Király István. Windows Intune. Felügyelet a felhőből

Király István

Windows Intune Felügyelet a felhőből

Jedlik Oktatási Stúdió Budapest, 2012

A szerző a könyv írása során törekedett arra, hogy a leírt tartalom a lehető legpontosabb és naprakész legyen. Ennek ellenére előfordulhatnak hibák, vagy bizonyos információk elavulttá válhattak. A felhasználásból eredő esetleges károkért sem a szerző, sem a kiadó nem vonható felelősségre. Az oldalakon előforduló márka- valamint kereskedelmi védjegyek bejegyzőjük tulajdonában állnak.

Készült a Microsoft Magyarország Kft. megbízásából

© Microsoft

Borító: Varga Tamás Szakmai lektor: Zombory Zoltán Anyanyelvi lektor: Dr. Bonhardtné Hoffmann Ildikó

Kiadó: Jedlik Oktatási Stúdió Kft. 1212 Budapest, Táncsics M. u. 92. Internet: http://www.jos.hu E-mail: [email protected] Felelős kiadó: a Jedlik Oktatási Stúdió Kft. ügyvezetője

Nyomta: LAGrade Kft. Felelős vezető: Szutter Lénárd

ISBN: 978-615-5012-15-0 Raktári szám: JO-0339

Tartalomjegyzék 1

2

3

4

Áttekintés ........................................................................................................................................ 2 1.1

Operációs rendszerrel kapcsolatos követelmények ................................................................ 2

1.2

Főbb szolgáltatások, funkciók ................................................................................................. 3

1.3

Kiknek ajánljuk? ....................................................................................................................... 3

A bevezetés lépései ......................................................................................................................... 4 2.1

Regisztráció.............................................................................................................................. 4

2.2

A felügyeleti konzol bemutatása ............................................................................................. 5

2.3

Házirendek ............................................................................................................................... 6

2.4

Az ügyfélszoftver telepítése .................................................................................................. 11

A Windows Intune adminisztrátori konzol .................................................................................... 20 3.1

Rendszer – áttekintés ............................................................................................................ 20

3.2

Számítógépek ........................................................................................................................ 20

3.3

Frissítések kezelése ............................................................................................................... 24

3.4

Endpoint Protection .............................................................................................................. 28

3.5

Riasztások, értesítések ......................................................................................................... 29

3.6

Proaktív felügyelet, monitorozás .......................................................................................... 30

3.7

Szoftverek kezelése ............................................................................................................... 31

3.8

Licencek karbantartása.......................................................................................................... 36

3.9

Jelentések készítése .............................................................................................................. 37

3.10

Adminisztráció ....................................................................................................................... 40

A Windows Intune Center ............................................................................................................. 43 4.1

5

Microsoft Easy Assist ............................................................................................................. 44

Összegzés....................................................................................................................................... 46

-1-

1 Áttekintés A Windows Intune egy felhőalapú, havidíjas felügyeleti megoldás, mely áll egy ügyfélszoftverből és egy böngésző alapú felügyeleti konzolból. Segítségével számos felügyeleti feladatot végezhetünk el, pl.: frissítések telepítése, végpontvédelem, leltárkészítés, távsegítség. Az Intune első verziója 2011. március 23-án debütált 40 különböző országban, majd 2011. október 17-én követte a frissített, úgynevezett „v2” kiadás is. Ugyanezen a napon a Lurdy házban tartottunk egy Intune napot, melynek felvételei elérhetőek az alábbi címen: https://technetklub.hu/intune/.

1.1 Operációs rendszerrel kapcsolatos követelmények A Windows Intune ügyfélszoftver a következő rendszerek 32 bites és 64 bites verzióján is támogatott:   

Windows 7 Enterprise, Ultimate és Professional Windows Vista Enterprise, Ultimate és Business Windows XP Professional SP 2 vagy újabb szervizcsomaggal (az SP3 ajánlott)

A Windows Intune ügyfélszoftver az operációs rendszer alapkövetelményein felül nem rendelkezik további hardverkövetelményekkel a Windows 7- vagy Windows Vista-alapú számítógépeken. Ugyanakkor az ügyfélszoftver Windows XP-alapú számítógépre való telepítéséhez 500 megahertzes (MHz) vagy gyorsabb órajelű processzorra és legalább 256 megabájt (MB) memóriára van szükség. Manuális telepítésnél Rendszergazdai jogosultságokkal kell rendelkeznie a számítógépen a Windows Intune ügyfélszoftver telepítésének elvégzéséhez. A Windows Intune felügyeleti konzoljának eléréséhez a rendszergazdáknak egy olyan webböngészőre van szükségük, amely támogatja a Silverlight 3.0 technológiát (ilyen például a Windows Internet Explorer 7.0 vagy újabb böngésző). Megjegyzés: A Windows Intune ügyfélszoftver Windows XP Professional SP2-alapú számítógépekre végzett telepítéséhez telepítenie kell a következő szoftvereket (ezekre a frissítésekre nincs szükség a Windows XP Professional SP3 vagy újabb esetén):   

Forefront Client Security Filter Manager QFE for Windows XP/SP2. A Microsoft Core XML Services (MSXML) 6.0 eszköznek futnia kell. Az MSXML 6.0 eszközről és annak letöltéséről további információt a Microsoft letöltőközpontban talál. Ajánlott letölteni és telepíteni a legújabb biztonsági frissítést, az MSXML 6.0 SP2 verziót.

Megfigyelhető, hogy a kiszolgálói változatok nem támogatottak! Mivel kliensfelügyeleti megoldás, ezért szerver termékekre nem telepíthetjük. Kliens oldalon is csak az „üzleti” kategóriák támogatottak, tehát a Professional/Business/Entreprise/Ultimate kiadások. Ennek oka, hogy a Windows 7 Enterprise is az előfizetés része, így könnyen szabványosíthatunk egy Windows verziót, a későbbiekben pedig áttérhetünk a Windows 8 kiadásra is (ha még él az előfizetésünk). Az előfizetés részeként lehetőségünk nyílik a Microsoft Desktop Optimization Pack (MDOP) bővítmény megvásárlására is. További információk az MDOP képességekről: http://www.microsoft.com/enus/windows/enterprise/products-and-technologies/mdop/default.aspx

-2-

1.2 Főbb szolgáltatások, funkciók Tekintsük át röviden, táblázatos formában, hogy melyek is az Intune főbb tulajdonságai: Frissítések felügyelete

Saját frissítés kezelő szerver üzemeltetése

A számítógépek védelme a kártevő programok ellen

Windows Intune Endpoint Protection , teljes értékű vírus+spyware+rootkit eltávolító eszköz

A számítógépek proaktív figyelése

Riasztások kezelése

Távsegítség biztosítása

Easy Assist (távfelügyelet szolgáltatás)

A hardveres és szoftveres leltár nyomon követése

Azonnali, teljes értékű hardver és szoftver leltár készítése

Biztonsági házirendek felállítása

Tűzfalszabályok konfigurálása stb.

Szoftvertelepítés

Szoftver telepítése a felhőből

Távoli feladatok futtatása

Azonnali víruskeresés távolról

1.3 Kiknek ajánljuk? Akik nem rendelkeznek felügyeleti megoldással, vagy a jelenlegit szeretnék lecserélni. Akik nem rendelkeznek tartománnyal, vagy nincs minden gép a tartományban. Ahol sok az utazó, vagy laptopot használó munkatárs. Ahol nincs erőforrás teljes állású informatikusra. Ahol heterogén a szoftver környezet és a cél a homogenitás kialakítása, stb. Sok-sok esetben célszerű lehet az Intune előfizetés megvásárlása, ennek eldöntésében próbálunk segítséget adni a következő oldalakon.

-3-

2 A bevezetés lépései 2.1 Regisztráció Kötelezettségek nélkül regisztrálhat(unk) a Windows Intune oldalon egy 30 napos fiókot, mellyel kipróbálhatja a szolgáltatást. Ha megtetszik, később bármikor aktiválhatja az előfizetést és a próbaverzióból átléphet az „éles” verzióba, így megmaradnak a korábbi beállítások. Tekintsük át röviden a regisztráció lépéseit! Szükségünk lesz egy Live ID-re és egy Silverlight-ot támogató böngészőre. Induljunk el a www.windowsintune.hu portálra, és válasszuk ki a főoldalon a Windows Intune Kipróbálása menüpontot! (http://www.microsoft.com/hu-hu/windows/windowsintune/try-andbuy.aspx)! A próbaverziót maximum 25 számítógépen használhatjuk, melyeken rendelkeznünk kell legalább Windows XP Professional (vagy magasabb) licenccel, illetve a kipróbálási lehetőség csak a felhőszolgáltatásra szól és nem a Windows 7 Enterprise rendszerre (az utóbbit külön letölthetjük). Lépjünk be a Live ID azonosítónkkal (ha még nincs, hozzunk létre egyet) a Microsoft Online Services Ügyfélportálra, adjunk meg egy előfizetés azonosítót (bármi lehet, pl.: a cégünk neve), és az elfogadás gombra kattintva nyugtázzuk A Microsoft Online Előfizetési szerződést és az Adatvédelmi nyilatkozatot!

1. ábra: A regisztráció első lépése

Ezt követően várnunk kell kb. 10-15 percet, míg regisztrált postafiókunkba megérkezik a visszaigazoló e-mail a további információkkal.

