Een slimme, sociale werkplek: Microsoft Viva for Teams vs. Citrix Intelligent Workspace

Vernieuwingen Windows 2019 voor End User Computing

Door Vincent van Zeijl

Velen zijn er zich misschien nog niet zo bewust van maar Windows 2016 is End of Life op 11 januari 2022. Dat is minder dan een jaar. Natuurlijk kun je nog extended support inkopen, maar als je nu actie onderneemt is dat niet nodig. De opvolger, Windows 2019, is al weer een hele tijd beschikbaar. De meeste applicaties zullen gewoon werken, maar testen is natuurlijk van belang. Wat echter interessant is, zijn de vernieuwingen en veranderingen in Windows 2019 t.o.v. Windows 2016. Pas dan kun je een inschatting maken van de impact van dit “nieuwe” OS.

In deze blog zal ik ingaan op een aantal vernieuwingen die van invloed kunnen zijn op je huidige virtuele desktopomgeving. Want veel bedrijven zullen nog niet klaar zijn om de overstap naar Windows 10 multi-user te maken en gewoon inzetten om hun huidige Windows 2016 terminal servers te vervangen onder Live Cycle Management voor Windows server 2019.

Windows Search

Eén van de veranderingen is Windows search. Windows search is altijd best een lasting onderdeel geweest. De search db is in Windows 2016 computers multi-user based en moet bij zero profiling (b.v. bij Ivanti Workspace Control) steeds opnieuw aangemaakt en geindexeerd worden.

Eén van de oplossingen is het gebruik van Microsoft FSLogix. Met FSLogix wordt de search index op een virtuele harddisk gezet, die gekoppeld wordt bij het starten van je remote sessie. Hierdoor hoeft deze niet steeds opnieuw aangemaakt te worden en hoeft er ook niet steeds opnieuw geindexeerd te worden.

Windows 2019 heeft echter een nieuw feature. De per-user search wordt native ondersteund. De Search db is used based geworden en wordt opgeslagen in je roaming user profile.

Hiermee is één van de WWindows search problemen opgelost en is er voor dit onderdeel geen reden meer om FSLogix in te zetten. Sterker nog, je moet in de FSLogix policies Windows search roaming juist uit zetten. Zie hiervoor de documentatie in onderstaande link.

Roam the Windows search database with Profile Container – FSLogix | Microsoft Docs

Windows Search in Server 2019 and Multi-Session Windows 10 – James Kindon (jkindon.com)

Per-user services

Windows 2016 en Windows 2019 hebben een flink aantal per-user services. Ik weet niet of iedereen zich hier bewust van is, maar bij iedere sessie worden deze services aangemaakt en vragen onnodig resources. Bij veel bedrijven zijn deze services helemaal niet nodig en worden ze via een policy op disabled gezet. Dit voorkomt echter niet dat deze services nog steeds per user aangemaakt worden, maar gelukkig wel disabled. Dit ziet er dan uit zoals op onderstaande afbeelding. Afhankelijk van het aantal sessies per server kan het aantal instanties behoorlijk oplopen.

Een voorbeeld van hoe de per-user services er uitzien op een Windows 2016 machine.

Windows 2019 heeft hiervoor een verandering ondergaan. Via onderstaande registry instellingen kun je voorkomen dat de services aangemaakt worden. Zet de UserServiceFlags to 0. Doe dit alleen als je de service niet gebruikt. In de EUC wereld draait alles om optimalisatie. Ook deze hoort daar zeker in thuis.

Deze lijst kan gebruikt worden op een Windows 2019 terminal server. Er zijn echter nog meer per-user services bekend en Windows 10 heeft weer andere per-user services. Bekijk nauwkeurig in je eigen omgeving welke services er zijn.

https://docs.microsoft.com/en-us/Windows/application-management/per-user-services-in-Windows

Power button

Het instellen van een GPO zodat gebruikers de remote desktop server niet uit kunnen zetten of rebooten is vanzelfsprekend. Windows 2016 had echter een nare bijkomstigheid dat je de power button niet helemaal uit kon zetten. Het liefst zou je deze volledig weg willen halen of willen ombouwen zodat gebruikers alleen nog maar de optie hebben om hun sessie uit te loggen. Dit is echter niet mogelijk in Windows 2016.

