Monthly archives: juli, 2016

Lastdelning av ADFS med NetScaler

Tänkte bara skriva ner några korta steg för hur jag användare Citrix NetScaler för lastdelning (och ersättare för ADFS Proxy / WAP). Nedan är hur jag gjort i tidigare version (innan 11.1) då SNI inte var supporterat.

Konfiguration på NetScaler:

Värt att tänka på kring detta är att klientcertifikat inte kommer fungera ihop med konfigurationen som den ser ut ovan. Min rekommendation om det behövs skulle vara att köra SSL_BRIDGE, men då behövs även WAP för den externa åtkomsten. Jag har inte tittat på att exemeplvis köra certifikatsbaserad autentisering i NetScaler för att sedan köra KCD mot ADFS, vilket kanske skulle fungera.

För att ovan konfiguration skall fungera behöver några saker göras på ADFS-servrarna.

Steg 1: Inaktivera SNI

Steg 2: Inaktivera Extended Protection Token Check (annars fungerar inte WIA / SSO internt)

 



Integrera Application Virtualization med Citrix Provisioning Services

För ett tag sedan var jag i ett projekt där vi ville använda Microsoft Application Virtulization (App-V) 5.1 och Citrix Provisioning Services (PVS) 7.8. Detta är fortfarande ett relativt outforskat område även om möjligheten har funnits under en längre tid. Under projektets gång stötte vi på två stycken problemområden; startmeny och laddningstider av AppV-paket för slutanvändare. Citrix har i samråd med Microsoft lagt ut en integrationsöversikt. Denna innehåller bra information om själva funktionerna i AppV, men inte hur man sätter ihop helheten. Tanken med projektet var att behålla en så ren PVS Master som möjligt, fri från applikationer för att enkelt kunna uppdatera och underhålla applikationer utan att skapa nya vDiskar.

Redirected startmeny och inladdningstider av applikationer

Det bästa sättet för att skapa en startmeny i Citrix XenApp 7 är fortfarande att använda sig av redirected startmeny. Ett utav de stora problemen med App-V Management Infrastrukturen är att den behöver ha skrivbehörigheter på startmenyn för att kunna populera genvägarna.  Ett annat problem är att användarna behöver vänta på att App-V paketen laddas in i sessionen innan man kan starta dem. I en miljö där man estimerar att köra ungefär 400 applikationer är det orimligt att vänta på att alla dessa applikationer skall laddas in, innan användarna kan börja jobba och starta applikationerna.

För att slippa väntetiden av inladdningen av applikationer via App-V så kollade vi på att ”cacha” applikationer direkt på våra PVS Targets. Vid uppstart lade vi in ett uppstartsskript. Problemet med detta är att varje applikation behöver laddas in vid uppstart av alla targets. Fem AppV-applikationer tog ungefär 15 minuter att ladda in vid uppstart, vilket innebär att 400 applikationer skulle ta… lång tid.

Lösningen blev att köra samma startupskript på våra Masters. Eftersom vi vet att vi skulle behöva göra minst en vDisk per månad för att underhålla miljön genom Windows Updates så gör detta att applikationer läggs till, förändras eller tas bort successivt vid omstart utan någon manuell handpåläggning. Vi kör nedan skript på både Master och Targets, vilket gör att de applikationer som inte redan är cachade direkt på vDisken laddas in vid omstart. När man gör en ny vDisk laddas de applikationer som inte redan finns på Mastern in.

Eftersom samtliga paket finns inlagda direkt Mastern och i sin tur vDisken som publiceras, gör detta att du kan peka dina genvägar från din redirected startmeny till C:\Programdata\AppV\<AppID>\<VersionID>\*.exe. När applikationerna redan är lagrade lokalt, kommer användarna få en mycket bättre användarupplevelse. I princip så nära på lokalt installerade applikationer som möjligt.

Kontakta gärna mig om du har problem eller vill diskutera  App-V integrationer i din Citrixmiljö.



Ny version av Imprivata OneSign

Xenits partner Imprivata har nyligen släppt version 5.2 av sitt marknadsledande system för Single Sign-On och användarautentisering, OneSign. Den nya versionen innehåller en rad förbättringar men även nya funktioner som kan förenkla vardagen för både IT-personal och slutanvändare.

