FS-Launcher (vorinstalliert)

Ausgangslage / Anforderung

Im Enterpriseumfeld ist es häufig notwendig sicherzustellen, dass Applikationen aus Sicherheitsgründen nicht durch die Benutzer selbst installiert werden können. In der Regel wird durch das zuständige Security- und Client-Management eine neue Applikation u.a. gemäß Sicherheitsaspekten geprüft und dann zentral für die Benutzer installiert. Dies gilt sowohl für Clients (PC und Notebooks) als auch für die Bereitstellung unter Citrix. Die Softwareverteilung erfolgt in der Regel paketbasiert über Produkte wie SCCM (Microsoft).

Ein Update der Applikation folgt ebenfalls nach den oben genannten Schritten.

Zudem muss aufgrund von Sicherheits-/Härtungsmaßnahmen sichergestellt werden, dass die Applikation vollständig vorinstalliert werden kann und nicht ad-hoc ausführbare Dateien für die Ausführung der Applikation nachlädt.

IST-Situation

Mit dem heutigen FirstSpirit-Launcher ist die oben genannte Anforderung nicht vollständig abbildbar.

Zwar kann man den FirstSpirit-Launcher gruppenbasiert für die Benutzer installieren (siehe auch [1]), jedoch arbeitet der heutige Launcher nach dem Verfahren, dass er nicht alle für die Ausführung notwendigen Komponenten vorinstalliert, sondern beim Start eines Clients herunterlädt. Dabei handelt es sich u.a. um mehrere ausführbare Dateien, welche dann unter dem User-Kontext durch den FS-Launcher heruntergeladen und verwendet werden:

  • Verwendetes Java "Java.exe" (Java-Version OpenJDK 11.0.1)
  • Integrierter Browser "Browsercore64.exe" (Chrome)
  • "7ZR.exe" (7-Zip)

Die nachträglich heruntergeladenen ausführbaren Dateien werden dann durch die Enterprise-Client-Umgebung bei der Ausführung blockiert, da diese nachgeladen wurden und nicht vorinstalliert sind und somit den Security-Policies widersprechen, da eine Vorabprüfung nicht möglich war.

 

SOLL (Feature Request):

Der FS-Launcher soll vollständig gruppenbasiert vorinstalliert werden können. Alle für die Ausführung notwendigen Dateien (wie z.B. passendes Java vom Server, integrierte Vorschau, etc.) muss der FirstSpirit-Launcher im Rahmen der gruppenbasierten Installation in das Installationsverzeichnis ablegen und soll sie dann nicht beim Start der Anwendung nachladen müssen. 

Ausführbare Dateien sollen ausschließlich im Installationsverzeichnis im Rahmen der Installation abgelegt werden.

User-spezifische Dateien wie Logs dürfen im konfigurierbarem User-Verzeichnis geschrieben und gelesen werden.

Die Anforderung gilt sowohl für Clients als auch für Citrix.

[1] https://docs.e-spirit.com/odfs/edocs/admi/firstspirit-sta/bereiche-starts/firstspirit-lau/index.html...

6 Comments
johannes_bilek
Occasional Observer

Hallo zusammen,

es wäre für uns wichtig diesbezüglich zeitnah eine Rückmeldung zu erhalten.

StefanSchulz
I'm new here

Hallo Johannes,

mit Release 2021-04 wurde die Möglichkeit umgesetzt, dass für den Launcher festgelegt werden kann, welches JRE für Clients genutzt wird. Dies kann auch ein lokales JRE sein, so dass kein Nachladen erfolgt. Die Anleitung dazu (verlinkt in der Anfrage) wurde entsprechend erweitert.

Um auch das Nachladen der Browser-Erweiterung bzw. 7zr.exe zu unterbinden, muss die Browser-Engine für die integrierte Vorschau deaktiviert werden. Auf das Nachladeverhalten der Browser-Engine haben wir keinen Einfluss, daher ist dies nur über die komplette Deaktivierung erreichbar (siehe Anleitung zur Browser-Engine Konfiguration).

Sollten noch Fragen offen sein oder das Verhalten nach entsprechender Konfiguration nicht der Erwartung entsprechen, bitte bei uns melden.

Beste Grüße

Stefan

johannes_bilek
Occasional Observer

Hallo Herr Schulz,

viele Dank für die Rückmeldung. Was in den Release-Notes fehlt ist ein Hinweis zur fs-client.jar. Diese wird auch beim Start heruntergeladen. Kann man diese mit der neuen Funktion auch lokal ablegen von dort abrufen?

StefanSchulz
I'm new here

Hallo Herr Bilek,

wenn das fs-client.jar in der aktuellen Version mit ausgerollt wird und an der passenden Stelle in Ihrem System steht, sollte der Launcher die Datei auch nicht mehr herunterladen. Wenn ich das richtig erinnere, wollen Sie die Redaktionsrechner entsprechend vorbestücken, das sollte mit den vorhandenen Mitteln möglich sein. Wenn hierbei Probleme auftreten, kontaktieren Sie uns bitte.

Mit besten Grüßen

Stefan Schulz

johannes_bilek
Occasional Observer

Sorry ich hatte gar nicht auf die Anrede geschaut. Wir können uns auch gerne Duzen :-). Bei uns ist der FS-Launcher lokal vorinstalliert. Könntest Du dann bitte nochmal intern bei euch klären, wie es sich für die fs-client.jar Datei verhält und was man tun muss?

Wenn der Launcher also bspw. unter "C:\Program Files\FSLauncher" installiert und die fs-client.jar Datei auch dort abgelegt ist. Welche Parameter muss man ändern.

In den Release-Notes konnte ich hierzu nicht finden. Hier ist nur die JRE erwähnt:

-DuseLocalJre: Über diesen Parameter kann definiert werden, dass das zum Start der FirstSpirit Desktop-Anwendungen benutzte JRE nicht vom FirstSpirit-Server heruntergeladen werden soll, sondern stattdessen ein lokales JRE genutzt werden soll. Beispiel: -DuseLocalJre=true Standardwert: false Hinweis: Das zu verwendende JRE wird automatisch ermittelt. In dem meisten Fällen wird dies das JRE sein, welches der Launcher selber verwendet.

-DlocalJre: Über diesen Parameter kann definiert werden, welches lokale JRE verwendet werden soll. Als Wert muss der Pfad zum Installationsverzeichnis der entsprechenden Java-Version angegeben werden. Beispiel: -DlocalJre=c:/Program Files/Java/jdk-11/ WICHTIG: Dieser Parameter wird nur berücksichtigt, wenn zusätzlich -DuseLocalJre=true gesetzt wurde.

StefanSchulz
I'm new here

Hallo Johannes,

(bin einfach in der Community an das Du gewöhnt Smiley Happy ).

Das client-Jar wird beim Download dort abgelegt, wo der konfigurierte Wert für launcherDir hinzeigt. Wenn es bereits dort liegt, wird es nur heruntergeladen, wenn es eine alte Version ist. Entsprechend sollte es genügen, das Jar dort in der aktuellen Version mit dem Launcher gemeinsam auszurollen. Die beiden Parameter useLocalJre und localJre müssen für die Nutzung des vorinstallierten JRE beide gesetzt sein (true und Zielverzeichnis).

Mit diesem Setup und bei abgeschalteter Browser-Engine für Clients, dürfte keine Datei heruntergeladen werden. Wenn dies dennoch passiert, müssen wir da nochmal genauer draufschauen. Hierfür dann bitte den Technical Support kontaktieren.

Beste Grüße

Stefan