Wer einen Blog sein Eigen nennt, der bietet in der Regel auch die Möglichkeit an, Kommentare zu hinterlassen. Selbst dieser Blog, der ja recht bedeutungslos ist und kaum Besucher zu verzeichnen hat, wird von denen nicht verschont.
Nun ist dieses Blog deutschsprachig, widmet sich, von diesem Beitrag einmal abgesehen, technischen Themen. Es ist erstaunlich, wie viele “Beiträge” hier als Kommentare im Blog hinterlassen werden. Denken diese Leute wirklich, ich würde sie freischalten? Fast alle Beiträge sind in “englischer” Sprache, und sie verursachen bei mir verhältnismäßig viel Aufwand. Und allen gemeinsam ist, dass sie mein Blog über den grünen Klee loben.
Hello. impressive job. I did not anticipate this. This is a splendid story. Thanks! schrieb mir gestern ein gewisser tents for minivans, und hinterließ einen Link auf eine Website, die Zelte für Minivans anbietet.
I really like your website. Even the spammers are quite entertaining. beteuert ein gewisser External Hard Drive Reviews. Ich kann mich seiner Meinung zwar nicht anschließen, seltsam aber ist, dass er die selbe IP wie der Zeltetyp hatte (173.234.158.142). Und dann war da noch von 173.234.121.17 ein gewisser destination weddings, der mich mit Brilliant, thank you, I will visit again now! lobte. Nun weiß ich nicht, ob ich mich drauf freuen soll. In seinen US- amerikanischen Locations für Traumhochzeiten werde ich jedenfalls niemals heiraten.
Mich wundern diese “Beiträge”. Sie müssen doch viel Arbeit verursachen, warum macht man die dann? Wer würde solchen Käse freischalten? Egal, SPAM sucks!
Citrix baut seine Streaming Technologie weiter aus. Mit Para kommt bereits das zweite Update innerhalb eines halben Jahres. Die 5.2er Clients lösten bereits einige der Probleme – insbesondere mit der Interisolation Comunication – doch blieben noch ein paar Punkte offen. Diesmal kommen zwei Neuerungen: Dienste und ein neues Format für die Pakete.
Streaming von Diensten
Das größte Problem bisher waren Dienste: benötigte eine Anwendung Dienste, so konnte sie automatisch nicht gestreamt werden. Bei Notes half man sich z.B. damit, dass man die Funktionen, die Dienste benutzen, nicht installierte. Natürlich fehlen damit dann aber auch die Funktionen, die von diesen Diensten zur Verfügung gestellt werden. Streaming von Diensten wird aber mit Office 2010 noch wichtiger, es wird 3 Dienste enthalten. Weitere Anwendungen werden folgen, denn die immer restriktiveren Sicherheitseinstellungen von Windows machen es immer öfters nötig, Teile der Funktion in privilegierte Dienste auszulagern.
Citrix kann jetzt also auch Dienste streamen.
So einfach, wie man meinen könnte, ist das Streamen von Diensten allerdings nicht: Es sind zwei verschiedene Benutzer, die hier mit einander interagieren müssen: Der angemeldete, in dessen Kontext die Anwendung läuft, und das System (Network Service, Local Service, …), in dessen Kontext der Dienst läuft.
Aus Sicherheitsgründen erlaubt Citrix allerdings nur das Streamen von Diensten, die von “whitelisted approved the Application Hubs” kommen. Der Application Hub ist der Platz, an dem das Streaming Paket liegt. Man whitelistet einen Application Hub, indem man unter HKLM\Software\Citrix\Rade einen Wert AppHubWhiteList (REG_SZ) einfügt und alle Application Hubs, durch Kommas getrennt, angibt. CIFS shares sollen ohne \\ angegeben werden, bei html shares ist das http:// oder https:// voranzustellen.
Leider hat Citrix keine Gruppenrichtlinienvorlage dazu gemacht. Ich kann das nicht verstehen, es ist nicht sehr aufwändig. Ich habe daher selbst eine angelegt. Sie kann von meiner Homepage geladen werden.
Der Streaming Profiler (Version 6.0) sieht völlig unverändert, wie immer ein bisschen altbacken, aus.
Erst im zweiten Blick bemerkt man die Änderung:
Die Drop Down Liste bietet folgende Auswahl: Local System, Local Service und Network Service.
Streaming von Diensten funktioniert gut, so lange man keine Treiber, zum Beispiel Druckertreiber, streamen möchte: Meine Versuche mit PDF- Creator schlugen fehl, ich konnte den Drucker aus verknüpften Streaming- Anwendungen heraus nicht verwenden. Hier kann noch weiter entwickelt werden. Trotzdem: es ist ein großer Schritt weiter, einige der Probleme, die bei meinen Kunden bisher aufgetaucht sind, lassen sich so lösen.
