因工作需要,过去1,2年的时间在做SCCM相关部署配置工作,在接触SCCM系统后,感叹了SCCM组件的强大,同时也发现SCCM中部分实用性很强但是相关配置文章较少的功能。现根据自身经验,介绍下SCCM实用功能中的符合性设置。
SCCM系统中一项比较实用的功能是符合性设置,通过配置基线来对于安装了SCCM客户端的计算机进行扫描,检查计算机是否符合管理、安全要求。如计算机上是否有安装某些特定的软件,一些公司明令禁止的违规、黑名单软件等。IT管理人员对于扫描后得到的结果进行查看,从而知晓整个公司中各种违规/黑名单软件是否大量存在。
以下以teamviewer为例进行说明。
1、符合性设置简介
SCCM管理控制台中符合性设置主要包含以下内容:
1)、配置项目:具体符合性设置检查细项,包含需要检查的软件信息及详细的符合性设置;
2)、配置基线:包含预定义的配置项目,还可包含其他配置基线。 在创建配置基线之后,可以将其部署到集合以便该集合中的设备下载配置基线并评估其符合性。
如下所示:
2、创建配置项目
右键配置项目-创建配置项目
配置项目向导,设置项目名称
新建设置
输入设置名称及设置类型为WQL查询和详细的WQL语句,如下所示:
设置完成后,点击应用
转到符合性设置
新建符合性设置,设置符合性检查名称及规则,如下所示:
设置完成后,点击确定
确认设置是否无误,点击下一步
指定应用此符合性设置的计算机操作系统类型
点击下一步
关闭向导
创建配置项目后,可看到新创建的CI_Teamviewer配置项目
3、创建和配置基线
3.1 创建基线
右键配置基线-创建配置基线
设置基线名称
添加配置项目,选择刚新建的CI_Teamviewer,点击添加
确定
查看基线
3.2 部署基线
将新建的基线部署到特定的集合,部署完成后,该集合中的计算机将会在特定的时间内获取SCCM策略,此时sccm客户端将会对计算机上安装的软件进行评估,评估该计算机上是否有安装基线中设置的特定软件,如软件名称是否包含teamviewer字样,并将结果反馈给SCCM服务器端。
右键Baseline_Teamviewer基线-部署
设置部署到的集合以、符合性评估计划以及是否生成警报。
3.3 查看符合性设置
以下图示非上述演示中新建的关于Teamviewer软件的基线部署情况,而是其他基线部署后的图示,teamviewer软件符合性检查类似。
1、计算机本地查看符合性设置
打开控制面板中的Configuration Manager
查看配置中的基线是否符合要求。如果未出现基线,则点击刷新和评估按钮。
2、服务器端查看符合性设置
1)sccm管理控制台查看基线符合性设置
2)通过报表进行查看
通过报表查看符合性设置中,计算机的符合性状态
选择需要查看的基线以及详细的计算机信息
如上图所示,以上计算机符合性状态为不符合,表示计算机上未安装违规/黑名单软件。
可将报表导出为excel进行查看。如下所示:
