Tag archieven: RES Software

Was de verspreiding van xDocCrypt te voorkomen?

Geplaatst op door

malwareNederland (en de rest van de wereld) is op dit moment in de ban van een virus dat zicht razendsnel verspreidt en redelijke schade aanricht aan office documenten, genaamd xDocCrypt/Dorifel. Virusscanners kenden de handtekening van het virus nog niet en grepen daardoor te laat in.

Het virus wordt niet op gebruikelijke manieren op een computer geïnstalleerd. Normaal komt een virus het systeem binnen via besmette USB sticks of via bestanden die worden gedownload van internet of binnenkomen via mail. In dit geval wordt het virus gedownload en geïnstalleerd door bestaande malware (Citadel / Zeus genoemd) die al op de computer staat. Deze software is eerder op de machine terecht gekomen en bouwt een verbinding op met zijn ontwerper. Het doet niets en slaapt totdat het van zijn ontwerper een opdracht krijgt. In dit geval het downloaden van een virus, dat daarna gestart wordt en documenten gaat besmetten. Ondertussen blijkt dat de malware een nieuw virus (Hermes) downloadt dat nog meer kwaad kan aanrichten en zich vooral bezighoudt met het onderscheppen van bankgegevens.

Maar als virusscanners te langzaam zijn met het herkennen van het virus, is er dan toch een mogelijkheid om het virus te voorkomen? Mijn antwoord hierop is dat het nooit helemaal is te voorkomen, maar je kunt het wel moeilijker maken door middel van een goede Workspace Management oplossing.

Kijken we naar Microsoft Windows zelf, dan vinden we daar al een mogelijkheid om het opstarten van het virus te blokkeren. Via de AppLocker functie is een pc met Windows Vista / Windows 2008 of hoger te beveiligen tegen het starten van onbekende executables. RES Workspace Manager 2012 LogoRES Workspace Manager kent een soortgelijke functie en blokkeert het starten van executables waar de gebruiker geen rechten op heeft of die onbekend zijn in het systeem. Het instellen hiervan kost echter wel tijd. Je geeft immers een whitelist op van executables die mogen starten op het systeem. Gelukkig is RES WM zo ontwikkeld dat het al veel van dit soort instellingen automatisch regelt aan de hand van de applicaties die de gebruiker in het startmenu krijgt. Bijkomend voordeel van RES WM is, is dat een gebruiker ook geen applicaties kan starten waar hij geen rechten op heeft, maar andere gebruikers wel. Deze functie kent zowel binnen Windows als binnen RES Workspace Manager de mogelijkheid tot het loggen van applicaties die geblokkeerd worden. Daarbij word je als systeem beheerder snel getriggerd dat er wat aan de hand is binnen de omgeving, zo gauw meerdere gebruikers dezelfde onbekende executable proberen te starten. Overigens had deze functie ook het starten van de Citadel/Zeus malware kunnen voorkomen, waardoor het virus niet eens gedownload had kunnen worden.

Naast Applicatie Security kent RES Workspace Manager ook een Netwerk Security functie. Hierin is het mogelijk om een whitelist of blacklist op te maken van applicaties die het netwerk op bepaalde poorten mogen benaderen. Mocht je hier kiezen voor een whitelist, dan had het virus geen verbinding naar buiten kunnen openen, omdat dit geblokkeerd wordt door de Workspace Manager. Bij gebruik van Blacklists was het virus wel actief geworden, maar had een grotere verspreiding sneller kunnen worden voorkomen, door de gebruikte ip-adressen waar het virus wordt gedownload, te blokkeren op alle machines.

Als laatste biedt de Data Security (Read-Only Blanketing) binnen RES Workspace Manager een goede beveiliging tegen het schrijven naar de systeemdisk. Deze zorgt ervoor dat applicaties niet zomaar op de systeemdisk van een systeem data kan wegschrijven. Je moet daarvoor expliciet toestemming geven per locatie/bestand. In dit geval had dit echter niet geholpen, omdat de malware het virus in het gebruikersprofiel opslaat (c:\users\[username]\application data\roaming). Juist deze locatie is standaard open voor gebruikers, omdat hier alle gebruikersinformatie wordt opgeslagen.