-4-

2. ábra: A regisztráció visszaigazolása

A lényeg, hogy mostantól egy URL címet kell jól megjegyeznünk, ahol elérhetjük a felügyeleti konzolt: https://manage.microsoft.com/ .

2.2 A felügyeleti konzol bemutatása A felügyeleti konzolt szinte bármilyen böngészőből használhatjuk, csak Silverlight 3.0 telepítése szükséges. A felhő alapú felügyelet fontos tulajdonsága, hogy a rendszergazda és a számítógépek is lehetnek bárhol, csak egy internetkapcsolatra és egy webböngészőre van szükségünk. A konzol könnyen áttekinthető, áll egy bal oldali menüsorból és az egyes menüpontokhoz tartozó jobb oldali kezelőpanelból. Támogatja a drag-and-drop funkciót, a helyi menüket és a csoportos kijelöléseket (Ctrl, Shift) is. A bal oldali fastruktúra a következő:          

Rendszer – áttekintés Számítógépek Frissítések Endpoint Protection Riasztások Szoftverek Licencek Házirend Jelentések Adminisztráció

-5-

Az első belépést követően a Rendszer – áttekintés menüpontba jutunk ahol kapunk egy javaslatot, hogy azonnal töltsük le a felügyeleti szoftvert, mellyel bevonhatjuk a számítógépeinket a Windows Intune fiókunk felügyelete alá.

3. ábra: „Felhívás keringőre”

Ne szaladjunk ennyire előre! Mielőtt áttekintenénk az egyes menüpontokat és hozzákezdenénk a termék kipróbálásához, a felügyeleti szoftver bevezetéséhez, célszerű pár dolgot tisztázni. A bevezetés első és igen fontos lépése a házirendek meghatározása. A házirendekkel adhatjuk meg, hogy a telepítendő kliensszoftver vagy ügynök hogyan viselkedjen a későbbiekben, milyen komponenseket hogyan konfiguráljon.

2.3 Házirendek A Windows Intune házirendeket pontosan ugyanúgy kell elképzelni, mint az Active Directory-ban a Group Policy Object-eket. Akárcsak a GPO-nál, itt is létrehozhatunk többféle házirendet és „linkelhetjük”, hozzárendelhetjük számítógépek különböző csoportjaihoz. Ha másképp akarjuk vizsgálni a kérdést, azt is mondhatnánk, hogy a központi felügyelet egyik nagy előnye, hogy nem számítógépenként kell meghatároznunk bizonyos beállításokat, hanem központilag adhatjuk meg a beállítások együttesét, majd ezeket alkalmazhatjuk különböző gépek csoportjára. Mi történik akkor, ha a bevezetendő gépek bizonyos csoportja egy meglévő tartomány tagja? Ha az Intune házirendek és a csoportházirendek nem ellentétes beállításúak, akkor összeadódnak. Ha a helyi és az Intune házirendek ellentétes értékű beállításokat tartalmaznak, akkor az ütközés tényről figyelmeztetést kapunk a felügyeleti konzolban, és mindig a csoportházirend jut érvényre.

4. ábra: Figyelmeztetés házirend ütközésre

5. ábra: Az Intune házirend „Tűzfal – Solar” egyik értéke ütközik a helyi házirenddel

-6-

Ha rendelkezünk belső tartománnyal, célszerű megfontolni, hogy az Intune felügyelet alá vont gépek (pl.: laptopok) csoportját külön szervezeti egységbe rendezzük, és ezen szervezeti egység szintjén blokkoljuk bizonyos GPO beállítások öröklődését. Három házirend sablon érhető el jelen pillanatban a Windows Intune szolgáltatásban:   

Windows Tűzfal Beállításai Windows Intune Center beállításai Windows Intune-ügynök beállításai

Nézzük meg ezeket a beállításokat egy kicsit részletesebben! Új házirend létrehozásához válasszuk a felügyeleti konzol bal oldali menüjéből a házirend menüpontot, majd a megjelenő Házirendek-áttekintés jobb oldali ablak jobb felső sarkában az „Új házirend létrehozása” menüpontot!

6. ábra: Az elérhető házirend sablonok listája

2.3.1 Windows Tűzfal beállításai Válasszuk ki a Windows tűzfal beállításai menüpontot! A felbukkanó ablakban adjuk meg a házirend nevét és leírását! Első dolgunk eldönteni, hogy a teljes sablont vagy csak bizonyos részét szeretnénk konfigurálni. Ha a teljes sablont, akkor az Intune által felvett, előre definiált kivételek működését is meghatározhatjuk. Megadhatjuk, hogy milyen hálózati profilok esetén legyen be- vagy esetleg kikapcsolva a tűzfal. (tartományi, magánhálózati, nyilvános). Szabályozhatjuk a bejövő kapcsolatokat, illetve azt, hogy történjen-e értesítés, ha a tűzfal blokkol egy programot. Ha úgy döntöttünk, hogy a teljes sablont szeretnénk konfigurálni, akkor ezek után még 36 különböző opciót konfigurálhatunk kedvünkre. pl.: Branch Cache, BITS, iSCSI, Mediacenter, Netlogon, SNMP stb. A beállítások elvégzése után a jobb alsó sarokban válasszuk a „Házirend mentése” gombot, majd a varázsló rákérdez, hogy szeretnénk-e bevezetni most a házirendet. Válasszuk az IGEN gombot, a 7. ábra: Tűzfal szabályok felugró ablakban pedig a ’Hozzá nem rendelt számítógépek’ csoportját! Mivel minden új, a Windows Intune-ba bevont számítógép a ’Hozzá nem rendelt számítógépek’ csoportjába kerül, az ügynök telepítése után nem sokkal érvényre jutnak a tűzfal beállítások. Később bármikor módosíthatjuk mind a sablont, mind az érvényesülés hatókörét. -7-

2.3.2 A Windows Intune Center beállításai A következő házirend sablon az Intune center beállításokat határozza meg. Itt adhatjuk meg a támogatással kapcsolatos információkat, melyek a következők lehetnek:  Név (pl.: a rendszergazda neve)  Telefonszám (pl.: Support telefon)  E-mail cím (pl.: helpdesk email fiókja)  Webhely neve (pl.: támogatási webhely, ahol elhelyezünk egy hibabejelentő űrlapot)  Webhely URL-címe  Megjegyzések (pl.: a support időtartama, várható elhárítási idő stb.

8. ábra: Intune Center beállítások, támogatási információk

Természetesen ennek a sablonnak is adunk egy nevet, és itt is be kell állítanunk a szabály hatókörét. Nagy valószínűséggel nyugodtan alkalmazhatjuk a ’Minden számítógép’ csoportot. Ezek a beállítások is később bármikor módosíthatók, törölhetők. Az itt beállított támogatási információk megjelennek a kliens számítógépeken az ún. Intune Centerben.

2.3.3 A Windows Intune-ügynök beállításai A harmadik sablonban a vírusirtó (Windows Intune Endpoint Protection) és a frissítés kezelő (Windows Intune frissítési ügynök) beállításait határozhatjuk meg. Mivel sok szabály tartozik ebbe a házirendbe, álljunk meg egy kicsit a vírusirtó kérdésnél. Hogyan települ az Endpoint Protection a kliens számítógépekre? A folyamat teljes megértéséhez célszerű tanulmányozni az alábbi ábrát:

-8-

9. ábra: Az Endpoint Protection telepítési lépései

Tehát, ha van meghatározott házirendünk, akkor pontosan el tudjuk dönteni, hogy szükségünk van-e a mostani vírusirtóra vagy éppen cserélni szeretnénk azt. Előfordulhat, hogy valaki nem akarja lecserélni a meglévő terméket, és az Intune-ügynök mégis leszedi, mert nem jól állította be a megfelelő házirendet. Ezért is említettem a fejezet elején, hogy a bevezetést célszerű a házirendek meghatározásával kezdeni. Mit jelent az ábrán a „Vírusirtó cserélhető”? Több olyan 3rd party termék van, melyeket szabályosan el tud távolítani az Intune telepítő, ezek a következők:     

Symantec Endpoint Protection version 11 Symantec Corporate Edition version 10 McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agent Forefront Client Security version 1 and the Operations Manager agent TrendMicro OfficeScan version 8 and version 10

Cél az, hogy semmiképpen ne álljon elő az alábbi két eset:  

Nem kerül fel semmilyen malware védelem. „Kettős telepítés” valósul meg, vagyis a számítógépeken megtalálható a „régi” és az „új” vírusirtó is, egymás mellett.

