В SCCM технологии и функциональные возможности, реализованные в прежних версиях SMS, подверглись значительной переработке. В своем руководстве к новому продукту команда разработчиков Microsoft использует образ четырех колонн, или столпов, на которых покоится новая система. Эти столпы — простота, развертывание, безопасность и управление.
Простота. Для продукта, реализующего столь широкий спектр функциональных возможностей, простота является весьма достойным краеугольным камнем. Чтобы администраторам не приходилось искать и загружать инструментальные средства, а затем по одному встраивать их в систему, специалисты Microsoft включили в основной продукт пакеты функций и дополнительные модули. Новая процедура установки отслеживает и отображает задачи установки по мере их появления, а также формирует точку управления, management point, чтобы непосредственно по завершении операции установки система SCCM могла приступить к развертыванию клиентов. Кроме того, специалисты Microsoft ввели понятие окон обслуживания и интегрированные функции Wake on LAN (WOL). Благодаря этим нововведениям администраторам SCCM становится проще управлять проведением операций по обслуживанию на контролируемых системах. В показанном на экране 1пользовательском интерфейсе на базе консоли Microsoft Management Console (MMC) 3.0 реализовано несколько замечательных нововведений, в том числе функции буксировки и поиска в папках. Разработчики Microsoft включили в продукт динамические мастера, которые снижают сложность операций и упрощают выполнение многих административных задач. Еще одна новая функция — Volume Shadow Copy Service (VSS) — обеспечивает резервное копирование содержимого систем узлов SCCM и тем самым дополнительно облегчает жизнь администраторов.
Развертывание. Хотя новые программные приложения зачастую предлагают бизнесу крайне ценные новые возможности, крупномасштабные проекты по их развертыванию становятся все менее целесообразными, если учесть характерные для подобных проектов сложности и затраты. В результате такого подхода предприятие может оказаться в невыгодном конкурентном положении.
Предлагая комплексное решение для планирования, тестирования, развертывания, анализа и оптимизации приложений, SCCM 2007 представляет собой законченное решение, предназначенное для развертывания в масштабах всего предприятия не только актуальных бизнес-приложений и обновлений, но и операционных систем для серверов, а также настольных систем.
Кроме того, обеспечивая законченное решение для развертывания программного обеспечения на любые устройства – от сервера до карманного компьютера, SCCM 2007 автоматизирует процедуры создания исходного образа и установки Windows и любых дополнительных приложений на компьютеры без ОС или системы с предыдущими версиями ОС.
Агент Configuration Manager может быть развернут на Windows-системы, такие как обычные рабочие станции, сервера (от Windows 2000 SP4 и выше), а также мобильные системы – ноутбуки и устройства под управлением Windows Mobile, Windows CE, Windows XP Embedded. Партнеры Microsoft могут предоставлять дополнительные клиенты для управления отличными от Windows системами.
В каком-то виде эти средства существовали и в SMS 2003, но специалисты Microsoft переработали их, в результате чего новейшие технологии развертывания Windows, такие как Windows Preinstallation Environment (PE), Windows Imaging Format (WIM) и User State Migration Tool (USMT), были интегрированы в процесс автоматического развертывания операционной системы. Для осуществления необходимых действий (например, установка драйверов и приложений, восстановление пользовательских документов и настроек) в рассматриваемом изделии в процессе развертывания применяется процессор определения последовательности задач (task-sequencing engine).
- Детальное планирование внедрения ПО. Возможное внедрение на основании аппаратного обеспечения компьютеров, установленного ПО, версий установленного ПО и операционной системы, установленных сервис паков и заплаток.
- Гибкий выбор целей. Установку ПО и другие административные задачи можно выполнять на основании сетевых параметров компьютера, его аппаратного обеспечения, членства в группах, организационных единицах Active Directory и т.п.
- Повышение прав Windows Installer. Благодаря тому, что SMS2003 использует службу Windows Installer ( .msi) возможно производить установку ПО от имени учетной записи с большими правами не заметно для пользователя, безопасно
- Поддержка «Установка/Удаление программ». Приложения могут быть легко опубликованы в оснастке «Установка/Удаление программ», предоставляя пользователю выбор в установке или удалении ПО.
- Закачка и выполнение. После того, как новое ПО было закачано на клиентский компьютер, оно запускается в соответствии с расписанием.