Aangezien het virus wordt opgeslagen in het gebruikersprofiel, hadden hybride profielen (vaste profielen waarbij de Workspace Manager er voor zorgt dat alleen goedgekeurde instellingen worden opgeslagen bij het uitloggen) een extra wapen tegen het virus geweest. Bij het uitloggen van een gebruiker wordt het virus dan weer uit zijn profiel verwijderd. Dit in tegenstelling tot het gebruik van roaming profielen, waarbij het virus zich kan verspreiden naar andere systemen, als de gebruiker van werkplek wisselt.

De bovengenoemde functies van Workspace Managers (en specifiek RES Workspace Manager) worden deels als advies gegeven door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie. Het inregelen van een Workspace Manager oplossing is echter niet in een paar minuten gedaan. Voor meer informatie hierover kunt u onder andere contact opnemen met mijn werkgever, www.centric.eu . Daar kunt u tevens terecht met vragen over het virus en over het oplossen van de aangerichte schade door het virus.

Bronnen:

Citrix XenApp integratie in RES Workspace Manager – “The Poor Man’s Solution”

Geplaatst op door

RES Workspace Manager kent met de Advanced Administration een perfecte integratie met Citrix XenApp. Applicaties die op silo’s staan, kunnen via RES Workspace Manager worden gepubliceerd en worden opgenomen in het startmenu van de gebruiker. Mocht een gebruiker een applicatie starten die niet op de server staat waar hij op dat moment op zit (en dus op een silo server draait), dan wordt automatisch de Citrix Receiver gestart en verbinding gemaakt met de applicatie. Dit werkt zoal met silo’s binnen dezelfde farm waar je gepubliceerde desktop onder valt, als silo’s in een andere farm (bv. een XenApp 5.0 farm onder Windows 2003 voor applicaties die niet werken op Windows 2k8 R2).

Maar wat als je om één of andere reden alleen de Composition & Personalization module hebt gekocht en je gebruikers toch één startmenu wil aanbieden waar de applicaties van de gepubliceerde desktop als die van de silo’s in staan? In dat geval moet je een truc uitvoeren met behulp van de Citrix Receiver. Het idee is dat RES Workspace Manager eerst het startmenu opbouwt met applicaties die op de hoofddesktop staat en dat daarna de Citrix Receiver het startmenu aanvult met applicaties die op de silo’s staan geïnstalleerd. Daarbij willen we uiteraard op de silo wel RES Workspace Manager inzetten voor het beheer. Tevens gaan we uit van de Citrix Reciever met ingebouwde Program Neighbourhood Agent.

Stap 1: Aanmaken silo applicaties in RES Workspace Manager

We willen de kracht van RES Workspace Manager gebruiken op de silo servers. De applicaties die we op de silo’s gaan starten, plaatsen we dan ook binnen RES WM, zodat we van alle mogelijkheden van RES WM gebruik kunnen blijven maken. In onderstaande stappenplan ga ik er dan ook vanuit dat RES Workspace Manager al op de silo servers is geïnstalleerd.

