Jauramine SCCM Compliance Settings’itega

Compliance settings (vana nimetusega Desired Configuration Management ehk DCM selelst ka palju viiteid “DC”le ) on suurepärane vahend auditeerimaks, et igasugused süsteemi häälestused, installatsioonid ja parameetrid on täpselt nii, nagu IT turva-, haldus- või auditi meeskond soovib. Mõningal määral saab seda teha ka Group Policy objektidega, kuid sel juhul jääb puudu võimas raportikeskkond. SCCM reportserverist võid kasvõi iga päev vastvad raportid automaatselt teele panna.

Ehk jah, CS on tööriist, mis on mõttekas endale selgeks teha ja kasutada.

Hiljuti komistasin naljaka kõrvalefekti otsa – mõningad Configuration Item’id annavad teatud juhtudel vigu. Tegemist ei olnud mingi keerulise päringu või skriptiga – lihtsalt võeti registryst teatud võtmeid ja kontrolliti nende olemasolu või vastavust etteantud väärtustele. Hmmm. uurimise käigus selgus, et Complianciga pole valesti midagi, ehk – reaallselt on vastvad registry võtmed täiesti olemas ja päritavad. REG utiliidiga käsurealt käitus päring täpselt nii nagu oodatud, kuid – SCCM klient andis visalt tulemuseks “Non-Compliant”.

Egas midagi – SCCM klient logib ohjeldamatult ( no õnneks siiski mitte ketast täitvalt) ja täpselt. Compliance Setting’u  kontrollimise sammud salvestuvad järgmistes logifaildes:

DcmWmiProvider.log , DCMReporting.log, StateMessageProvider.Log. Tegelikult on CS’iga seotud veel mõned logifailid kuid need ei paku hetkel huvi.

DCMReportingust loeme välja et Registry väärtuste lugemisel kasutatakse WMI instrumentaariumi. OK. WMI on selline asi, mis tikub omama 1001 bugi ja pidevalt katki olema. Samas eventLogis starditakse WMI ja käivitatakse päring probleemideta.

Ehk siis – proovime uuemat WMI – http://www.microsoft.com/en-us/download/details.aspx?id=34595

Selle peale teeb SCCM klient repairi ja SC Baseline muutub hetkeks ( tegelikult siis seniks kuniks pole toimunud uus kontroll)  kompatiibliks. Hmm..

Ehk siis võiks arvata et kliendis on mingi bugi – vahepeal on valja tulnud ka SCCM 2012 R2 Sp1 CU 4 -  mis küll serveritel peal, kuid kliendid pole veel kõikjal uuendatud.

Pane uuema kliendi paiga ka peale ja voilaa – Compliance jääb samuti rahule.

 

CS CI’d  isenesest laetakse  XML failidena C:\Windows\CCM\CIDownloader\DigestStore kausta.  Nende kohalejõudmise kiirendamiseks tee “Machine Policy Rretrieval and evalution” tegevusel käivitus. Sealt saab vaadata kas masinas ikka on sama sisuga CI kui serveris tehtud.

 

 

Keywords: DCM , non-compliant, registry, value.