CTX-Blog - powered by Ecki’s Place » Registry Scan (Watermark) mit CAG 4.5.x Advanced

March 2007
M	T	W	T	F	S	S
		Apr »
	1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Registry Scan (Watermark) mit CAG 4.5.x Advanced

By ecki

Wer das Citrix Access Gateway (CAG) mit Advanced Access Control (AAC) schon eine Weile kennt, speziell die Version 4.2, kennt sicher auch den “Citrix Watermark” End Point Analysis Scan (EPA Scan). Eine Möglichkeit, über einen Registry Key die Zugehörigkeit zu einer bestimmten Sicherheitsgruppe zu definieren. Im Gegensatz zu MAC oder Domain Filtern war dieser Scan eine einfache Möglichkeit, schnell den Sicherheitskontext zu wechseln, um z. B. bei Produktdemonstrationen unterschiedliche Zugriffsszenarien vorführen zu können.

Das Update auf die AAC Version 4.2.5, bzw. auf die Version 4.5 brachte hier massive Änderungen im Bereich EPA Scans mit sich. Als einschneidendste Änderung kann die Verpflichtung zum Signieren aller EPA Scans gelten. Neu sind alle EPA Scans von Citrix bereits signiert. Selbst erstellt EPA Scans funktionieren nun ebenfalls nur noch, wenn sie signiert und damit als vertrauenswürdig gekennzeichnet sind. Diesen Aufwand und die damit verbundenen Kosten scheuen viele Kunden. Für Citrix Partner, die nur eine Demo Site aufbauen wollen, lohnt sich der Aufwand in der Regel ebenfalls nicht. Wer daher kein Geld in Custom Scans z. B. von EPAFactory stecken wollte, musste sich zwangsläufig mit den mitgelieferten EPA Scans arrangieren:-(

Hier möchte ich daher einen Weg aufzeigen, wie mit den vorhandenen Möglichkeiten trotzdem ein funktionierender Registry Scan zu erstellen ist. Die meisten EPA Scans machen tatsächlich nichts anderes, als in der Registry des Clients an vorkonfigurierten Stellen vorhandene Werte auszulesen. Daher kann prinzipiell fast jeder EPA Scan als Registry Scan verwendet werden. Als Beispiel verwende ich hier den mitgelieferten “Citrix Scans for Windows Update”. Dieser Scan liest auf dem Clientrechner rekursiv alle Keys unterhalb von:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\

aus und liefert die darin gefundenen KB-Nummern zurück. Zu beachten ist hier, dass Keys direkt unter dem o. g. Key NICHT zurückgeliefert werden. Man sollte sich daher einen vorhandenen Unterordner auswählen um den Key dort zu erstellen. Mit diesem Wissen lässt sich nun recht einfach ein Registry Scan erstellen. Wem diese Kurzanleitung nicht genügt, findet hier eine detaillierte Beschreibung mit Screenshots.

Gruss
Ecki

Dieser Beitrag wurde gespeichert unter °AAC, °Access Gateway, Citrix. Alle Antworten zu diesem Beitrag in diesem RSS 2.0 Feed. Du kannst eine Antwort hinterlassen, oder einen Trackback von deiner Site einrichten.

Srini schreibt:

23. October, 2007 um 05:38

Hi,

Good article about scanning registry for windows update.

I would like to know do you use any software to analyze the Endpoint scaning results. I know EPA scan details are in AAC event log. But I would like to know is there any automated was to analyze and generate a report?

Thanks
Srini

ecki schreibt:

23. October, 2007 um 21:36

Most customers of mine just use the eventlog consolidator provided with AAC to check the eventlogs of their AAC farm for problems.

You could anyway use products like MOM, or GFI Eventsmanager to consolidate the standard Windows event logs. Citrix doesn’t offer a solution for this problem today, but as fast as they acquire new companies, you never know

Regards
Ecki

24. October, 2007 um 04:27

Thanks. I think we should have Qwest software already, let me look at that.

J House Consulting / The Myth Surrounding Various End-Point Analysis Scans schreibt:

14. January, 2008 um 08:44

[...] “Watermark” Scan: See here for the original article from Ecki. I have enhanced the article and used a different registry key [...]

Elisse schreibt:

07. January, 2011 um 03:30

Now you can get third party EPA scans for free through citrix.opswat.com.