Neues Profilformat
Die zweite Änderung betrifft das Format der Profile. Bisher bestanden die Profile aus einem .Profile- File, das Cabinet File (der Name ist ein GUID), in dem sich die Dateien und Steuerinformationen befinden, eine Hashes.txt, die bei Profil-Updates verwendet wird und Icons.bin, in der die Icons der Anwendungen gespeichert sind.
Die neue Struktur ersetzt jetzt das Cabinet durch einen Ordner.
in dem Ordner liegen alle Files unverpackt. Als Vorteil gibt Joseph Nord (der Chef der Produktentwicklung) Vereinfachungen beim Streamen der Dateien an. Ich denke aber, dass es mit dem neuen Profilmanagement zusammen hängt: dort wird die selbe Technologie zur just in time population verwendet, um die Dateien in den Benutzerprofilen zum Client streamen zu können.
Das neue Format bedingt einen neuen Streaming Client, die Version heißt jetzt konsequenter Weise 6
Gestern Abends oder heute Nacht hat Citrix das Release- Date für XenApp 6 (vormals Para) bekanntgegeben. Jetzt ist es amtlich: Es wird tatsächlich XenApp 6 heißen (welch ein Wunder, kein neuer Name) und ab 24. März zum Download verfügbar sein.
Pricing and Availability:
The new XenApp 6 release will be available for download beginning on March 24, 2010, and will be offered as a free upgrade to all XenApp customers with current Subscription Advantage agreements. Suggested list pricing for new licenses of XenApp 6 will begin at $350 per concurrent user. More information on the new features in XenApp 6 can be found at http://www.citrix.com/xenapp6.
XenApp 6 will also be included as an integrated feature of the company’s broader XenDesktop 4 product line, which is available to customers at a suggested list price beginning at $225 per-user or per-device.
(Quelle: Citrix)
Die Lizenzierung von XenApp 6 (Para) ist so wie gehabt: Es gibt einen Lizenzserver, der die Lizenzen speichert. Wie bisher gibt es Advanced, Enterprise und Platinum Lizenzen, auch das Lizenzierungsmodell, concurrent licensing, ist gleich geblieben. Die alten Lizenzfiles passen noch, auch hier ist alles beim Alten. Neu ist die Managementkonsole, das Lay out hat sich vollkommen verändert, wirkt auf Anhieb trendiger. Hier trägt man gerne Lizenzen ein, vielleicht erhofft sich Citrix ein Mehr an Geschäft dadurch.
Um es gleich zu sagen, ein intuitiver Aufbau eines Management Tools sieht anders aus. Auch hier hat Citrix von Microsoft gelernt, wer sein erstes Lizenzfile in den Lizenzserver spielen möchte, der hat ein bisschen Forschungsarbeit vor sich. So lernt man die Bedienung kennen. Der gesuchte Punkt findet sich übrigens gut versteckt unter “Administration” -> “Vendor Deamon Configuration”. Es ist ein eher unscheinbares graues Icon.
Doch zurück an den Anfang. Öffnet man die Konsole, so landet man im Dashboard. Hier werden Lizenzen und Alerts angezeigt. Bei mir sind es zwei Alerts, ein Fehler, eine Warnung. Beide können fürs erste ignoriert werden. Ich klicke auf Administration, denn ich möchte gerne meine Eval- Lizenz einspielen. Jetzt erscheint ein Logon Dialog. Wäre schön, wenn ich mir den Administrator Namen gemerkt hätte. Er heißt admin. Groß- und Kleinschreibung sind hier schon beim Benutzernamen wichtig, ich denke, das wird mir noch viel Verdruss bereiten! Beim Logon kann man auch die Sprache auf Deutsch stellen. Ich tue das jetzt einmal.
Der Admin- Bereich besteht aus Systeminformationen (IP Adresse, Ports, Hostnamen etc.), Benutzerkonfiguration, Warnungskonfiguration, Serverkonfiguration (Port, Threads, Timeout), und Vendor deamon Setup (hier verwaltet man die Lizenzen).