Ez után az apró, de annál fontosabb kitérő után térjünk vissza a sablon beállításaira! A sablon szerkesztéséhez és létrehozásához válasszuk a bal oldali menüben a Házirend menüpontot, majd az Új házirend létrehozása feladatot! A név és a leírás után tekintsük át, hogy milyen lehetőségeink adódnak. Ennél a sablonnál is választhatjuk a teljes vagy a részleges házirend konfigurálást, annyi

-9-

különbséggel, hogy míg a Windows tűzfal beállításoknál e kapcsoló hatására 36 különböző kivételt is szabályozhattunk, addig itt csak egy szabályáról lesz szó: Sávszélesség beállítások. A házirend első része az Endpoint protection konfigurálására ad lehetőséget, alapértelmezetten úgy van beállítva, hogy csak azon számítógépekre települ vírusvédelem, melyek előzőleg védtelenek voltak a kártevőkkel szemben. Ezt követően megadhatjuk még a rendszer-visszaállítási pontok kezelését és az ártalmatlanított kártevők kezelését is. Anélkül, hogy az összes funkciót bemutatnánk, néhány beállítási lehetőség, csak felsorolásszerűen:   

 

Valós idejű védelem o NIS (Network Inspection System) o BM (Behavior Monitoring) Ellenőrzések ütemezése Ellenőrzési beállítások o E-mailek o Hálózati meghajtók o Cserélhető adathordozók Alapértelmezett műveletek Kizárások kezelése o Fájlok és mappák o Folyamatok o Fájltípusok

Ugyanitt lehetőségünk van megadni, hogy milyen sávszélesség felhasználást engedélyezünk az ügynöknek. Ennek azért is van jelentősége, mert az Intune bevezetése után jelentős forgalmat generálhatunk egyrészt a telepítendő alkalmazásokkal (lásd később), másrészt a Windows Frissítésekkel is. A sávszélesség igény kiszámításához érdemes áttekinteni az alábbi táblázatot: Operációs rendszer

Windows Intune telepítési mérete (MB)

Egy átlagos patch kedd forgalma (MB)

Napi sávszélesség igény (MB)

Windows 7

120

10

5

Windows Vista

125

24

6

Windows XP

110

8

4.5

Vagyis, tömeges bevezetésnél gépenként kb. 110-125 Mb. azonnali letöltés szükséges, majd ez a mennyiség egészül ki a napi átlagos forgalommal (pl.: biztonsági frissítések). A kalkuláció nem tartalmazza a szervizcsomagok vagy az egyéb 3rd party szoftverek telepítéseit. Az alábbi szemszögből célszerű vizsgálni a sávszélesség igényt: 1. Van-e valamilyen proxy megoldás? (ISA, TMG, esetleg SQUID) Ha igen, célszerű áttekinteni a beállításait és megvizsgálni, hogy megfelel-e a jelenlegi konfiguráció a leendő igényeknek. Részletesen a témával itt ismerkedhetünk meg: http://blogs.technet.com/b/windowsintune/archive/2011/07/07/leveraging-on-premise-webproxies-to-reduce-internet-bandwidth-usage.aspx

- 10 -

2. Ha nincs proxy, célszerű beállítani a Háttérben futó intelligens átviteli szolgáltatást (BITS), például úgy, hogy a maximálisan felhasználható sávszél mennyiség a munkaidő tartama alatt minimális legyen.

10. ábra: Sávszélesség beállítások

Ha elkészültünk a beállításokkal, akkor már csak el kell menteni a sablonunkat és alkalmazni a számítógépek egy csoportjára. A házirendek beállítása után megkezdhetjük a bevezetés tervezését, azt kell eldöntenünk, hogy az ügyfélszoftvert milyen úton-módon juttatjuk el a kliensgépekre.

2.4 Az ügyfélszoftver telepítése A számítógépek számától függően több lehetőségünk van az ügyfélszoftver telepítésére. Ezek a következőek:    

Közvetlen letöltés Telepítés megosztott mappából Telepítés hordozható médiáról (pendrive, cd stb.) Centralizált telepítési módok o GPO o Microsoft Deployment Toolkit o 3rd party megoldások

2.4.1 Tűzfal és proxy konfiguráció A bevezetés megkezdése előtt érdemes áttekinteni, hogy milyen tűzfal/proxy beállításokra lehet szükségünk. Alapesetben semmi teendőnk nincs, a 80-as és a 443-as portokat fogja használni az Intune. Ha rendelkezünk proxy szerverrel és van URL szűrés, akkor célszerű áttekinteni az alábbi táblázatot, ezen domének elérését kell biztosítani:

- 11 -

URL

PORT

URL

PORT

*.livemeeting.com

80, 443

*.microsoftonline.com

80

onlinehelp.microsoft.com

80

*.social.technet.microsoft.com

80

blogs.technet.com

80

go.microsoft.com

80

www.microsoft.com

80

*.update.microsoft.com

80, 443

download.microsoft.com

80, 443

update.microsoft.com

80, 443

*.manage.microsoft.com

80, 443

*.spynet2.microsoft.com

443

manage.microsoft.com

80, 443

wustat.microsoft.com

80, 443

*.download.windowsupdate.com

80, 443

*.windowsupdate.com

80, 443

download.windowsupdate.com

80, 443

ntservicepack.microsoft.com

80, 443

windowsupdate.microsoft.com

80, 443

2.4.2 Közvetlen letöltés Legegyszerűbb és leggyorsabb megoldás néhány gép esetében, ha letöltjük a telepítő médiát a felügyeleti konzolról. Ehhez nem kell mást tennünk, mint a belépés után kiválasztani az Adminisztráció  Ügyfélszoftver letöltése menüpontot. A letöltött fájl pedig a következő lesz: Windows_Intune_Setup.zip, mely tartalmaz egy Windows_Intune_setup.exe és egy WindowsIntune.accountcert fájlt. A Setup.exe fájl tartalmazza az ügynök 32 és 64bites verzióját is, a másik fájlunk pedig a hitelesítéshez szükséges tanúsítvány. Ez a tanúsítvány az előfizetési fiókunkat azonosítja, ezért mindig figyelnünk kell rá, hogy ne kerüljön illetéktelen kezekbe. Segítségével bárki tud csatlakozni az Intune fiókunkhoz. (Természetesen, ha ez megtörténik, attól mi még kivonhatjuk a felügyeletből a számítógépet, de mi van, ha több 100 gép között nem is vesszük észre?) A letöltött ZIP file kicsomagolása után a kliensszoftvert telepíthetjük „Varázsló” és „Csendes” üzemmódban is. Parancssori kapcsolók:   

/Quiet /Extract %temp% /PrepareEnroll

(Csendes üzemmód) (kicsomagolás, kapunk egy 32 és egy 64bites MSI telepítőt is) (Előkészítés rendszerkép telepítési módba)

A telepítéshez minden esetben rendszergazdai jogosultság szükséges!

- 12 -

11. ábra: A kicsomagolt telepítő és a tanúsítvány fájl

Ha kicsomagoljuk a telepítőt, arra figyeljünk, hogy a telepítendő MSI és az .accontcert file egy könyvtárban maradjon! A telepítés menete a következőképpen fog alakulni: Az installer azonosítja az Intune fiókot a tanúsítvány alapján. Letölti az alap telepítőkészletet, majd az ügynök a háttérben telepíti a további szükséges komponenseket, közben a számítógép fiók kap egy újabb tanúsítványt, mely csak erre az egy számítógépre érvényes. A WindowsIntune.accountcert fájl csak az Intune fiókot azonosítja, ezt követően minden egyes kezelt számítógép külön tanúsítványt kap a felhőből, ezért a telepítés után távolítsuk el a számítógépről az accountcert fájlt!

- 13 -

12. ábra: A kliens szoftver telepítője

A telepített programok és komponensek listája a következő: Windows Intune %ProgramFiles%\Microsoft\OnlineManagement\Common\*.* Windows Intune Center %ProgramFiles%\Microsoft\OnlineManagement\Client UI\*.* Windows Intune Endpoint Protection %ProgramFiles%\Microsoft\OnlineManagement\Host Protection\*.* Windows Intune Monitoring Agent %ProgramFiles%\Microsoft\OnlineManagement\Monitoring\*.* Microsoft Online Management Policy Agent %ProgramFiles%\Microsoft\OnlineManagement\PolicyAgent\*.* Microsoft Easy Assist %ProgramFiles(x86)%\Microsoft Easy Assist\*.* Microsoft Policy Platform %ProgramFiles%\Microsoft Policy Platform\*.* Microsoft System Center Operations Manager 2007 R2 Agent %ProgramFiles%\System Center Operations Manager 2007\*.* Windows Firewall Configuration Provider %ProgramFiles%\Windows Firewall Configuration Provider\*.*

- 14 -

Microsoft Online Management Update Manager %ProgramFiles%\Microsoft\OnlineManagement\Updates\*.* Általában30 perc elteltével a felügyeleti konzol Számítógépek, Hozzá nem rendelt számítógépek csoportjában meg fog jelenni az újonnan bevont számítógép fiókja.

2.4.3 Telepítés megosztott mappából vagy hordozható médiáról A közvetlen letöltéshez képest csak annyi a különbség, hogy a telepítőkészletet az accountcer fájllal felmásoljuk vagy egy megosztott mappába és onnan telepítjük, vagy kimásoljuk CD-re, Pednrive-ra stb. Figyeljünk rá, hogy a tanúsítvány ne maradjon fent a számítógépeken, illetve, hogy ne legyen könnyen másolható! (Pl.: a hálózati meghajtó tartalma csak olvasható legyen!)

