Monthly archives: februari, 2016

Office 365 ProPlus – Förtydlingande av versionscyklar och namnbyte

Företag har tidigare haft möjlighet att välja frekvensen av uppdateringar för Office 365 ProPlus. Samma möjlighet ges fortfarande men Microsoft har valt att byta namn på de olika versionerna.
Nedan tabell listar gammalt respektive nytt namn på de olika cyklarna. Det är viktigt att notera att servicemodellen för respektive version är den samma som innan.

Current Branch Current Channel
Current Branch for Business Deferred Channel
First release for Branch for Business First release for Deferred Channel

De olika versioncyklarna medför inte bara olika nivå på ny funktionalitet utan också support och säkerhetsuppdateringar. Nedan listas de stora skillnaderna mellan versionerna.

Current Channel
Current Channel är byggd för företag som vill ha de senaste uppdateringarna direkt, Current Channel används av alla icke ProPlus versioner av Office 365.

Fördelar:

  • Uppdateras ungefär en gång i månaden med de senaste nyheterna och funktionerna
  • Uppdateras varje månad för stabilitet och optimeringar

Nackdelar:

  • Uppdateringar kan medföra problem för företag med många större macro-dokument och specialiserade office add-ins
  • Support begränsad till aktuell version, om denna ej uppdateras kontinuerligt förloras säkerhetspatchning och support

Deferred Channel
Deferred Channel släpps var fjärde månad och bör användas av de företag som kräver längre tid att utvärdera och anpassa verktyg till Office paketet men samtidigt få säkerhetsuppdateringar. Företag som använder Deferred Channel kan också välja att hoppa över en version för en total period av 8 månader mellan uppdateringar innan support går ut.

Fördelar:

  • Längre utvärderingsperiod av version för att hitta och undvika ”barnsjukdomar”
  • Tillhandahåller längre stabilitet med upp till 8 månader mellan uppdateringar
  • Uppdateras varje månad med de senaste säkerhetspatcharna

Nackdelar:

  • Uppdateringar för stabilitet och optimeringar dröjer 4 månader
  • Nyheter och funktionalitet släpar efter minst 8 månader från ”Current Channel”

First Release for Deferred Channel
First Release for Deferred Channel släpps cirka 4 månader innan en ”Deferred Channel” uppdatering och existerar för att ge företag en förhandsvisning av funktionalitet och andra nyheter. Denna uppdateringscykel är rekommenderad att användas som en utvärderingsversion för pilotanvändare samt i QA syfte till applikationsutvecklare av office-macro och add-ins. En First Release for Deferred Channel bör endast användas tillsammans med en ”Deferred Channel” uppdateringscykel

Fördelar:

  • Ger företag en möjlighet att utvärdera en potentiell framtida ”Deferred Channel” funktionalitet
  • Under en 4 månaders period tillhandahålls uppdateringar med de senaste säkherhetspatchar och uppdateringarna för stabilitet och optimeringar

 

För mer ingående information se Microsofts artiklar nedan.

https://technet.microsoft.com/library/mt455210.aspx

https://technet.microsoft.com/en-us/office/mt465751.aspx

https://technet.microsoft.com/library/mt584223



Svart skrivbord med Citrix VDA 7.6

Fler har börjat installera XenApp-miljöer på Windows 2012 R2. Vid installation av XenApp 7.6 VDA-agent på en Windows 2012 R2, kan man eventuellt stöta på att publicerade applikationer och skrivbord inte fungerar optimalt. Som till exmpel ett svart skrivbord när användare loggar in.

Symptom:

Nedan följer två symptom som kan uppstå när man försöker ansluta till en Citrix XenApp 7.6 miljö.

  • Vid start av publicerad applikation står det att den startar, men dyker aldrig upp när den laddat färdigt.
    Citrix Receiver Appstart
  • Vid försök att nå publicerat skrivbord blir det endast en svart ruta när man ansluter.
    Citrix Receiver svart skrivbord

    Citrix Receiver svart skrivbord

Anledningen är att VDA-agenten inte hittar korrekt sökväg till mfaphook64.dll, som lägger sig mellan VDA-agenten och de processer som startar på XenApp-hostar. VDA-agenten hänvisar till C:\Citrix\System32\mfaphook64.dllDenna sökvägen finns ej och kan således inte laddas in.

För att verifiera om mfaphook64.dll är laddad korrekt kan man använda verktyget Process Explorer. Är det felaktigt konfigurerat är det endast spoolsv.exe som dyker upp. Laddas mfaphook64.dll korrekt kan man se att DLL-filen kopplar på sig på flera processer.

DLL-filen mfaphook64.dll laddas ej
mfaphook65.dll laddas ej
DLL-filen mfaphook64.dll laddas korrekt
mfaphook65.dll laddas korrekt
Lösningen är att redigera registervärdet som heter ”AppInit_DLLs” på de servrar där XenApp 7.6 VDA-agenten är installerad enligt nedan:

PATH: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
REG_SZ: AppInit_DLLs
Value: mfaphook64.dll

Förslagsvis applicerar man registerförändringen med Group Policy Preferences under Computer Configuration på de XenDesktop/XenApp-hostar där problemet uppstår.
Group policy preferences register applicering



Säker SSL-konfiguration på Citrix NetScaler blev precis smidigare

Att konfigurera olika inställningar för SSL på Citrix NetScalers virtual servers blev enklare för ett tag sedan då SSL Profiles släpptes. Det man behövde göra då var att skapa en profil, binda den mot den virtuella servern (eller service/serviceGroup om det är en backend profile) samt lägga på ciphers. Detta gjorde att det blev en hel del konfiguration per virtual server/service/serviceGroup.

