Начните sam с инвентаризации ПО: аудит развёрнутого ПО...

MGT201ILL

Лабораторная работа

Начните SAM с

инвентаризации ПО: аудит

развёрнутого ПО при помощи

бесплатного инструмента

Microsoft Assessment and

Planning Toolkit (МАР)

2 Microsoft Tech∙Ed Russia 2011. Лабораторная работа.

Начните SAM с инвентаризации ПО: аудит развёрнутого ПО при помощи бесплатного инструмента

Microsoft Assessment and Planning Toolkit (МАР).

Содержание

ВВЕДЕНИЕ .................................................................................................................................................. 3 Цели 3

Требования 3

Упражнения 5

УПРАЖНЕНИЕ 1: ИНВЕНТАРИЗАЦИЯ ПО НА КОМПЬЮТЕРАХ ДОМЕНА ........................................ 6

УПРАЖНЕНИЕ 2: ПОДСЧЁТ СТАТИСТИКИ ИСПОЛЬЗОВАНИЯ WINDOWS SERVER И SQL

SERVER...................................................................................................................................................... 13

УПРАЖНЕНИЕ 3: ПРОСМОТР ОТЧЁТОВ В EXCEL ............................................................................. 17

УПРАЖНЕНИЕ 4: НАСТРОЙКА WINDOWS SERVER И SQL SERVER ДЛЯ ПОДСЧЁТА CAL ......... 20




Введение

Microsoft Assessment and Planning (MAP) Toolkit — мощное и бесплатное средство, разработанное

с целью упростить процессы планирования в инфраструктуре IT при помощи встроенных

автоматизированных средств сетевого обнаружения, инвентаризации и оценки активов на

соответствие определённым параметрам. MAP умеет выполнять инвентаризацию гетерогенных

окружений. Уникальным свойством MAP является предоставление информации об использовании

серверного программного обеспечения, входящего в Core CAL Suite. В функции MAP входят,

помимо прочего, помощники в миграции на Windows Server 2008 R2, Windows 7, Office 2010 и

Office 365, а также инструмент для облегчения подготовки к виртуализации в среде Microsoft

Hyper-V, помогающий определить неиспользуемые ресурсы и требования к аппаратному

обеспечению.

Благодаря наличию возможности инвентаризации аппаратного и программного обеспечения, SQL-

серверов, виртуальных машин и уникальной функции вычисления необходимых CAL, а также

отсутствию стоимости (MAP распространяется бесплатно), MAP может быть использован как

инструмент для проведения проектов в области проверки соответствия лицензионным

соглашениям программного обеспечения, а также как один из базовых инструментов,

используемых при управлении ПО, Software Asset Management (SAM).

Цели

В ходе данной лабораторной работы вы научитесь использовать MAP для инвентаризации и

проверки лицензионного соответствия программного обеспечения. Упражнения включают

функции инвентаризации ПО в домене Windows Active Directory, знакомство с отчётами MAP,

подсчёт необходимых CAL (инвентаризацию использования серверных продуктов Windows Server

2008 R2 и SQL Server 2008 R2) и подготовку Windows Server и SQL Server к сбору информации об

использовании.

Требования

Для этой лабораторной работы понадобятся две виртуальные машины, специально

подготовленные заранее с этой целью: Windows Server 2008 R2 и Windows 7, находящиеся в

едином домене.

Если вы желаете изготовить машины самостоятельно, вот перечень требований к ним:

Контроллер домена

◦ Операционная система Microsoft Windows 2008 R2 Enterprise

◦ Домен Active Directory функционального уровня 2008

Отдельный домен в новом лесу

Имя домена MSP-MAP




◦ Имя компьютера MSP-MAP-SRV

◦ Две учётные записи в домене

Administrator, член группы Domain Admins

User, член группы Domain Users

◦ Microsoft SQL Server 2008 R2 Enterprise

Компоненты Database Engine и SQL Management Studio

Режим Windows authentication

Заведённые ранее учётные записи Administrator и User домена имеют

логины на SQL Server:

Administrator — с правами sa

User — логин с правами по умолчанию, никаких особых требований

не предъявляется

SQL Server и служба Windows Firewall должны быть настроены для

разрешения сетевого доступа к SQL с рабочей станции:

SQL Server Database Engine — включить протокол TCPIP

Windows Advanced Firewall — создать правило, разрешающее

входящие подключения по порту 1433/TCP.

Член домена

◦ Операционная система Microsoft Windows 7 Enterprise

◦ Пакет Microsoft Office 2010 Professional Plus

Возможна установка редакций Standard или Professional: MAP требуется для

работы Word 2010 и Excel 2010

◦ Microsoft Assessment and Planning Toolkit 6.0

Требуемый MAP для работы SQL Server Express будет установлен

инсталлятором MAP

◦ Имя компьютера MSP-MAP-WKS

◦ Пользователь домена MSP-MAP\User должен иметь права локального

администратора

Компьютеры должны быть в единой виртуальной сети с настройками, требуемыми для

нормального функционирования в домене.




