maanantai 14. tammikuuta 2013

CERT-fi suosittelee toisen selaimen käyttämistä ratkaisemaan jatkuvat JAVA tietoturva ongelmat!


CERT-fi varoitti jälleen Javan tietoturva aukosta johon ei ole korjausta saatavilla (https://www.cert.fi/tietoturvanyt/2013/01/ttn201301101629.html). Javan selaimesta poistaminen on ainoa tapa suojautua tilanteelta. Monen palvelunkäyttö kuitenkin vaatii javan toimiakseen. Tähän CERT-fi suosittelee asentamaan TOISEN selaimen koneeseen. Selaimista toista käytetään jokapäiväiseen surffailuun ja toista java palveluihin. Vaikka korjaus kyseiseen ongelmaan on saatu, suositellaan edelleen jatkamaan kahden selaimen ratkaisua. Näin ollaan varauduttu tuleviin vastaaviin tilanteisiin.

Vaihtoehtona tilanteen voi ratkaista sovellusvirtualisoinnin avulla. Javasta luodaan virtuaalinenpaketti, jonka sisällä suoritetaan työasemanselainta. Selaimessa ei siis normaalisti tarvitse olla java päällä, vaan se on päällä vain kun selain suoritetaan virtuaalisessa ympäristössä. Tällä tekniikalla vältytään toisen selaimen asentamiselta, lisäksi javaa ei tarvitse olla työasemassa asennettuna perinteisesti lainkaan. Loppukäyttäjälle ratkaisu ilmenee kahtena pikakuvakkeena. Toisesta aukeaa normaaliselain ja toisesta virtuaaliympäristöstä selain, jossa java on käytössä.

Tietoturva paranee sovellusvirtualisoinnin perusominaisuuksilla. Oletuksena virtuaaliympäristön tapahtumia ei kirjoiteta työasemaan oikeasti, vaan muutokset tallentuvat virtuaaliympäristöön. Mikäli mahdollinen hyökkäys tapahtuu jää se virtuaaliseen ympäristöön. Tämä myös mahdollistaa sen että virtuaaliympäristössä selaimen asetukset voivat poiketa ”oikeasta” selaimesta. Esimerkiksi virtuaaliselaimen kotisivu voi olla käyttäjän tarvitsema java palvelu.


Toteutus on mahdollista yleisimmillä selaimilla ja sovellusvirtualisointi tuotteilla.
Seuraavassa videossa demoan kuinka palvelu käytännössä toimii. Teknisinä tietoina selaimena toimii Internet Explorer 8 ja sovellusvirtualisointi tuotteena App-V.

 1. Aluksi käyn javan testisivulla virtuaaliympäristön sisällä toimivalla selaimella.
 2. Suoritan saman operaation normaalilla selaimella.
 3. Muutan virtuaaliympäristössä selaimen kotisivun.
 4. Lopuksi havainnoin ettei asetus vaikuta normaaliin selaimeen.

maanantai 7. tammikuuta 2013

Muistilista App-V 5.0 KäyttöönottoonJakelujärjestelmä

Microsoft on tähän mennessä tarjonnut kolme eri tapaa jaella App-V sovelluksia: App-V Management server, SCCM ja standalone. Tarjonta pysyy samana mutta siirtyminen uuteen vaatii muutoksia. Management server on uusiutunut täydellisesti, mm. hallintakonsoli on selain pohjainen, striimaus protokollaksi on vaihdettu SMB, niinpä suoraa päivityspolkua vanhasta ympäristöstä uuteen ei ole. Uuden version käyttöönotto vaatii kokonaan uuden ympäristön rakentamisen. SCCM jakelussa siirtyminen ei vaadi uuden järjestelmän rakentamista. 2012 SP1 tuo tuen App-V 5.0 ympäristölle. Standalone on jakelujärjestelmä mielessä pysynyt lähes entisellään. Paketeista luodaan edelleen MSI paketti joka mahdollistaa asentamisen. Skripti asennuksissa SFTMIME on korvattu powershell komennoilla.
Kaikkia jakelujärjestelmiä koskeva tervetullut uudistus on connection groups, eli pakettien linkittäminen keskenään. Aiemmin tämä toiminto on suoritettu paketointivaiheessa (Dynamic Suite Composition). Tästä johtuen sovelluksen jakelija saattoi jaella paketteja jotka linkittyivät toisiinsa, eikä jakelija tiennyt asiasta mitään. Ongelmia tuli eteen kun ei kaikkia tarvittavia sovelluksia jaettu, jolloin sovellus ei toiminut lainkaan tai jokin ominaisuus jäi uupumaan. App-V 5.0:ssa linkitys tehdään jakelujärjestelmällä, jossa sovellukset kerätään connection group:ksi. Ryhmän jäsenet pystyvät keskustelemaan ilman rajoitteita keskenään. Management server ja SCCM 2012 SP1 sisältävät valmiit työkalut connection grouppien luomiseen. Standalone ratkaisuissa pitää jakelijan luoda XML tiedosto jokaisesta connection groupista. Ryhmän lisääminen ja aktivointi tapahtuu parilla powershell komennolla.

