequentes sobre o Guia de Atualizações de Segurança: https://technet.microsoft.com/pt-br/security/mt791750

Detalhes de vulnerabilidade

Veja a seguir resumos de algumas das vulnerabilidades de segurança neste lançamento. Essas vulnerabilidades específicas foram selecionadas de um conjunto maior de vulnerabilidades no lançamento por um ou mais dos seguintes motivos: 1) Recebemos consultas sobre a vulnerabilidade; 2) a vulnerabilidade pode ter recebido atenção na imprensa especializada; ou 3) a vulnerabilidade tem impacto potencialmente maior do que outras no lançamento. Como não fornecemos resumos para cada vulnerabilidade que consta no lançamento, você deve rever o conteúdo no Guia de Atualizações de Segurança para obter informações não fornecidas nesses resumos.

Sobre a consistência das informações

Nós nos empenhamos para fornecer a você informações precisas usando conteúdos estáticos (esta mensagem) e dinâmicos (baseados na Web). O conteúdo de segurança da Microsoft postado na Web é atualizado frequentemente para informar sobre novidades. Se isso resultar em uma inconsistência entre as informações descritas aqui e as informações no conteúdo de segurança baseado na Web publicado pela Microsoft, as informações nesse conteúdo publicado prevalecerão.

Em caso de dúvidas sobre este aviso, entre em contato com seu Gerente Técnico de Conta (TAM)/Gerente de Prestação de Serviços (SDM).

Agradecemos sua atenção.

Equipe de Segurança Microsoft CSS

As I received some feedback that I should also add the Urls to the KB articles of the different security fixes I added this information to my blog post.

SharePoint 2007 Suite:

• none

SharePoint 2010 Suite:

• KB 3141547 - SharePoint Foundation 2010
• KB 4011609 - Word Automation Services for SharePoint 2010
• KB 3114998 - SharePoint Server 2010 core components
• KB 4011615 - Office Web Apps 2010

SharePoint 2013 Suite:

• KB 4011653 - SharePoint Foundation 2013
• KB 4011599 - Access Services for SharePoint 2010
• KB 4011579 - Word Automation Services for SharePoint 2013
• KB 4011648 - Office Web Apps 2013

SharePoint 2016 Suite:

• KB 4011642 - SharePoint Server 2016 (language independent)
• KB 4011021 - Office Online Server 2016

See the Security Update Guide below for more details about the relevant fixes:

• Security Update Guide

More information:

• KB 4058103 - January 2018, update for Microsoft Office

The product group released the January 2018 Cumulative Update for SharePoint Server 2016 product family.
This CU also includes Feature Pack 1 which was released with December 2016 CU and Feature Pack 2 which was released with September 2017 CU.

The KB articles for January 2018 CU are available at the following location:

• KB 4011642 - January 2018 Update for SharePoint Server 2016 (language independent) - This is also a security update!
• KB 4011645 - January 2018 Update for SharePoint Server 2016 (language dependent fixes)
• KB 4011021 - January 2018 Update for Office Online Server 2016 - This is also a security update!

The download for January 2018 CU is available through the following link:

• Download January 2018 Update for SharePoint Server 2016 (language independent) - This is also a security update!
• Download January 2018 Update for SharePoint Server 2016 (language dependent fixes)
• Download January 2018 Update for Office Online Server 2016 - This is also a security update!

Important: It is required to install both fixes to fully patch a SharePoint server as each SharePoint installation comes with a language independent component and a language dependent component. If additional language packs are added later (only) the language dependent fix has to be applied again.

It is irrelevant which language you pick on the drop down in download center. Even the language dependent fixes are all in the same package for all languages.

After installing the fixes you need to run the SharePoint 2016 Products Configuration Wizard on each machine in the farm. If you prefer to run the command line version psconfig.exe ensure to have a look here for the correct options.

SharePoint 2016 January 2018 CU Build Numbers:

Language Independent fix: 16.0.4639.1002
Language Dependent fix: 16.0.4639.1001

To understand the different version numbers please have a look at my article which explains the different SharePoint build numbers.

You can use the SharePoint Server 2016 Patch Build Numbers Powershell Module to identify the patch level of all SharePoint components.

Related Links:

• Technet: Updated Product Servicing Policy for SharePoint Server 2016
• Blog: Common Question: What is the difference between a PU, a CU and a COD?
• Blog: SharePoint Patching demystified
• Blog: Why I prefer PSCONFIGUI.EXE over PSCONFIG.EXE
• Blog: January 2018 Office Update Release
• Technet: Update Center for Microsoft Office, Office Servers, and Related Products
• Blog: SharePoint Server 2016 Patch Build Numbers Powershell Module
• Blog: SharePoint Server 2016 Zero-Downtime Patching Demystified
• Blog: SharePoint does not have a build version. Full Stop.