Безопасность. Отсутствие комплексной стратегии управления установкой обновлений может привести к серьезным последствиям для предприятия: критически важные бизнес-системы могут отказать, уязвимые системы могут быть намеренно повреждены, что приведет к снижению производительности, потере времени, затруднению доступа к приложениям и, как следствие, снижению доходов.
Краеугольный камень безопасности — это прежде всего две инициативы в области защиты данных, которые расширяют функциональность SCCM в том, что касается управления обновлением системы безопасности для предприятия, и повышают уровень защиты инфраструктуры SCCM по сравнению с предыдущими версиями SMS. Первая инициатива связана с реализацией усовершенствованной технологии оценки уязвимости и восстановления, а вторая предполагает «бесшовную» комплексную взаимную аутентификацию между системами SCCM и управляемыми клиентами вне зависимости от способа подключения — по каналам Internet, через локальную сеть или с использованием механизма роуминга, сочетающего оба метода.
Теперь в интересах повышения степени защиты системы в целом пакет SCCM 2007 способен выполнять текущий контроль всех узлов, функционирующих в сети, и обеспечивать работу систем на должном уровне соответствия новейшим требованиям путем реализации всех выпускаемых критических исправлений и программных обновлений. Технология SMS изначально не рассматривалась как платформа для управления развертыванием исправлений для системы безопасности, хотя компания Microsoft выпускала пакеты обновлений с целью добавления этой функциональной возможности в более ранние версии. Начиная с SMS 2003, управление развертыванием исправлений для системы безопасности теперь является интегрированным элементом, что обеспечивает возможность работы систем на максимально высоком уровне соответствия последним требованиям к защите.
Реализованный в SCCM 2007 процесс управления развертыванием исправлений можно разделить на три этапа. Первый этап предполагает оценку степени уязвимости путем установки программ Security Update Inventory Tool и Microsoft Office Inventory Tool for Updates. Эти инструменты автоматически создают пакеты, наборы и размещаемые на настольных компьютерах программные оповещения, необходимые для регулярного выполнения сканирования обновлений программ на всех управляемых клиентах; при необходимости SMS автоматически загружает новые версии этих инструментов.
После создания набора отчетов о состоянии сети можно приступать к этапу планирования реализации исправлений. При этом необходимо назначить приоритеты исправлений, руководствуясь различными критериями, например актуальностью исправления или количеством нуждающихся в обработке узлов.
На третьем этапе, когда исправления непосредственно вводятся в действие, используется простая программа-мастер Patch Distribution Wizard, предусматривающая последовательное проведение через все стадии создания текущей стратегии развертывания исправлений.
Кроме того, новые возможности по интеграции с режимом защиты доступа к сети (NAP) Windows Server 2008 позволяют обеспечивать белее безопасную среду для работы Windows-систем, которые в точности соответствуют корпоративным политикам, определяя критические ошибки в настройках и реализуя процедуры контроля и поддержания требуемых уровней безопасности.
Разработанное специалистами Microsoft средство Network Access Protection (NAP) является абсолютно новым компонентом SCCM. В целом NAP можно определить как инструмент для мониторинга сети с целью выявления не соответствующих заданному определению и потому потенциально уязвимых систем, а также для упреждающего разрешения потенциальных проблем несоответствия еще до того, как таким системам будет предоставлен доступ к сети. На более понятном, человеческом языке звучит так: интеграция с функцией защиты доступа к сети (NAP) операционной системы позволяет запрещать компьютерам-клиентам доступ к сети на основе baseline-политики созданной администратором предприятия и основанной на версии ОС, установленных сервиспаках или критических обновлениях. Компьютеры, не соответствующие указанным требованиям не будут допущены в рабочую сеть. Однако, необходимо обязательно обратить внимание на тот факт, что для реализации NAP необходимо, чтобы во первых на сервере Windows Server 2008 работала система Network Policy Server, поскольку соответствие настроек систем заданным требованиям определяют политики NPS, а необходимые изменения настроек выполняет компонент SCCM NAP, а во вторых придется модифицировать схему AD, однако эта перспектива не столь ужасна, как может показаться.
Для модификации схемы AD можно запустить файл ExtADSch.exe с установочного диска SCCM 2007 (он хранится в каталоге SMSSETUPBINI386), или, в качестве альтернативы, воспользоваться предоставляемым Microsoft файлом LDF. В файле LDF документируются классы и атрибуты, добавленные в процессе модификации схемы, а также функции SCCM, с которыми эти классы и атрибуты ассоциируются. Одной из таких функций является NAP; эта функция требует обновления схемы AD.
