CTX-Blog

Wenig bekannt ist die Tatsache, dass der Secure Access Client (4.2 und später, einschliesslich net6vpn.exe) über einige interessante Kommandozeilen Parameter verfügt. Daher will ich diese hier kurz vorstellen. Der interessanteste Einsatzzweck sind sicher automatisierte Installationen via Softwareverteilung, oder einfachem Batch Script.

Achtung: Bei diesen Parameter ist die GROSS/klein-schreibung wichtig!

Folgende Parameter stehen zur Verfügung:

• -C zeigt das Konfigurations Interface (GUI) an
  Beispiel: “CitrixSAClient.exe –C”

• -H verbindet auf die angegebene Serveradresse und Port (Syntax: -H SERVER_IP:PORT)
  Beispiel: “CitrixSAClient.exe –H 192.168.1.1:443”

• -p zwingt den Client, den angegebenen Proxy zu verwenden (Syntax: -p PROXY_IP:PORT)
  Beispiel: “CitrixSAClient.exe –p 192.168.1.1:8080”

• -i Installiert den Client, wird meist mit anderen Parametern verwendet
  Beispiel: “CitrixSAClient.exe –i”

• -D konfiguriert die URL für das Desktop Icon für Advanced Access Control (Syntax: -D AG_AAC_URL)
  Beispiel: “CitrixSAClient.exe -D https://cag.company.com”

• -Q Quiet Mode, unterdrückt alle Meldungen. Dieser Parameter kann nur in Verbindung mit -i (Install), oder -U (Uninstall) verwendet werden. Er muss vor allen anderen Parametern stehen
  Beispiel: “CitrixSAClient.exe –Q”

• -U Deinstalliert den Client und Treiber
  Beispiel: “CitrixSAClient.exe –U”

• -v zeigt Versionsinformationen zum Client
  Beispiel: “CitrixSAClient.exe –v”

Ein Beispiel für eine Silent Installation in Verbindung mit AAC sähe so aus:
CitrixSAClient.exe –Q –D https://AG_AAC_URL –i

Eine Installation für ein Access Gateway Standard sähe so aus:
CitrixSAClient.exe –Q –H [AG_SYSTEM_FQDN]:[AG_SYSTEM_PORT] –i

Gefunden unter CTX108757.

Gruss
Ecki

It is a little known fact, that the Secure Access Client (4.2 and later, including net6vpn.exe) offers some interesting command line parameters. I will therefore present them here. The most intersting part is the ability to automate installation of the client via software deployment or simple batch script.

Note: These parameters are case-sensitive.

The following parameters are available:

• -C Configure the Virtual Private Networking (VPN) client–bring up the GUI configuration screen
  Example: “CitrixSAClient.exe –C”

• -H Connect to a specific server address and port (Syntax: -H SERVER_IP:PORT)
  Example: “CitrixSAClient.exe –H 192.168.1.1:443”

• -p Connect with a proxy IP address and port (Syntax: -p PROXY_IP:PORT)
  Example: “CitrixSAClient.exe –p 192.168.1.1:8080”

• -i Install the client. This is used in combination with other parameters for silent installations
  Example: “CitrixSAClient.exe –i”

• -D Sets the URL for the desktop icon for Advanced Access Control mode (Syntax: -D AG_AAC_URL)
  Example: “CitrixSAClient.exe -D https://cag.company.com”

• -Q Quiet mode parameter–this can only be used during an install (-i) or uninstall (-U). It must appear before all other parameters
  Example: “CitrixSAClient.exe –Q”

• -U Uninstall the VPN client and drivers
  Example: “CitrixSAClient.exe –U”

• -v Shows the version of the client you are launching
  Example: “CitrixSAClient.exe –v”

Below is a syntax example for a silent installation with Advanced Access Control integration:
CitrixSAClient.exe –Q –D https://AG_AAC_URL –i

A silent installation for Access Gateway Standard would look like that:
CitrixSAClient.exe –Q –H [AG_SYSTEM_FQDN]:[AG_SYSTEM_PORT] –i

From CTX108757.

