Compliance Settings в SCCM 2012 помогают оценивать и отслеживать достоверность конфигураций компьютеров компании, а также вносить в них некоторые исправления. В статье рассматриваются возможности и настройки данного функционала в теории и на практике.

 

Введение

Часто случаются ситуации, когда необходимо получить точную информацию о состоянии рабочей станции или сервера, определить возникшую причину некорректной работы программы, которая могла быть подвержена обновлению или переустановке, а штатными средствами уследить за происходящими изменениями в системе не предоставляется возможным. Поэтому системный администратор применяет различные утилиты, например, NeoSpy [http://ru.neospy.net/], Process Monitor [http://technet.microsoft.com/ru-ru/sysinternals/bb896645] и другие. Но они не всегда могут помочь в решении вопроса. Их основная задача – это предоставление информации о добавлении или модификации каких-либо файлов, записей в реестре, учётных данных пользователей и прочее. Главным недостатком таких программ можно выделить то, что приходится увеличивать количество уже имеющегося софта, а также отсутствие возможности редактирования конфигураций ПК. К тому же не все продукты поддерживают работу мобильных устройств. А так как у нас уже есть установленный Configuration Manager 2012, то рассмотрим функцию Compliance Settings (параметры соответствия), которая позволяет не только устранить слабые стороны, перечисленные выше, но и предоставляет дополнительные преимущества.

 

Возможности

Compliance Settings [http://technet.microsoft.com/ru-ru/library/gg681958.aspx] в SCCM 2012 предоставляет унифицированный интерфейс, который позволяет осуществить ревизию серверов, ноутбуков, настольных компьютеров и мобильных устройств на соответствие корпоративным конфигурациям. Данный функционал можно использовать для поддержки следующих бизнес-требований:

  • проверять конфигурации программ и пользовательских учётных записей, версии и обновления ОС и ПО, а также корректность установки и настройки сервера и сервисов;
  • автоматически исправлять несовместимые параметры WMI, реестра, сценариев;
  • выявлять устройства, которые не удовлетворяют корпоративным стандартам, то есть с неразрешенными процедурами управления изменениями, с наличием запрещённых приложений, а также с несовместимыми настройками перед вводом их в эксплуатацию или установкой на них ПО;
  • для отчётов устанавливать приоритеты несоответствия относительно 5-ти уровней серьёзности: None (отсутствие), Information (информирование), Warning (предупреждение), Critical (критичность), Critical with event (критичность с событием);
  • идентифицировать уязвимости, определённые вендорами;
  • сравнивать конфигурации устройств предприятия с рекомендациями производителя;
  • вести совместную работу с другими продуктами управления, которые контролируют события Windows на компьютерах;
  • формировать отчет о соответствии нормам и корпоративным политикам безопасности.

 

Из чего Compliance Settings состоит?

Compliance Settings включает в себя такие составляющие:

  • Configuration Item (Элемент конфигурации) – это единица конфигурации, которая содержит набор параметров, а также критерии проверки для оценки соответствия на целевой ОС.
  • Configuration Baseline (Базовый показатель конфигурации) содержит элементы, которые необходимо оценить, а также параметры и правила, описывающие установленный уровень соответствия. Иными словами, это группа уже созданных Configuration Item иили дополненная другими элементами, которая от сервера доставляется устройствам относительно установленного расписания. А если устройство не подключено к сети, но имеет загруженные Configuration Items, которые ссылаются на развёрнутые Configuration Baseline, то производится переподключение последних и оценка настроек на соответствие.
  • User Data and Profiles (Пользовательские данные и профили) содержат параметры, определяющие, как управлять Folder redirection (Перенаправлением папок), Offline Files (Автономными файлами) и Roaming user profiles (Перемещаемыми профилями) на компьютерах под управлением Windows 8. А чтобы произвести развёртывание на коллекции пользователей, нет необходимости добавлять их в Configuration Baseline, а сделать распространение можно непосредственно с данного раздела.

 

Принцип работы Compliance Settings

Сначала на сервере SCCM происходит создание (или импортирование) Configuration Item, а затем их добавление в Сonfiguration Baseline (или создание новых). Далее вся информация помещается в базу данных. После этого на коллекцию пользователей или компьютеров распространяются Configuration Baseline. В свою очередь клиенты SCCM получают от сервера политику с определёнными параметрами или условиями и начинают проверку данной группы устройств на соответствие заявленным требованиям. Запуск процедур выполняется по расписанию. А по завершению этого процесса отправляют информацию в БД. Заключительным действием является сформированный системным администратором отчёт, который помогает судить о полученных результатах (см. рис. 1).

Рисунок 1. Последовательность действий.

 

Возможные требования

Предположим, что необходимо проверить группу клиентских компьютеров на наличие архиватора 7zip и обновлений MS Excel 2013, а также сервер SCCM на соответствие последним обновлениям. Но вначале проверяем активирован ли параметр (агент) Compliance Settings в “Administration->Overview->Client Settings->Default Client Settings”, значение которого должно быть равным “True”.

 

Продолжение следует...