Bit - loader

Device Compliance con System Center Configuration Manager


Netmind - Device Compliance con System Center Configuration Manager    Artículo | Microsoft
Joan Carles Roca | 11/04/18

En este artículo introduciremos una característica de System Center Configuration Manager, llamada “Device Compliance”. Lo que esta característica nos proporciona es una auditoría del cumplimiento o no de nuestros dispositivos respecto a unas configuraciones estandarizadas en nuestra empresa o, mejores prácticas.

 

La intención ha sido la de solucionar el típico escenario, donde unos equipos recién configurados, a medida que pasa el tiempo, se alejan paulatinamente de dicha configuración, debido a malas configuraciones, falta de soporte, demasiados privilegios por parte de los usuarios, etc… con lo cual dejan de estar alineadas con la configuración estandarizada del departamento de IT de la compañía, léase mejores prácticas o seguridad.  Estos desajustes pueden ser por ejemplo, software desinstalado, configuraciones indebidas en el registro o de otro tipo.

 

Device Compliance con System Center Configuration Manager 0

 

Device Compliance nos permitirá comparar la configuración de nuestros PCs, Macs, servidores, dispositivos móviles con configuraciones estandarizadas que podemos crear nosotros mismos u obtenerlas de otros fabricantes. Podremos detectar configuraciones no autorizadas por la política de la compañía, estar informados mediante informes, identificar vulnerabilidades en nuestros dispositivos, ayudar al departamento de soporte a identificar posibles incidencias que tengan una causa en una configuración indebida, incluso en ocasiones, remediar automáticamente alguna de estas configuraciones.

 

Los elementos principales de cumplimiento son los Configuration Items o “CIs”

 

Estos pueden establecerse en dos categorías,:

  • Los que establecen configuraciones gestionadas por el cliente de Configuration Manager, en dispositivos donde hayamos instalado el cliente de Configuration Manager.
  • Los que establecen configuraciones gestionadas sin el cliente de Configuration Manager, en sistemas gestionados o bien con Microsoft Intune o gestión sin agente.

 

Los tipos de dispositivos soportados comprenden PCs Windows con el cliente de Configuration Manager instalado, PCs Windows, dispositivos iOS, Android, Windows Phone, Macs enrolados con Intune, y Macs con el cliente de Configuration Manager instalado.

 

 

¿Qué es un Configuration Item?

Un Configuration Item, es un elemento de configuración a comprobar. Los configuration Items pueden contener la siguiente información:

  • Detection method information. Detecta si una aplicación está instalada. Esta detección utiliza un fichero Windows Installer o un script.
  • Settings. Una configuración a comprobar o a cambiar, siguiendo con la comparativa anteriormente mencionada.
  • Compliance Rules. Especifican las condiciones que definen el cumplimiento de un configuration ítem setting. Antes de que el cliente evalúe una configuración o setting, debe existir al menos una “compliance rule” o regla de cumplimiento. Algunas configuraciones pueden corregir o cambiar valores en las configuraciones que no son los correctos.
  • Supported Platforms. Es importante desplegar una configuration ítem en un dispositivo que aparezca en la lista de dispositivos soportados de lo contrario no se evaluará el cumpliento.

 

 

¿Qué es una Configuration Baseline?

 

Una Configuration Baseline o línea base de configuración es un contenedor de Configuration Items. Dicho de otra forma, los Configuration Items se pueden agrupar en Configuration Baselines. Los podemos crear, o importar de Configuration Manager configuration packs de Microsoft u otros proveedores.

 

Una vez definidos los Configuration Baselines, los podemos desplegar contra colecciones de usuarios o dispositivos. El cliente evaluará los settings  del Baseline programáticamente. Podeos desplegar más de un Baseline contra los dispositivos.

 

Los clientes evalúan sus configuraciones contra los Baselines y reportan de inmediato los resultados al Site de System Center mediante mensajes de status.

 

Para monitorizar los resultados de los Configuration Baselines lo haremos:

 

  • Desde la consola de System Center, en el Workspace Monitoring, en el nodo Deployments. Donde podremos encontrar información por ejemplo sobre causas comunes de noncompliance, errores o el número de usuarios y dispositivos afectados.
  • Ejecutando Reports de Compliance, como por ejemplo que dispositivos son compliant o noncompliant, que elementos de configuración (CIs) en un Baseline están causando que el equipo sea noncompliant.
  • Desde el mismo cliente de Configuration Manager en el equipo cliente, desde el Panel de Control, en la ficha Configuraciones.

 

Además de lo explicado hasta aquí, para ayudarnos a velar por el cumplimiento de las configuraciones establecidas por la compañía por parte de nuestros equipos, contamos con configuration ítems del tipo “User data and profiles”.

 

Contienen configuraciones para gestionar redirección de carpetas, archivos sin conexión y perfiles móviles en equipos con Windows 8 y versiones superiores. Estos configuration ítems nos permiten por ejemplo:

 

 

  • Redirigir la carpeta Documetos de un usuario a un recurso compartido en un servidor.
  • Garantizar que cierto ficheros almacenados en un recurso de red estén disponibles en el pc de un usuario cuando no exista conexión de red.
  • Configurar que ficheros en un perfil móvil se sincronizan con un recurso compartido cuando un usuario inicia sesión o la cierra.