  • SNAGHTMLc8d8788Maak eerst een aparte Workspace aan voor de silo servers (node User Context – Workspace Containers) en plaats hier alle silo servers in.
  • Maak daarna een aparte subfolder in het startmenu (Composition – Applications – New Menu). Hierin komen alle applicaties die op de silo servers staan (al dan niet in hun eigen subfolders). Hierdoor kunnen we makkelijker de “normale” applicaties van de silo applicaties scheiden.
  • Voeg nu de applicaties van de silo’s servers toe. Het beste kun je dit doen vanaf een WM Management Console op de silo server waar de applicatie staat, omdat je dan makkelijker kunt browsen naar de applicaties bij het toevoegen ervan i.p.v. het hele pad met de hand in te voeren (wat de kans op fouten vergroot). Zorg ervoor dat je de applicatie in de net aangemaakt subfolder binnen het startmenu plaatst.
  • imageVerander de volgende instellingen binnen de applicatie eigenschappen van de toegevoegde silo applicatie:
    • Onder Properties – Settings: Zet het vinkje bij ‘Hide application’. We verbergen de applicatie binnen het startmenu van de gebruiker. Dit voorkomt problemen als je per ongeluk de workspace niet goed in zou stellen.
    • Onder Access Control – Workspace Containers: Plaats de applicatie in de workspace van de silo servers. Dit zorgt ervoor dat RES WM de applicatie niet toevoegt aan het startmenu van de gebruikers. De applicatie staat immers niet op de servers waar de gebruikers hun desktop hebben.
  • SNAGHTMLc99d07aMaak een notitie van de applicatie id van de silo applicatie. Deze vind je binnen de applicatie eigenschappen op het tabblad Properties – General. Onthoud deze ID, want die hebben we nog nodig. Onthoud tevens de gebruikersgroep die je hebt gebruikt bij het aanmaken van de applicatie (tabblad Access Control – Identity)

Stap 2: Publiceren van de Silo applicatie

De volgende stap is het publiceren van de applicatie binnen Citrix. Doe dit op de manier zoals je dit normaal ook zou doen voor applicaties die je binnen de webinterface wil aanbieden of via de receiver. Het enige verschil is, dat je de applicatie niet rechtstreeks aanroept, maar dit via RES Workspace Manager laat lopen. imageDit doe je door de volgende command line te gebruiken (uitgaande van een 32bit server): “c:\program files\res software\Workspace Manager\pwrgate” xx “%*”   Hierbij is xx het applicatie ID die de applicatie heeft gekregen binnen RES Workspace Manager. Bij een 64bit silo server gebruik je uiteraard “c:\program files (x86)”. Ook kun je %respfdir% gebruiken in het path (i.p.v. c:\program files\res software\workspace manager), dan gaat Citrix bij het starten automatisch naar de juiste folder

Alle overige instellingen maak je zoals je de applicatie ook normaal aan zou bieden. Dus vol een naam in voor het startmenu, selecteer de silo server onder ‘servers’, selecteer de juiste gebruikersgroep (die je ook gebruikt hebt binnen RES WM) en geef de applicatie het juiste icoon.

Stap 3: Starten van de Citrix Receiver

Nu moeten we nog zorgen dat de Citrix Receiver start en de applicaties van de silo server toevoegt aan het startmenu dat de gebruiker initieel krijgt van RES Workspace Manager. De Citrix Receiver moet op de server zijn geïnstalleerd inclusief de single sign-on module, zodat de gebruiker niet nog een keer moet inloggen als de Citrix Receiver start.

  • Zorg ervoor dat de Reciever niet opstart als de gebruiker inlogt, voordat RES Workspace Manager klaar is. Verwijder daarom de Citrix Receiver uit de opstart folder van het startmenu van Windows Explorer en verwijder hem uit het register onder de RUN-keys.
  • imageVoeg de instellingen van de Receiver toe aan het register. Ten tijde van schrijven werd de URL die de reciever gebruikt opgeslagen in HKCU\Software\Citrix\Program Neighborhood Agent onder de key Config URL. Deze kun je als registerinstelling opnemen in RES WM (Node Composition – Actions by Type – User Registry).
  • Voeg nu als laatste de Citrix Receiver toe aan het startmenu van de gebruikers en plaats deze in de workspace van de servers die de gebruikers de desktop aanbieden. Zorg ervoor dat je onder de eigenschappen van de Citrix Receiver, aangeeft dat deze automatisch moet starten voor alle gebruikers. Je kunt er tevens voor kiezen dat de Citrix Reciever niet zichtbaar wordt gemaakt binnen het startmenu van de gebruikers.

