Compliance Settings в SCCM 2012 помогают оценивать и отслеживать достоверность конфигураций компьютеров компании, а также вносить в них некоторые исправления. В статье рассматриваются возможности и настройки данного функционала в теории и на практике.

 

Часто случаются ситуации, когда необходимо получить точную информацию о состоянии рабочей станции или сервера, определить возникшую причину некорректной работы программы, которая могла быть подвержена обновлению или переустановке, а штатными средствами уследить за происходящими изменениями в системе не предоставляется возможным. Поэтому системный администратор применяет различные утилиты, например, NeoSpy [http://ru.neospy.net/], Process Monitor [http://technet.microsoft.com/ru-ru/sysinternals/bb896645] и другие. Но они не всегда могут помочь в решении вопроса. Их основная задача – это предоставление информации о добавлении или модификации каких-либо файлов, записей в реестре, учётных данных пользователей и прочее. Главным недостатком таких программ можно выделить то, что приходится увеличивать количество уже имеющегося софта, а также отсутствие возможности редактирования конфигураций ПК. К тому же не все продукты поддерживают работу мобильных устройств. А так как у нас уже есть установленный Configuration Manager 2012, то рассмотрим функцию Compliance Settings (параметры соответствия), которая позволяет не только устранить слабые стороны, перечисленные выше, но и предоставляет дополнительные преимущества.

 

Возможности

Compliance Settings [http://technet.microsoft.com/ru-ru/library/gg681958.aspx] в SCCM 2012 предоставляет унифицированный интерфейс, который позволяет осуществить ревизию серверов, ноутбуков, настольных компьютеров и мобильных устройств на соответствие корпоративным конфигурациям. Данный функционал можно использовать для поддержки следующих бизнес-требований:

  • проверять конфигурации программ и пользовательских учётных записей, версии и обновления ОС и ПО, а также корректность установки и настройки сервера и сервисов;
  • автоматически исправлять несовместимые параметры WMI, реестра, сценариев;
  • выявлять устройства, которые не удовлетворяют корпоративным стандартам, то есть с неразрешенными процедурами управления изменениями, с наличием запрещённых приложений, а также с несовместимыми настройками перед вводом их в эксплуатацию или установкой на них ПО;
  • для отчётов устанавливать приоритеты несоответствия относительно 5-ти уровней серьёзности: None (отсутствие), Information (информирование), Warning (предупреждение), Critical (критичность), Critical with event (критичность с событием);
  • идентифицировать уязвимости, определённые вендорами;
  • сравнивать конфигурации устройств предприятия с рекомендациями производителя;
  • вести совместную работу с другими продуктами управления, которые контролируют события Windows на компьютерах;
  • формировать отчет о соответствии нормам и корпоративным политикам безопасности.

 

Из чего Compliance Settings состоит?

Compliance Settings включает в себя такие составляющие:

  • Configuration Item (Элемент конфигурации) – это единица конфигурации, которая содержит набор параметров, а также критерии проверки для оценки соответствия на целевой ОС.
  • Configuration Baseline (Базовый показатель конфигурации) содержит элементы, которые необходимо оценить, а также параметры и правила, описывающие установленный уровень соответствия. Иными словами, это группа уже созданных Configuration Item иили дополненная другими элементами, которая от сервера доставляется устройствам относительно установленного расписания. А если устройство не подключено к сети, но имеет загруженные Configuration Items, которые ссылаются на развёрнутые Configuration Baseline, то производится переподключение последних и оценка настроек на соответствие.
  • User Data and Profiles (Пользовательские данные и профили) содержат параметры, определяющие, как управлять Folder redirection (Перенаправлением папок), Offline Files (Автономными файлами) и Roaming user profiles (Перемещаемыми профилями) на компьютерах под управлением Windows 8. А чтобы произвести развёртывание на коллекции пользователей, нет необходимости добавлять их в Configuration Baseline, а сделать распространение можно непосредственно с данного раздела.

 

Принцип работы Compliance Settings

Сначала на сервере SCCM происходит создание (или импортирование) Configuration Item, а затем их добавление в Сonfiguration Baseline (или создание новых). Далее вся информация помещается в базу данных. После этого на коллекцию пользователей или компьютеров распространяются Configuration Baseline. В свою очередь клиенты SCCM получают от сервера политику с определёнными параметрами или условиями и начинают проверку данной группы устройств на соответствие заявленным требованиям. Запуск процедур выполняется по расписанию. А по завершению этого процесса отправляют информацию в БД. Заключительным действием является сформированный системным администратором отчёт, который помогает судить о полученных результатах (см. рис. 1).

Рисунок 1. Последовательность действий.

 

Возможные требования

Предположим, что необходимо проверить группу клиентских компьютеров на наличие архиватора 7zip и обновлений MS Excel 2013, а также сервер SCCM на соответствие последним обновлениям. Но вначале проверяем активирован ли параметр (агент) Compliance Settings в Administration->Overview->Client Settings->Default Client Settings, значение которого должно быть равным True.