Tidigare kunde det se ut så här:

I och med den senaste versionen (11.0 build 64.34) utökades funktionaliteten så konfigurationen blir betydligt enklare. Se nedan för beskrivningen från Citrix Release Notes:

Enhanced SSL Profile
The SSL infrastructure on the NetScaler appliance is continually updated to address the ever growing requirements for security and performance. Vulnerabilities in SSLv3 and RC4 implementation have emphasized the need to use the latest ciphers and protocols to negotiate the security settings for a network connection. Implementing any changes to the configuration, such as disabling SSLv3, across thousands of SSL end points is a cumbersome process. Therefore, settings that were part of the SSL end points configuration have been moved to the SSL profile, along with the default ciphers. To implement any change in the configuration, including cipher support, you need only modify the profile. If the profile is enabled, the change is immediately reflected in all the end points that the profile is bound to.
Important: After the upgrade, if you enable the profile, you cannot reverse the changes. That is, the profile cannot be disabled.
[# 533640]

Mer information om hur det fungerar finns på Citrix Product Documentation.

Vad behöver då göras för att konfigurera detta? Se nedan, men gör det i en testmiljö först då det inte går att inaktivera när det väl är aktiverat.

  1. Börja med att aktivera default-profiler i SSL-paramterar
     
  2. Nästa steg, om det inte redan finns, så skapa en diffie hellman-nyckel
     
  3. Därefter, skapa en cipher-lista – exempelvis enligt Steven Wrights blog Scoring an A+ at SSLlabs.com with Citrix NetScaler (the sequel)
    Exempel på lista för MPX
    Exempel på list för VPX
     
  4. Därefter modifiera default-profilerna för att applicera det till alla vservrar/services/serviceGroups som inte redan har någon profil:
     
  5. Som sista steg kan en header infogas för Strict Transport Security, i nedan exempel globalt:
     

När detta är klart skall det förhoppningsvis vara betydligt smidigare att hålla konfigurationen standardiserad.

 



Ransomware – lite mer teknik och missuppfattningar

Vissa av er kanske läst vår bloggpost om 13 steg för att undvika skadlig kod. Den är fortfarande högst aktuell för vi ser att speciellt antalet Ransomware ökar. Även Microsoft säger att 27% av deras säkerhetsärenden 2014 handlade just om Ransomware [referens].

Det råder en del missuppfattningar om just Ransomware som jag tänkte ta upp. Först och främst, och det är lika bra vi säger det på en gång – råkar du ut för Ransomware och dina filer krypterats så är de borta. Det finns idag inga kända sätt att dekryptera dem.

Ransomware dyker ofta upp som bifogade filer i e-mail eller att användare ombes klicka på en länk. Det kan vara en .zip eller en .scr som är en skärmsläckare och därmed exekverbar fil eller så kan det vara en PDF. Detta är allmänt känt men trots detta ser vi att användare fortfarande klickar på dem.

Tyvärr stoppas inte alltid dessa mail/bifogade filer av mailtvätt eller Antivirus då de ofta inte hittas av signaturbaserade säkerhetsprodukter.

Har du kanske någonsin laddar ner en Office-fil och fått följande?

enable_macro

Detta är också ett sätt för Ransomware sprida sig för när du trycker Enable content så körs macrot och infektering kan ske.

Det kan också spridas genom helt legitima webbsidor genom så kallade Exploit Kits. Förutom att webbsidor blivit hackade så har det inträffat att företag som skapar reklambanners för webbsidor har blivit hackade så när en användare besökt en helt legitim, till exempel en nyhetssida, som haft reklambanners från detta företag så har de blivit infekterade. Därför behöver det inte vara okunniga användare som klickar på felaktig bifogad fil eller länk.

Vissa Ransomware utnyttjar säkerhetshål i Windows men det är absolut vanligare att säkerhetshål i Java, Adobe Reader och Flash utnyttjas så därför är det viktigt att hålla dessa uppdaterade. Exploit Kits är också intelligenta så när användaren besöker en infekterad webbplats så kommer den läsa av vilken version användare har installerat och exekvera exploits just för den versionen.  Trots att patchning av Windows och alla 3e parts produkter sker omgående så finns det 0-day exploits, det vill säga att ett nytt säkerhetshål upptäcks och utnyttjas bara ett par timmar senare.

Väldigt intelligenta varianter av Ransomware attackerar även OneDrive, Dropbox och kan till och med inaktivera och ta bort alla Shadow Copies backuper.

En av våra rekommendationer är att inte låta användarna vara administratörer, men det är bara en av många åtgärder för användarna behöver inte vara administratörer för att företaget ska inflekterat. Många Ransomware exekveras i kontexten av en vanlig användare så alla filer användaren har behörighet till, vilket ofta är många om användaren har en uppmappade nätverksenhet, typ G:

Ransomware kommer förmodligen inte minska för det har visat sig lukrativt. En artikel från BBC skriver om ett nätverk som spred Ransomware. Trots att bara 1.3% valde att betala för att dekryptera sina filer så räknar de med att hackarna fick in över 30 miljoner kronor.

Kontakta oss om du behöver hjälp att förebygga Ransomware.