Share via


Sikkerhet med Application Virtualization 4.5 (Softgrid)

Er en del å si om dette emnet, men det jeg skal dekke kort her er den nye muligheten for å benytte sikre tilkoblinger og sertifikater. Akkurat som med Terminal Server Remote Apps er det med Softgrid fornuftig å sikre seg at oppstarten av programmet faktisk skjer fra en server du stoler på.

Secure Mode

Secure mode går ut på å skru på støtte for TLS når (Softgrid) klienten kobler seg til serveren, dvs å benytte RTSPS istedetfor (bare) RTSP. Den gamle koden for dette er rett og slett kutta ut av produktet og nå basert på vår SChannel. Dette betyr at du med secure mode kan benytte x.509 sertifikater på Application Virtualization serveren for at denne skal kunne bevise hvem den er.

PKI løsning er selvsagt påkrevd for dette. Utover dette er det kun enveis autentisering som støttes til nå, dvs at serveren autentiserer seg mot klienten, men ikke andre veien. For at klienten skal godta serveren da må følgende være i orden:

  • Sertifikatet på serveren må selvsagt være gyldig og kunne valideres.
  • Riktig EKU må være satt i sertifikatet. EKU = Enchanced Key Usage. Denne må være satt til Server Authentication
  • Sertifikatets FQDN må stemme med serveren. Hvis klienten adresserer rtsps://virtual.mittfirma må sertifikatet være utstedt til virtual.mittfirma
  • Klienten må stole på Root CA i PKI infrastrukturen som benyttes.

 

En annen viktig ting med sikkerhet i versjon 4.5 er at serveren ikke lenger kjører i System kontekst, men som Network Service Account for å sørge for at servicen ikke har mer rettigheter enn strengt tatt nødvendig, helt i tråd med våre prinsipper. Dette kan selvsagt endres om du vil kjøre den som en annen konto.  Dette er også viktig å huske på om du skal sette opp serveren til å støtte Secure mode, da må kontoen den kjører som ha READ rettigheter til Private Key i sertifikatet du skal bruke. Når du oppretter et nytt sertifikat er default at kun System og Administrators har dette.

Comments

  • Anonymous
    January 01, 2003
    Ja, vet det skal hete Microsoft Application Virtualization nå... lærer meg sikkert å bruke