2.4.4 Centralizált telepítési módok 2.4.4.1 Telepítés csoportházirenddel Több tíz vagy több száz számítógép esetén jól jöhet, ha központosított telepítési megoldást választunk. Ha rendelkezünk belső tartománnyal, akkor választhatjuk például a csoportházirend alapú telepítést. GPO alapú telepítéshez tömörítsük ki a setup.exe fájlt az előzőekben leírtak szerint, majd másoljuk fel egy olyan hálózati mappába, amely úgy van megosztva, hogy a helyi számítógép fiókok is elérik! Ezt követően hozzunk létre egy új Csoportházirend Objektumot és szerkesszük meg az alábbiak szerint: Számítógép konfigurációjaHázirendekSzoftverbeállításokSzoftver telepítéseJobb klikkÚj csomag

11. ábra: Windows Intune Telepítése, csoportházirend létrehozása

- 15 -

Ezt követően már csak érvényesíteni kell a szabályt, igény szerint a számítógépek bizonyos csoportjára vagy éppen egy szervezeti egységre. A kiválasztott számítógépekre a következő újraindítás alkalmával települni fog az Intune ügynök, mely gondoskodni fog a többi összetevő telepítéséről is. 2.4.4.2 Microsoft Deployment Toolkit 2010 alapú telepítés 1. Másoljuk a Windows_Intune_Setup.exe és a WindowsIntune.accountcert fájlokat egy olyan könyvtárba, melyet elérünk a Deployment Workbench-ből (asztal, dokumentumok stb.)! 2. A Deployment Workbench konzolban válasszuk ki az Applications ágat.! 3. Az egér jobb gombjával kattintva válasszuk a New Application menüt! 4. Az Application Type lapon, kattintsunk az Application with source files menüre! 5. A Details lapot töltsük ki értelemszerűen! Publisher: Microsoft; Application Name: Windows Intune 6. A Destination lapon lépjünk tovább! 7. A Command Details lapon adjuk meg a Windows_Intune_Setup.exe /Quiet kapcsolót a Command Line szövegdobozban! 8. A Summary (összefoglaló) lapon ehhez hasonló eredményt fogunk kapni:

12. ábra: MDT alapú telepítés

Miután elvégeztük a fenti műveleteket, még nem fog települni az alkalmazásunk, ehhez meg kell határoznunk a telepítési feladatot is. 1. A Deployment Workbench ágon válasszuk a Task Sequences menüt.! 2. A jobb oldali panelen a megfelelő feladatot kiválasztva, az egér jobb gombjával a helyi menüben válasszuk a Properties opciót! - 16 -

3. 4. 5. 6. 7. 8.

Lépjünk a Task Sequence fülre! A bal oldali feladat listában válasszuk a State Restore, majd a Custom Tasks menüt! Felső menüben adjunk hozzá egy egyedi feladatot: Add, General, Install Application! A Properties fülön adjuk meg az alábbi beállításokat, majd OK: Name: Install Windows Intune. Install a single application!

Válasszuk a Browse-t, majd a listából a Microsoft Windows Intune-t, majd OK!

13. ábra: Task sequence meghatározása

Természetesen a telepítés idejére a számítógépünknek most is rendelkeznie kell élő Internet kapcsolattal! 2.4.4.3 Image alapú telepítés Igény lehet még az a megoldás is, hogy a céges referencia rendszerképbe szeretnénk beilleszteni az Intune csomagot. Ezzel csak az a probléma, hogy az Intune telepítéséhez minden esetben internet kapcsolat szükséges, mely a telepítés alatt még nem áll rendelkezésre. Az alábbi módszerrel ezt a problémát is megoldhatjuk: 1. Indítsuk el a referencia gépet Audit módban! 2. Másoljuk fel a telepítő fájlt és a tanúsítványt a %Systemdrive%\Temp\Windows_Intune_Setup könyvtárba! 3. Készítsünk egy SetupComplete.cmd fájlt az alábbi könyvtárba: %windir%\setup\scripts! 4. A cmd file tartama két sor kell legyen, egy Registry kulcs hozzáadása és a telepítő meghívása:

- 17 -

%windir%\system32\reg.exe add HKEY_LOCAL_MACHINE\Software\Microsoft\Onlinemanagement\Deployment /v WindowsIntuneEnrollPending /t REG_DWORD /d 1 %systemdrive%\temp\Windows_Intune_Setup\Windows_Intune_Setup.exe /PrepareEnroll 5. Készítsük fel a Windows telepítést a lemezkép készítéséhez: sysprep /generalize /oobe /shutdown ! A számítógép telepítése után lefut a SetupComplete.cmd, létrehoz egy ütemezett feladatot, mely 30 napig minden órában megpróbálja aktiválni és telepíteni az alkalmazást az internetről. Ha sikerrel járt, törli maga után a telepítő fájlokat és a tanúsítványt is!

14 ábra: A Windows Intune Enrollment Task

Természetesen telepíthetjük az Intune ügynököt System Center Configuration Manager-rel vagy éppen más, 3rd party eszközzel is.

2.4.5 A Windows Intune Agent eltávolítása Ha bármi okból az eltávolítás mellett döntünk, ezt mindig két lépcsőben kell megtennünk. Egyrészt eltávolítjuk a kérdéses számítógépet a felügyeleti konzolban. A Számítógépek – Minden Számítógép menüben kijelöljük a kérdéses gépet/gépeket, majd jobb klikk, és a helyi menüben kiválasztjuk a Kivonás menüpontot. Ezután figyelmeztetést is kapunk: „A számítógép kivonásakor a Windows Intune ügyfélszoftvere nem lesz eltávolítva a kivont számítógépről. A Windows Intuneügyfélszoftvert manuálisan kell eltávolítani a kivont számítógépről.” Manuális eltávolításhoz választhatjuk a Vezérlőpult/Program eltávolítása menüpontot is, de akkor itt egyenként kell leszednünk a komponenseket, vagy van egy sokkal egyszerűbb megoldásunk is. Még az Intune beta program vége felé adtak ki egy uninstall scriptet, mellyel könnyen leszedhetjük az Intune szolgáltatás összes komponensét. A script letölthető az alábbi linkről: mymfe.microsoft.com/WindowsIntune/Feedback.aspx?formID=615

- 18 -

Fogadjuk el a feltételeket, töltsük le a Windows_Intune_AIS_Uninstall_Scripts_Extractor.exe –t, tömörítsük ki egy ideiglenes mappába, és futtassuk! Amire szükségünk lesz az az OmUninstall.cab, tömörítsük ki ezt is, majd a kapott fájlok közül futtassuk le (rendszergazdaként) az AgentUninstall_Intune.cmd –t! A szkript lefutása után indítsuk újra a számítógépet!

15. ábra: Az OmUninstall.cab fájl tartalma

- 19 -

3 A Windows Intune adminisztrátori konzol A bevezetés és a házirendek kapcsán többször kellett már utalnom a Management konzol bizonyos részeire, most már itt az ideje, hogy részletesebben is áttekintsük az egyes menüpontokat, tulajdonságokat, funkciókat.

3.1 Rendszer – áttekintés Tulajdonképpen ez a menüpont a kezdőlap is egyben. Egy összefoglaló felület az aktuális rendszerállapotról, külön feltüntetve az Endpoint Protection, a Frissítések, Ügynökök állapotát, Házirend és a Szoftverek aktuális visszajelzéseit. Külön pontot kapott a Riasztások típus szerint, hogy semmi se kerülje el a figyelmünket. A konzol jobb oldalán találjuk a Feladatok hivatkozást, ahol az aktuális menüpont leggyakrabban használt funkciói vannak kigyűjtve (Számítógépcsoport létrehozása, jelentések megtekintése). Alatta különböző hivatkozásokat kapunk a további információk elérése érdekében (fórumok, cikkek stb). A jobb felső sarokban keresőmező található, ahol azonnal rákereshetünk egy számítógépre. Mindez akkor jön jól, ha esetleg több száz, vagy több ezer gépből csak egynek az állapotát szeretnénk megtekinteni. Itt említeném meg, hogy a Windows Intune-fiókkal kezelhető számítógépek maximális száma 20 000, ha ennél többre van szükségünk, akkor több fiókot/előfizetést kell létrehozni, ezzel tulajdonképpen bármekkora méretig skálázható a rendszer.

16. ábra: Rendszer - áttekintés

3.2 Számítógépek Ide tartoznak a számítógépek kezeléséhez, csoportosításához tartozó feladatok. A SzámítógépekÁttekintés menüpont tartalmazza mindazon adatokat, melyek megtalálhatóak voltak a Rendszeráttekintés menüben is, csak itt még kiegészül egy apró, de látványos menüponttal: Számítógép összefoglaló adatai (lenyíló menü, alapesetben nincs kibontva). Csoportosítva megtekinthetjük a gépeket, hány darab laptop és hány darab asztali gép található. Mely gyártók gépeiből van több, mennyi a lemezkihasználtság ez egyes eszközökön, illetve milyen operációs rendszereket használunk.

- 20 -

17. ábra: Számítógépek - áttekintés

Természetesen az egyes csoportosításokon belül, az adott értékre kattintva megkapjuk a részletesebb riportot is (pl.: kilistázza a Hewlett-Packard gyártmányú számítógépeket). Ez a lista már sokkal bővebb lesz, tartalmazza a számítógép nevét, a ház típusát (hordozható/asztali), a gyártót, modellt, operációs rendszert, a memória mennyiségét, lemezterületet, felhasználót, processzor sebességét, de még a gép sorozatszámát is.

