Релиз Citrix Virtual Apps and Desktops 1906

Новейший текущий релиз Citrix Virtual Apps and Desktops 1906 наполнен новыми возможностями для администраторов и конечных пользователей. Пришло время познакомиться с ними.

Оптимизации Citrix для Microsoft Teams.

В прошлом году Citrix представил оптимизации для Microsoft Teams. Вместе с текущим релизом 1906, Citrix анонсировал Citrix Optimization для Microsoft Teams, чтобы предложить полностью оригинальные функциональные возможности Microsoft Teams вместе с Citrix Virtual Apps and Desktops. Это логическое продолжение RealTime Optimization Pack для Skype for Business.

Так как Microsoft Teams включена в Office 365, компании, которые уже используют или мигрируют в Office 365, могут в полном объеме применять все возможности Teams в своих виртуальных окружениях. Преимущества инструментов совместной работы, интеграция приложений и возможности файлового хранилища, включенные в Teams, теперь оптимизированы Citrix.

Citrix Autoscale.

Citrix Autoscale – это перестройка инструментов управления энергоснабжением как для VDI, так и для размещенных общих нагрузок. При помощи Autoscale администраторы Citrix могут поддерживать запланированное масштабирование, масштабирование на базе нагрузки или комбинацию из обоих. Это значит, что рабочие нагрузки могут автоматически включаться и выключатся на базе пикового/непикового времени или нагрузки. Это новая возможность также будет предоставлять отчеты по утилизации объема и сэкономленных затратах. Citrix Autoscale может помочь оптимизировать затраты утилизации публичных облаков, за счет включения рабочих нагрузок по мере необходимости и выключению их же в непиковое время. Этот компонент также предлагается в последнем релизе Citrix Cloud для Citrix Virtual Apps and Desktops.

Дополнительные улучшения технологии HDX.

Защита Windows LSA. Citrix теперь поддерживает защиту Local Security Authority, которая обслуживает информацию о всех аспектах локальной безопасности на системе. Данная поддержка предоставляет уровень LSA системной защиты для размещенных рабочих столов (Hosted Desktops).

Перенаправление временной зоны. Данная возможность позволяет тем, кто не находится в своей собственной временной зоне, оставаться в своей новой временной зоне, даже если сессия отключена. Например, если пользователь из Флориды находится в Калифорнии и запускает сессию, устанавливающую тихоокеанское время, когда он отключился и войдет вновь сессия продолжит работать по тихоокеанскому времени. Данная возможность доступна для настольных операционных систем (Desktop OS).

Улучшения конфигурации по умолчанию. Это привязывает будущие улучшения в конфигурации из коробки, непосредственно предоставляя будущие гранулированные настройки для экранов, находящихся на плохих соединениях.

Управление доступом на базе ролей (RBAC) для записи сессий (Session Recording).

ИТ-администраторы часто воспроизводят записанные сессии. На данный момент Citrix предлагает возможность ведения журнала событий, для упрощения администраторам поиска определенной сессии и запуска процесса их воспроизведения. Но, некоторые корпоративные развертывания требуют разный уровень доступа к записанным файлам. При помощи управления доступом на базе ролей (RBAC) к воспроизведению в CVAD 1906, администраторы могут создавать политики просмотра (Viewing Policy) для записанных сессий. Можно применять определенные правила просмотра (Viewing Rules) на каждой политике для тех, кто сможет просматривать записи и что на самом деле он сможет посмотреть.

Интеграция Citrix Analytics for Security со StoreFront.

Как часть Citrix Workspace Premium Plus, Citrix теперь предлагает возможности аналитики безопасности со StoreFront. Администраторы, кто на данный момент использует StoreFront, могут теперь получать гранулированные подробности безопасности от Citrix Analytics for Security. Эта возможность отслеживает пользовательские шаблоны и смотрит на нарушения целостности в данных для обеспечения безопасности окружения в реальном времени. Например, можно установить политику на автоматическое завершение сессии пользователя, если в ней большое число нарушений целостности при использовании и просматривать дополнительные подробности об источнике ошибки в консоли управления. И это только начало, Citrix анонсировал Citrix Analytics for Performance – спроектированную для оптимизации пользовательских возможностей – она выйдет позже в этом году.