The product group released the January 2018 Cumulative Update for the SharePoint 2013 product family.

For January 2018 CU we have full server packages (also known as Uber packages). No other CU is required to fully patch SharePoint.

As this is a common question: Yes, January 2018 CU includes all fixes from January 2018 PU.

ATTENTION:

Be aware that all Updates for SharePoint 2013 require SharePoint Server 2013 SP1 to be installed first.

Please also have a look at the article that discusses how to properly patch a SharePoint 2013 farm which has Search enabled (see below).

Previous releases of the SharePoint Server 2013 cumulative update included both the executable and the .CAB file in the same self-extracting executable download. Because of the file size, the SharePoint Server 2013 package has been divided into several separate downloads. One contains the executable file, while the others contain the CAB file. All are necessary and must be placed in the same folder to successfully install the update. All are available by clicking the same Hotfix Download Available link in the KB article for the release.

This CU includes all SharePoint 2013 fixes (including all SharePoint 2013 security fixes) released since SP1. The CU does not include SP1. You need to install SP1 before installing this CU.

The KB articles for January 2018 CU should be available at the following locations in a couple of hours:

• KB 4011649 - SharePoint Foundation 2013 January 2018 CU
• KB 4011652 - SharePoint Server 2013 January 2018 CU
• KB 4011650 - Project Server 2013 January 2018 CU
• KB 4011648 - Office Web Apps Server 2013 January 2018 CU - This is also a security update!

The Full Server Packages for January 2018 CU are available through the following links:

• Download SharePoint Foundation 2013 January 2018 CU
• Download SharePoint Server 2013 January 2018 CU
• Download Project Server 2013 January 2018 CU
• Download Office Web Apps Server 2013 January 2018 CU - This is also a security update!

Important: If your farm has been on a patch level lower than July 2015 CU ensure to read the following blog post:
https://blogs.technet.microsoft.com/stefan_gossner/2015/07/15/important-psconfig-is-mandatory-for-july-2015-cu-for-sharepoint-2013/

Be aware that the SharePoint Server 2013 CU contains the SharePoint Foundation 2013 CU. And the Project Server 2013 CU also contains the SharePoint Server 2013 CU and SharePoint Foundation 2013 CU.

Related Info:

• Technet: Updated Product Servicing Policy for SharePoint 2013
• Blog: Common Question: What is the difference between a PU, a CU and a COD?
• Blog: SharePoint Patching demystified
• Blog: Why I prefer PSCONFIGUI.EXE over PSCONFIG.EXE
• Blog: Support for SharePoint 2013 RTM has ended
• Blog: SP1 for SharePoint 2013
  
• Blog: January 2018 Office Update Release
• Technet: CHANGE: SharePoint 2013 Rollup Update for the December 2013 Cumulative Update Packaging
• Technet: Install a software update for SharePoint 2013
• Blog: How to: install update packages on a SharePoint 2013 farm where search component and high availability search topologies are enabled
• Technet: Update Center for Microsoft Office, Office Servers, and Related Products
• Blog: SQL Server 2014 and SharePoint Server 2013

Edward Walton, Cloud Solution Architect

Be sure to join the January 16 Modern Workplace: Security Partner Community call for part 2 of our presentation on Microsoft funded security assessments, previewed below. Miss part one? Read the overview and watch the community call on-demand.

Continuing our community call series on Microsoft funded security assessments, our January 16 call will explore how the solution helps you provide comprehensive security offerings customers need to stay safe.

Data breaches and cyberthreats are increasing at an alarming rate, placing customers’ digital assets and day-to-day line of business at tremendous risk. There’s no better time to help customers protect against data breaches and other cyberthreats as a trusted security advisor. Microsoft is here to help you add or expand your security offerings across four critical security pillars:

Microsoft funded engagements help you deliver real value for your customers and reinforce your position as a trusted advisor by providing actionable insights specific to each unique environment. You’ll be able to make more informed recommendations and provide the right solution for your customers’ needs, ultimately building closer, more profitable long-term relationships.

The good news is that Microsoft has continued to offer funded assessment initiatives that partners can use and build upon to engage customers and drive security awareness. You can use these Security Sales Plays to target the security needs and questions customers may have and at the same time receive funding to help drive professional services engagements.