18. ábra: Hewlett-Packard gépek listája a processzor sebessége szerint növekvő sorrendbe rendezve

Az egyes tulajdonságok szerint sorba is rendezhetjük a számítógépeket, csak az oszlop fejlécére kell kattintanunk. A listák fölött mindig található menü is, ahol azonnali feladatokat hajthatunk végre. A Tulajdonságok megjelenítése menüpont az egyes gépekről ad részletes információt. Több alkategóriában részletezi az egyes gépek állapotát. Ezek az alkategóriák a következőek: 1. Általános Általános információk, a számítógép riasztásainak, frissítési állapotának a megtekintése 2. Frissítések A számítógépen már jóváhagyott frissítések, új frissítések jóváhagyása, frissítések tulajdonságainak megjelenítése 3. Kártevő szoftver Az elmúlt 8 nap kártevő szoftvereinek listája (ha volt ilyen) 4. Riasztások A számítógép által küldött riasztások listázása 5. Hardver A számítógép összes hardvereszközének megjelenítése táblázatos formában 6. Szoftverek A számítógépre telepített szoftverek listája Név, Verzió, Gyártó, Kategória szerint listázva, rendezve, beépített szűrőkkel

- 21 -

7. Házirend A számítógépre alkalmazott házirendek listája és állapota A Hozzáadás csoporthoz menüpontban egy meglévő számítógép csoporthoz rendelhetjük hozzá az adott számítógépet vagy számítógépeket. Egy számítógép több csoportnak is a tagja lehet! Az Eltávolítás a csoportból menüpontban kivehetünk gépeket csoportokból. A Kivonás menüpontban az Intune felügyelet alól kivonhatjuk az adott eszközt (a számítógépről az ügynököt nekünk kell eltávolítani). A Távoli feladatok: az Intune v2 egyik újdonsága, távolról indíthatunk egy adott gépen vagy gépeken feladatokat, melyek a következők lehetnek:    

Teljes kártevő-ellenőrzés futtatása Gyors kártevő-ellenőrzés futtatása Számítógép újraindítása Kártevőszoftver-leírások frissítése

A lekért listákat bármikor nyomtathatjuk a menü jobb sarkában található nyomtató ikon segítségével, vagy exportálhatjuk a mellette található export ikonra vagy *.html fájlba is.

kattintva. Az exportálás történhet *.csv,

21. ábra: Exportálási lehetőségek

3.2.1 Számítógép csoportok kezelése Többször volt már szó a számítógép csoportokról, de részletesen nem fejtettük ki funkciójukat. A Windows Intune fiók aktiválása után a bevont számítógépek a Minden számítógép – Hozzá nem rendelt számítógépek csoportjába fog tartozni. Ebből az alapértelmezett csoportból bármikor átrakhatjuk a gépeket más, általunk létrehozott csoportokba. Miért jó nekünk, ha csoportokba rendezzük a gépeket? Házirendek létrehozásakor megadhatjuk a számítógépek „viselkedését”. Előfordulhat, hogy nem azt szeretnénk, hogy minden gépen egyformán legyen konfigurálva a tűzfal. Sok esetben szigorúbb feltételeket is megadhatunk a hordozható számítógépeknek, de ezt úgy tehetjük meg legegyszerűbben, ha egy csoportba rendezzük őket. - 22 -

Ugyanez lehet érvényes pl.: a frissítésekre is. A laptopok nagyobb veszélynek vannak kitéve, rájuk fokozottabban akarunk figyelni a frissítések telepítése során is.

19. ábra: Szoftvertelepítési csoportok

Létrehozhatunk szoftvertelepítési csoportokat is. Külön csoportba rendezzük azokat a gépeket, melyekre Microsoft Office 2010-et szeretnénk telepíteni. Erre a csoportra alkalmazzuk az O2010 telepítési szabályt, és később bármikor adunk is gépet ehhez a csoporthoz, az adott gépre azonnal, automatikusan fog települni az Office

programcsomag. Számítógép csoport létrehozásához álljunk a Számítógépek / Áttekintés menüpontra, és válasszuk a feladatok közül a Számítógépcsoport létrehozása opciót! Adjuk meg a csoport nevét és leírását, illetve válasszuk ki, hogy ki legyen a szülőcsoport (mely csoport alá tartozzon).

20. ábra: Új számítógépcsoport létrehozása

Csoportot törölhetünk vagy átnevezhetünk úgy is, ha ráállunk a csoport nevére, majd a feladatok között kiválasztjuk a Csoport szerkesztése, illetve a Csoport törlése opciót, de ugyanezeket a funkciókat elérhetjük az egér jobb gombjával kattintva, helyi menüből is. Számítógépet hozzáadhatunk csoporthoz úgy, hogy a számítógép „felől” kezdeményezzük a műveletet az adott számítógépen állva (helyi illetve felső menüből is) a Hozzáadás csoporthoz… opciót kiválasztva. Egyszerre csak egy csoporthoz adhatjuk hozzá a gépeket. A csoporttagságot kezdeményezhetjük a csoport „oldaláról” is, a csoport nevén állva a feladatok vagy helyi menüből Számítógépek hozzáadása opcióval, ilyenkor az adott csoporthoz egyszerre több számítógépet is hozzáadhatunk: - 23 -

21. ábra: Számítógépek hozzáadása csoporthoz

3.2.2 Szűrők Az Intune rendelkezik beépített szűrőkkel arra az esetre, ha valamilyen tipikusnak nevezhető információra lenne szükségünk a számítógépekkel kapcsolatban. Bármely számítógép csoporton/listán állva elérhetjük ezeket a beépített szűrőket. Léteznek szűrők még a szoftver állapot megtekintésénél, a riasztásoknál, a kártevő szoftver listáknál, házirendeknél és egyáltalán minden lista típusú elemnél, ezzel is megkönnyítve a felügyeletet.

3.3

Frissítések kezelése

A Microsoft Update az egyik legrégebbi és legnagyobb felhőszolgáltatás, több száz millió számítógép részére biztosít frissítéseket. A Windows Intune által nyújtott frissítéskezelő szintén ezt a szolgáltatást veszi igénybe, azzal a különbséggel, hogy a frissítések jóváhagyása nem egy helyi WSUS szerveren vagy a számítógépeken történik, hanem a Windows Intune konzolban. Természetesen mindez kiegészül riportolási, szűrési lehetőségekkel is, megkönnyítve az üzemeltetők munkáját. A Windows Intune V2 egyik újdonsága, hogy 22. ábra: beépített szűrők most már nem csak Windows frissítéseket kezelhetünk, hanem bármely más, ún. 3rd party gyártók frissítéseit is. Ehhez és az egyéb szoftverek telepítéséhez szükséges tárterületet a Windows Azure biztosítja. Egy előfizetési fiókhoz alapértelmezetten 20Gb tárterületet kapunk, de természetesen ez tovább bővíthető 1 gigabájtonként, előfizetési díj fejében. (A próbaidőszak alatt csak 2Gb tárhelyet biztosít a Microsoft.) A Frissítések – áttekintés menüpontban azonnali információkat kaphatunk a frissítési állapotról, illetve a felhőbeli tárhely telítettségének mértékéről. A feladatok menüpontban az alábbi műveleteket végezhetjük el: - 24 -

1. 2. 3. 4.

Besorolások és termékek kiválasztása Automatikus jóváhagyási beállítások konfigurálása Feltöltés Frissítési jelentés megtekintése

Tekintsük át röviden ezeket a menüpontokat! Besorolások és termékek kiválasztása. Kiválaszthatjuk, hogy mely termékek vagy termékkategóriák frissítéseit szeretnénk kezelni. (pl.: Office, SQL, Bing Bar, Exchange, System Center, Windows stb.) Meghatározhatjuk, hogy mely besorolású frissítéseket akarjuk kezelni. (pl.: biztonsági frissítések, fontos frissítések, definíciófrissítések, szervizcsomagok stb.) Végül, de nem utolsósorban automatikus jóváhagyási szabályokat hozhatunk létre a frissítések automatikus jóváhagyásához. Miért jó ez nekünk? Azért, mert például meghatározhatjuk, hogy a biztonsági frissítések mindig azonnal kerüljenek letöltésre és telepítésre az összes számítógépen, míg a szervizcsomagok telepítéséhez rendszergazdai jóváhagyás legyen szükséges. Új szabály létrehozásához válasszuk ki az Új…nyomógombot, és első lépésben adjunk a szabálynak egy beszédes nevet! Második lépésben válasszuk ki a termékkategóriát, hogy mely termékek esetében akarjuk telepíteni az adott besorolású frissítéseket! Harmadik lépésben a frissítési besorolást adhatjuk meg, majd negyedik lépésben egy számítógép csoportra alkalmazhatjuk a szabályt. A Befejezés gombra kattintva létrejön az új szabályunk, melyet a Kijelölt futtatása nyomógombbal azonnal érvényesíthetünk is.

23. ábra: Automatikus jóváhagyási szabályok

Feltöltés Ebben a menüpontban más gyártók szoftverfrissítéseit tölthetjük fel a felhőbe, majd telepíthetjük őket. A művelet megkezdéséhez le kell töltenünk a Windows Intune Software Publisher alkalmazást (3,40MB), majd futtatnunk kell azt. Bejelentkezés után tölthetjük fel a frissítéseket, azzal a megkötéssel, hogy az Intune csak olyan 3rd party frissítéseket tud telepíteni, melyekhez felhasználói beavatkozás nem szükséges. Lehetőségünk van exe, msi és msp kiterjesztésű fájlok feltöltésére is. Részletesebben most nem tárgyalnánk ezt a szakaszt, mert a szoftvertelepítés résznél az esetlegesen itt is felmerülő kérdéseket tisztázzuk. Itt jegyezném meg, hogy ha valaki frissítésként kezel mondjuk egy Adobe Flash Player alkalmazást, és itt fel is tölti, jóvá is hagyja, akkor természetesen települni is fog, csak az állapota a frissítések között lesz megtekinthető.