Ознакомительная версия технологии Citrix Access Control для StoreFront.

Анонсированная на Citrix Synergy, техническая предварительная версия возможностей Citrix Access Control для локальных окружений со StoreFront Sync Utility теперь доступна. Обеспечение безопасности веб-приложений и программного обеспечения в качестве сервиса (SaaS) также важно, как и опубликованных приложений. Сам по себе единый вход (Single-Sign On, SSO) не достаточно безопасен, но при помощи Access Control администраторы могут предоставлять возможности единого входа (SSO) и настраивать политики безопасности в зависимости от приложений. Эти политики могут ограничивать возможности вырезать/копировать/вставлять, распечатывать, добавлять водный знак и даже удалять область навигации, чтобы пользователь не мог перейти на другой сайт.

Добавление этих возможностей в Citrix Storefront могут в будущем расширить локальные развертывания. Access Control для SaaS и веб-приложений в StoreFront позволяет администраторам Citrix добавлять мощь политик расширенной безопасности и веб-фильтрации для доставки безопасного единого входа (SSO) к SaaS и корпоративным веб-приложениям.

Улучшения Citrix Director.

Информация о запуске сессий (Session startup information). За последний год Citrix сделал значительные улучшения в доступной информации о продолжительности входа (Login Duration). Получение метрик обо всем, что происходит в процессе запуска пользовательский сессии, в основном всего что происходит между нажатием на иконку и получением приложения, готового к вводу, позволяет администраторам переходить к последовательности запуска и видеть подробности каждой фазы события. Недавно Citrix добавил новые метрики о времени запуска клиентских и серверных сессий, а также обработки UPM, которые предоставляют множество отдельных метрик, которые в свою очередь могут быть проанализированы. При помощи данной функциональности Director, администраторы знают, на чем сфокусировать свои усилия по оптимизации производительности запуска или устранению ошибок пользователей вне зависимости от того, произошла она у отдельного пользователя или целой группы.

Проверка рабочего стола (Desktop Probing). В развитии возможностей проверки приложений (App Probing), проверка рабочего стола (Desktop Probing) позволяет администраторам запланировать автоматические закуски для любого вида опубликованных ресурсов и протестировать общее здоровье системы. При помощи данной возможности, администраторы могут симулировать пользовательские запуски за пределами рабочих часов и убедиться в успешном подключении их сессий, эффективно выполняя проверку запуска в окружении от точки до точки. Результаты отображаются в интерфейсе Director, а предупреждения о возможных ошибках могут быть настроены на уведомление администраторов или команды первой линии поддержки (Help-desk). Это потрясающий интерфейс, так как он помогает администраторам избежать неистовых звонков в 8 утра, о том, что приложение или рабочий стол не подключается.

Аналитика повторных подключений сессий (Session Reconnect Analytics). Данные о повторном подключении сессий (Session Reconnect) в отчетах Director дают администраторам новое представление о здоровье их сетей и помогают в решении проблем потерянных сессий. Раскрытие подробностей предоставляет дополнительную информацию, такую как устойчивость сессий (Session Reliability) или автоматическое повторное подключение клиента (Auto Client Reconnect), штампы времени, IP-адрес конечного устройства и имя конечного устройства, где установлено Citrix Workspace App.

Дополнения к Citrix Provisioning.

Citrix Provisioning 1906 добавляет некоторые наиболее ожидаемые возможности. Одна из наиболее важных возможностей ускоряет активацию Microsoft Office. Это заставляет пакет Microsoft Office активироваться во время загрузки, устраняя ложное сообщение об ошибке о том, что установка не была корректно лицензирована. Дополнительно, загрузка UEFI для виртуальных машин Windows – возможность, добавленная в Citrix Hypervisor 8.0 для предварительного знакомства с технологией, теперь поддерживается Citrix Provisioning 1906. Еще одна маленькая интерфейсная возможность – теперь можно экспортировать виртуальные машины при помощи консоли Provisioning, без необходимости переключаться в Citrix Studio только для этой задачи. Данная возможность позволит ускорить процесс развертывания для администраторов Citrix.
 

Загрузка Citrix Virtual Apps and Desktops 1906.

Новейший релиз, наполненный новыми возможностями уже доступен для загрузки клиентам Citrix, а для всех остальных доступна 90-дневная пробная версия.

