IT Infrastruktur (Client-Server) Audit und Optimierung mit System Center Configuration Manager

Erfolgreiches und effizientes Management steht häufig in Konjunktion mit stabilen Werkzeugen, zuverlässigen Mechanismen, Prozessen und einem hohen Wirkungs- bzw. Automatisierungsgrad.

Komplexe IT Systeme reagieren oft genauso sensibel auf negative Einflüsse wie das bei Klimaveränderungen der Fall sein kann. Mit dem Unterschied, dass wir hier nicht unbedingt den Launen der Natur ausgesetzt sind und Maßnahmen ergreifen können, um nicht „aus allen Wolken zu fallen“ und dramatische Auswirkungen zu verhindern oder entgegenzuwirken.

Entscheidende Erfolgsfaktoren zur Skalierung, Bereitstellung und Verwaltung von Client-Server Infrastruktur (auf verteilten Standorten) liegen oft in einer übersichtlichen Darstellung des Inventars und dem entstandenen Wachstum. Dieses gibt wiederum Aufschluss über die Entwicklung im Lebenszyklus und schafft das Bewusstsein um Prognosen anzustellen und Maßnahmen für die Zukunft zu setzen.

Mit einem enormen Wachstum, den stetig steigenden Anforderungen sowie Komplexität in allen Haupt- und Teilbereichen der Bereitstellung und Verwaltung, den Betrieb nicht nur aufrecht zu halten sondern weiterhin ausbauen zu können, bedarf einer sorgfältigen Planung an Personal & Ressourcen.

Mit der Einführung neuer Service Modelle (CB, CBB, LTSC) und Windows 10 als „Alles in einem und immer Online (Cloud) Betriebssystem“, erfolgte ein gravierender Technologiewechsel, welcher mit dem exponentiellen Anstieg administrativer Elemente, Prozesse und Tätigkeiten einhergeht. In gleicher Weise sind über denselben Zeitraum, neue Hardwaremodelle und Typen mit erweiterten Funktionen auf den Markt getreten, womit Anforderungen zur Implementierung einen gleichwertigen Anstieg bedeuten. In Summe kann das IT Infrastruktur Wachstum mit den zusätzlichen Faktoren (Service Modelle) Addiert werden. Für den Technologiewechsel empfielt sich daher eine genauere Betrachtungsweise.

Maßnahmenplan und Umsetzung

Die Erkennung und Behebung von Missständen dient der Qualitätssicherung, die im beigefügten oder eigenständigen Maßnahmenplan qualifiziert zur Umsetzung gebracht werden soll. Mit einem erneuten und wiederkehrenden Audit, in regelmäßigen Abständen, soll eine permanente Optimierung stattfinden und der Umsetzung eines kontinuierlicheren Verbesserungsprozesses dienen.

Festlegung der im Managementsystem anzuwendenden Datenschutz und Sicherheitsrichtlinien.

Existierende Vorschriften und Methoden zur Sicherheit und Datenschutz sollten miteinbezogen werden. Die festgelegte Sicherheitspolitik des Unternehmens, Datenschutzrichtlinien und Richtlinien zur Einführung neuer Systemelemente, Prozesse, Software und Hardware sollte in das Managementkonzept einfließen. Geltenden (Unternehmens und Gesetzliche) Vorschriften sollten auch beim Einsatz eines Managementsystems beachtet und umgesetzt werden. Auch für den Gebrauch des Managementsystems selbst sind Regelungen zu treffen bzw. existierende Regelungen auf Validität zu prüfen und gegebenenfalls anzupassen, und auch anzuwenden.

Reaktionen auf Verletzung der Sicherheitspolitik im Bereich Systemmanagement sollten definiert werden. Ähnlich wie in anderen IT-Bereichen, muss auch für den Bereich des Systemmanagements eine Sicherheitspolitik festgelegt bzw. die vorhandene Sicherheitspolitik des Unternehmens auch auf den Bereich Systemmanagement angewandt werden. Da ein Managementsystem mit wichtigen Netz- und Systemkomponenten interagiert und deren Funktion verwaltet und überwacht, sind Verletzungen der Sicherheitspolitik in diesem Bereich als besonders schwer anzusehen. Insbesondere sind hier Regelungen und Vorgehensweisen zu definieren, die nach einer solchen Sicherheits-verletzung zum Einsatz kommen. Diese sind einerseits technischer, aber auch organisatorischer Natur.

Revision, Datenschutzbeauftragte und Sicherheitsmanagement sollten unbedingt einbezogen werden. Der Datenschutzbeauftragte sollte auf die Einhaltung der Datenschutzrichtlinien achten, z.B. welche Informationen im Rahmen des Systemmanagements erfasst und an Dritte (Hersteller) übermittelt werden sollen bzw. dürfen. Zudem ist die Einhaltung von Richtlinien in regelmäßigen Abständen zu prüfen. Ähnliches gilt für die Zuständigkeitsbereiche des Revisors und des IT-Sicherheitsbeauftragten.