Stöd för Microsoft Windows 10

Agenten som installeras på klienter stödjer nu officiellt Windows 10, vilket låter företag och organisationer att lämna allt mer åldrande uppsättningar baserat på tidigare versioner av Windows.

Stöd för Microsoft Remote Desktop Service

Utöver Citrix XenApp/XenDesktop och VMware Horizon finns det nu stöd även för Microsoft RDS, både som Remote App och som Remote PC. Alltså kan man nu även i en RDS-miljö få skrivbord och applikationer som automatiskt startar upp och följer med användare när de flyttar mellan arbetsstationer.

Självhantering av lösenord för användare

Tidigare har användare själv kunnat återställa sitt lösenord genom att ge svar på tidigare sparade frågor, mycket på samma sätt som när man glömt sitt lösenord på valfri webbsida. Nu har denna funktionalitet utökats med att även kunna visa vilka komplexitetskrav som gäller för nya lösenord samt möjlighet att låsa upp ett låst domänkonto.

Förbättrad licenshantering på tunna klienter

Tunna klienter som använder sig av Imprivata ProveID och Citrix Fast User Switching kan nu konfigureras så de istället för att starta en session automatiskt först väntar på en inloggning från användare. Detta gör att en oanvänd klient inte länge allokerar en Citrixlicens, utan att det sker först när den börjar användas.

Utökad Kerberos-integration

Integrationen med Kerberos har stärkts i denna version, vilket gör att ingen autentisering längre behöver gå via OneSign, utan att förtroende kan upprättas mot alla enheter som är betrodda av Kerberos.

Enrollment Utility

Det finns nu ett gränssnitt för slutanvändaren där de själva kan managera sina kopplade kort, fingeravtryck och sin PIN-kod utan att behöva blanda in support.

Utöver dessa finns en mängd mindre punkter, såsom stöd för fler kortläsare, starkare kryptering, mer flexibla intervall för synkronisering, stöd för Sophos Safeguard Enterprise 7, samt nya versioner av agenter och programvara från Citrix och VMware.

 

Xenit hjälper gärna till med både uppgraderingar och nyinstallationer av Imprivata OneSign. Vill ni ha mer information eller undrar någonting i övrigt, tveka inte att kontakta oss via e-post eller telefon. Läs även gärna vårt tidigare blogginlägg gällande Imprivata OneSign som ni finner här.

 



Ransomware – blir mer och mer intelligenta

Ransomware, cryptovirus, fortsätter att spridas och är ett stort problem idag. De blir mer och mer intelligenta vilket vi skrivit om i Ransomware – lite mer teknik och missuppfattningar. Nu på sistone så har vi sett fler ransomware som siktar på Office 365 kunder och med ransomware Cerber. Med hundratals miljoner mailkonton så förstår man att de vill komma åt dessa och många kanske tror att bara för man outsourcat till Microsoft eller Google så är man säker – tyvärr är det inte fallet. Faktum är att de som tillverkar dessa gör allt de kan just för att de ska lyckas gå förbi dessa stora leverantörers säkerhetslösningar.

Som vanligt finns det inte ett sätt att skydda sig mot ransomware. Vi har sedan tidigare publicerat våra 13 steg till att undvika skadlig kod och flera av dessa hade kanske inte hindrat användaren att få det infekterade mailet, men det är stor chans användaren ändå inte kan exekvera det och fårbegränsad spridning.

Det som är intressant med attacken mot Office 365 är hur det kunde få förbi Microsofts säkerhetsfunktioner. Det finns flera anledningar till det och en av dem är att Cerber byter hash-algoritm var 15e sekund vilket gör att alla signaturbaserade säkerhetsskydd som många Antivirus är, inte reagerar. En annan är att det verkar som attacken initierades från ett internt konto i Office 365.

Fördelen att ha med en stor leverantör av e-maillösning är att de är snabba på att reagera och inom 24 timmar hade Microsoft en lösning på plats för att förhindra spridningen.

ransomware-cerber

Referens: Widespread Attack on Office 365 Corporate Users with Zero-day Ransomware Virus