- 25 -

A bal oldali menüstruktúrában a Minden frissítés menüpont alatt az alábbi kategóriák tekinthetők meg: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Biztonsági frissítések Fontos frissítések Definíciófrissítések Eszközök Frissítések Frissítésgyűjtemények Szervizcsomagok Szolgáltatáscsomagok Kötelező frissítések Nem Microsoft-frissítések

Az egyes kategóriákon belül az alábbi menüpontok állnak rendelkezésünkre (a felső menüben). Tulajdonságok megjelenítése.

24. ábra: Windows 7 SP1 tulajdonságlapja

Minden elérhető információ az adott frissítésről. (Leírás, besorolás, gyártó, viselkedésmódok stb.) Illetve jóváhagyhatjuk vagy éppen el is utasíthatjuk a frissítést. Jóváhagyás/Elutasítás. Egyenként vagy akár csoportosan is elutasíthatunk vagy éppen jóváhagyhatunk frissítéseket. Feltöltés. Itt (is) feltölthetjük az egyéb gyártók frissítéseit is. Természetesen a legtöbb menüpontban lehetőségünk van nyomtatni és exportálni is, illetve bátran használjuk a beépített szűrőket is, mellyel az alábbi kategóriákat szűrhetjük: 1. 2. 3. 4. 5. 6.

Sikertelen Jóváhagyásra váró új frissítések További jóváhagyásokat igényel Folyamatban vannak a telepítések Felülírva Elutasítva - 26 -

3.3.1 A Microsoft Update Működése Windows Intune alatt Mint említettem, nem külön szolgáltatásról van szó, hanem a két szolgáltatás együtt működik. A Windows Intune alatt működő update szolgáltatás kihasználja és kiegészíti a Microsoft Update szolgáltatást. A frissítés lépései a következők lesznek: 1. Van új frissítés? (Windows Intune Microsoft Download Center) 2. Van új frissítés? (Intune felügyelt számítógépek Intune szolgáltatás) 3. Ezek a frissítések vonatkoznak rám? (Intune felügyelt számítógépek Intune szolgáltatás) 4. Jóváhagyták? (Intune szolgáltatás Admin konzol) 5. Jóváhagyás 6. Jóváhagyott frissítések keresése (Intune felügyelt számítógépek Intune szolgáltatás) 7. (Jóváhagyott) frissítések letöltése és telepítése (Intune felügyelt gépek Windows Update szolgáltatás) 8. Jelentés küldése

25. ábra: A Microsoft Update és a Windows Intune együttműködése

3.3.2 3rd party szoftverek és frissítések feltöltése Mint említettük, lehetőség van más gyártók szoftverfrissítéseit is feltölteni a rendelkezésre álló online tárhelyre. A 3rd party szoftverek kezelése az alábbiak szerint történik: 1. Feltöltés kiválasztása 2. Feltöltő program letöltése - 27 -

3. CAB file létrehozása, titkosítása és tömörítése 4. Titkosított csomag feltöltése az online tárterületre (Azure) 5. Szoftver terítése

3.4 Endpoint Protection A Windows Intune előfizetés tartalmaz egy teljes értékű vírus+spyware+rootkit szoftvert, mely a Forefront Endpoint Protection 2010 egy átnevezett változata: Windows Intune Endpoint Protection. A motor ugyanaz, a menedzsment felület más. Míg a nagytestvérhez ajánlott a System Center, addig a kistesót vezérelhetjük a felhőből. Ezért a megkülönböztetés a névben. Kettő menüponttal találkozhatunk a felületen:  

Endpoint protection – áttekintés Minden kártevő szoftver

- 28 -

Endpoint protection – áttekintés. Mint a többi menüpontnál, egy áttekintő felületet kapunk, jelen esetben a kártevő szoftverek és az egyes számítógépek állapotáról. A szokásos jobb oldali menüben a faladatok között az alábbi menüpontokkal találkozhatunk:    

Kártevő kezelési központ (átirányít a Microsoft Malware Protection Center-be, url.: http://www.microsoft.com/security/portal/default.aspx ) Endpoint Protection áttekintés (súgó hivatkozás) Útmutatás ellenőrzés ütemezéséhez (súgó hivatkozás) Útmutatás az Endpoint Protection-ügynök konfigurálásához (súgó hivatkozás)

Elég eseménytelen, nem? Ennek oka, hogy az Endpoint Protection beállítások nagy része a már áttekintett Policy/Szabályok között konfigurálva van. A Minden kártevő szoftver menüpontban megtekinthetjük az eddig kártevő szoftvereket, előfordulásuk számát, mely gépeken fertőztek, milyen egyéb információk állnak rendelkezésünkre az adott fertőzésről stb.

26. ábra: A Minden kártevő szoftver menüpont

3.5

Riasztások, értesítések

Igény szerint különböző értesítések és riasztások is beállíthatóak a Windows Intune konzolban. Ha bizonyos típusú riasztásról kérünk automatikus jelzést, akkor értesítésekről beszélhetünk. Értesítést kapnak az Intune konzol adminisztrátorai, de kijelölhetünk más személyeket is. Tehát aki admin jogosultságot kap az intune konzolhoz, az mindenképpen kap értesítést, de a kört bővíthetjük más, nem admin személyekkel is. Összesen 163db, beépített riasztás típust különböztetünk meg, ezek igény szerint konfigurálhatók. Ezek közül 27db riasztás már alapértelmezetten is engedélyezve van, pl.: Név

Kategória

Riasztási szint

Állapot

Távsegítség

Távsegítség

Kritikus

Engedélyezve

Ügyfélszoftver-telepítési hiba

Rendszer

Kritikus

Engedélyezve

Biztonsági frissítések várnak jóváhagyásra

Frissítések

Figyelmeztetés

Engedélyezve

Jóváhagyásra váró kritikus frissítések

Frissítések

Figyelmeztetés

Engedélyezve

A felhőbeli szabad tárkapacitás 10% vagy kevesebb

Rendszer

Figyelmeztetés

Engedélyezve

Endpoint Protection-hibák vizsgálata

Endpoint Protection

Kritikus

Engedélyezve

Az engedélyezett a riasztásokról értesítéseket csak akkor kapunk, ha beállítjuk az értesítési szabályt.

- 29 -

Nézzük meg egy példán keresztül, pl.: Távsegítség Kérése! A felhasználó az Intune centerben kezdeményezi a távsegítség kérést. Erről az eseményről riasztás születik a konzolban, de e-mail értesítést nem kapunk róla. Ha beállítjuk az e-mail küldést erre a riasztásra, akkor beszélünk értesítésről. Mivel ez a riasztás alapértelmezetten be van kapcsolva (lásd fenti táblázat), csak az értesítést kell konfigurálni. Válasszuk az Adminisztráció Riasztások és értesítésekRiasztástípusokTávsegítség menüpontot! Jól látható, hogy a távsegítség már engedélyezve van. Ahhoz, hogy erről az eseményről értesítést is kapjunk, lépjünk egy menüponttal lejjebb a Címzettek-hez, majd vegyük fel az értesítendő személy adatait.

27. ábra: Címzettek beállítása az értesítésekhez

Ezt követően lépjünk az Értesítési szabályok menüpontra, válasszuk ki a Távsegítség kérések értesítési szabályt, és a felső menüben kattintsunk a Címzettek kiválasztása… menüpontra! Jelöljük be, hogy a már korábban felvett e-mail címzettek közül kit szeretnénk értesíteni erről a riasztásról! Tipikusan helpdesk fiókot érdemes megadni.

3.6 Proaktív felügyelet, monitorozás Nézzünk meg egy másik példát is, mellyel tipikusan a még be nem következett, de már jelzett eseményekre próbálunk reagálni. Arról szeretnénk értesülni, ha egy alkalmazás, pl.: a Microsoft Outlook az utóbbi időben többször is lefagyott. Ha egy alkalmazás így viselkedik, akkor ott előbbutóbb más hiba is keletkezni fog, más hiba is lehet a háttérben. Nézzük meg a konfigurálás lépéseit: - 30 -

1. Riasztástípus kiválasztása és engedélyezése Lépjünk az Adminisztráció  Riasztások és értesítések  Riasztástípusok  Figyelés  Microsoft Office menüpontra, és válasszuk ki a Microsoft Office Outlook többször is lefagyott riasztást, majd engedélyezzük azt! 2. Értesítési szabály létrehozása és konfigurálása Lépjünk az Adminisztráció  Riasztások és értesítések  Értesítési szabályok menüpontra, és válasszuk ki az Új szabály létrehozása menüpontot!

28. ábra: Értesítési szabály létrehozása

Az értesítési szabály következő lépéseiben adjuk meg a figyelendő számítógépek csoportját és az értesítendő személyeket.! Ezzel az egyszerű konfigurációval monitorozhatjuk a rendszerünk bizonyos elemeit, értesülhetünk a legapróbb hibákról is.