On the January 16^th call, we will highlight the available engagement structure and resources to build up your team’s skills and deliver Microsoft funded 2-day assessments and programs. Topics will include:

• Microsoft One Day Customer Briefing for Microsoft 365 Enterprise E5. A complete, intelligent solution to empower employees to be creative and work together, securely.
• Microsoft Security Vison Briefing. How to deliver the “Mobile First” Security Message from Microsoft to your customers.
• Office 365 Security Assessment Using Secure Score. Contains the delivery guidance for the Office 365 Security Assessment offering. The Office 365 Security Assessment is a structured engagement which uses the Office 365 Secure Score tool to evaluate and prioritize Office 365 tenant security settings of an organization.
• Shadow IT Assessment (Microsoft Cloud App Security). Contains the delivery guidance for the Shadow IT Assessment offering. The Shadow IT Assessment is a structured engagement which uses Microsoft Cloud App Security to evaluate usage of cloud applications and services from within an organization network.
• Rapid Cyberattack Assessment. The Rapid Cyberattack Assessment Workshop has been designed to help you as a partner to create and present customized (customer-specific), prioritized and actionable roadmap that aims to provide recommendations on how to make customer organization less susceptible to Rapid Cyberattacks.
• Windows 10 Enterprise Security Workshop. The purpose of this document is to provide technical and engagement delivery resources with an overview of the tasks that will be required to deliver the Modern IT Enterprise Security PoC successfully.
• GDPR Assessment (General Data Protection Regulation). This model is a question-driven assessment tool for preparing for the General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679). The tool is intended to be used by Microsoft partners to assist customers in identifying where they are on the journey to GDPR readiness.
• Other funding and Assessment Opportunities - FastTrack, PIE and ECIF. Partner-Ready Guide: US Modern Workplace Partner End Customer Investment Funds

Sign up for the January 16 Community Call

Save your spot on the January 16th Modern Workplace: Security Partner Community call—register today.

Partner resources

• Solution page: Build a Security Practice
• Partner Security Playbook
• Sales resources for security 

General Data Protection Regulation (GDPR):

• Accelerate GDPR compliance 
• Beginning your GDPR journey

Modern Workplace Technical Community

• Community call schedule
• Yammer group
• Blog series
• YouTube playlist

During the great Windows Server 2003 content purge on TechNet in the summer of 2016 a lot of valuable documentation was lost. Part of it was recovered in the infamously huge PDF download with 2003 support content, and other content was ported to the new documentation site on https://docs.microsoft.com, but the rest was just gone. However, us AD people are still missing a historic and still relevant piece of documentation: the AD Branch Office Deployment Guide, originally written for Windows 2000 and later updated for Windows Server 2003. This document outlines the design of an AD with one or more central locations, and lots of outlying branch offices. The DNS configuration described in this removed document was (and is) very relevant.

Guess what? I saved the original download and have it right here on my laptop. Because we (PFE and Support Engineers) still get questions about it, I decided to put it back up again as an informal blog resource. The original download was a .EXE, which was the modern thing to do at the time. It contains two other .EXE files, again doing nothing else but extracting stuff. However, a .EXE is not allowed on WordPress, so I had to repackage it as a .ZIP. Enjoy:

• Download the AD Branch Office Deployment Guide for Windows Server 2003 (MD5: 2B33F92B00D8094D27B4A3542BBBFB5C): adbodg03.

2018 年 1 月 10 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。注: 1 月 4 日 (日本時間) のアドバイザリ ADV180002 の公開に伴い、Windows とブラウザー (Internet Explorer/Microsoft Edge)、SQL のセキュリティ更新プログラムは 1 月 10 日より前に定例外で公開済みです。

• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office、Microsoft Office Servers および Web Apps
• SQL Server
• ChakraCore
• .NET Framework
• .NET Core
• ASP.NET Core
• Adobe Flash Player

新規セキュリティ更新プログラムを公開すると共に、新規のセキュリティ アドバイザリ 3 件の公開、既存のセキュリティ アドバイザリ 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。

お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。

■ セキュリティ更新プログラム・セキュリティ アドバイザリに関する主な注意点

• 2018 年 1 月 4 日 (日本時間)、アドバイザリ ADV180002 を定例外で公開し、投機的実行のサイドチャネルの脆弱性から保護するためのガイダンスおよび関連するセキュリティ更新プログラムを提供しています。Windows Server、Windows クライアント、Microsoft クラウド、SQL Server、Surface をご利用のお客様向けにサポート技術情報も公開しています。
  • 4073119 投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス
  • 4073225 投機的実行サイドチャネルの脆弱性を予防するための SQL Server ガイダンス
  • 4073065 Surface Guidance to protect against speculative execution side-channel vulnerabilities
  • 4073235 投機的実行サイドチャネルの脆弱性からの Microsoft クラウドの保護
  • 4072698 Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
• 2018 年 1 月 10 日 (日本時間)、アドバイザリ ADV170021 を更新し、Microsoft Excel 用の DDE プロトコルを無効にするオプションを追加したことをお知らせしました。

■ 2018 年 1 月のセキュリティ更新プログラム

セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。

セキュリティ更新プログラム ガイド

各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。

マイクロソフトは新たに確認した脆弱性について、下記の新しいセキュリティ更新プログラムを公開しました。

#1: これらのセキュリティ更新プログラムは 2018 年 1 月 4 日に定例外で公開されました

(この記事は2017年12月8日にMicrosoft Partner Network blog に掲載された記事  Why you should be a Microsoft Inspire Sponsor or Exhibitor の翻訳です。最新情報についてはリンク元のページをご参照ください。)