Je kunt deze alleen instellen op “verbinding verbreken” of “Disconnect”. Dit is echter niet wenselijk vanwege licentie en resources gebruik.

 

Stap je over naar Windows 2019 dan kun je onderstaande registry setting instellen. Hierdoor verdwijnt de power button en is het problem opgelost. Gebruikers kunnen uitloggen of hun sessie disconnecten via een rechter muis klik op

 

Nieuwe Windows 2019 Registry instelling :

Samen met onderstaande GPO geeft dit het gewenste resultaat (zie screenshots hieronder).

Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands:

Powerbutton geeft nu een melding. Maar niet meer de Disconnect optie:

Powerbutton is helemaal weg:

 

 

Dit zijn slechts enkele voorbeelden van veranderingen/verbeteringen onder de motorkap in Windows 2019. Heb je vragen over de migratie naar Windows 2019 van je huidige omgeving, neem dan gerust contact met ons op.

 

SAML Single Sign On

Door Ruud Zwanenburg

Kan je met SAML aanmelden op een Windows desktop?

Wat is SAML

SAML staat voor Security Assertion Markup Language. Het is een op XML gebaseerde standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen domeinen. Het XML gedeelte wijst er op dat de uitwisseling gebeurt door web services. Authenticatie- en autorisatiegegevens worden gecodeerd door certificaten. Doordat er geen wachtwoord wordt uitgewisseld is dit veilige manier van authentiseren.

Implementatie van SAML

De implementatie van SAML bestaat uit twee delen. Deze twee zijn bij elkaar bekend en vertrouwen elkaar.

  • IDP, dit staat voor identity provider. Dit is de database met login gegevens. Hier meld je je aan met je gebruikersnaam en wachtwoord en eventueel Multifactor in welke vorm dan ook. Nadat je geauthentiseerd bent geeft de identity provider dit door aan de service provider.
  • SP, dit staat voor service provider. Als je met een webbrowser naar een applicatie toe gaat stuurt deze je door naar de IDP om je te authentiseren. De service provider ontvangt het resultaat hiervan en gebruikt dit om je aan te melden bij de applicatie.

Voordelen

  • Single sign on (SSO) naar alle applicaties die SAML ondersteunen.
  • Er hoeft geen trust aangemaakt te worden tussen de domeinen.

Nadelen

  • Als SSO niet werkt kan je nergens bij. Omdat er geen wachtwoord uitgewisseld wordt, is deze ook niet bekend bij de “Service Provider” en kan je niet even overschakelen op gebruikersnaam en wachtwoord om aan te melden.
  • Door XML en certificaten is het lastig te implementeren en trouble shooten.

Waar kennen we SAML van?

Ik denk dat bijna iedereen die een mobiele telefoon heeft al heel vaak wordt geauthentiseerd door middel van SAML zonder dit zelf te weten. Je kan namelijk heel vaak op applicaties aanmelden met je Facebook, Instagram, Fibit of Google-account. En dit werkt meestal met SAML.

Alternatief voor SAML

Een alternatief voor SAML is Auth0. Dit werkt eigenlijk op dezelfde wijze als SAML. Het is een iets nieuwere standaard geïntroduceerd door Google. Google gebruikt Auth0 om aan te melden bij alle Google-applicaties. Daar waar SAML iets meer controle geeft over wat wordt uitgewisseld is Auth0 iets sneller op mobiel en gebruikt JSON.

Schema inloggen SAML

 

  1. Medewerker John opent een web browser en gaat naar website applicatie A
  2. Website applicatie A wil weten wie John is en of het echt John is. Website applicatie A heeft zelf geen authenticatie service en stuurt John door naar Identity Provider B in de vorm van een SAML request.
  3. Identity Provider B laat John inloggen met naam, wachtwoord en eventueel een vorm van MFA. Als dit succesvol verloopt, encrypt hij dit in een “Assertion“ en stuurt dit terug naar de Service Provider in de vorm van een SAML response. In een assertion zitten ook gegevens van John. Bv een ID of emailadres of eventueel groepslidmaatschappen. Dit moet geconfigureerd worden in de Identity Provider trust tussen IDP en SP. Dit worden, in technische termen, vaak claims genoemd.
  4. De Service provider “website applicatie A” decrypt de ontvangen assertion en weet nu dat het inderdaad John is en wat zijn ID of emailadres is. Met deze gegevens laat hij John toe in de applicatie.

