Hardening VMware vSphere 7

Non sono certo io a dover spiegare che parlare di security è ormai entrato nel day by day dei consulenti dei manager IT. Anche VMware da alcuni anni sta rilasciando  guide di come rafforzare l’hardening degli ambienti vSphere. Ormai è da diffidare di chi considera l’installazione  di ESXi e vCenter come dei semplici avanti avanti avanti ….

Riporto qui sotto il link alla guida di VMware per l’hardening degli ambienti vSphere 7 comprensivo anche dei dettagli dei parametri da configurare e  dei comandi per modificarli.
Hardening VMware vSphere 7

Error An Invalid Parameter was passed to a service of function” Horizon and TRUE SSO

 When i try to use TrueSSO and Horizon i find this error:

 

Horizon Windows Desktop or App fails with logon error: ‘an invalid parameter was passed to a service or function’ (79644) (vmware.com)

 

 

We have install the last windows 10 comulative update 

 

Fix it
Error An Invalid Parameter was passed to a service of function” Horizon and TRUE SSO

Horizon Personalizzazioni WEB

È possibile eseguire delle personalizzazioni relative alla pagina HTML di accesso ai Connection Broker:

 

 

Nel dettaglio:

 

·         Background  

C:Program FilesVmwareVMware ViewServerbrokerwebappsportalwebclienticons-5622958bg_image.jpg

·         Icona Horizon 

C:Program FilesVmwareVMware ViewServerbrokerwebappsportalwebclienticons-5622958logo.png

·         Testo  VMware

C:Program FilesVmwareViewServerbrokerwebappsportalWEB-INFclassescomvmwarevdiinstalleri18nbundle_en.properties

  

Horizon Personalizzazioni WEB

Integrazione VMware Unified Access Gateway con autenticazione Azure MFA

 Per procedere all’integrazione  con Azure MFA è necessario eseguire delle configurazioni su Azure Active Directory  (non entrerò nel dettaglio di queste configurazioni) ma per procedere nell’abilitazione dell’autenticazione a più fattori sull’UAG è necessario accedere all’Enterprise Application creata e scarica il file XML con i metadata. Inoltre verificare che nella Basic SAML Configuration ci siano i riferimenti alla mia infrastruttura UAG pubblica.

 

Scarico il file XML con i metadata da utilizzare per configurare l’UAG

Importo il file XML nella infrastruttura UAG nelle configurazioni manuali in Identity Bridging Settings

 

Importo il file XML contenente i metadata selezionado Select

 

Una volta caricato sull’UAG il file XML con i metadata vado negli edge service settings ed entro nei nelle configurazioni

E configuro l’Auth Methods e l’identity Provider (che mi compare in automatico dopo aver caricato il file XML)

 

A questo punto posso procedere ad accedere e testare l’accesso con MFA.

Integrazione VMware Unified Access Gateway con autenticazione Azure MFA

Upgrade Standalone ESXi 7.0 to 7.0b

 Check ESXi version:

Check on https://my.vmware.com/group/vmware/patch if there are new patches

There is a new patch (7.0b), download it

After download upload file to ESXi host

Create a SSH connection to ESXi Host

Put in maintenance mode

esxcli system maintenanceMode set --enable true

Update Host 

esxcli software vib update -d /vmfs/volumes/5ed278ae-6001ab57-ac5b-1c697a61ab69/ISO/VMware-ESXi-7.0b-16324942-depot.zip

and finally

After reboot the version is:
exit to maintenance mode….
#####

or update from internet

esxcli software profile update -p ESXi-7.0b-16324942-standard -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml

Upgrade Standalone ESXi 7.0 to 7.0b

Azure Load Balancer Change SKU (Basic to Standard)

For increise SLA  I need to change Azure LoadBalancer SKU,

Azure LB Basic don’t have SLA, different is for Standard SKU. 

Don’t is possibile to change the sku with a upgrade, the only solution is create a new LoadBalancer (Standard)  e  configure it with the configuration of old LoadBalancer (Basic).

Luckily Microsoft have release a procedure for made it. 

https://docs.microsoft.com/en-us/azure/load-balancer/upgrade-basic-standard

We need check if our LoadBalancer is Public or Internal (No Outbound or With Outbound)

For any choose we have a script to use. Very easy. 

What are the steps of the script?

1- Save and change (with new free IPs) the frontend IPs of Basic LoadBalancer (the script support only 5 Frontend IPs, for more IPs you manually pass the IPs)

2- Create a new Standard LoadBalancer with the configuration of basic loadbalancer  (Frontend IP, Probe ecc..)

3- Migrate the backend pool 

In my upgrade we have been  a ten minutes of downtime.

Azure Load Balancer Change SKU (Basic to Standard)