Dat is alles. Als een gebruiker nu inlogt wordt het startmenu voor deze gebruiker eerst door RES Workspace Manager gevuld met applicaties. Volgens start RES WM de Citrix Receiver voor de gebruiker. Door Single Sign-On logt deze automatisch in op de Citrix Services Site en haalt daar de gepubliceerde applicaties op silo servers op voor de gebruiker. Deze worden dan toegevoegd aan het startmenu van de gebruiker. Als de gebruiker een silo applicatie start, handelt de Citrix Receiver deze af. Deze maakt verbinding met de silo server en start PowerGate op. Deze zal de eerste keer RES WM de instellingen laten maken voor de gebruiker (printers, netwerkshares, etc.) en vervolgens de silo applicatie starten.

Deze methode heeft een aantal minpunten. Hij is omslachtig en vergroot de beheerdruk voor de silo applicaties. De kans op (type)fouten bij het aanmaken en onderhouden van de applicatie is groot. Tevens moeten gebruikers bij het vernieuwen van de workspace, ook handmatig de Citrix Receiver opdracht geven om de applicaties te verversen. Bij het vernieuwen van de workspace zal RES WM namelijk alle niet bekende applicaties uit het startmenu verwijderen. De Citrix Receiver moet dan opdracht gegeven worden om de silo applicaties er weer aan toe te voegen.

Als je de mogelijkheid hebt om de Advanced Administration Module van RES Workspace Manager erbij te kopen, dan is mijn advies dat ook te doen. Deze module vereenvoudigd het beheer van silo applicaties aanzienlijk, omdat je op dat moment de silo applicatie op precies dezelfde manier beheerd als alle overige applicaties. De RES WM zorgt voor het publiceren binnen Citrix Xenapp en zorgt er tevens voor dat de receiver wordt gestart als een gebruiker een gepubliceerde applicatie aanklikt in zijn startmenu. Tevens is er de mogelijkheid om XenApp servers te groeperen. Mocht er een server bijkomen of afvallen, dan kun je dit regelen in een XenApp groep in Workspace Manager. Op het moment dat de groep veranderd, worden gelijk alle gepubliceerde applicaties aangepast. Dit scheelt een hoop tijd omdat je in een XenApp 4.5 / 5.0 omgeving niet alle applicaties met de hand hoeft na te lopen. Tevens zorgt het maken van groepen XenApp servers in WM voor een beter overzicht van de servers. Namen zeggen immers meer dan een servernaam met een volgnummer.

Highlights van de RES Software Partner Dag

Geplaatst op door

Tijdens de RES Partnerdag is veel informatie naar buiten gekomen over de nieuwe producten en versies. In deze blog een korte samenvatting voor wat ons staat te wachten. Veel ervan is al naar buiten gekomen via Twitter, maar hierbij een korte samenvatting.

RES zet in op de consumenten, de gebruikers van datgene wat wij, de IT aanbieden. IT as a Service wordt IT is a Service. De IT afdeling is service verlenend en helpen de gebruiker om te kunnen werken met het device dat hij zelf wil gebruiken. Tevens helpen wij hem bij de inrichting van zijn werkplek. Hiervoor is het nodig om een Enterprise IT Store aan te bieden. Hierin worden niet alleen applicaties aangeboden (= Appstore) maar ook alle andere services die IT kan aanbieden. Denk bijvoorbeeld aan het aanpassen van de gebruikersgegevens in het AD, zodat telefoonnummers kloppen en het aanvragen van een nieuwe laptop.

De cloud komt er aan (of is er eigenlijk al). RES sluit zich aan bij de 3P’s van Citrix: Personal, Private en Public clouds. Echter de cloud ziet er van boven wel mooi uit, maar van onder is het toch nog een soort hurricane voor de gebruikers. Het is nog niet duidelijk waar hij heen gaat en wat je er mee kan of hoe je het moet inzetten. Via RES tools als Automation Manager, Service Orchestration en Workspace Manager wordt de cloud makkelijker te bevatten en te beheren. RES HyperDrive is daarnaast een goede uitbreiding binnen veel Private clouds van overheden en binnen de medische wereld. Daar moet de data zo secure mogelijk zijn, waarbij de data niet buiten de eigen infrastructuur mag worden opgeslagen. RES HyperDrive zorgt voor encryptie van de data op alle devices van de gebruikers, terwijl de data zelf niet eerst in een cloud storage moet worden opgeslagen. Voor RES HyperDrive komt overigens geen EAP beschikbaar. Wel zal er over enkele maanden een Technology Preview uitkomen.