Как уже отмечалось, по сравнению с предыдущими версиями SMS, был значительно повышен и уровень защиты инфраструктуры непосредственно SCCM. Если в SMS 2003 было два режима безопасности, то в SCCM 2007 остался только аналог Advanced Security. В то же время у сайта теперь есть два режима работы – native и mixed, которые оказывают влияние, в том числе и на безопасность SCCM сайта в целом. Native режим требует существования Public Key Infrastructure (PKI), и позволяет обеспечить взаимную аутентификацию между клиентами и серверами SCCM 2007. Native режим требуется для поддержки Internet-based client – новой функции, которая позволяет управлять клиентами без прямого их подключения к сайту SCCM. Mixed режим является менее безопасным, и в нем есть градации -мы можем выбирать, что делать с вновь найденными клиентами – просто пускать(approve) всех, пускать тех кто из нашего домена, пускать тех, кого администратор добавил в «ручном режиме».
Учетные записи, которые разрешены к использованию в SCCM 2007, в большинстве случаев являются опциональными и соответственно создаются и настраиваются администратором системы «в ручную».
Site System Configuration account. Если указана эта учетная запись, то для конфигурирования систем сайта используется она, а не COMPUTER% сайт сервера SCCM.
Health State Reference Publishing account. Эта учетная запись используется для публикации информации о SMS Network Access Protection в Active Directory. В некоторых случаях может оказаться обязательной – если у учетной записи COMPUTER$ не будет необходимых привелегий. Должна иметь права(Full on this and all child objects) на контейнер System Management.
Health State Reference Querying — используется системой сайта System Health Validator point для получения из AD настроек SMS Network Access Protection. Если она не указанна – используется учетная запись COMPUTER$ машины, на которой стоит System Health Validator point. В ситуации когда архитектура узла содержит несколько доменов и нет трастов – без Windows учетной записи для этих целей не обойтись.
- Определение уязвимостей. Наличие таких средств как Microsoft Baseline Security Inventory Analyzer и Microsoft Office Inventory tool for Updates позволяет проводить анализ систем на наличие известных уязвимостей и существующих заплаток для них.
- Помощник развертывания заплаток. Простой помощник помогает администратору в развертывании «заплаток».
- Улучшенное устранение уязвимостей. После обнаружения пропущенных заплаток создается соответствующий отчет, который размещается в центральной базе данных. Этот отчет можно всегда использовать. После установки соответствующих заплаток отчет может быть обновлен.
- Расширенный режим безопасности. Встроенные компьютерные и локальные учетные записи могут быть использованы для всех серверных функций (например доступ к базе данных), значительно упрощая управление учетными записями и паролями в SCCM 2007, делая организацию более безопасной, так как не нужно создавать дополнительные привилегированные учетные записи.
- Обнаружение свойств Active Directory. SCCM 2007 автоматически обнаруживает свойства Active Directory пользователей и компьютеров, включая членство в организационных единицах (OU) и уровень членства в группах. Пакеты ПО могут быть направлены исходя из этих свойств.
- Поддержка Active Directory сайтов. SMS сайты теперь могут быть основаны на Active Directory сайтах и ip подсетях.
- Улучшенные средства статуса системы. Предоставляются данные о состоянии процессов SCCM 2007 в реальном режиме времени.
Настройка. Краеугольный камень настройки обеспечивает предоставление ИТ-организациям возможности моделировать желаемую конфигурацию для данного типа систем, а также управлять такой конфигурацией. Компонент SCCM, ответственный за управление конфигурацией (он входил в состав SMS 2003 под именем ускорителя приложений, ныне усовершенствован и интегрирован в SCCM), позволяет определять модель для настройки систем. Сотрудники любой ИТ-организации понимают, что стандартизация систем и конфигураций дает неоспоримые преимущества. Администраторы SCCM могут создавать политики управления с целью определения базовых значений для элементов системной конфигурации, включая конфигурацию аппаратных средств, установленных программных средств, нагрузку на систему, а также конкретные настройки. Далее система может осуществлять мониторинг управляемых систем на предмет соответствия данному определению, генерировать отчеты о соответствии настроек значениям базовой конфигурации и корректировать те или иные не соответствующие базовой конфигурации параметры с использованием базы знаний.