3.7 Szoftverek kezelése A Windows Intune V2 nagy újdonsága és nagyon hasznos funkciója, hogy most már szinte bármilyen külső gyártó által készített szoftver teríthető a felhőből. Üzemeltetési szempontból mindenképp nagyon hasznos újdonságról van szó. Minap egy nagyon egyszerű feladatot kellett megoldanom: - 31 -

telepítsek Visio Viewer 2010 programot az összes számítógépre, mert egy új projekt miatt a külső partner sok Visio ábrát küld az ügyfelünknek. Domain környezetben akár csoportházirenddel is könnyen megoldható a dolog, de akkor is problémát jelentenek a laptopos kollégák. Nincsenek olyan sokan, de be kell cserkészni valahogy a gépüket. A Windows Intune segítségével kb. 5 perc alatt sikerült megoldani a feladatot, utána már csak várni kellett, hogy mindenhol végrehajtódjon az automatikus telepítés. Az alábbi ábra jól szemlélteti, hogyan megy végbe a szoftver terítés folyamata:

29. ábra: 3rd party szoftverek és frissítések telepítésének folyamata

1. 2. 3. 4. 5.

Feltöltés kezdeményezése Feltöltő szoftver letöltése és telepítése a rendszergazdai számítógépen CAB file létrehozása, tömörítése és titkosítása Titkosított csomag feltöltése az Azure tárhelyre Szoftver telepítése a számítógépek bizonyos csoportjára

3.7.1 Microsoft Office 2010 telepítése a Windows Intune segítségével Az Intune napon már bemutattuk, hogyan kell telepíteni pl.: Adobe Reader-t, Java-t vagy éppen egy Flash Player-t a Windows Intune segítségével (a videó megtekinthető a Technetklub-on: https://technetklub.hu/intune/ ), ezért most nézzünk egy nagyobb falatot: Microsoft Office 2010 telepítése. A feltöltési folyamatot nem érdemes kipróbálni kis sávszélességű kapcsolattal, mert ’Time Out-ot’ fog adni a feltöltő program. Pl.: egy átlag magyar ADSL előfizetés esetén jó ha megvan a 384kbit/sec feltöltési sebességünk, ezzel a tempóval lehetetlenség egy komplett Office csomagot feltölteni a felhőbe. Természetesen a telepítés történhet bármilyen sávszélesség mellett. A feladatot az alábbiak szerint tudjuk végrehajtani. Előkészületek A menedzsment konzolban válasszuk a Szoftverek menüpontban a Feladatok közül az 1. lépés a szoftver feltöltése hivatkozást! Kis várakozás után elindul a letöltő program (Windows Intune - 32 -

Software Publisher, 3.40Mb), melybe szintén be kell külön jelentkezni a Windows Intune azonosítónkkal, így hozzáférünk az Azure-ban található tárhelyünkhöz.

Bejelentkezés után a szoftver feltöltő figyelmeztet, hogy olyan alkalmazások telepítése támogatott, melyek a telepítés során nem igényelnek felhasználói beavatkozást. Vagyis: ha msi csomagból telepítünk, akkor a Microsoft Installer megoldja a kérdést, ha exe fájl települ, akkor szükségünk lesz majd valamilyen parancssori kapcsolóra. Telepítőfájlok A következő lépésben a telepítőfájl helyét kell megadnunk, illetve azt, hogy az adott mappában lévő egyéb fájlokra és mappákra vonatkozik-e a feltöltés. Erre akkor lehet szükségünk, ha az alkalmazás telepítője több fájlból, mappából áll. Tallózzuk ki a már előkészített telepítőt! (Nálam: c:\Users\Administrator\Downloads\MicrosoftOffice.exe) Szoftver leírása A varázsló következő lépése a Gyártó, a Név és a Leírás mezők kitöltése, ehhez hasonló formában:   

Gyártó: Microsoft Név: Microsoft Office 2010 x64 HUN Leírás: O365 előfizetés

- 33 -

Követelmények Adjuk meg, hogy a célszámítógépeknek milyen feltételeknek kell megfelelniük ahhoz, hogy a telepítés megkezdődhessen! Meghatározhatjuk az Architektúrát (32bit vs 64bit) és az Operációs rendszert (Windows XP, Windows Vista és Windows 7). Észlelési szabályok Olyan szabályokat kell meghatároznunk, melyekkel észlelhető, hogy az adott szoftver már telepítve van-e a célszámítógépekre.  

Alapértelmezett észlelési szabályok használata Ha ezt a menüpontot használjuk, akkor automatikusan felülírja a korábban telepített verziókat. Annak megállapítása a következő szabályok segítségével, hogy a szoftver telepítve van-e (ajánlott) Ebben a menüben határozhatjuk meg az észlelési szabályt vagy akár szabályokat is, melyekkel detektálhatjuk a szoftvert. 1. Beállításkulcs / Registry kulcs megadása 2. A fájl létezik. Megadhatunk útvonalakat, hol keresse az adott fájlt. Használjunk változókat: %SystemDrive\Excel.exe a rendszermeghajtón keresi a fájlt %ProgramFiles%\Microsoft Office\Excel.exe  csak a Program Files\Microsoft Office könyvtárban keresi az Excel.exe fájlt stb. 3. Az MSI termékkód keresése

Parancssori argumentumok EXE fájl esetében kötelező, mint pl.: /q a csendes üzemmódú telepítéshez. Office esetében pl.: az alábbi kapcsolókat használhatjuk: /quiet /forcerestart . MSI vagy MSP esetében nem kötelező a kapcsoló, ha mégis használnunk kell, akkor a NÉV=ÉRTÉK formában kell megadni, és nem „/” jellel. pl.: TRANSFORMS=custom_transform.mst - 34 -

Visszatérési kódok Annak értelmezése, hogy a telepítési folyamat megfelelően végrehajtódott-e? Visszatérési kódok lehetnek pl.:  

0 – Sikeres 3010 – Sikeres, újraindítással

Összefoglalás Összefoglaló az eddig meghatározott beállításokról. Feltöltés A folyamat hosszabb ideig is eltarthat. Először megtörténik a telepítőcsomag elkészítése a fenti paraméterek alapján, majd következik a titkosítás és a folyamat végén a feltöltés.

A feltöltés befejezésével még nem zárult le a folyamat: mint a frissítések kezelésénél, itt is meg kell határozni a számítógépek csoportját, melyekre szeretnénk végrehajtani a telepítést. Válasszuk a SzoftverekFeladatok2.lépés: a szoftver központi telepítése menüpontot! Válasszuk ki a megfelelő csoportot, csoportokat, ha kell, megadhatunk egyedi telepítési határidőket is.

- 35 -

30. ábra: Szoftvertelepítés jóváhagyása

Észlelt szoftverek Ebben a menüpontban listaszerűen megtekinthetjük a számítógépeken előforduló szoftvereket, tanulmányozhatjuk az egyes szoftverek előfordulási számát, hozzáadhatunk licenc szerződéseket, stb. Amiért mindenképpen hasznosnak ítélnénk ezt a listát, az az, hogy könnyen felderíthető, az egyes szoftvertípusokból milyen verziók vannak a hálózatban, mit kell egységesíteni. Maradjunk egy hétköznapi példánál: Milyen Adobe Reader verziók vannak telepítve?

31. ábra: 13 gépen 4 különböző verzió

Természetesen megnézhetjük az egyes szoftverek tulajdonság lapját is, és azt is, hogy pontosan mely gépekre van telepítve. A teljes listát exportálhatjuk, majd tovább szűrhetjük, feldolgozhatjuk stb.

3.8 Licencek karbantartása Az Intune V2-ben a licenc kezelési lehetőségek is kibővültek. Felvehetünk külső gyártóktól származó licenceket is a Microsoft OEM, Retail vagy Volume licencek mellé. A jobb átláthatóság miatt az egyes licenceket csoportokba is szervezhetjük; a számítógép csoportosításához hasonlóan itt is találhatunk egy alapértelmezett Hozzá nem rendelt szerződések csoportot.

- 36 -

Új licenc hozzáadásához válasszuk a feladatok közül az Egyéb szoftverlicenc-szerződések hozzáadása menüpontot! Töltsük ki az űrlapot, az alábbi adatok megadására van szükségünk:      

Szerződés neve – tetszőleges Gyártó – kezdjük el gépelni a gyártó nevét, majd a rendszer lekéri a pontos adatokat a szoftver-állomány katalógusból Terméknév – szintén lekérésre kerül Licencek száma Kezdő és lejárati dátum Licenc csoport meghatározása – akár itt, ebben a menüpontban is létrehozhatunk új licenc csoportot

32. ábra: Szoftver-állomány katalógus

Ha feltöltöttük az összes szerződést, akkor gyorsan és egyszerűen készíthetünk jelentéseket. A Vásárlási jelentés megtekintése riportban a már feltöltött licencek számának nézhetünk utána. Milyen termékből hány darab van? A Telepítési jelentés megtekintése menüpontban pedig összevethetjük a már megvásárolt és a feltelepített szoftverek számát. Nagy szervezeteknél jelentős segítség lehet a szoftverek konszolidálásában.

3.9 Jelentések készítése Az egyes jelentés típusokkal már találkozhattunk ez előzőleg tárgyalt menüpontoknál is, így bizonyos részeket nem érintünk nagyobb mélységben. A jelentéseket az alábbi nagyobb csoportokba sorolhatjuk: 1. 2. 3. 4.