 

Estos Configuration Items no se incluyen en un Configuration Baseline. Para desplegarlos deberemos hacerlo directamente. También es importante mencionar que  únicamente podemos desplegar configuration ítems de este tipo a colecciones de usuario.

 

Device Compliance con System Center Configuration Manager 1

 

Remote Connection Profiles

Los Remote Connection Profiles habilitan a los usuarios para conectarse remotamente a sus PCs de trabajo. Los usuarios pueden conectarse a su PC de trabjo desde Equipos que ejecutan Microsoft Windows, iOS o Android.

 

Estos Remote Connection Profiles permiten desplegar configuraciones de Escritorio Remoto a los usuarios presentes en nuestra jerarquía de Configuration manager. Los usuarios puede usar el Company Portal para acceder a cualquier PC de trabajo a través de “escritorio remoto” usando la configuración de conexión de escritorio remoto proporcionada en dicho portal.

 

Se requerirá de Microsoft Intune i queremos  que los usuarios conecten a sus PCs mediante del Company Portal. Si no usamos Intune, los usuarios pueden usar la misma información de configuración pero mediante una conexión de Escritorio Remoto sobre una conexión VPN.

 

Llegados a este punto deberemos considerar si las configuraciones de escritorio remoto las estamos llevando a cabo únicamente desde System Center Configuration Manager o desde otro punto de gestión como por ejemplo Group Policy Objects. Digamos que la prioridad sería que si el equipo tiene una configuración de escritorio remoto local, ésta quedará sobrescrita por la configuración de System Center Configuration manager. Y ésta última quedaría sobrescrita por la configuración especificada en una GPO o política de grupo del directorio activo.

 

También deberemos recordar que cuando instalamos Configuration manager, se crea un nuevo grupo de seguridad llamado “Remote PC Connect”. Este grupo se llena con miembros cuando se crea un Remote Connection Profile que incluye a los usuarios principales de equipos a los cuales desplegamos el perfil. Aunque un administrador puede añadir usuarios a este grupo, éstos serán borrados del grupo cuando se evalúen estos Remote connection profiles para comprobar su cumplimento programáticamente.

 

Si queremos añadir usuarios manualmente a este grupo, el usuario podrá iniciar una conexión remota, pero la información no será publicada en el Company Portal.

 

Si borramos a un usuario manualmente del grupo, y este usuario ha sido añadido automáticamente por Configuration Manager, Configuration Manager corregirá automáticamente esta situación volviendo a añadir al usuario cuando se evalúe el remote connection profile para comprobar su cumplimiento programáticamente.

 

Cuando hablamos de usuarios principales de un equipo, deberemos recordar que en Configuration Manager podemos establecer una relación de “afinidad” entre un usuario i sus dispositivos. En otras palabras, si un usuario es el usuario habitual de un equipo. Esta relación de afinidad se puede establecer manualmente o de forma automática, monitorizando que usuario está con sesión iniciada en un equipo a lo largo de un período de tiempo.

 

Estos perfiles funcionan teniendo en cuenta esta afinidad. Si la relación de afinidad entre un usuario y un equipo cambia como consecuencia por ejemplo de que deja de ser un equipo habitual del usuario, Configuration Manager deshabilita el perfil (remote connection profile),  y el firewall de Windows impide conexiones a dicho equipo.

 

Las dependencias para implementar el remote connection profile, son la necesidad de implementar un Remote desktop Gateway Server si los clientes van a conectarse desde Internet, y que éstos permita en su Firewall el programa mstsc.exe (Microsoft Terminal Services Client).

 

También necesitaremos una conexión a Microsoft Intune, y que los dispositivos estén configurados como dispositivos principales o “primary device” de los usuarios.

 

 

Microsoft Edge Profiles

Para acabar comentaremos los perfiles para controlar el cumplimiento de las configuraciones del nuevo navegador Edge.

 

Desde la versión 1703 podremos realizar las siguientes comprobaciones/configuraciones:

 

  • Establecer Microsoft Edge como navegador predeterminado
  • Permitir el despliegue de la barra de direcciones
  • Permitir la sincronización de favoritos entre navegadores de Microsoft
  • Permitir borrar los datos de navegación al cerrar.
  • Permitir el no seguimiento de encabezados
  • Permitir autorellenar
  • Permitir cookies
  • Permitir el bloqueador de elementos emergentes
  • Permitir sugerencias de búsqueda en la barra de direcciones
  • Permitir enviar trafico de internet a Internet Explorer
  • Permitir Password Manager
  • Permitir Herramientas de desarrollador
  • Permitir extensiones

 

Con esto concluye esta introducción a los Baselines, Configuration Items y distintos tipos de perfiles que nos brinda System Center Configuration Manager para poder comprobar y corregir las configuraciones de nuestros equipos para que se mantengan alineados con la seguridad y configuración estandarizada de nuestra compañía, lo cual nos puede ser muy útil no solamente por su evidente beneficio si no para estar más preparados frente a una auditoría de seguridad o de cumplimiento de estándares tipo ISO.


Joan Carles Roca


Entradas relacionadas

Cursos relacionados
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.