Benutzerkonfiguration
Eine massive Schwachstelle der alten Konsole war das teilweise Fehlen einer AD- Integration. Hier hatte Citrix starken Bedarf an Verbesserungen, denn man konnte aus dem AD nur Benutzer, keine Gruppen autorisieren. Und Cirtix hat das Problem pragmatisch angegangen: die Benutzerverwaltung wurde vollkommen aus dem AD gelöst. Damit entfällt die Notwendigkeit, eine Gruppenverwaltung zu implementieren. Man gibt einfach einen benutzernamen, Vor und Nachnamen, das Paßwort und die Berechtigungsstufe (Benutzer oder Administrator) ein. Das wars. Benutzer haben kein Recht, die Verwaltung anzusehen. Benutzer können nur das Dashboard sehen (und das ist per default jedem frei zugänglich).
Warnungen
Werden im Dashboard angezeigt. Man kann hier einstellen, welche Warnungen so wichtig sind, dass sie angezeigt werden müssen. Die Einstellungen teilen sich in zwei Teile: Fehler (System- und Lizenzierungsfehler) und Wichtig (Schwelwerte für verfügbare Lizenzen und den Ablauf von Lizenzen). Echtes Allerting scheint nicht vorgesehen zu sein.
Serverkonfiguration
Die Serverkonfiguration hat ein ungewohnt cooles Layout bekommen. Die einzelnen Punkte verbergen sich hinter dreidimensionalen schwarzen Balken. Webserverkonfiguration: Port, Threads, Timeout. Sichere Webserverkonfiguration: Port und Zertifikat für SSL. Lizenzserverkonfiguration: Ports und Threads des Lizenzservers. Protokollierung: welche Infos sollen ins Protokoll; Protokoll ansehen (es ist eine einfache Textdatei). Benutzeroberfläche: welche Lizenzmodelle im Dashboard angezeigt werden können sowie die Sprache.
Vendor Deamon Configuration
Lizenzfiles aufladen oder Vendor deamon löschen (das wäre keine gute Idee!).
Etwas spät habe auch ich begonnen, mich intensiver mit XenApp 6 zu beschäftigen. Ich werde in den nächsten Wochen mehrere Beiträge dazu verfassen. Das ist:
Kapitel 1: Setup
Gleich beim ersten Mal fällt auf, dass Citrix viel verändert hat. Seit Metaframe XP sind wir einen Wizard gewohnt, der erst die Komponenten installiert, dann konfiguriert. So funktioniert das jetzt nicht mehr.Legt man die CD ein, so spricht das Setup von Rollen. Hier hat man sich sehr eng an Microsoft angepasst.
Ich installiere alle Rollen auf einer Maschine, ich will meinen Laptop nicht überlasten, weil ich nebenher noch andere Arbeiten erledigen muss. Natürlich sollten Rollen wie Web Interface und Lizenzserver auf einer anderen Maschine liegen!
Nach einem Reboot konfiguriert man die Rollen. Vor der Konfiguration scheitert das discovery der Management Konsole. Apropos Management Konsole: Jetzt gibt es endlich nur noch eine! Alles ist in dieser Konsole untergebracht. Alles? Dazu später mehr.
Der Wizard frägt die üblichen Informationen ab: Name der Farm, erster Farmadministrator, Lizenzserver, Datenbank. Hier fällt auf, dass nur noch Microsofts SQL Server unterstützt ist. Ich hoffe, dass Oracle in der finalen Version wieder dabei ist, angeblich scheitert es im Moment an Oracle, es gab bisher keinen R2 Client. (Übrigens werden die Cedentials für die Datenbank an dieser Stelle nicht überprüft, gibt man falsche ein schlägt das Setup fehl). Dann: Spiegeln und ein etwas verwirrendes Menü, das aus drei Dialogen besteht: Zonen, XML-Service und ganz wichtig: die Remote Desktop Benutzer. Man übersieht das sehr leicht.
So, das Setup ist abgeschlossen. Man kann die Konsole, die in der Beta inkonsistent einmal Access Management Console, einmal Delivery Services Console heißt, starten und jetzt sieht alles aus, wie bisher. Alles? Nicht ganz, es gibt viele neue Punkte in der Konsole. Dazu in Kürze mehr!
Beim Veröffentlichen einer Streaming Anwendung findet sich im unteren Teil (advanced) der Schalter “run application at least privileged user account”. Klingt zweifellos interessant, aber was bedeutet das?
Der Schalter dient insbesondere dem Streaming auf Workstations, und dort vor allem dem Streaming auf Laptops.