От себя добавлю, что на конференции Citrix Synergy анонсировали выпуск релиза с длительной поддержкой в четвертом квартале этого года (2019).

Передовой опыт Citrix в области безопасности: Многофакторная аутентификация

Введение.

Citrix содействует организациям в настройке сбалансированных систем, отвечающих требованиям пользовательских возможностей, производительности и безопасности. Команда Worldwide Customer Success помогает внедрять, управлять, расширять и поддерживать окружения для создания требуемых возможностей, при этом обеспечивая защиту от активно развивающихся кибер-угроз.

Руководитель группы Worldwide Customer Success Гектор Лима (Hector Lima) сообщил, что в результате собственных мероприятий было выявлено увеличение числа атак с распылением паролей (Password Spraying) против широкого диапазона сущностей, теперь группа планирует выпустить серию технических статей от ведущих экспертов, которые раскроют передовой опыт в области безопасности, что позволит клиентам Citrix адаптировать его и сделать развертывания Citrix максимально безопасными. В рамках этих статей в общий доступ будут предоставлены реальные примеры, полученный опыт и отслеживаемые наиболее серьёзные потребности клиентов. Я же в свою очередь буду переводить и адаптировать их.

Как первая в серии статей, описывающих успехи клиентов (Customer Success Insights), данная статья будет посвящена деталям улучшений безопасности, которые могут быть использованы для борьбы с распылением паролей (Password Spaying). Индустрия кибербезопасности, охраны правопорядка и глобальные организации в последнее время столкнулись с ужасающим увеличением числа атак с распылением паролей (Password Spraying), вместе с увеличением числа украденных учетных данных, циркулирующих в интернете, это позволяет злоумышленникам проще получать доступ к сетям через подбор паролей. В первую очередь, необходимо познакомиться с последними заявлениями о безопасности паролей и аутентификации от федерального бюро расследований (ФБР) и департамента национальной безопасности Соединенных штатов.

Распыление паролей (Password Spraying).

Распыление паролей (Password Spraying) – это техника, в которой кибер-преступник использует пароли от предыдущих брешей или сгенерированные списки паролей для попыток получить доступ к окружению. Медленное тестирование на множестве учетных записей пользователей из различных источников в сети приводит к тому, что данную атаку тяжело определить. Из-за того, что распыление паролей на множество учетных записей не приводит к превышению лимита неудачных попыток ввода и вытекающим из этого предупреждениям и блокировкам.

Защита от распыления паролей (Password Spraying).

Многофакторная аутентификация (MFA) и обучение пользователей – это наиболее традиционное и в большинстве случаев наиболее эффективное средство противодействия. Сфокусируемся на этих двух способах защиты, но нужно понимать, что существуют и другие средства, которые могут быть добавлены в качестве дополнительных уровней для обеспечения повышенной безопасности. Расширенный аудит, аналитика и определение цифрового периметра, также помогает определять и защищаться от атак.

Самый слабый канал определяет максимальную устойчивость всей системы. Как правило самым слабым каналом являются пользовательские пароли. В результате, наиболее частой рекомендацией Citrix является принудительное применение мульти-факторной аутентификации (MFA) для всех внешних точек входа. В окружении Citrix, это обозначает включение мульти-факторной аутентификации (MFA) на Citrix Gateway для защиты точек входа, таких как StoreFront и Citrix Workspace. Мульти-факторная аутентификация (MFA) защищает от распыления паролей (Password Spraying), так как атакующему требуется второй фактор аутентификации, отсутствующий в базах украденных паролей. Защита компании на уровне периметра – это самое главное. Множество клиентов Citrix примеряют мульти-факторную аутентификацию (MFA) для внешних подключений как обязательное требование.

Включение мульти-факторной аутентификации (MFA) на устройствах Citrix Networking выполняется достаточно просто. Данная функциональность уже давно присутствует в продуктах по умолчанию, но возможности были расширены в последнее время. Большинство клиентов применяют внешний сервер аутентификации второго фактора при помощи соединения RADIUS, как написано здесь. Это позволяет сквозное применение аппаратных или программных ключей в процессе входа. Не так давно возможность использования временных одноразовых паролей (TOTP) была добавлена в устройства Citrix Networking. Клиенты, у которых нет развернутой системы ключей второго фактора, могут теперь применять мульти-факторную аутентификацию с использованием QR-кодов и приложений программной аутентификации. Устройства Citrix Networking также обладают возможностями nFactor, которые позволяют настраивать любое количество факторов аутентификации и возможности входа пользователя. Множество клиентов используют SAML в качестве внешнего поставщика идентификаторов и могут предоставить федеративный сервис аутентификации (FAS) для обеспечения единого входа (SSO) от внешних поставщиков идентификации.