Frissítési jelentések Észlelt szoftverek jelentései Hardver-leltár jelentések Licencvásárlási jelentések - 37 -

5. Licenctelepítési jelentések

3.9.1 Frissítési jelentések A sikeresen telepített szoftverfrissítések mellett lekérhetjük a sikertelen, a függőben lévő vagy éppen a folyamatban lévő frissítéseket is. Egy frissítési jelentés elkészítéséhez az alábbi paramétereket kell megadnunk: 



 



Frissítési besorolás kiválasztása: o Mind o Fontos (ide tartoznak: a biztonsági-, kritikus-, kumulatív frissítések és a szervizcsomagok) o Sürgős (biztonsági és kritikus frissítések) o Egyéni frissítési besorolás (pl.: Definíciófrissítések) Frissítési állapot meghatározása: o Mind o Telepítve o Folyamatban o Szükséges o Sikertelen Számítógépcsoportok kiválasztása MSRC-minősítés (milyen biztonsági besorolást kapott az adott frissítés)! o Alacsony o Közepes o Fontos o Kritikus Hatályos jóváhagyás o Mind o Telepítés o Ne telepítse

Ezen kérdések megválaszolásával bárki igény szerint összeállíthat egy frissítési jelentést, a szerint, hogy éppen mire kíváncsi. Az összeállított jelentések elmenthetőek, bármikor visszatölthetőek. A elkészült jelentések természetesen exportálhatóak HTML és CSV formátumokba is.

3.9.2 Észlelt szoftverek jelentései Röviden már volt róla szó, a számítógépekre telepített szoftverek listája kérhető le. A szoftverleltár készítésével pontos képet kaphatunk a feltelepített szoftverekről és azok verzióiról, segít a későbbi szoftvervásárlások tervezésében is. Az alábbi feltételek megadásával gyorsan készíthetünk szoftverleltár jelentéseket:   

Számítógépcsoport (mely gépekről készüljön a leltár) Gyártók kiválasztása (pl.: csak Microsoft vagy csak Adobe termékek kerüljenek a leltárba) Kategóriák meghatározása (pl.: fejlesztő eszközök, multimédia alkalmazások stb.)

- 38 -

33. ábra: Oracle termékek riportja HTML formátumban

Természetesen itt is elmenthetők a keresési feltételek, és később bármikor visszatölthetők. A jelentések segítségével sokkal egységesebb szoftverparkot hozhatunk létre.

3.9.3 Hardverleltár-jelentések Természetesen nemcsak szoftverleltár kezelhető az Intune konzolból, hanem készíthetünk hardverleltárt is. A hardverleltárunkat az alábbi szűrők segítségével szabhatjuk testre:        

Számítógépcsoport meghatározása (mely gépekről készüljön a jelentés) Operációs rendszerek meghatározása Gyártók kiválasztása (pl.: csak HP gépeket vagy csak Dell gépeket vizsgálunk) Modellek kiválasztása (pl.: Dell OptiPlex 390) Váztípusok kiválasztása (asztali/hordozható) Elérhető lemezterület kiválasztása o Százalék szerint o Egy adott érték szerint Fizikai memória kiválasztása CPU sebesség meghatározása

A felsorolt feltételek szerint (pl.: egy új szoftverbevezetés előtt) pontos képet kaphatunk arról, hogy hány asztali számítógépünk rendelkezik 2Gb vagy annál több memóriával, elegendő szabad tárterülettel, megfelelő processzor sebességgel stb. - 39 -

34. ábra: Hardverleltár készítése

3.10 Adminisztráció Az adminisztráció menüpontban az egyes szolgáltatásokhoz tartozó beállításokat tehetjük meg. Megtekinthetjük az előfizetések számát, a felhőbeli tárhely állapotát, de megnézhetjük például a Windows Intune szolgáltatás állapotát is. Válasszuk az Adminisztráció  Áttekintés  Szolgáltatás állapotának megjelenítése menüpontot! Itt tájékozódhatunk az elmúlt időszak esetleges leállásairól, a tervezett karbantartásokról stb.

- 40 -

35. ábra: A Windows Intune szolgáltatás állapota

3.10.1 Rendszergazdák kezelése A rendszergazdákat az alábbi csoportokba sorolhatjuk:  

Bérlői rendszergazdák Szolgáltatás-rendszergazdák o Teljes hozzáférésű o Csak olvasási hozzáférésű

A bérlői rendszergazdák a Windows Intune előfizetéskor kijelölt elsődleges rendszergazdák. Módosításukra, törlésükre csak a Microsoft Online Services webhelyen van lehetőség. A bérlői rendszergazdák teljes jogosultsággal rendelkeznek a Windows Intune konzolján, minden műveletet elvégezhetnek, beleértve a szolgáltatás-rendszergazdák kezelését is. A szolgáltatás-rendszergazdák azok az adminisztrátorok, akiket a Windows Intune adminisztrátori konzolján lehet felvenni. Két típusú hozzáférési szintet különböztetünk meg: a teljes és a csak olvasási hozzáférést. Ez utóbbi lehetőség szintén az Intune V2-ben jelent meg. A teljes hozzáférésű szolgáltatás-rendszergazdák bármilyen műveletet elvégezhetnek, beleértve a többi rendszergazda kezelését is, az olvasási hozzáférésű rendszergazdák adatokat nem módosíthatnak, de jelentéseket futtathatnak. Jól jöhet ez utóbbi szolgáltatás, ha a cég egyik vezetőjének, esetleg auditornak szeretnénk hozzáférést adni a konzolhoz. A szolgáltatás-rendszergazdák nem kezelhetik a bérlői rendszergazdákat. Új rendszergazda felvételéhez válasszuk az Adminisztráció  Rendszergazdák kezelése  Szolgáltatás-rendszergazdák  Hozzáadás… menüpontot! Mindösszesen egy Windows Live ID-re van szükségünk:

- 41 -

36. ábra: Szolgáltatás-rendszergazda felvétele

- 42 -

4 A Windows Intune Center A Windows Intune Center az egyetlen komponens, mely kliens oldalon jelenik meg. Három részből áll:   

Windows Intune frissítések Windows Intune Endpoint Protection Microsoft Easy Assist szolgáltatás

A frissítések keresése menüpontban a keresési folyamatot gyorsíthatjuk meg. Pl.: új szoftvert szeretnénk telepíteni, és nem akarjuk kivárni a következő ellenőrzési ciklust. A Windows Intune Endpoint Protection menüpontban azonnali kártevő ellenőrzést futtathatunk, megtekinthetjük a szoftver állapotát, beállításait. A harmadik és egyben legérdekesebb menüpontban távsegítséget kérhetünk a rendszergazdától a Microsoft Easy Assist szolgáltatás segítségével. Az ablak alján találhatóak a támogatási információk, melyeket a Házirendek között adtunk meg.

- 43 -

4.1 Microsoft Easy Assist A remote assistance vagy távsegítség néven ismertük eddig ezt a szolgáltatást. A Felhasználó kezdeményezi a Windows Intune Centerben a segítségkérés folyamatát. Erről a kezdeményezésről az Intune rendszergazdák riasztást kapnak az Intune konzolban, illetve, ha ezt korábban már beállítottuk, akkor e-mail értesítést is küld a rendszergazdák bizonyos csoportjának.

37. ábra: Távsegítség riasztás az Intune adminisztrátori konzolban

A távsegítség elfogadásához és a segítségnyújtás megkezdéséhez bontsuk ki az aktív riasztást, és kattintsunk a Kérelem jóváhagyása és a Távsegítség alkalmazás elindítása hivatkozásra! A felugró ablakban erősítsük meg szándékunkat a távsegítségkérés elfogadása hivatkozásra! A segítségnyújtó számítógépén megjelenik a Microsoft Easy Assist belépési lap, ahol azonnal csatlakozhatunk a munkamenethez, vagy letölthetjük és telepíthetjük az Easy Assist alkalmazást (EASetup.exe 2.75Mb).

A telepítés után már csatlakozhatunk a munkamenethez, csak a megjelenítendő nevet kell megadnunk, és máris elérjük a segítségkérő számítógépét. Természetesen itt még egy jóváhagyásra lesz szükségünk, melyben a segítségkérő személy meghatározhatja, hogy mely alkalmazásokat érhetjük el a számítógépén. - 44 -

Lehetőség van csak egy alkalmazás vagy a teljes asztal megosztására is.

38. ábra: A távsegítség jóváhagyása

Természetesen nemcsak asztalt vagy programot oszthatunk meg egymás között, hanem cseveghetünk, fájlokat küldhetünk, sőt átvehetjük a számítógép vezérlését is. Mind a felhasználónak, mind a támogató személyzetnek csak aktív internet kapcsolattal kell rendelkeznie, és máris elérhetik egymást. Nincs szükség VPN-re vagy más 3rd party eszközökre, a Windows Intune felhőszolgáltatás biztosítja a megoldást.

- 45 -

5 Összegzés A Windows Intune szolgáltatás alig egy éve indult útjára, és máris elmondhatjuk róla, hogy nagyon rövid idő alatt nagy változásokon ment keresztül. A termék folyamatosan fejlődik, új funkciók jelennek meg, és biztos vagyok benne, hogy ez a pozitív folyamat nem áll meg. Egyszeri nagy beruházás nélkül, számítógépenként 11EUR/hó fejében kapunk egy felhőalapú „System Center” megoldást, teljes értékű vírus+spyware+rootkit védelemmel, távsegítséggel, hardver és szoftver leltárral, licenc kezelő megoldással és még sorolhatnám a szolgáltatásokat. Frissítési jogot szerzünk a Windows 7 Enterprise rendszerre, egységesíthetjük a számítógéppark állapotát, nagyobb helyi infrastruktúra fenntartása nélkül juthatunk nagyvállalati megoldásokhoz. Érdemes kipróbálni!

Budapest, 2012. január 29. Király István

- 46 -