Bei Laptops gibt es zwei Philosophien: Man beschneidet die Benutzer in ihren Rechten so weit wie irgend möglich, denn man kann diese Computer kaum kontrollieren, sie werden aber dennoch häufig in die Firma gebracht und stellen dort ein nicht zu unterschätzendes Risiko dar. Die andere Philosophie ist, dass man den Benutzern auf ihren Lapptops alle Rechte gibt. Das ist zwar potentiell gefährlich, aber es gibt leider oft politische Gründe, die die IT Abteilung zu diesem Schritt zwingen (der Geschäftsführer will es so, Außendienstmitarbeiter “können ihre tägliche Arbeit ohne Skype, E-Mule etc. kaum abwickeln”, der EDV- Leiter will sich selbst nicht einschränken, …), oder manche Programme brauchen ganz einfach deutlich mehr Rechte, als sie normale Benutzer haben (z.B. das anlegen von Files im Windows- oder Programmeverzeichnis, ändern von System Keys in der Registry, …).
Wenn man den Benutzern administrative Rechte gibt, dann können sie alles tun, Software installieren, auch Add- und Malware. Nun wird niemand vorsätzlich Malware installieren, aber die kommt “irgendwie” mit. Oder man fängt sie sich ein, wenn man eine kompromittierte Website besucht oder ein schädliches Mail öffnet.
Natürlich ist es nicht einfach, aus einer Streaming- Umgebung heraus ein System zu kompromittieren, zumal Malware in aller Regel nicht für Citrix Streaming Umgebungen geschrieben ist. Dennoch kann man sich nicht drauf verlassen, und mir ist es bereits einmal passiert, dass ein Virus aus einer Streaming Umgebung heraus eine VM – die ich für potentiell gefährlichen Arbeiten verwende – kompromittiert hat.
Ich weiß, dass Viren sehr intelligent geschrieben sind, dass sie dafür gemacht sind, jede Lücke im System auszunutzen. Trotzdem ist es für einen normalen Benutzer schwieriger als für ein Power User (Hauptbenutzer) oder einen Administrator, ein System zu kompromittieren.
Nun wird es Zeit, diese Einstellung technisch zu erklären. Im Prinzip tut es nichts, was nicht mit einfachen Microsoft- Mitteln schon längst möglich gewesen wäre. Microsoft beschreibt das sehr detailliert in http://technet.microsoft.com/en-us/library/bb456992.aspx.
“Privileged users” sind Benutzer, die Mitglieder bei den lokalen Administratoren oder bei den Power Users (Hauptbenutzern) sind, oder über Policies (Richtlinien) zusätzliche Rechte bekommen haben. Administratoren haben wichtige und starke Rechte:
- Installieren, starten, und stoppen von Diensten und Treibern.
- Registry- Einstellungen im Maschinenteil erzeugen, löschen oder verändern.
- Programme installieren oder deinstallieren.
- Teile des Betriebssystems verändern.
- Prozesse wie z.B. Virenscanner oder Firewalls killen oder beenden.
- Einstellungen des Firewalls verändern.
- Änderungen an den Event Logs (Ereignisanzeige) vornehmen, insbesondere Logs löschen.
- Installieren von Microsoft ActiveX® controls.
- Besitz an Objekten übernehmen oder deren Rechte verändern
- Zugriff auf die SAM.
Es ist offensichtlich, dass es für die Installation von Malware von unschätzbarem Vorteil ist, einige oder alle dieser Rechte zu haben. Für XP gibt es schon lange, aber weitgehend unbekannt, ein Programm, das das kann: DropMyRights von Microsofts Security- Spezialisten Michael Howard. Unter Vista und Windows 7 ist die Funktionalität teilweise bereits eingebaut.
Der Trick ist recht einfach: Startet man ein Programm, dann übergibt Windows dem Programm den Access Token des Benutzers. Der Access Token ist eine Art Ausweis, der vom System immer dann kontrolliert wird, wenn der Benutzer spezielle Rechte benötigt. Im Access Token stehen die GUIDs von allen Gruppen, denen der Benutzer angehört, aber auch alle Benutzerrechte, die dieser Benutzer hat. Startet man das Programm mit “least privileged user account”, so werden alle “verfänglichen” Informationen aus dem Access Token genommen, die unverfänglichen bleiben erhalten. Das Programm hat also weiterhin exakt dieselben Möglichkeiten, auf Netzwerkressourcen zuzugreifen, wie der Benutzer, aber im Gegensatz zum Benutzer kann es keine Änderungen am System selbst vornehmen.
Genau das ist, was wir immer schon wollten: Unsre Browser, unsre E-Mail Programme etc. können unsre Systeme nicht mehr so leicht kompromittieren, dennoch können die Benutzer weiterhin Admins bleiben!
Jetzt stellt sich die Frage, warum Streaming Anwendungen nicht von vorne herein mit diesen Vorgaben laufen. Das wissen wohl nur die Götter in Fort Lauderdale!