Вне зависимости от выбранного пути, включение мульти-факторной аутентификации (MFA) для внешних точек входа увеличивает надёжность периметра безопасности.

Обучение пользователей (User Education).

Так как пароль – это ключ, способный разблокировать окружение, конечные пользователи играют ключевую роль в защите их собственных паролей от хищения злоумышленником. Однако, некоторые пользователи до конца не понимают или не осведомлены о политике безопасности и передовом опыте в разработке паролей. Следовательно, обучение пользователей – это важный шаг в укреплении безопасности системы паролей. Слишком часто специалисты по безопасности опираются на длину пароля (Password Length) и требования целостности (Password Complexity) для обеспечения политики паролей. На самом деле соответствие требованиям целостности (Password Complexity) может привести к простым для запоминания схемам паролей, которые легко подбирают компьютерные системы. Дополнительно, некоторые организации идут дальше и периодически тестируют пароли пользователей на соответствие известным уязвимым паролям и предостерегают пользователей от использования простых, повторяющихся шаблонов.

Заключение.

Средства обеспечения безопасности и атаки на них непрерывно развиваются. Если говорить простым языком, из-за новых методов атак, которые активизировались в последние месяцы, мульти-факторная аутентификация (MFA) и обучение пользователей стали двумя важными шагами, которые каждая организация может взять на вооружение для снижения риска проникновения киберпреступников внутрь окружений.

Калькулятор для Microsoft Exchange Server 2019

Команда разработки Exchange анонсировала завершение работ по разработке Exchange 2019 Sizing Calculator. Команда прислушалась к просьбам сообщества, которые поступали с самого релиза Exchange Server 2019, и потратила последние несколько месяцев на улучшение калькулятора в части использования, специфические улучшения Exchange Server 2019 и проверку рекомендаций, выдаваемых калькулятором. Нужно отметить, что в калькулятор были добавлены некоторые новые положения, а часть элементов, которые потеряли свое значение, были удалены. Далее мы более детально пройдемся по изменениям.

Оптимизировано для Exchange Server 2019.

Первое, на что следует обратить внимание, – это то, что новая версия калькулятора поддерживает только Exchange Server 2019. Удаление поддержки предыдущих релизов позволило оптимизировать калькулятор и сосредоточиться на актуальных шаблонах использования, исключив устаревшие. Некоторым устаревшим шаблонам уже 12 лет, едва ли кто-либо сейчас планирует применять CCR, LCT и SCR (возможно, вы даже не помните, что это такое). Нужно отметить, что дополнительно ввод данных стал быстрее. Также калькулятор был спроектирован таким образом, что он предоставляет обратную связь без необходимости переходить на другой лист, чтобы увидеть проблему или предупреждение из-за некорректно указанного параметра.

Улучшенная поддержка виртуализации.

Технологии виртуализации – это другая область, которая получила много внимания, чтобы предоставить лучшие рекомендации. На практике, при выборе виртуального развертывания, можно увидеть новые типы дисков, оптимизированные для развертывания в Azure. Выбор одного из трёх типов дисков дает послабление для правил калькулятора, позволяющее рекомендовать конфигурацию JBOD чаще. Использование конфигурации JBOD позволяет разворачивать группы доступности баз данных (DAG) Exchange экономически эффективнее с Azure. Это не противоречит рекомендации использовать простую защиту данных Exchange (Exchange Native Data Protection) при помощи DAG во всех развертываниях. DAG остается ключевой фигурой во всех реализациях высокой доступности (HA)/аварийного восстановления (DR).

