В разделах ниже приведены примеры сценариев реализации управления требуемой конфигурацией в Configuration Manager 2007 для удовлетворения следующих бизнес-требований:
- Сравнение
конфигураций компьютеров с пакетами настройки корпорации
Майкрософт и других поставщиков
- Восстановление
соответствия путем распространения пакетов ПО или сценариев среди
определенных компьютеров с помощью коллекции, автоматически
заполняемой сообщающими о несоответствии компьютерами
Сравнение конфигураций компьютеров с конфигурациями, рекомендуемыми корпорацией Майкрософт и другими поставщиками
Этот сценарий показывает, как пользователи Configuration Manager могут сравнивать конфигурации своих серверов Microsoft Exchange с рекомендациями, содержащимися в пакетах настройки Microsoft System Center Configuration Manager 2007 Configuration Pack, для выявления потенциально опасных конфигураций прежде, чем будут нарушены соглашения об уровне обслуживания (SLA).
В банке "Богатства леса" сервер Microsoft Exchange Server развернут в качестве критической для функционирования организации системы электронной почты. Недавно в банке имело место несколько случаев недоступности системы, заключавшихся во внезапном завершении работы Microsoft Exchange Information Store. После нескольких дней изучения проблемы Алексей Серов, администратор Exchange Server в банке "Богатства леса", обнаружил, что периоды недоступности системы являются результатом ряда неверных настроек. Чтобы сократить незапланированные простои в дальнейшем, банку необходимо найти способ определить, когда в настройке серверов Microsoft Exchange появились ошибки.
Иван Петров работает ИТ-администратором банка "Богатства леса". Он узнал, что корпорация Майкрософт опубликовала ряд рекомендуемых конфигураций для Microsoft Exchange Server 2003 в виде пакета настройки, который можно применять в сочетании с управлением требуемой конфигурацией в Configuration Manager 2007. Он решает выполнить действия, описанные в следующей таблице.
| Процесс | Ссылка |
|---|---|
|
Алексей и Иван открывают веб-страницу загрузки конфигурационных данных корпорации Майкрософт и загружают пакет настройки для Exchange Server 2003. |
|
|
Алексей и Иван рассматривают процесс создания базовых показателей конфигурации с помощью пакетов настройки. |
|
|
Алексей и Иван проверяют, включена ли для сайта Configuration Manager 2007 банка функция управления требумой конфигурацией, и на всех ли клиентах имеется Microsoft .NET Framework версии 2 или более поздней версии. |
Включение или отключение агента клиента управления требуемой конфигурацией |
|
Алексей и Иван определяют, какой элемент конфигурации для Exchange Server 2003 наиболее точно соответствует серверной среде банка, и импортируют этот элемент в Configuration Manager 2007. |
Импорт элемента конфигурации в управление требуемой конфигурацией |
|
Алексей и Иван создают набор базовых показателей конфигурации и добавляют элемент конфигурации в следующее правило базовых показателей конфигурации:
|
Создание нового базового показателя конфигурации в управлении требуемой конфигурацией |
|
Алексей и Иван назначают набор базовых показателей конфигурации коллекции, содержащей только серверы, на которых запущен Microsoft Exchange Server 2003, и настраивают расписание на выполнение оценки ежедневно в полночь. |
Назначение базовых показателей конфигурации в управлении требуемой конфигурацией |
|
Когда отчеты о результатах оценки соответствия поступают на сайт, Алексей и Иван рассматривают отчеты и подтверждают, что нет никаких бизнес-требований, которые бы объясняли, почему серверы банка настроены иначе, чем предусмотрено рекомендуемыми конфигурациями Майкрософт. |
Просмотр результатов соответствия для управления требуемой конфигурацией |
|
Иван дает Алексею указание привести все серверы Microsoft Exchange в соответствие с базовыми показателями конфигурации и продолжать мониторинг результатов проверки на соответствие. |
Процесс, специфичный для компании. |
|
Алексей проверяет результаты оценки соответствия каждое утро и исследует любые полученные сведения о несоответствиях прежде, чем несоответствия повлияют на производительность или поставят серверы банка под угрозу незапланированного простоя. |
Процесс, специфичный для компании. |
Возможный результат такой реализации управления требуемой конфигурацией:
- Три месяца спустя Иван подтверждает, что
число незапланированных простоев резко сократилось.
Восстановление соответствия путем распространения пакетов ПО или сценариев среди определенных компьютеров с помощью коллекции, автоматически заполняемой сообщающими о несоответствии компьютерами
Этот сценарий показывает, как пользователи Configuration Manager могут восстанавливать соответствие параметров безопасности с помощью управления требуемой конфигурацией.