Identifizierte Elemente zur Qualifizierung und Umsetzung in der Maßnahmenplanung. Erforderliche bzw. dringende Maßnahmen liegen zum Großteil automatisiert vor und können in einem Workshop-Tag umgesetzt werden!

SELECT Name0 AS [HOSTNAME], TimeKey AS [TIMESTAMP], HotFixID00 AS [HOTFIX], Caption00 as [OS]
FROM (SELECT QUICK_FIX_ENGINEERING_DATA.HotFixID00,
QUICK_FIX_ENGINEERING_DATA.TimeKey,
System_DATA.Name0,
Operating_System_DATA.Caption00,
row_number() OVER

(PARTITION BY QUICK_FIX_ENGINEERING_DATA.MachineID ORDER BY QUICK_FIX_ENGINEERING_DATA.TimeKey DESC)
AS rn
FROM QUICK_FIX_ENGINEERING_DATA
INNER JOIN System_DATA
ON QUICK_FIX_ENGINEERING_DATA.MachineID = System_DATA.MachineID
INNER JOIN Operating_System_DATA
ON QUICK_FIX_ENGINEERING_DATA.MachineID = Operating_System_DATA.MachineID

)
AS T WHERE rn = 1

ORDER by TIMESTAMP ASC

Sollten System über längeren Zeitraum keine Updates erhalten haben, erfolgt die Ursachenforschung und Problemidentifikation.

Beispiel#2 Boundaries (Netzwerk Segmentierung)

Mögliche Ursache könnten fehlende Zuweisungen von Active Directory Sites oder IP Subnets, aber auch falsche Konfiguration sein. Verzögerte oder fehlgeschlagene Bereitstellungen geben einen möglichen Hinweis.

1. Hinzufügen der HW Inventory Class am Site Server

   root\ccm\LocationServices -> BoundaryGroupCache

2. Refresh Maschine Policy

3. Hardware Inventory

4. Monitoring Queries

   select SMS_R_System.NetbiosName,

   SMS_G_System_BOUNDARYGROUPCACHE.BoundaryGroupIDs

   from SMS_R_System

   inner join SMS_G_System_BOUNDARYGROUPCACHE on SMS_G_System_BOUNDARYGROUPCACHE.ResourceId = SMS_R_System.ResourceId

5.  Im Resultat werden leere Felder von BoundaryGroupIDs als fehlende Zuweisung am Client angezeigt.

   Die Korrektur bzw. Maßnahme kann durch Anlage des jeweiligen Netzwerk-Segment erfolgen.

Beispiel#3 – Aufgaben zur Daten-Migration oder dem Einsatz/Umstellung mit Folder Redirection

Um die Größe von Ordnern auf verwalteten Client-Server Systemen zu erfassen, kann eine Configuration Baseline mit einem PowerShell Script eingesetzt werden. Die Summe von Elementen in GB/MB/Bytes wird in einem Monitoring Report bzw. SQL/WQL Query ausgegeben. Damit sollte in wenigen Schritten die erforderliche Kapazität am Storage System festgestellt sein.

In diesem Beispiel wird die Summe in GB von allen Benutzerprofilen (mit Ausnahmen $OmitFolders) definiert. Das Script enthält aber auch Funktionen um den Eigentümer des jeweiligen Ordners in beliebigen Verzeichnissen zu identifizieren. Dies kann nützlich sein, um die Größe von Ordnern zu identifizieren die ihre Benutzer selbständig angelegt haben.

[cmdletbinding()]
param(
[Parameter(Mandatory = $false)]
[Alias(‚Path‘)]
[String[]]
$BasePath = ‚C:\Users‘, #$ENV:SYSTEMDRIVE,
[Parameter(Mandatory = $false)]
[Alias(‚User‘)]
[String[]]
$FolderName = ‚all‘,
[Parameter()]
[String[]]
$OmitFolders = (‚C:\users\default user‘,’C:\users\public‘,’C:\Users\All Users‘,’C:\users\default‘),
[Parameter()]
$AddTotal = ‚-AddTotal‘
)

#Go through each folder in the base path.
ForEach ($folder in $allFolders) {

#Clear out the variables used in the loop.
$fullPath = $null
$folderObject = $null
$folderSize = $null
$folderSizeInMB = $null
$folderSizeInGB = $null
$folderBaseName = $null
$folderOwner = $null

#Store the full path to the folder and its name in separate variables
$fullPath = $folder.FullName
$folderBaseName = $folder.BaseName
$folderOwner = $folder.GetAccessControl().Owner

Write-Verbose „Working with [$fullPath]…“

#Get folder info / sizes
$folderSize = Get-Childitem -Path $fullPath -Recurse -Force -ErrorAction SilentlyContinue | Measure-Object -Property Length -Sum -ErrorAction SilentlyContinue