Regards
Ecki

Wer das Citrix Access Gateway (CAG) mit Advanced Access Control (AAC) schon eine Weile kennt, speziell die Version 4.2, kennt sicher auch den “Citrix Watermark” End Point Analysis Scan (EPA Scan). Eine Möglichkeit, über einen Registry Key die Zugehörigkeit zu einer bestimmten Sicherheitsgruppe zu definieren. Im Gegensatz zu MAC oder Domain Filtern war dieser Scan eine einfache Möglichkeit, schnell den Sicherheitskontext zu wechseln, um z. B. bei Produktdemonstrationen unterschiedliche Zugriffsszenarien vorführen zu können.

Das Update auf die AAC Version 4.2.5, bzw. auf die Version 4.5 brachte hier massive Änderungen im Bereich EPA Scans mit sich. Als einschneidendste Änderung kann die Verpflichtung zum Signieren aller EPA Scans gelten. Neu sind alle EPA Scans von Citrix bereits signiert. Selbst erstellt EPA Scans funktionieren nun ebenfalls nur noch, wenn sie signiert und damit als vertrauenswürdig gekennzeichnet sind. Diesen Aufwand und die damit verbundenen Kosten scheuen viele Kunden. Für Citrix Partner, die nur eine Demo Site aufbauen wollen, lohnt sich der Aufwand in der Regel ebenfalls nicht. Wer daher kein Geld in Custom Scans z. B. von EPAFactory stecken wollte, musste sich zwangsläufig mit den mitgelieferten EPA Scans arrangieren:-(

Hier möchte ich daher einen Weg aufzeigen, wie mit den vorhandenen Möglichkeiten trotzdem ein funktionierender Registry Scan zu erstellen ist. Die meisten EPA Scans machen tatsächlich nichts anderes, als in der Registry des Clients an vorkonfigurierten Stellen vorhandene Werte auszulesen. Daher kann prinzipiell fast jeder EPA Scan als Registry Scan verwendet werden. Als Beispiel verwende ich hier den mitgelieferten “Citrix Scans for Windows Update”. Dieser Scan liest auf dem Clientrechner rekursiv alle Keys unterhalb von:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\

aus und liefert die darin gefundenen KB-Nummern zurück. Zu beachten ist hier, dass Keys direkt unter dem o. g. Key NICHT zurückgeliefert werden. Man sollte sich daher einen vorhandenen Unterordner auswählen um den Key dort zu erstellen. Mit diesem Wissen lässt sich nun recht einfach ein Registry Scan erstellen. Wem diese Kurzanleitung nicht genügt, findet hier eine detaillierte Beschreibung mit Screenshots.

Gruss
Ecki

Most people who know Citrix Access Gateway (CAG) with Advanced Access Control (AAC) for a while, especially version 4.2, know the “Citrix Watermark” End Point Analysis Scan (EPA Scan). A possibility to configure the security group membership of a PC withe a simple registry key. In contrast to MAC or Domain filters, this scan made it very easy to change the security context of a PC, very handy for product demonstrations, where you want to visualize different access scenarios.

The update to AAC version 4.2.5, eg. version 4.5 introduced a massive change for EPA Scans. Since then, every EPA Scan has to be signed, which renders the unsigned “Watermark” scan worthless. Every EPA Scan delivered with AAC 4.5 is now already signed by Citrix and if you try to create your own EPA Scans, you have to sign them too and build your own specific EPA Scan MSI package. Lots of customers try to avoid this effort and the costs associated with signing certificates. For Citrix partners, trying to build just a demo site, the effort and the costs are too high as well. If you do not intend to spend money on Custom Scans for example from EPAFactory, you are stuck with the scans provided by Citrix:-(

I will therefore show a way, how you can accomplish a working registry scan with the means provided by a standard setup of AAC. Most EPA Scans do in fact nothing else than reading predefined keys in the registry of the client PC. Therefore almost any EPA Scan can be used as registry scan. As an example i will use the “Citrix Scans for Windows Update” shipped with AAC. This scan reads on a client PC recursively all keys beneath:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\

and reports back the KB-numbers found. It must be pointed out, that keys directly below the “Updates”-key are NOT delivered back to the AAC server. You should therefore use an existing key like “SP2” to create your own KB-number key. Knowing that, it is fairly simple to create your own registry scan. A detailed description with screen shots of this process can be found here (german only).

Regards
Ecki