Также можно обратить внимание, что вычисление требований CPU улучшено для всех виртуальных развертываний. При выборе опции виртуализации будет отображаться два значения ядер процессора. Первое указывает число ядер, развертываемое на хосте виртуализации, а второе – число ядер доступное гостевой виртуальной машине через гипервизор. Также обратите внимание на опцию, указывающую соотношение физических процессоров к гостевым (Physical CPU:Guest CPU) и используемую для проектирования систем. Калькулятор будет использовать входные данные для определения того, какие ресурсы на самом деле доступны. Больше не придется делать этот расчет самостоятельно вручную.

Обновленная оценка SPECint

Говоря о процессорах (CPU), нужно отметить, что настало время перейти на новую оценку – калькулятор Exchange 2019 использует критерий SPECint 2017. Команда не планирует переводить старые рейтинги на новую оценку, даже сам SPECint указывает, что стандарты нужно воспринимать самостоятельными и отличными друг от друга без прямой конвертации.

Поддержка баз данных MetaCache (MCDB).

Однажды при простом осмотре калькулятора было принято решение добавить одну опцию ввода и простое вычисление для учета новой возможности MCDB. Однако то, что команда планировала сделать за минуты растянулось на часы, кое кто (чье имя не разглашается) решил, что калькулятору требуется более комплексное обновление. Очередь задержки стала растягиваться, почтовые ящики заполняться письмами «Когда будет доступен калькулятор для Exchange 2019?». На самом деле, поддержка MCDB в первую очередь была подключена к решению данной задачи, но помимо этого продолжалась другая работа. Вычисления MCDB основываются на том же руководстве, которое команда предоставляла до сих пор, и теперь это доступно для всех. В соответствии с вариативностью объема SSD, калькулятор предоставит необходимое количество устройств и объем, который будет предоставлен. Итоговый результат будет основан на предоставленных значениях и том, что на самом деле доступно на рынке. Количество устройств может быть переопределено тем, как много устройств будет использоваться.

Лимит базы данных в 2 ТБ.

Команда Exchange всегда рекомендует клиентам ограничивать размер базы данных до 2 ТБ. Предыдущие версии калькулятора могли периодически нарушать эту рекомендацию и указывать больший размер базы данных вместе с предупреждением не превышать 2 ТБ. Это было изменено в данной обновленной версии калькулятора. Рекомендованный максимум – это 2 ТБ для развертываний на JBOD и 200 ГБ для развертываний на RAID будет применен по умолчанию. В зависимости от конфигурации можно увидеть небольшое увеличение числа баз данных, предложенных калькулятором. Команда продолжает работать, чтобы удостовериться, что диск использует наибольший экстент из возможных. Если выбрать игнорирование лучших рекомендаций команды Exchange, калькулятор позволяет переписать максимальный размер базы данных, как в большую, так и в меньшую степень от предложенного по умолчанию.

Можно заметить, что данное измерение заставляет проекты чаще привязываться к объему, чем к скорости ввода/вывода, особенно с большими почтовыми ящиками. Этот тренд уже наблюдался в предыдущих версиях калькулятора. Учитывая многолетние изыскания с целью сокращения ввода/вывода, вложения в горизонтальное масштабирование Office 365 и нынешнее включение MCDB, явно говорят нам о том, что дни обычного локального сервера, завязанного на собственный ввод/вывод, остались далеко позади.

Итог.

Команда Exchange рада выпустить данную версию калькулятора для масштабирования Exchange и надеется, что пользователи оценят изменения по достоинству. Ну а теперь последнее изменение: калькулятор для Exchange 2019 будет распространяться вместе с DVD ISO в каталоге «Support». Таким образом, для получения калькулятора необходимо скачать установочный накопитель Exchange 2019 Cumulative Update 2. Перемещение калькулятора на ISO-образ позволит команде обновлять калькулятор быстрее и чаще, а также убедиться в его совместимости с будущими изменениями в Exchange Server.

Управление параметрами объединения сети (Bonding) в CentOS 7

Здравствуйте коллеги, пришло время подвести промежуточный итог в нашем погружении в возможности сетевого взаимодействия в CentOS 7. Сегодня мы завершаем группу веб-кастов, посвященную объединению сети (Bonding).