 

Создание элемента конфигурации

Данный элемент создаётся следующим образом: заходим в Assets and Compliance->Overview->Compliance Settings->Configuration Item, в контекстном меню выбираем пункт “Create Configuration Item”. В появившемся мастере вводим требуемую информацию. В разделе “General” (общие) это: имя, тип элемента (мобильное устройство, ОС Windows, MAC OS) и категорию (сервер, клиент, ИТ-инфраструктуру или другую).

Если активировать флажок This configuration item contains application settings, то включим дополнительный раздел – Detection Methods (методы обнаружения), который содержит правила обнаружения приложения. Наличие какой-либо программы определяется по присутствию у неё установочного msi-файла (узнаётся код и версия продукта), а также использовать скрипт или всегда производить такое определение, выбрав первый вариант Always assume application is installed.

При проверке операционных систем в разделе Supported Platforms, нужно определиться с версией ОС. В Settings выбираем тип проверки, а это может быть значение или целиком ветка реестра, скрипт, файловая система, метабаза IIS, запросы SQL, Active Directory, WMI или другое. Compliance Rules предоставляет возможность создать и настроить условия для проверки соответствий элементов конфигурации относительно Value (значения) и Existential (существования).

В нашем случае создаём Configuration Item для архиватора, выбираем File System (файловая система), File (файл) и путь к файлу. Правило проверки создаётся по умолчанию, которое можно отредактировать (если потребуется) или дополнить новым.

При необходимости создаем дочерний Configuration Item, где будут общие (родительские) параметры применяться на выбранную группу и дополнительные - для специальных устройств, которые к общей массе не относятся. Для этого на панели задач нажимаем кнопку Create Child Configuration Item и добавляем готовый элемент с необходимыми условиями проверки.

Основное отличие по настройке соответствий для мобильных устройств располагается в разделе Mobile Device Setting groups. А количество вводимых параметров будет зависеть от того, сколько групп в нём было для этого выбрано. Здесь предлагается активировать следующее: Password, Email Management, Security, Peak Synchronization, Roaming, Encryption, Wireless Communication, Certificates, и внести нужные данные, создавая таким образом встроенные правила проверки соответствия, а дополнить их собственными условиями можно во вкладке Compliance Rules, зайдя в свойства элемента.

SCCM поддерживает несколько типов Configuration Items: Operating System (относится к ОС), Application (назначается программам), Software Updates (для обновлений), General (общие, не относящиеся ни к одному из предыдущих 3-х типов) (см. рис. 2).

После того, как создан Configuration Item, над ним можно произвести некоторые действия. Например, экспортировать (кнопка Export) и выгрузить в CAB-файл для дальнейшего переноса и импорта на другой сервер. Также доступно: просмотреть исходный XML-файл (кнопка View XML Notification) или историю ревизий (кнопка History Revision), скопировать (кнопка Copy) или удалить (кнопка Delete) элемент. Ещё стоит обращать внимание на панель критерий, которая отображает полезную информацию (Type, Revision, Date Modified, Categories, Model Name, Status, Group by и многие другие) (см. рис. 2). А для удобства предусмотрен поиск элементов по критериям, нажав кнопку Add Criteria, и возможность сохранения этих результатов (кнопка Saved Searches).

Рисунок 2. Результат создания Configuration Item.

 

Создание базового показателя конфигурации

Последовательность создан Configuration Baseline состоит из нескольких шагов: заходим в Assets and Compliance->Overview->Compliance Settings->Configuration Baselines, по нажатию правой кнопкой мыши требуется выбрать пункт Create Configuration Baselines. В появившемся мастере вводим необходимые данные, к которым относятся: имя, коллекция, единица конфигурации либо другие базовые показатели, либо обновления.

В нашем случае мы сначала выбираем Configuration Item, а вторым действием -  добавляем обновления для MS Excel 2013 (см. рис. 3).

Рисунок 3. Результат создания Configuration Baseline.

При добавлении Configuration Item в Configuration Baseline определяются Purpose (назначения) и находятся во вкладке Evaluation Conditions. Но при редактировании элементов необходимо знать и различать их возможные варианты присвоения, а именно:

  • Required (требуемый) используется по умолчанию и означает, что если Configuration Item не был найден, то Configuration Baseline определяется как non-compliance (несоответствующий). А иначе будет производиться процесс оценки последнего на достоверность.
  • Optional (опциональный) применяется только для приложений. При наличии программы Configuration Item оценивается на соответствие, а если же она отсутствует, то Configuration Baseline оценивается как неудовлетворяющий.
  • Prohibited (запрещённый) присваивается тем приложениям, работу которых необходимо заблокировать. В этом случае Configuration Baseline определяется как несоответствующий, если Configuration Item будет найден на компьютере.

После создания Configuration Baseline с ним можно проделать такие действия, как отключениевключение, копированиеэкспортимпорт, просмотр исходного XML, а также запуск элемента сразу, выбрав кнопку Run Summarization на панели инструментов или пункт в контекстном меню.

 

Пакет настроек

Configuration Pack (пакет настроек) – это созданные производителем или сообществом рекомендуемые наборы проверок параметров устройств. То есть предлагаются уже готовые упакованные (имеют MSI-расширение, а после развёртывания - .cab) Configuration Item и Configuration Baseline. 