Microsoft Inspire は、マイクロソフトが毎年開催している最大規模のパートナー イベントです。世界中にいる何千ものパートナー各社が集まり、IT エキスパートや技術者、マイクロソフト社員との間で交流を広げたり、情報交換をしたり、コラボレーションを行える有意義な機会となります。次の Microsoft Inspire は、2018 年 7 月 15 ～ 19 日の 4 日間、米国ネバダ州ラスベガスで開催されます。これまでで最高のイベントにできるよう、マイクロソフト一丸となって準備を進めているところです。

Microsoft Inspire に参加すると、さまざまな交流を通じて自社のビジネスを大きく成長させるチャンスがあります。しかし、参加するだけでなく、Microsoft Inspire のスポンサーや出展企業になれば、そのチャンスはさらに広がる可能性があります。たとえば、次のような利点が考えられます。

• 人脈作りができる。世界中にいるさまざまなアイデアを持つ数千ものパートナー企業やマイクロソフトのチーム メンバー、IT リーダーと直接顔を合わせて関係を築くことができます。
• 貴重なインサイトが得られる。ビジョン キーノートやセッションから価値ある情報が得られるため、自社だけでなく、クライアント企業のビジネス トランスフォーメーションも的確に推し進められます。
• 強力なネットワークを構築できる。自社のソリューションに関心を持ってくれたパートナー企業やクライアント企業と強力な関係を築くことができます。
• Microsoft Inspire のスポンサーまたは出展企業になるメリット

Microsoft Inspire にはこれまで、世界 140 か国から約 18,000 名の方々にご参加いただきました。パートナー企業の皆様にとっては、自社のビジネスを成長させる絶好のチャンスです。これをより実感していただくには、2009 年から Microsoft Inspire にスポンサーとして参加している BitTitan 社 (英語) のワールドワイド セールス部門 VP である Jenn Martin 氏の話を聞いていただくのが一番です。次の動画をご覧ください。

Microsoft Inspire のスポンサーまたは出展企業になると、自社の製品やサービスに関心を持ってくれた企業に対して実際のソリューションを見てもらうことができます。つまり、数千社の企業に自社のビジネスを紹介できる可能性があるのです。Actiontec 社のスクリーンビーム部門 GM/VP である Mike Ehlenberger 氏は、同社のビジネスは Microsoft Inspire の参加者が求めているものにぴったりだと言います。

「(Microsoft) Inspire では、私たちがつながりを持ちたいと考えている人物像そのものに出会えます….彼らのビジネス プロセスは当社が進めている Go-to-Market 戦略にぴったりマッチしていますし、彼らも当社のソリューションが自分たちのビジネスに合っていると感じているのがわかります」 – Actiontec 社、スクリーンビーム部門 GM/VP、Mike Ehlenberger 氏

こうしたマーケティング機会に関するさらに詳しい情報、および昨年のスポンサー企業と出展企業の一覧については、Microsoft Inspire 趣意書 (英語) をダウンロードしてご確認ください。

Microsoft Ready の機会を活かす

2018 年は、Microsoft Inspire と同時に Microsoft Ready というもう 1 つのイベントが開催されます。マイクロソフト最大の社内レディネス イベントで、今回初めて開催されます。この 2 つのイベントは、同じ週に同じ都市で開催することを予定しており、参加者は 30,000 名を超える見込みです。この新たな魅力いっぱいのイベントによって、スポンサー企業および出展企業の皆様は、マイクロソフト パートナー各社、マイクロソフトのフィールド担当者やエグゼクティブと知り合うチャンスがさらに広がります。

 

「(Microsoft) Ready に参加すれば、グローバル企業のセールス担当者と直接交渉できるチャンスがあります….提案に対してその場でフィードバックが得られるため、話を先に進めやすく、世界中のマイクロソフト チームと連携する際も中身のある話をすることができます」 – Actiontec 社スクリーンビーム部門 GM/VP、Mike Ehlenberger 氏

ネバダ州ラスベガスで開催される今回の Microsoft Ready のスポンサー企業または出展企業になる方法については、Microsoft Ready 趣意書をダウンロードしてご確認ください (英語)。また、ご不明な点は、Microsoft Ready セールス チームまでメールでお問い合わせください。

今すぐスポンサー企業/出展企業になる

The Commons 展示フロア (英語) 内のブースの場所は、Microsoft Inspire のスポンサー企業または出展企業としてご登録いただいた順にお選びいただけます。

登録の際はまず、申し込みフォーム (英語) への記入をお願いします。ご不明な点がある場合は、Microsoft Inspire セールス チームにメール (msinspiresales@microsoft.com) でお問い合わせください。マーケティングおよびプロモーションの機会 (MPO) に関する詳しい情報は、2018 年 1 月下旬に発表を予定しています。最新情報を常にチェックしてください。

7 月にお会いできるのを楽しみにしています!