В веб-касте рассказывается о различных параметрах объединения сети (Bonding), в первую очередь о режимах объединения (Mode) и способах мониторинга, подчиненных (Slave) интерфейсов, при поищи исключающих друг друга директив, а также о прочих простых параметрах с числовым значением и параметрах с подставным значением. Центральное место в веб-касте удалено демонстрациям управления параметрами объединения (BONDING_OPTS) при помощи интерфейса командной строки NetworkManager (nmcli) и конфигурационных файлов ifcfg. Дополнительно в веб-касте демонстрируется определение сетевых интерфейсов, поддерживающих мониторинг зависимых интерфейсов (Slave) при помощи miimon и последствия применения несовместимых параметров объединения.

Подробности и видео: LebedevUM.

P.S. Это заключительный веб-каст в группе посвященной объединению сети (Bonding) в CentOS 7. Перед просмотром данного веб-каста рекомендую познакомиться с предыдущими веб-кастами по теме сетевого взаимодействия:

• Комплексное именование сетевых устройств в CentOS 7
• Демон управления сетью (NetworkManager) в CentOS 7
• Настройка сети при помощи nmcli в CentOS 7
• Объединение сети (Bonding) в CentOS 7

В дальнейшем я планирую продолжить рассказ о возможностях сетевого взаимодействия в CentOS 7.

Центр обновления Windows (Windows Update) в Windows 10

В продолжение к моей предыдущей статье, где я рассказывал о критических обновлениях, сегодня речь пойдет про Центр обновления Windows (Windows Update) в Windows 10.

Вместе с релизом Windows 10, Microsoft перенесла модель обновления операционной системы и ее компонентов на универсальную платформу обновлений (Unified Update Platform, UUP). UUP – это единая модель публикации, размещения, сканирования и загрузки для всех обновлений операционной системы, для всех операционных систем на базе Windows (настольных и мобильных), для всего – от ежемесячных обновлений качества до обновления новых возможностей.

Архитектура Unified Update Platform (UUP).

Чтобы понять изменения в архитектуре центра обновлений Windows (Windows Update), которые предоставляет UUP нужно познакомиться с некоторыми новыми ключевыми терминами:

Пользовательский интерфейс обновления (Update UI) – пользовательский интерфейс для инициации проверки обновлений и отображения истории доступен через Параметры (Settings) > Обновления и безопасность (Update & Security) > Центр обновления Windows (Windows Update).

Оркестратор сессии обновления (Update Session Orchestrator, USO) – компонент операционной системы Windows, который управляет последовательностью загрузки и установки различных типов обновлений из Windows Update.

Типы обновлений:

• Обновления компонентов операционной системы (OS Feature updates).
• Обновления безопасности операционной системы (OS Security updates).
• Драйверы устройств (Device drivers).
• Обновления определений Defender (Defender definition updates).

Примечание.

Остальные типы обновлений, такие, как обновления безопасности настольного пакета Office, устанавливаются через Microsoft Update, если пользователь выбирает такую опцию.

Приложения из Магазина (Store) и обновления к ним не устанавливаются при помощи USO, на сегодняшний день они разделены.

Клиент обновления Windows (WU Client/UpdateAgent) – компонент запущенный на персональном компьютере. Это простая динамическая библиотека (DLL), которая загружается на устройство, когда обновление применимо. Она исследует API, необходимый для выполнения обновления, в том числе она необходима для генерации списка необходимого для загрузки, а также для операций начального этапа и подтверждения успешной установки. Она предоставляет универсальный интерфейс, который абстрагирует фоновые технологии обновления от вызывающего.

Обработчик арбитра обновлений Windows (WU Arbiter Handler) – код, который включен в бинарный файл UpdateAgent. Арбитр собирает информацию об устройстве и использует базы CompDB для вывода списка действий. Он отвечает за финальное «композитное состояние» устройства и ресурсы (такие как ESD или пакеты), необходимые для обновления устройства.

Арбитр развертывания (Deployment Arbiter) – менеджер развертывания, который вызывает различные установщики, например, CBS.

Дополнительные компоненты включают следующее:

CompDB – общий термин для ссылки на описательную информацию XML о композиции целевой сборки, доступных дифференциальных пакетах и условных правилах.

Список действий (Action List) – ресурсы и дополнительная информация необходимая для выполнения обновления. Список действий выгружает UpdateAgent, также как остальные установщики для определения необходимых для загрузки ресурсов. Он также используется агентом установки (Install Agent) для определения необходимых действий, таких как установка или удаление пакетов.