Мы скачаем из Microsoft Download Center [http://www.microsoft.com/en-us/download/details.aspx?id=30710] для сервера SCCM 2012 набор правил и настроек, предназначенные для контроля следующих ролей: Management Point (точка управления), Site Server, (сайт сервер) и Software Update Point (точка обновления программного обеспечения) [http://stephanwibier.blogspot.com/2013/02/system-center-2012-configuration.html]. После загрузки и установки Configuration Pack на сервере SCCM, нужно импортировать CAB-файл в раздел Compliance Settings. В результате имеющиеся уже элементы дополнятся 1-м Configuration Baseline и 4-мя Configuration Item (см. рис. 2 и 4).

Рисунок 4. Результат импортирования Configuration Pack.

На этом подготовительные действия завершены, а заключительным этапом будет доставка единиц конфигурации на пользовательские компьютеры.

Некоторые примеры настроек Compliance Settings на блогах:

разрешение рабочего стола - http://masyan.ru/2014/02/vmware-view-sccm-2012-r2/ ;

работа с PowerShell - http://www.petervanderwoude.nl/post/tag/compliance-settings/;

отключение обновления Adobe Flash Player -http://blogs.technet.com/b/brandonlinton/archive/2013/03/30/how-to-create-a-configuration-item-and-baseline-to-disable-adobe-flash-player-automatic-updates.aspx ;

использование SCM (GPO) - http://www.verboon.info/2013/02/how-to-create-a-sccm-2012-sp1-configuration-baseline-with-security-compliance-manager-scm-3-0/ .

 

Развёртывание

После того, как все необходимые элементы созданы, их нужно распространить. Делается это выбором пункта Deploy из контекстного меню Configuration Baseline. В появившемся окне выбираем нужную коллекцию и устанавливаем галочку Remediate noncompliant rules when supported, которая позволяет переопределить новые параметры. Данный checkbox отвечает за автоматическое исправление конфигураций, несовместимых с требуемыми условиями, как на стационарных машинах, так и для мобильных устройств.

 

Отчёты

Отчёты позволяют отслеживать результаты оценки соответствия настроек на интересующих устройствах, а также помогают в выявлении имеющихся ошибок.

Если в коллекцию входит небольшое количество машин, то отчёт можно сформировать на пользовательском компьютере. Для этого нужно зайти в Панель управления->Configuration Manager, во вкладку Configuration (Конфигурации), выбрать необходимый Configuration Baseline, нажать кнопку Evaluate (Оценить), а затем View Report (Просмотреть отчёт). В результате браузер отобразит исчерпывающую информацию (см. рис. 5).

Рисунок 5. Отчёт на клиенте.

Но если требуется массовый сбор данных, то удобнее перейти в рабочую область мониторинга сервера SCCM в разделе Monitoring->Overview->Deployments и увидеть краткую информацию и круговой индикатор (состояние) или через отчёты Monitoring->Overview->Reports->Compliance and Settings Management получить более расширенную (см. рис. 6).

          

Рисунок 6. Отчёт на сервере SCCM.

 

Troubleshooting

Относительно архиватора и обновлений для MS Excel 2013, мы поняли, что группа устройств соответствует требованиям. А что касается импортированных рекомендаций для сервера SCCM, то в отчёте можем увидеть некоторые неполадки с “BGB Firewall port is open” (BGB – Big Green Button). У брандмауэра порт для роли Management Point открыт в связи с условиями поставщика. Но рекомендуемая им настройка нам не важна, поэтому изменим значение правила из Equals на Not equal to во вкладке Compliance Rules (раздела Assets and Compliance->Overview->Compliance Settings->Configuration Item, в свойствах элемента Microsoft System Center 2012 Configuration Manager Management Point) и получим отчёт без предупреждений и ошибок.

Ещё одним способом оповещения системного администратора является журналирование. Это несколько log-файлов [http://technet.microsoft.com/en-us/library/hh427342.aspx#BKMK_ClientInstallLog]:

  • в DCMAgent.log записывается информация об оценке и конфликтах программ, о восстановлении элементов конфигурации и приложений;
  • CIAgent.log сообщает об исправлениях, настройках соответствия, обновлениях программного обеспечения и управлении приложениями;
  • в CMReporting.log помещаются данные о состоянии отправки сообщений для Configuration items;
  • DcmWmiProvider.log отвечает за сведения об инструментарии управления Windows (WMI);
  • CITaskManager.log содержит информацию о планировании задач Configuration items.

 

Вывод: Очень полезно системному администратору иметь такую возможность, как проверку соответствия параметров устройств предприятия. Ведь она помогает увидеть, как для одного компьютера, так и для групп, полную картину достоверности требуемым корпоративным политикам. А так как существующие программы не всегда могут помочь добиться нужного результата (не все поддерживают работу мобильных устройств и не позволяют редактирование параметров), то функционал Compliance Settings в Configuration Manager 2012 в этом случае подходит больше и при этом не вызывает сложностей в настройке, к тому же позволяет избежать размножения уже имеющихся программных продуктов.