Monthly archives: maj, 2017

Hantera macOS-enheter med hjälp av XenMobile

Att hålla koll på macOS-enheter i ett företagslandskap kan vara allt annat än smidigt. Leverans av certifikat, hantering av rättigheter och låsning av förlorade enheter behöver speciallösningar för att kunna fungera i ett landskap som är baserat på Microsoft AD. Många företag väljer idag att exempelvis rulla ut klientcertifikat manuellt på varje dator, då det är knepigt att sköta detta centralt, och släpper ofta ut helt omanagerade mac:ar till användare.

Något som dock ofta missas är att XenMobile sedan i höstas är kapabelt till att managera inte bara mobiltelefoner utan även alla enheter som kör macOS. Om XenMobile redan används i miljön är det inget stort steg att börja managera även mac:ar, och om inget MDM-verktyg används alls i dagsläget så börjar det nog bli dags att fundera på det. Exakt vad som kan kontrolleras kan ni se här, men det innefattar allt från AirPlay Mirroring till Exchange och LDAP.

  • Om XenMobile redan är konfigurerat för iPhones så behöver vi bara sätta upp policies innan klienterna läggs upp i systemet. Här nedan skapar jag en policy för utrullning av certifikat från en Microsoft CA:
     
  • När alla profiler väl är uppsatta är det endast att surfa in mot rätt URL: https://ServerFQDN:8443/zdm/macos/otae och logga in:

    Idag finns tyvärr inget stöd för tvåfaktor (man får en ruta för en kod, men det finns inget sätt att skapa en) men detta ska dock finnas i nästa release av XenMobile som kommer snart.
  • Efter detta kommer ett antal rutor där man behöver godkänna installation av profiler. Ni som någon gång enrollat en iPhone känner kanske igen dessa:

  • Avsluta med ditt lösenord:
  • Och när rutan nedan kommer upp så är enheten registrerad i systemet och redo att ta emot kommandon:
  • En titt i MDM-konsolen visar även att vi har enheten tillgänglig där:

Om XenMobile redan används för manageraing av mobila enheter är det alltså inte svårare än att lägga upp policies och sedan registrera sina datorer, så är de sedan managerade och skyddade precis som mobiltelefonerna.

Denna funktionalitet missas ofta när man väljer EMM-verktyg, och är inte heller helt självklar att ha i tankarna även efteråt, men om ni liksom jhag någon gång suttit och svurit över problemen med att managera mac:ar så är jag övertygad om att detta underlättar åtminstone lite.



Provisioning services – Activate SMB2 for better security and performance

When installing Provision Services 7.x and below on a Windows 2008 R2 or Windows 2012 R2 – The Provisioning installer will disable SMB2 and only allow SMB1 on the server.
NOTE: SMB2 will still be enabled with a new install of PVS 7.13 (Thanks Andrew Wood).

Verify which SMB protocols are enabled on Windows 2012 R2 by running the following powershell command:

View SMB Protocols

View SMB Protocols


SMB 1.0 (or SMB1) – Used in Windows 2000, Windows XP and Windows Server 2003 R2 is no longer supported and you should use SMB2 or SMB3 which has many improvements from its predecessor. Another big reason is to prevent the security-hole that the WannaCry/Wcry/WannaCrypt0r-ransomware utilizes to infect and spread if you have not installed the security patch MS from Microsoft released 14th of March 2017.

Here’s a very brief summary of what changed with each version of SMB:

  • From SMB 1.0 to SMB 2.0 – The first major redesign of SMB – Windows Vista (SP1 or later) and Windows Server 2008
    • Increased file sharing scalability
    • Improved performance
      • Request compounding
      • Asynchronous operations
      • Larger reads/writes
    • More secure and robust
      • Small command set
      • Signing now uses HMAC SHA-256 instead of MD5
      • SMB2 durability
  • From SMB 2.0 to SMB 2.1 – The version used in Windows 7 and Windows Server 2008 R2
    • File leasing improvements
    • Large MTU support
    • BranchCache
  • SMB 3.0 – The version used in Windows 8 and Windows Server 2012

SMB2 has a requirement to utilize Oplocks. Enabling Oplocks will not cause any failures so long as the write cache is not stored on the Provisioning Server.
SMB2.1 introduced leasing and is more flexible and results in significant performance improvement in a high latency network.

If the write cache is on the PVS server then this would happen:

  1. You have two PVS servers, PVS1 and PVS2.
  2. The write cache for targets is hosted on \\FileSRV01\store
  3. A target device is connected to PVS1 and PVS1 becomes unavailable.
  4. The target device fails over and connects to PVS2.
  5. PVS2 cannot connect to the write cache file because PVS1 still has the exclusive OPlock to the file. Eventually, the OPlock will timeout and PVS2 will be able to connect to the write cache file, but there will be a delay.
    Cache-on-Server

ENABLE SMB2 and DISABLE SMB1

To activate SMB2 and disable SMB1 on Windows 2008 run the following PowerShell command:

To activate SMB2 and disable SMB1 on Windows 2012 run the following PowerShell command:

A reboot is required to activate the new settings. As always, perform any changes in a test scenario first, before deploying into production. This is important since Windows XP and Windows 2003 utilizes SMB1 and will not be able to communicate with servers over SMB where SMB1 has been disabled.

If you have any questions or feedback about above, feel free to leave a comment below!