FSLogix Suite für Jedermann

Da entdeckt man in der Montagmorgen-Lektüre doch glatt, dass nach dem FSLogix Aufkauf von Microsoft absofort jeder (mit RDS-CAL / RDS-SAL / VDA / Windows Virtual Desktop) die komplette Suite nutzen kann.

Scott Manchester, Group Manager RDS Microsoft, dazu auf Twitter:

Who will be entitled to #FSLogix? Anyone with an RDS-CAL, RDS-SAL, VDA, or WVD entitlement. Use the full suite for on-prem or in the cloud. #WVD

https://twitter.com/RDS4U/status/1108719908647563270

Die FSLogix Full Suite beinhaltet unter Anderem:

Hier schonmal das Microsoft Doc zur Einrichtung unter der Windows Virtual Desktop Preview: https://docs.microsoft.com/en-us/azure/virtual-desktop/create-host-pools-user-profile

Neues vom Citrix Application Delivery Controller (Netscaler ADC)

Eigentlich ist das ganze nur ein kleines Update zum Citrix Application Delivery Controller „GUI Login Bug“ bei einem Passwort mit Anführungszeichen bzw. einem Escape Zeichen (“ / “ „). 🙂

Da ein wenig Zeit vorhanden war und unsere eigenen Citrix ADCs schon länger nicht mehr aktualisiert wurden, habe ich das schnell in Angriff genommen und dabei folgendes in den Release Notes für den Citrix ADC in der Version 12.1 51.16 12.1 51.19 gefunden:

Citrix ADC GUI

After an upgrade from Citrix ADC 11.1 build 56.x to Citrix ADC 12.1 build 49.x, the login to Citrix ADC GUI fails. The issue occurs if the password contains an escape sequence, such as „“ or “ „.
[# NSHELP-18178, 716920]

Citrix Application Delivery Controller Release Notes 12.1 51.16 12.1 51.19

Beim Lesen ist weiterhin folgender, allerdings erfreulicher, Known Issue für die Netscaler ADC VPX aufgefallen, der den Application Delivery Controllern in den Versionen 12.1 51.16 51.19, 12.0 60.10 und 11.1 61.7 VMware vMotion Support mit Einschränkungen erteilt:

Citrix ADC VPX Appliance

Support for VMware vMotion
From this release, you can migrate a Citrix ADC VPX instance by using VMware vMotion. The vMotion feature does not support Citrix ADC VPX instances configured to use SR-IOV and PCI passthrough interfaces. Supported interfaces are E1000 and VMXNET3.
For more information, see Install a Citrix ADC VPX instance on VMware ESX topic: https://docs.citrix.com/en-us/netscaler/12-1/deploying-vpx/install-vpx-on-esx.html
[# NSHELP-15343, TSK0690477]

Release Notes des ADCs in den Versionen 12.1 51.16 .19, 12.0 60.10 und 11.1 61.7

Ein „kleines“ Update: Wir sind ziemlich zeitnah wieder zurück auf die vorherige Build. Warten wir mal auf den nächsten Release. 🙂

Ein weiteres kleines Update: Am 01.04. hat Citrix die ADC 12.1 Build 51.16 durch die Build 51.19 ersetzt.

Citrix Application Delivery Controller 12.1 51.19 ersetzt Build 51.16

Windows Login mit Mehr-Faktor-Authentifizierung absichern

Im dritten Part zur Mehr-Faktor-Authentifizierung (Part I / Part II) geht es um den RCDevs OpenOTP Credentials Provider zur Absicherung des Windows Logins mit einem weiteren Faktor / One Time Password.

Damit der Windows Login mit einem entsprechendem zweiten Faktor geschützt werden kann, muss als erstes der passende Credential Provider heruntergeladen werden:

Weiter geht es mit der Installation des OpenOTP Credential Provider. Dazu das entsprechende ZIP entpacken und das MSI Paket per Doppelklick öffnen:

  • Der „Welcome Screen“ wird mit „Next“ bestätigt
  • Die EULA wird natürlich gelesen und akzeptiert -> „Next“
  • Für den ersten Test empfiehlt es sich den „Default provider“ nicht zu installieren -> „Next“
  • Im nächsten Step den Primary Server mit „https://<IP / FQDN der Appliance>:8443/openotp“ konfigurieren und evtl. den „Request Timeout“ anpassen -> „Next“
  • Authentication Form
    • Simple: Erst werden Benutzername und Passwort eingegeben; Im nächsten Schritt der zweite Faktor
    • Normal: Auf dem Anmeldebildschirm gibt es drei Felder (Benutzername, Passwort und Einmalpasswort)
  • Die ersten „Advanced Settings“ können mit den Standardeinstellungen übernommen werden -> „Next“
  • Die zweiten „Advanced Settings“ sollten ggfs. angepasst werden, damit ebenfalls der RDP Zugriff geschützt wird bzw. ein Offline Login* (z.B. am Notebook) ermöglicht werden kann -> „Next“
  • „Install“ -> „Finish“

*Offline Login: Damit der Offline Login am Notebook funktioniert müssen zwei Bedingungen erfüllt sein!

  1. Es müssen „Push Tokens“ genutzt werden!
  2. Eine Anmeldung muss „online“ mit erreichbarem OpenOTP Server erfolgen!

Damit der erste Test durchgeführt werden kann, muss sich vom System abgemeldet werden. Nach erfolgter Abmeldung begrüßt uns der „OpenOTP Login“. Wie an dieser Stelle zu sehen ist, macht es später in einer produktiven Umgebung wenig Sinn den „Default provider“ zu deaktivieren. Ein Klick auf „Anderer Benutzer“ würde reichen, um sich ohne den zweiten Faktor anzumelden.

Damit sich an diesem Server / dieser Workstation nur noch per Multi-Faktor-Authentifizierung angemeldet werden kann, muss die Installation angepasst werden und der „Default provider“ installiert werden. Dazu die installierten Programme- und Features anzeigen, den „OpenOTP-CP“ Einträg wählen sowie auf „Ändern“ klicken. Jetzt wird lediglich der „Defaul provider“ aktiviert. Der Rest der Konfiugration bleibt identisch. Was passiert hier? Der folgende Registry Schlüssek wird angelegt und der „Standard Key“ auf den OpenOTPCredentialProviderFilter gesetzt:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters{5AE8C610-7541-4FF8-9845-C363410D574C}]
@=“OpenOTPCredentialProviderFilter“

Registry

Ab diesem Zeitpunkt sind nur noch Anmeldungen mit registrierten OpenOTP Usern möglich! Um den „Default provider“ wieder zu deaktivieren, reicht es aus den o.g. Registry Schlüssel zu löschen. Z.B. per Gruppenrichtlinien Registry Einstellung. Computer Startu-Up Script oder im abgesicherten Modus. Um die Änderung des „Default providers“ auch im abgesicherten Modus zu deaktivieren, muss ein weiterer Registry Key gesetzt werden:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
„ProhibitFallbacks“=dword:1

Registy

Aufgehoben wird das Erzwingen des „Default providers“ mit folgendem Schlüssel erneut z.B. per GPO Registry Einstellung oder Computer Start-Up Script:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]
„ProhibitFallbacks“=-

Registry