Hardening VMware vSphere 7

Non sono certo io a dover spiegare che parlare di security è ormai entrato nel day by day dei consulenti dei manager IT. Anche VMware da alcuni anni sta rilasciando  guide di come rafforzare l'hardening degli ambienti vSphere. Ormai è da diffidare di chi considera l'installazione  di ESXi e vCenter come dei semplici avanti avanti avanti ....

Riporto qui sotto il link alla guida di VMware per l'hardening degli ambienti vSphere 7 comprensivo anche dei dettagli dei parametri da configurare e  dei comandi per modificarli.

Hardening vSphere 7

HARD STOP VM

Quante volte in passato  non siamo riuscuti a spegnere una virtual machine con:

 

 

Quindi ci siamo trovati nella necessita' di utilizzare la command line per killare un'istanza di una VM (Collegarsi via SSH ecc..) vedi KB 1014565

 

Dalla versione 7 del vCenter possiamo utilizzare  l'opzione HARD STOP

 

 

 

 

Error An Invalid Parameter was passed to a service of function" Horizon and TRUE SSO

 When i try to use TrueSSO and Horizon i find this error:

 

Horizon Windows Desktop or App fails with logon error: 'an invalid parameter was passed to a service or function' (79644) (vmware.com)

 

 

We have install the last windows 10 comulative update 

 

Fix it

VMware and Flash End-of-Life

 

More information here

Horizon Personalizzazioni WEB

È possibile eseguire delle personalizzazioni relative alla pagina HTML di accesso ai Connection Broker:

 

 

Nel dettaglio:

 

·         Background  

C:\Program Files\Vmware\VMware View\Server\broker\webapps\portal\webclient\icons-5622958\bg_image.jpg

·         Icona Horizon 

C:\Program Files\Vmware\VMware View\Server\broker\webapps\portal\webclient\icons-5622958\logo.png

·         Testo  VMware

C:\Program Files\Vmware\View\Server\broker\webapps\portal\WEB-INF\classes\com\vmware\vdi\installer\i18n\bundle_en.properties

  

FSLOGIX e HORIZON

Nelle nuove versioni di Horizon 8  (Formalmente chiamato anche 2006) ci troveremo per l'ultima volta il supporto per i linked clone. Dalle prossime versioni siamo  indirizzati ad utilizzare le funzionalità di instant clone.

L'utilizzo di macchine non persistenti (ovvero che alla disconnessione dell'utente è possibile distruggere) ci porta  spostare tutte le informazioni statiche  (come profili e dati) esternamente al nostro ambiente VDI.

La funzionalità Microsoft degli FSLOGIX ci possono venire comodi per effettuare questa operazione.

Per sfruttare questa funzionalità dovremo eseguire alcune attività propedeutiche e modificare la nostra goldimage. Per cui:

- Definire un Server su cui ospitare i nostri "container" (così vengono chiamati) e installare il componente FSLOGIX.

- Configurare una GPO (Il template si trova nel pacchetto FSLOGIX) apposita per identificare dove risiedono i nostri profili (anche i log ricordandosi, se si vuole avere i log divisi per client, aggiungere la wildcard %computername%) e applicarla alla OU dove verranno posizionate gli istant clone creati da Horizon 

- Installare l'agent FSLOGIX sulla Goldimage

Testare il tutto .

Integrazione VMware Unified Access Gateway con autenticazione Azure MFA

 Per procedere all’integrazione  con Azure MFA è necessario eseguire delle configurazioni su Azure Active Directory  (non entrerò nel dettaglio di queste configurazioni) ma per procedere nell’abilitazione dell’autenticazione a più fattori sull’UAG è necessario accedere all’Enterprise Application creata e scarica il file XML con i metadata. Inoltre verificare che nella Basic SAML Configuration ci siano i riferimenti alla mia infrastruttura UAG pubblica.

 

Scarico il file XML con i metadata da utilizzare per configurare l’UAG

Importo il file XML nella infrastruttura UAG nelle configurazioni manuali in Identity Bridging Settings

 

Importo il file XML contenente i metadata selezionado Select

 

Una volta caricato sull’UAG il file XML con i metadata vado negli edge service settings ed entro nei nelle configurazioni

E configuro l’Auth Methods e l’identity Provider (che mi compare in automatico dopo aver caricato il file XML)

 

A questo punto posso procedere ad accedere e testare l’accesso con MFA.