[提供: 株式会社日比谷コンピュータシステム]

～バックアップコストを削減！クラウドバックアップのワンストップソリューション～

Azure バックアップソリューションのご紹介です。

■概要

お客様の環境にあわせたバックアップ環境の設計を柔軟に支援します。また、構築から運用までをワンストップで提供するマネージドサービスを提供することでお客様の負担を軽減することを特徴としています。

■解決される課題

1.お客様のオンプレミス環境にあわせて柔軟に対応
2.Microsoft認定プロフェッショナルによる親切丁寧で素早い対応
3.ワンストップ対応でお客様の負担を軽減

■特長

１．バックアップ構築サービス（２重化）
・オンプレミス環境に構築済みのバックアップ環境のバックアップデータをAzure上に保存する利用形態を想定
・Azure上にバックアップサーバーを構成し、適切なサイズのストレージを接続
・AzureとはインターネットVPNで接続

２．バックアップ構築サービス（簡易）
・社内ファイルサーバー上にAzure Backupのエージェントを導入し、ファイルサーバー内のファイルやホルダをAzure上に直接バックアップ
・バックアップストレージ容量に制限無し（ただし従量課金）
・インターネット回線接続を利用

■料金

個別見積り

■対応エリア

関東地区

■対象従業員数

50名以上

■カタログ

カタログのダウンロードはこちら

＞＞バックアップ2重化カタログ

＞＞バックアップ簡易カタログ

こんにちは、 Azure ID の三浦です。

今回は Office 365 での TLS 1.0 と 1.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。

次の情報にありますように 2018/3/1 に Office 365 では TLS 1.0 と 1.1 のサポートを無効化することを予定しています。

Office 365 への TLS 1.2 の実装に対する準備

https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365

フェデレーション環境では、 AD FS および WAP (Windows Server 2012 以前は AD FS Proxy) で TLS 1.2 による接続を有効にする必要があります。実際のところ以下の表のとおり最近の OS (Windows Server 2012 以降) であれば既定で TLS 1.2 を利用するようになっており、このときには特別な対処は必要ありません (例えば AD FS および WAP が Windows Server 2012 R2 で構成されている場合)。

OS のバージョン毎にサポートされるセキュリティ プロトコル一覧

TLS 1.2 の設定状況の確認と設定方法

Windows 8 / 2012 以降の OS であれば、特に明示的に設定を変えていなければ対処は不要です。

本当に大丈夫かは HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols キー配下に何も設定が無い (既定の状態)、もしくは以下のように明示的に有効にする設定が入っているかで判断でき、この状態では TLS 1.2 が利用されています。

Windows 7 / 2008 / 2008 R2 の場合には、既定では TLS 1.2 は無効であり、対処が必要です。このときはに次のように値を設定します。

値を変更した場合には、システムの再起動をします。

キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.2Client

名前：Enabled

タイプ: REG_DWORD

値：1

名前：DisabledByDefault

タイプ: REG_DWORD

値：0

キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.2Server

名前：Enabled

タイプ: REG_DWORD

値：1

名前：DisabledByDefault

タイプ: REG_DWORD

値：0

なお、管理者権限で次の PowerShell コマンドを実行することで一括して上記設定が可能です。

New-Item 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server' -name 'DisabledByDefault' -value '0' -PropertyType 'DWord' -Force | Out-Null

New-Item 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client' -name 'DisabledByDefault' -value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled.'

TLS 1.2 を実際に利用しているか確認する方法

クライアントが TLS 1.2 を利用しているかは、以下のサイトでテストできます。

Qualys SSL Labs

https://www.ssllabs.com/

アクセスすると以下の画面が表示されますので、画面赤枠の [Test your browser >>] をクリックします。

※ 実行した結果、「Your user agent supports TLS 1.2, which is recommended protocol version at the moment.」 と表示された場合には TLS 1.2 を利用している状態です。

※ 以下のように表示された場合には、TLS 1.2 の設定状況の確認と設定方法に従って有効化します。

なお、 TLS 1.2 を利用するかはブラウザ側でも設定がありますので、ブラウザの設定で TLS 1.2 が使用できるように構成されているかも合わせてご確認ください。

以上、クライアント側での確認方法となりますが、サーバー側についても WAP サーバーに対しては、同じく Qualys SSL Labs のサイトで Test your server >> から AD FS のサービス名 (sts.xxxxx.xxx など) を指定して Submit することでサーバー側の TLS の対応状況を確認できます。

(TLS 1.2 のみを利用するように構成したブラウザからアクセスしてアクセスできるか確認するという方法もあります )