Hoe werkt nu precies de laatste stap?

Dit is het stukje waar ik het langst over deed om dit te begrijpen en werkend te krijgen in mijn testomgeving.

De Service Provider weet nu dat John echt John is, omdat hij succesvol bij iemand anders geauthentiseerd is en wat daar zijn ID of emailadres is. Dat ik ook bij Google geauthentiseerd ben, wil in dit geval, niet zeggen dat ik dan bij Microsoft ook iets mag, ook al weten ze wie ik ben.

Dit werkt als volgt

De Service Provider moet zelf een Identity store aanleggen. Hier zit voor elke medewerker een record in met een uniek ID. Dit is meestal en nummer of emailadres. Aan deze medewerker worden rechten gekoppeld, met daarin de informatie over wat ze mogen in de applicatie. Dit noemen ze ook wel “shadow Users”. De ID uit de assertion wordt gekoppeld aan de ID bij de Service Provider. En zo kan de gebruiker aan de slag.

Kan je via SAML authenticatie op een Windows desktop aanmelden?

Als je bij Windows aanmeldt met je gebruikersnaam en wachtwoord ontvang je een kerberos-ticket. Met dit kerberos-ticket krijg je toegang tot resources. Met SAML wordt geen wachtwoord uitgewisseld. Daarom zit daar een uitdaging.

Een andere manier om een kerberosticket te krijgen, is op dezelfde wijze aanmelden als met een smartcard. Je maakt daarbij gebruik van een user certificaat. Je hebt dus voor elke medewerker een “shadow user account” nodig met een bijbehorend user certificaat. Om een user certificaat te krijgen heb je dus ook een certificaat server nodig. Vervolgens koppel je de SAML-name-ID aan de shadow user en certificaat.

Bij Citrix hebben “federated-authentication-service”, dit is de software die dit allemaal regelt.

Wat kan je als identity provider gebruiken.

Er zijn inmiddels veel providers te vinden. Hieronder de bekendste:

  • OKTA: Okta is een cloud gebaseerde provider. Het biedt een universal directory die je kan uitbreiden met bv multifactor authenticatie. Geen active directory van Microsoft meer nodig.
  • Azure AD: Azure AD is ook in te stellen als IDP. Maak hiervoor een applicatie aan als geen galerij applicatie en kies Single Sign On met als optie SAML.
  • Citrix ADC (Netscaler): Citrix ADC is geschikt als IDP of als SP. Als IDP heb je wel een directory nodig waar de ADC met een LDAP query de gebruikers gegevens uit kan halen. Daar kan je bijvoorbeeld je on premisse Active Directory voor gebruiken.
  • Amazon web services
  • Social media: En natuurlijk ook de sociaal media als facebook en Google, maar ik denk niet dat je die voor een bedrijf wil gebruiken.

Handige links

Oasis
SAML Developers tools
Citrix FAS
OKTA
Amazon web services

Meer weten?

Wil je meer weten over SAML, neem dan gerust contact met ons op.

Wat is SASE

Door René Lindeboom

Eind 2019 schreef Gartner een whitepaper met de titel ‘The future of network security is in the Cloud’. Enkele maanden terug verscheen dit blog-artikel van Citrix over SD-Wan en SASE.

Maar wat is SASE nu precies?

Het gemiddelde bedrijfsnetwerk maakt grote ontwikkelingen door.  Zo zijn enkele jaren terug  de eerste stappen richting ‘cloud’ gezet en vandaag de dag is er geen onderneming of organisatie zonder een cloud-strategie. Dat kan simpelweg ‘cloud-first’ zijn maar ook een complexer plan tot het ‘verSaaSen’ van bedrijfsprocessen en het afscheid nemen van ‘legacy’ infrastructuur.