#We use the string format operator here to show only 2 decimals, and do some PS Math.
$folderSizeInMB = „{0:N2}MB“ -f ($folderSize.Sum / 1MB)
$folderSizeInGB = „{0:N2}GB“ -f ($folderSize.Sum / 1GB)

#Here we create a custom object that we’ll add to the array
$folderObject = [PSCustomObject]@{

FolderName = $fullPath
‚Size(Bytes)‘ = $folderSize.Sum
‚Size(MB)‘ = $folderSizeInMB
‚Size(GB)‘ = $folderSizeInGB
‚Owner‘ = $folderOwner

}

#Add the object to the array
$folderList.Add($folderObject) | Out-Null

}

Report

Beispiel#4 Software Compliance (Kompatibilität, Lizenzen & Versionen)

Die Anzahl der in einem Unternehmen vorhandenen und genutzten Softwareprodukte ist häufig unüberschaubar. Zudem werden Lizenzvereinbarungen und -verpflichtungen immer komplexer. Wildwuchs mit unterschiedlichen Versionen birgt zudem ein enormes Risiko an offenen bzw. unerkannten Schwachstellen, die wiederum Einfallstor für Schadsoftware und großflächige Angriffe darstellen können. Die Harmonisierung von Software Produkten und Versionen auf einheitliche Stände vereinfacht dabei die Verwaltung, Kompatibilitäts- und Risikoprüfung, die wiederum zur Reduzierung von Incidents führt.

SCCM bietet hier mehrere Möglichkeiten. Zum einen Software Metering und zum anderen Asset Intelligence, die jedoch mit erhöhtem Aufwand zu konfigurieren sind und unter Umständen zur unerwünschten Preisgabe von Informationen (Hersteller Inventar Synchronisation) führt.

In unserem Audit möchten wir jedoch diese Aufgabe mit einfachen Mitteln und in kürzester Zeit Lösen. Dazu bedienen wir uns vorhandener Logik und Prozeduren.

Ein SQL Query aus der SCCM Datenbank liefert dazu den aktuellen Stand von installierter Software die über das (WMI) Hardware Inventory aus dem Client/Server Applet „Programs and Features“ ermittelt wurden.

Ein kurzer Blick in die CVE Datenbank verrät die Schwachstellen der Software Komponente.

Geeignete Maßnahmen in diesem Fall sind die Ermittlung (WQL Query) von veralteten Versionen in einer Sammlung von Clients (Collection) und dem automatisierten Update (Upgrade oder Austausch) auf die aktuellste Version. Zur Qualitätssicherung sollte die CVE Prüfung in regelmässigen Abständen durchgeführt und ggf. die Prozedur wiederholt werden.

— Collection Query

select SMS_R_SYSTEM.ResourceID,
SMS_R_SYSTEM.ResourceType,
SMS_R_SYSTEM.Name,
SMS_R_SYSTEM.SMSUniqueIdentifier,
SMS_R_SYSTEM.ResourceDomainORWorkgroup,
SMS_R_SYSTEM.Client from SMS_R_System
inner join SMS_G_System_ADD_REMOVE_PROGRAMS_64
on SMS_G_System_ADD_REMOVE_PROGRAMS_64.ResourceID = SMS_R_System.ResourceId
where SMS_G_System_ADD_REMOVE_PROGRAMS_64.DisplayName like „%7-Zip%“ and SMS_G_System_ADD_REMOVE_PROGRAMS_64.Version != „18.06.00.0“

Beispiel#5 Security Compliance

Systeme sollten in regelmässigen Abständen einer Prüfung und ggf. einer automatisierten Korrektur unterzogen oder mit entsprechenden Updates versorgt werden. Diese Regeln werden vollautomatisiert über Managementplattformen bereitgestellt und verwaltet. Bekannte und neue Sicherheitsbedrohungen, können durch diese Maßnahmen, in kürzester Zeit identifiziert und behoben werden. Mit kontiunierlichen Statusberichten werden mögliche Risiken in Echtzeit sichtbar und ermöglichen eine schnellstmögliche Reaktion.

Speculative Execution Side-Channel Vulnerabilities Configuration Baseline

This Compliance Settings configuration baseline is used to confirm whether a system has enabled the mitigation needed to protect against the speculative-execution side-channel vulnerabilities as described in Microsoft Security Advisories ADV180002, ADV180012 and ADV180018.

https://gallery.technet.microsoft.com/Speculation-Execution-Side-1483f621

Lokale Konten Gast, Administrator und Firewall

Diese Compliance Settings Configuration Baseline wird zur Identifikation von deaktivierten lokalen Gast und Administrator Konten sowie der aktivierten Firewall (Domain Profil) verwendet.

Ausgabe der Warnung als Email oder Ablage in einer Dateifreigabe.