Vernieuwingen in RES Workspace Manager 2012

RES staat niet stil. De ontwikkeling van huidige producten is in volle gang. RES Workspace Manager 2012 komt over niet al te lange tijd uit en bevat een aantal vernieuwingen.

De grootste verandering is de Relay Server. Dit wordt de dispatcher van RES Workspace Manager. Door deze in te zetten wordt het aantal verbindingen naar de database flink beperkt. Alle losse WM Agents gaan tegen deze Relay server kletsen. De Relay server geeft de informatie weer door naar de SQL server. Daarnaast cached de Relay server de configuratie-data lokaal, zodat hij deze snel naar de agents kan verspreiden. Informatie als audit en usage tracking data, worden via de Relay server naar de database gestuurd en wordt verder niet door de Relay server gecached, tenzij de database offline is.

Daarnaast wordt de Reporting Server geïntroduceerd. Dit wordt de vervanger van de huidige Usage Tracking Overview. Een losse server waar de rapporten op te vragen zijn. Tevens biedt deze server enkele API’s, waardoor 3rd parties nieuwe rapporten kunnen programmeren. Het grootste overzicht binnen deze rapporten wordt ook aangepast. Voortaan is het mogelijk om binnen de lijst van alle applicaties voor alle gebruikers, ook te tonen hoeveel gebruikers die applicatie precies gebruiken en op welke pc’s deze software is geïnstalleerd.

De management console krijgt een extra optie om zaken event-base te bekijken. In een duidelijk overzicht zie je de volgorde waarop zaken voor de gebruiker worden geregeld. Hierdoor is een beter overzicht te krijgen wat er op welk moment gebeurd als de gebruiker inlogt. Tevens zijn in dit overzicht ook de volgordes te bepalen. Het overzicht bevat dezelfde gegevens als nu al binnen de module Compositie te vinden zijn, alleen dan anders weergegeven. Veranderingen die in deze ‘Event-viewer’ worden gemaakt, worden ook direct zichtbaar in de huidige weergaven van Registry, Files & Folders, etc.

Naast shortcuts is het straks ook mogelijk om processen op te vangen. Via Intercept Applications is het mogelijk het systeem te monitoren op processen. Start bijvoorbeeld het Winword.exe proces, dan wordt deze tijdelijk een halt toegeroepen, waarna RES WM eerst de instellingen van de gebruiker regelt voor deze applicatie/proces. Nadat RES WM de instellingen heeft verwerkt, kan het proces weer verder gaan. Deze optie staat standaard uit. In latere releases van Workspace Manager is de kans groot, dat dit default aan staat.

De laatste grote verandering is de Scenario Wizard. Deze kan gezien worden als een RSoP rapport voor de Workspace Manager omgeving. Het laat zien wat er voor de gebruiker veranderd als een bepaalde instelling wordt doorgevoerd. Je geeft op hoelaat, waar vandaan en welke gebruiker er in logt en je krijgt een ‘diagnostic overview’ uit de toekomst. IT wordt voorspelbaar.

Andere vernieuwingen zijn onder andere cached user settings voor laptopgebruikers, folder redirection (iets wat nu voornamelijk nog via GPO moet), execute commands met verhoogde rechten, Zone rules voor het bestaan van een bepaalde folder of bestand, filters voor user settings (bijvoorbeeld het opslaan van cookies van alleen de afgelopen maand) en wildcard support binnen applicatie shorts. In het laatste geval kan bijvoorbeeld c:\program*\microsoft office\winword.exe in 32 en 64-bit omgevingen worden gebruikt, om daarmee één shortcut aan de gebruiker aan te bieden voor beide omgevingen). Ook is het vanaf nu mogelijk om meerdere applicaties te gelijk aan te passen (bv. de workspace veranderen). Helaas is het meerdere applicaties tegelijk verwijderen, nog niet mogelijk (tenzij deze in een subfolder staan en je deze subfolder verwijderd).