Een belangrijk argument voor ‘cloud-adoptie’ is om te bewegen naar een kostenmodel waarbij operationele kosten (of ‘pay as you go’) kunnen worden toegepast (in plaats van het investeren in af te schrijven hardware en software).

Verliezen we controle?

De tijd van traditionele on-prem omgevingen is dus eindig. Dat einde wordt door bijzondere omstandigheden zoals Covid-19 afgelopen (en komend) jaar nog eens versneld. De digitale grenzen vervagen en het is niet meer mogelijk om achter een enkele firewall te schuilen. We beveiligen verbindingen, data en applicaties met behulp van SSL encryptie en als het even kan ‘multi-factor authenticatie’ en VPN-tunnels. In deze (voor veel organisaties huidige) situatie is het niet langer inzichtelijk via welke verbindingen welke data het bedrijfsnetwerk inkomt en uitgaat. We dreigen langzaam controle te verliezen.

We stappen nu het ‘hybrid’ era in, met een grote verscheidenheid aan SaaS-diensten in private en public clouds en het internet als ons primaire netwerk. In deze situatie is er extra aandacht nodig voor de beveiliging tegen malware en ransom attacks, zeker nu we zien dat deze aanvallen gestructureerd en gestimuleerd lijken te worden door buitenlandse overheidsorganisaties. Zoals altijd ontstaan uit nieuwe technische ontwikkelingen ook weer nieuwe technische wijsheden.

Het maakt niet meer uit waar resources of gebruikers zich bevinden

Zo’n nieuwe wijsheid is bijvoorbeeld ‘SASE’ (spreek uit; ‘sassy’) wat staat voor ‘Secure Access Service Edge’. Wat hiermee bedoeld wordt is het creëren van een beveiligingslaag die zich kan uitstrekken over verschillende private/public clouds/networks. Deze laag moet samengesteld worden uit meerdere technologieën die verkeer op een slimme manier toestaan of blokkeren.

Er is een integrale benadering nodig, waarbij het er niet langer toe doet waar resources (data en applicaties) of gebruikers (en devices) zich bevinden. Volgens het ‘SASE’ principe wordt een virtuele scheidslijn (edge) gecreëerd tussen ‘intern’ en ‘extern’ ongeacht de fysieke locatie of connectie. Al het verkeer dat deze scheidslijn wil passeren wordt beschouwd als ‘not-trusted’ (zero-trust), zodat eerst vastgesteld kan worden of de data, applicatie of gebruiker toegang wordt verleend.

Citrix heeft hier een aantal cloud services voor ingericht als onderdeel van de Citrix Workspace.

De ‘Secure Internet Access’ service is te beschouwen als een geïsoleerde internet-browser. Als een gebruiker een ‘externe’ site bezoekt, wordt deze automatisch omgeleid naar een beveiligde webbrowser. De ‘Gateway service’ koppelt een eigen resource-locatie via ‘Gateway-connectors’. Deze resource-locatie kan een traditionele ‘on-prem’ omgeving zijn maar ook een app of data gehost in een private of public cloud. De ‘security broker’ service koppelt je eigen Identity provider (Azure AD, on-prem AD, Okta, SAML, Google-IDP of Ping) plus MFA aan de Workspace-omgeving.

Doordat deze services, net als de Workspace service zelf, door Citrix worden beheerd zijn ze altijd ‘up-to-date’ en beschikbaar. Door deze services te combineren met de Citrix Analytics service ontstaan een intelligente ‘end-to-end’ monitoring van al het verkeer dat inkomt en uitgaat.

In het Cloud control panel worden de risico’s geïdentificeerd en gekwalificeerd (‘High’, ‘Medium’ en ‘Low’) waarbij ‘machine learning’ wordt toegepast.

De kracht van Citrix Workspace zit dus niet alleen in de intuïtieve digitale werkplek maar ook in de security services er omheen. Hiermee ontstaat een ‘SASE’ conforme werkplek-omgeving die klaar is voor de nabije toekomst.