TLS 1.0、 1.1、 1.2 に対応している場合の表示結果例です。

TLS 1.0 / TLS 1.1 を無効にする方法

Office 365 での TLS 1.2 必須化に伴い、 AD FS やアクセスするクライアントで TLS 1.0 / 1.1 を無効にすることは必須ではありません。ただ、セキュリティ観点から TLS 1.0 /1.1 を無効にしたいという要件もあると思います。AD FS と WAP (AD FS Proxy) 間では .NET Framework を利用した通信を実施しますが、この通信は既定で TLS 1.0 を利用するように設定されています。そのため、AD FS で TLS 1.0/1.1 を無効にするには事前に .NET Framework で TLS 1.2 を利用するように構成し、そのあとで TLS 1.0 / 1.1 を無効にする必要があります。

.NET Framework の設定を変更しておけば、AD FS と WAP (AD FS Proxy) で TLS 1.0/1.1 を無効にしても、このバージョンのみを使用できるクライアントからのアクセスができなくなる以外に基本的には想定される影響はありません。ただ、過去に TLS 1.0 を無効にした場合にいくつか発生する問題も報告されており、ご使用の環境では TLS 1.0/1.1 を無効にすると問題が発生し、再度有効にする必要がある場合もありますので、以下の公開情報も参照ください。

Considerations for disabling and replacing TLS 1.0 in ADFS

https://support.microsoft.com/en-us/help/3194197/considerations-for-disabling-and-replacing-tls-1-0-in-adfs

.NET Framework を利用した通信で TLS 1.2 を利用するようにする方法

AD FS および WAP (AD FS Proxy) サーバーで .NET Framework に関するレジストリを設定します。

Windows Server 2016 よりも前の OS では、 .NET Framework が TLS 1.2 を利用できるような修正プログラムがインストールされていることが必要です。そのためには以下のセキュリティ アドバイザリ 2960358 を適用します。

マイクロソフト セキュリティ アドバイザリ 2960358

https://technet.microsoft.com/library/security/2960358

この更新プログラムのインストール時に発生する可能性のある既知の問題が報告されておりますので、併せてご確認ください。

(.NET Framework を使用している製品は多くあります。 AD FS / WAP 以外の役割を兼ねている場合には、更新プログラムの適用、 TLS 1.2 を利用させるように変更する際に他に影響が無いかの動作確認が必要です)

セキュリティ更新プログラム 2960358 をインストールした後に、Internet Explorer でホストされるマネージ コントロールを含むアプリケーションとノータッチ デプロイメントが正しく機能しないことがある

https://support.microsoft.com/ja-jp/kb/2978675

更新プログラムの適用が完了しましたら以下のレジストリを変更します。

Windows Server 2016 および Windows Server 2012 R2 は .NET Framework の 4.0/4.5 を利用するため v4.0.30319 キー配下に設定を実施します。

Windows Server 2012 以前は .NET Framework 3.5 を利用するため v2.0.50727 キー配下に設定を実施します。

(両方ともに設定を実施しても問題ありません)

キー：HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319

名前： SchUseStrongCrypto

タイプ: REG_DWORD

値：1

 キー：HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv2.0.50727

 名前： SchUseStrongCrypto

タイプ: REG_DWORD

 値：1

TLS 1.0 / 1.1 無効化方法

.NET Framework の設定が完了しましたら TLS 1.0/1.1 をレジストリ設定により無効にします。

AD FS / WAP (AD FS Proxy) 以外でも TLS 1.0/1.1 を無効にする際のレジストリは以下になります。レジストリを変更しましたら、システムを再起動します。

キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.0Client

名前：Enabled

タイプ: REG_DWORD

値：1

名前：DisabledByDefault

タイプ: REG_DWORD

値：0

キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.0Server

名前：Enabled

タイプ: REG_DWORD

値：1

名前：DisabledByDefault

タイプ: REG_DWORD

値：0

キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.1Client

名前：Enabled

タイプ: REG_DWORD

値：1

名前：DisabledByDefault

タイプ: REG_DWORD

値：0

キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.1Server

名前：Enabled

タイプ: REG_DWORD

値：1

名前：DisabledByDefault

タイプ: REG_DWORD

値：0

なお、管理者権限で次の PowerShell コマンドを実行することで一括して上記設定が可能です。

New-Item 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Server' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null

New-Item 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Client' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.0 has been disabled.'

New-Item 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null

New-Item 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null

New-ItemProperty -path 'HKLM:SYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.1 has been disabled.'