Päätelaitteet

App-V sovellusten suorittaminen vaatii päätelaitteelta client ohjelmiston, joka on oleellinen osa järjestelmää riippumatta tavasta käyttää App-V:ta. Clientistä on tullut huomattavasti itsenäisempi mm striimaus ilman jakelujärjestelmää SMB tai HTTP lähteestä on kätevä ominaisuus. Varsinkin VDI ympäristöihin suunnattu shared content store on varsin roima parannus vanhaan read-only cacheen. Tekniikan idea on tarjota keskitettysäilö sovelluksille jota sitten clientit käyttävät, näin sovelluksia ei tarvitse kopioida jokaiselle koneelle. Tämä mahdollistaa levytilan säästämisen, lisäksi uuden koneen käyttöönotto on huomattavasti nopeampaa, sovelluksia ei tarvitse kopioida uuteen koneeseen. Parasta vanhaan nähden shared content storessa on se että tekniikkaa on jakelujärjestelmä riippumaton, read-only cache vaati management server ympäristön.
Siirtymän vanhasta uuteen pehmentämiseksi voi yhdessä päätelaitteessa suorittaa 4.6 SP2 ja 5.0 clienttiä yhtä aikaa. Tarvittaessa 5.0 clientti voi toimia migraatio tilassa jolloin se ottaa haltuunsa pikakuvakkeet ja FTA:t mikäli sama sovellus on jaeltu kummallakin versiolla.
Virtuaalipaketin sisäinen tiedostojärjestelmä päivittyy NTFS aikaan, näinpä sitä ei tarvitse eristää omaan levy-asemaansa. Legendaarinen Q –asema jää siis lopultakin unholaan.

Paketit

Vaikka kaikki muukin on mennyt uusiksi, kuitenkin eniten työtä teettävä uudistus on paketti formaatti. Vanhoja 4.x paketteja ei suoraan saa uuteen ympäristöön. Ratkaisuna on vanhojen pakettien konvertointi tai kokonaan uudelleen paketointi. Konvertointi on nopea ja tehokas tapa siirtää sovellukset uuteen versioon. Heikkoutena on että kaikkia 4.x pakettien ominaisuuksia ei voi konvertoida (mm. DSC, OSD skriptit), lisäksi konvertointi ei tuo 5.0 version uusia ominaisuuksia pakettiin (Virtual Application Extensions). Konvertointityökalu sisältää testaus toiminnon, jolla saat raportin mitä konvertoinnissa paketista jää pois.
Virtuaaliympäristön uusi tiedostojärjestelmä heijastuu myös paketointiin. Paketeissa ei ole enää minkäänlaista kokorajoitusta, eli 4.x:stä tuttu 4gb:n rajoitus on poistettu.
Aiemmin jo mainittiin Virtual Application Extensions, tämä on uusi nimitys ominaisuuksille jotka keskustelevat virtuaaliympäristöstä käyttöjärjestelmän ja muiden sovellusten kanssa. Tarkoituksena on säilyttää virtuaalisovelluksen eristäminen käyttöjärjestelmästä ja samalla hallitusti sallia tiettyjä perustoimintoja sovellukselle. Näin saavutetaan entistä täydellisempi loppukäyttäjäkokemus. Ennestään tutut pikakuvakkeet ja FTA:t ovat saaneet läjän uusia ominaisuuksia (mm. AppPath, URL Protocols, Software Clients, SPAD, COM Local Servers). Virtuaalisovelluksen voi nyt määrittää oletussovellukseksi käyttöjärjestelmässä, toinen näkyvä uudistus on URL protocolla tuki, käytännössä esim. MAILTO: linkit toimivat virtuaalisovelluksiin.

Yhteenveto

Lopuksi askeleet joita suosittelen tehtäväksi.
 1. Sovelluksien kartoitus
  1. Lajittele sovellukset kahteen ryhmään
   1. Konvertoitavat sovellukset.
   2. Uudelleen paketoitavat sovellukset
  2. Kartoita myös sovellukset joita ei ole aiemmin voitu virtualisoida
 2. Päätä siirrytkö kerta rytinällä uuteen ympäristöön vai vaiheittain
  1. Järjestelmien rinnakkain käyttäminen mahdollista
  2. Onko ympäristössä Win7 SP1 vanhempia koneita?
  3. Lähdetäänkö muokkaamaan tuotannossa olevia paketteja?
 3. Uuden jakelujärjestelmän käyttöönotto
  1. SCCM 2012 päivitys SP1 versioon
  2. Management server 5.0:n pystytys
 4. App-V 5.0 clientin jakelu päätelaitteille
  1. 4.x ja 5.x ympäristöjen rinnakkain käyttö vaatii 4.6 SP2 päivityksen.