В корпорации "Датум" работает большое количество торговых представителей, которые часто выезжают к заказчикам для проведения демонстраций и разрешения возникающих у заказчиков технических проблем. Покидая корпоративную сеть, торговые представители нередко перенастраивают свои переносные компьютеры для работы в сетях заказчиков и совместного пользования данными. По возвращении торгового представителя в свой офис часто бывает, что переносной компьютер не соответствует корпоративным стандартам. В частности, на компьютере могут быть изменены параметры брандмауэра и разрешения безопасности Microsoft Windows для облегчения обмена данными.
У группы безопасности уходит очень много времени на проверку того, не запущены ли на этих переносных компьютерах какие-либо вредоносные программы, и не представляют ли эти компьютеры угрозы безопасности корпоративной сети. Корпорации "Датум" хотелось быть иметь автоматический механизм оценки этих переносных компьютеров; для восстановления соответствия используются корректирующие сценарии, которые приводят компьютеры обратно в соответствие с корпоративными стандартами.
Елена Адамова работает в группе безопасности корпорации "Датум". Вместе с Антоном Хартновым, администратором Configuration Manager, они предпринимают действия, перечисленные в следующей таблице.
| Процесс | Ссылка |
|---|---|
|
Елена создает ряд элементов конфигурации и затем набор базовых показателей конфигурации, содержащий эти элементы. В совокупности эти конфигурационные данные определяют необходимые параметры безопасности для переносных компьютеров в корпоративной сети, и она выделяет их в новую категорию конфигурации с именем "Безопасность", чтобы их легко можно было найти, если впоследствии потребуется вносить в них изменения. Этим параметрам присвоены разные уровни серьезности несоответствия в зависимости от того, насколько они критичны, чтобы проще было идентифицировать параметры, несоответствие которых представляет наибольшую угрозу для сети. |
Создание нового элемента конфигурации в управлении требуемой конфигурацией Создание нового базового показателя конфигурации в управлении требуемой конфигурацией Об уровне серьезности несоответствия в управлении требуемой конфигурацией |
|
Антон назначает набор базовых показателей конфигурации коллекции, содержащей переносные компьютеры, и настраивает расписание на проведение более частой оценки соответствия этим показателям относительно других, не связанных с параметрами безопасности показателей. |
Назначение базовых показателей конфигурации в управлении требуемой конфигурацией |
|
Группа безопасности уже располагает специальным сценарием, который проверяет компьютер на наличие вредоносных программ и затем настраивает все требуемые параметры безопасности. При обнаружении вредоносной программы сценарий отправляет группе безопасности уведомление по электронной почте. Елена передает этот сценарий Антону, который создает для него пакет в Configuration Manager и размещает пакет на точках распространения Configuration Manager. |
|
|
Затем Антон создает с помощью запроса коллекцию, автоматически заполняемую компьютерами, которые по результатам оценки оказываются несоответствующими с наивысшим уровнем серьезности несоответствия. Антон настраивает расписание на обновление членства в коллекции с периодичностью один час, а затем объявляет этой коллекции упакованный сценарий. |
|
|
Антон ведет мониторинг соответствия переносных компьютеров, используя домашнюю страницу управления требуемой конфигурацией. Он также убеждается в том, что коллекция автоматически заполняется несоответствующими компьютерами, на этих компьютерах выполняется сценарий, после чего они удаляются из коллекции. Он легко может идентифицировать компьютеры, которые по результатам оценки не соответствуют базовым показателям безопасности — по уровню серьезности несоответствия и по категории базовых показателей конфигурации ("Безопасность"). |
Использование начальной страницы управления требуемой конфигурацией |
|
При обнаружении вредоносной программы членам группы безопасности отправляется уведомление по электронной почте; после этого их задача — найти компьютер, удалить с него вредоносную программу и произвести дальнейшие проверки на предмет целостности данных на компьютере. Также они проводят периодические проверки переносных компьютеров — чтобы убедиться, что компьютеры, на которых было создано событие Windows в результате несоответствия параметрам безопасности, успешно приведены в соответствие с ними. |
Процессы, специфичные для компании. |
Возможный результат такой реализации управления требуемой конфигурацией:
- При возвращении в корпоративную сеть
несоответствующий переносной компьютер автоматически приводится в
соответствие с параметрами безопасности.
Один из торговых представителей возвращается с визита к заказчику. Работающий на переносном компьютере клиент Configuration Manager загрузил базовые показатели конфигурации безопасности, когда компьютер ранее был подключен к корпоративной сети, после чего оценивал соответствие компьютера назначенным показателям.
Пытаясь решить некоторые проблемы с подключением, торговый представитель отключил брандмауэр и после его не включил. При подключении компьютера обратно к корпоративной сети сведения о его несоответствии сразу же отправляются сайту Configuration Manager.
После этого компьютер автоматически добавляется в коллекцию, которой объявлен сценарий. Вредоносных программ на обнаружено, поэтому группе безопасности не нужно предпринимать дальнейшие действия: корректирующий сценарий выполняется на компьютере автоматически.
Компьютер приводится в соответствие без вмешательства администратора.