参考情報

Solving the TLS 1.0 Problem

https://www.microsoft.com/en-us/download/details.aspx?id=55266

Managing SSL/TLS Protocols and Cipher Suites for AD FS

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs

Transport Layer Security (TLS) registry settings

https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings

[IT 管理者向け] TLS 1.2 への移行を推奨しています

https://blogs.technet.microsoft.com/jpsecurity/2017/07/11/tlsmigration/

執筆者: Gabriel Silva (Senior Program Manager, R&D Azure Networking)

このポストは、2018 年 1 月 5 日に投稿された Maximize your VM’s Performance with Accelerated Networking – now generally available for both Windows and Linux の翻訳です。

このたび、Windows および最新版の Linux 向けに Accelerated Networking (AN) の一般提供 (GA) を開始いたします。これにより、最大 30 Gbps のネットワーク スループットを無料でご利用いただけるようになります。

Azure 内でプログラム可能な SR-IOV (英語) などのハードウェアやテクノロジにより、AN ではきわめて低いネットワーク レイテンシを維持することができます。CPU 内に存在する Azure のソフトウェア定義ネットワーク スタックのほとんどを FPGA ベースの SmartNIC に移行することで、エンド ユーザー アプリケーションによるコンピューティング サイクルの再生が可能になり、VM の負荷軽減、ジッターの低減、一貫性のあるレイテンシなどが実現します。

一般提供の開始に伴い、地域の制限が撤廃されたため、世界中のあらゆる地域でご利用いただけます。この機能は、D/DSv2、D/DSv3、E/ESv3、F/FS、FSv2、Ms/Mms の各 VM シリーズでサポートされます。

AN のデプロイ エクスペリエンスは、パブリック プレビュー期間中から改良が重ねられてきました。Ubuntu 16.04、Red Hat Enterprise Linux 7.4、CentOS 7.4 (Rogue Wave Software 提供)、SUSE Linux Enterprise Server 12 SP3 などの最新の Linux イメージは Azure Marketplace で公開されており、追加セットアップなしにすぐに使用を開始できます。また、Windows Server 2016 および Windows Server 2012R2 でもすぐに使用可能です。

AN 対応 VM のデプロイの詳細は、AN 対応の Windows VM (英語) および AN 対応の Linux VM (英語) のドキュメントをお読みください。

Hello All,

As you may or may not know the cloud has had PowerBi for a while now and it has been a great success at data visualization creating powerful dashboards and helping people make informed decisions every day.

And now we have PowerBi moving on-prem with the PowerBi Report Server your users will be able to create, publish, and distribute beautiful reports quickly using this tool, as well since Power BI Report Server is part of Power BI Premium you are cloud ready for when you want to move to the cloud.

Installing, what do you need to know?

1. Requirements to install Report Server
   1. .NET Framework 4.6
   2. 1GB free space for installation files, Additional space for Databases on hosting server
   3. Recommend at least 4GB RAM
   4. Recommend 2.0 GHz or faster processor
   5. Installation  account must be in local administrator group
   6. Processor types: x64 Processor: AMD Opteron, AMD Athlon 64, Intel Xeon with Intel EM64T support, Intel Pentium IV with EM64T support
   7. Operating Systems: Windows Server 2016 Datacenter, Windows Server 2016 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows 10 Home, Windows 10 Professional, Windows 10 Enterprise, Windows 8.1, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows 8, Windows 8 Pro, Windows 8 Enterprise
2. Requirements for Report Server Database Server
   1. Supported versions of SQL: SQL Server 2017, SQL Server 2016, SQL Server 2014, SQL Server 2012, SQL Server 2008 R2, SQL Server 2008
   2. Can be local or remote, if remote you need to configure Connection with properly permissioned domain account (See here for more info)

Configuration, what do we do now?

1. The account used for Reporting Services Configuration Manager needs server roles Public and DbCreator.
2. You must be able to setup a Port 80 website with Virtual directory names ReportServer and Reports
3. While you can have Read-Only DC’s the service does need access to a Read-Write DC
4. Connection  to analyze service can be live, and must be one of the following version and Sku

Finally ready to install and configure , so what am I doing?

1. Go online and look under PowerBi Premuim and you will find the link PowerBI Report Server Key or Volume Licensing if you have SQL Server Enterprise SA
2. Download the PowerBi Report Server bits from here
3. Click thru the wizard to install the service
4. Click to configure reporting server, this will initiate the creation of your database.  If using a remote SQL server then follow these instructions to configure the connection string

To get more information about install and config see here

I want more information where can I go:

• What's New in Power BI Report Server
• Microsoft Power BI Blog
• SQL Server Reporting Services Team Blog
• The Guy in a Cube YouTube channel

Pax

Logbucheintrag 180110:

Experten von Microsoft haben in den letzten Wochen an vorderster Front und unter größter Geheimhaltung daran gearbeitet, eine Softwarelösung für die entdeckten Sicherheitslücken an Prozessoren von Intel und anderen zu finden. Weltweit sind Milliarden PCs, Server, Tablets und Smartphones von den Chip-Bugs betroffen – und damit auch die gesamte Infrastruktur in der Microsoft Ökosphäre. Ohne übertreiben zu wollen: die von Wissenschaftlern Mitte des Jahres 2017 aufgefundenen Risiken rund um die bei Prozessoren übliche Funktion „Speculative Execution“ – also dem automatischen Laden mutmaßlich benötigter Daten, das zur Beschleunigung der Rechnerleistung dient – hätte zu einem Super-GAU der Informationswirtschaft auswachsen können.