Daarnaast komt ook in RES Workspace Manager ondersteuning voor SCCM. Hierdoor is het mogelijk om voor het starten van een bepaalde applicatie, deze eerst door SCCM te laten installeren of andere zaken door SCCM te laten regelen. Tevens heeft RES het voor elkaar gekregen om SCCM deze taken ook direct voor de gebruiker uit te laten voeren, zelfs met SCCM 2007. Normaal heeft SCCM de tijd nodig om dit soort opdrachten te verwerken, zeker met de 2007 versie. RES heeft hier echter om heen weten te werken, zodat taken, net als met RES Automation Manager, direct worden uitgevoerd.

Naast deze veranderingen komen er ook nieuwe templates bij voor het opslaan van gebruikersinstellingen:

  • Adobe Professional X
  • Adobe Suite CS5
  • Foxit Reader 5
  • Google Chrome 11-16
  • iTunes 10
  • Internet Explorer 9
  • Microsoft Lync 2010 en Communicator 2007
  • Firefox 4-9
  • Opera 11
  • Quicktime 7
  • Skype 5
  • Windows explorer settings (nu al beschikbaar als buildingblock op www.resguru.com)
  • Windows Messaging Subsystem
  • Windows Live Messenger 2011
  • Winrar 4
  • Winzip 10,11 en 16
  • Yahoo! Messenger 9 – 11

Als laatste was er nieuws over de verschillende edities. De silver editie is te verkrijgen in twee smaken: Performance & Security of Advanced Administration. De laatste is de huidige silver editie, maar je kunt dus in het vervolg ook kiezen voor Performance & Security. Deze is eenmalig te zetten bij het invoeren van de licentie en daarna niet meer te veranderen.

RES Automation Manager 2012

Ook op het vlak van RES Automation Manager zijn verbeteringen aangebracht. RES AM 2012 is op dit moment al enkele weken uit en bevat ook een aantal grote updates.

Dispatcher+, is de opvolger van de huidige dispatcher. De nieuwe dispatcher kan 1500 of meer RES AM agents tegelijk bedienen. Voor grote omgevingen scheelt dit een behoorlijk aantal servers. De Dispatcher+ kan op 64bit systemen draaien en volledig gebruik maken van alle processor cores en het geheugen wat in deze systemen aanwezig is. Dit in tegenstelling tot de oude dispatcher, welke maar single-threathing was.

SCCM ondersteuning is ook in RES Automation Manager te vinden. Deze kan SCCM taken laten uitvoeren, welke ook direct worden uitgevoerd (net als met RES Workspace Manager). Tevens bevat RES Automation Manager 2012 een Linux agent. Deze maakt het mogelijk om vanuit de Windows omgeving je Linux servers te beheren. De linux client werkt ook goed op XenServer. Helaas is VMware ondersteuning nog niet aanwezig.

Updates worden niet meer verzorgt door de .wup-bestanden. Daarvoor in de plaats is een executable gekomen, die gestart moet worden op een server/pc die dispatcher is, of waar de console op geinstalleerd is. De executable verzorgd de afhandeling van een aantal checks om te voorkomen dat de omgeving na de update niet meer werkt (de vereisten van de nieuwe versie van RES AM 2012 worden nagelopen op de hele omgeving). Als alles okee wordt bevonden, draait de update echter wel als in het verleden. De ene executable verzorgt de gehele update van de hele omgeving, waarbij de componenten na elkaar worden geüpdate.

Naast dit alles zijn er ook weer een aantal nieuwe taken, queries en evaluators toegevoegd en heeft RES AM de mogelijkheid gekregen om globale variabelen te gebruiken. Deze laatste kunnen handig zijn voor hosting bedrijven of klanten die meerdere domeinen onder hun hoede hebben. Gebruikersnaam en wachtwoord voor het uitvoeren van taken kunnen via globale variabelen per omgeving/agent-team worden ingesteld. Ook is het mogelijk om nu Launch Windows in te stellen. Hierbij voorkom je dat RES AM taken gaat uitvoeren op momenten dat het niet goed uitkomt (zoals overdag tijdens productiedagen).