Vermutlich haben aber die gemeinsamen Anstrengungen von Microsoft, Intel, Google, Amazon und anderen genau das verhindert. Und das ist die wichtigste Lehre aus diesem Vorfall. Es ist nicht nur gelungen, lange Zeit möglichst wenige Informationen über „Meltdown“ und „Spectre“ – so der Codename für die beiden Angriffsmöglichkeiten auf das Sicherheitsleck in den Prozessoren – nach draußen dringen zu lassen. Nur so konnte sichergestellt werden, dass der Fehler im Prozessordesign nicht durch Dritte missbraucht wird. Es ist aber auch gelungen, Software-Updates für die betroffenen Betriebssysteme zu entwickeln, mit denen „Meltdown“ und „Spectre“ praktisch unschädlich gemacht werden konnten.

„Speculative Execution“ ist eine gängige Funktion, mit der nicht ausgelastete Prozessoren Daten vorausschauend laden. Wie sich jetzt zeigte, sind dann aber auch verschlüsselte Informationen im Prozessor unverschlüsselt vorhanden und können – theoretisch – ausspioniert werden. Damit wird die Sperre zwischen Betriebssystem und Prozessor überwunden. Den Prozess, mit dem Hacker hier Daten auslesen könnten, haben Wissenschaftler als „Meltdown“ bezeichnet. „Spectre“ hingegen ist deutlich komplizierter, weil hier die Lücke zwischen Anwendungen oder sogar zwischen Virtual Machines überwunden werden könnte. Es gilt aber als äußerst unwahrscheinlich, dass diese Sicherheitslücken jemals ausgenutzt wurden. Microsoft ist kein Angriff dieser Art auf die Azure-Plattform bekannt.

Im Gegenteil hat sich die Microsoft-Infrastruktur als äußerst krisenfest erwiesen. Sowohl die Updates, die jeden Donnerstag weltweit für Windows-Rechner bereitgestellt werden, als auch die Absicherung unserer globalen Data Centers, auf denen Azure Hunderttausende von Unternehmensanwendungen unterstützt, haben in den letzten Tagen gegriffen. Ursprünglich waren diese Sicherheits-Patches für den 9. Januar geplant; aber nachdem erste Gerüchte in die Welt gesetzt worden waren, haben wir flexibel reagiert und das Update-Datum vorgezogen. Auch das ist ein Zeichen dafür, wie souverän das Microsoft-Ökosystem mit Krisen dieser Größenordnung umgehen kann.

Kunden und Partner, die auf Microsofts Cloud-Services bauen, haben damit einen wichtigen – vielleicht sogar den wichtigsten – Wettbewerbsvorteil für sich: Sie sind Teil einer globalen Infrastruktur, die schnell und zielgenau auf mögliche Gefahren reagieren kann. Anders als beispielsweise kleinere Cloud-Provider mit eigenem Rechenzentrum oder Unternehmen, die ihre IT-Anwendungen im eigenen Betrieb hosten, werden Systeme auf der Azure-Plattform unmittelbar und unverzüglich vor neu auftretenden Bedrohungen geschützt.

Und das zugleich ohne einen nennenswerten Performance-Verlust. Microsoft hat die Updates in den Data Centern zugleich genutzt, um mehr Leistung und mehr Leitung zur Verfügung zu stellen. Dadurch werden mögliche Geschwindigkeitsverluste durch den Bug-Fix bei der Prozessor-Funktion „Speculative Execution“ praktisch ausgeglichen.

Ohne die Fähigkeit, Sicherheits-Updates sofort und weltweit einspielen zu können, hatte es in der Informationswirtschaft zur Katastrophe kommen können. Denn der Austausch fehlerhafter Prozessoren bei Milliarden von Systemen hätte nicht wenige Wochen, sondern Jahre gebraucht. So sind auch jetzt noch immer die Systeme gefährdet, bei denen die Bug-Fixes nicht eingespielt werden. Die Erfahrung zeigt, dass bei allen Risiken, die Sicherheitslücken für den Anwender und seine Daten bedeuten, es manche Unternehmen mit den Updates nicht ganz so eilig haben. Vielen fehlen dabei die personellen Kapazitäten, um ihre komplette Infrastruktur zeitnah zu schützen. Ein Wechsel auf eine Azure-Plattform könnte auch dieses Problem beheben.