Если у вас отстустствуют необходимые лицензии, и вы проводите оценочные испытания с

ознакомительной целью, все перечисленные продукты доступны для скачивания в оценочных

(Evaluation) версиях с сайта Microsoft. MAP распространяется бесплатно, и также доступен для

скачивания с сайта Microsoft. Соответствующие инструкции по оценочной активации вы найдёте

в ресурсах на сайте Microsoft.

Упражнения

В ходе лабораторной работы вы выполните следующие упражнения:

1. Инвентаризация ПО на компьютерах домена

2. Подсчёт статистики использования Windows Server и SQL Server

3. Просмотр отчётов в Excel

4. Настройка Windows Server и SQL Server для подсчёта CAL

Примерное время на выполнения лабораторной работы — 60 минут.




Упражнение 1: Инвентаризация ПО на компьютерах домена

В данном упражнении вы научитесь, как провести базовую инвентаризацию компьютеров в

домене Active Directory. Инвентаризация является первым обязательным шагом при работе с

MAP. На основе данных инвентаризации строятся все отчёты и рекомендации. Отдельное

внимание уделено параметрам, необходимым для дальнейшего расчёта необходимых CAL.

1. Авторизуйтесь на компьютере MSP-MAP-SRV как MSP-MAP\Administrator с паролем

Passw0rd!

Обратите внимание на ноль и восклицательный знак в пароле.

2. Авторизуйтесь на компьютере MSP-MAP-WKS как MSP-MAP\User с паролем Passw0rd!

Обратите внимание на ноль и восклицательный знак в пароле.

3. Из панели быстрого старта MSP-MAP-WKS или из меню «Start» запустите Microsoft

Assessment and Planning Toolkit (MAP).

Рисунок 1. Запуск MAP




4. После запуска MAP вам будет предложено выбрать существующую базу данных, либо

создать новую. На виртуальных машинах, подготовленных для лабораторной работы,

баз инвентаризации нет. Для целей настоящего упражнения выберите пункт создания

новой базы и введите любое имя, например, «maplab».

Рисунок 2. Создание базы инвентаризации




5. Запустите Inventory and Assessment Wizard (Мастер инвентаризации и оценки). Если

вы по каким-то причинам пропустили предыдущий пункт создания или выбора базы

данных, выполните его сейчас (соответствующий запрос будет выведен).

Рисунок 3. Запуск мастера инвентаризации

6. В появившемся окне мастера выберите Windows-based computers и SQL Server.

Нажмите «Next».

Для обычных целей инвентаризации ПО пункт SQL Server не является необходимым.

Однако, данные инвентаризации SQL нам понадобятся на этапе подсчёта

необходимых CAL-лицензий.

7. В методах обнаружения (Discovery Methods) выберите только пункт «Use Active

Directory Domain Services (AD DS)». Остальные галочки уберите. Нажмите «Next».

Все обследуемые в упражнении компьютеры находятся в домене, соответственно,

нам нужен только этот метод обнаружения.




8. Введите пароль пользователя с правами на чтение всей AD. В нашем случае это MSP-

MAP\Administrator, пароль Passw0rd!. Нажмите «Next».

Эта запись нам нужна, чтобы получить записи компьютеров и OU из ActiveDirectory.

Рисунок 4. Учётная запись для получения данных из AD

9. На следующем экране оставьте опцию по умолчанию «Find all computers…», нажмите

«Next».

Таким образом, мы выбрали для инвентаризации все компьютеры в домене.

10. На экране «All Computer Credentials» (Права доступа ко всем компьютерам) введите

данные учётной записи с правами на административный доступ к обследуемым

компьютерам.

Административный доступ требуется для обращения к WMI, SQL, удалённому реестру

и другим службам, которые возвращают MAP данные инвентаризации. Вы можете в

своём рабочем окружении настроить для этого отдельную учётную запись. Однако, в




большинстве случаев, по умолчанию для этого удобнее воспользоваться учётной

записью с правами доменного администратора.

a. Нажмите «Create» (Создать).

b. Введите данные как на рисунке, пароль Passw0rd!

Рисунок 5. Учётные записи для инвентаризации

c. Оставьте галочки WMI (используется для сбора основных инвентаризационных

данных) и SQL Server (используется для сбора данных об SQL, которые необходимы

для расчёта CAL-лицензий).

d. Нажмите «Save», затем «Next».

11. Не изменяя ничего в окне «Credentials Order» (порядок учётных записей), нажмите

«Next».

Если бы мы ввели несколько аккаунтов на предыдущем шаге, в этом окне можно было

бы изменить порядок, с которым учётные записи перебираются при попытке получить

данные.




12. В окне «Summary» проверьте выбранные параметры и нажмите «Finish», будет

запущен мастер инвентаризации.

13. Дождитесь окончания инвентаризации, что подтверждается надписью «Completed» в

окне мастера.

Рисунок 6. Инвентаризация выполнена




14. Закройте мастер инвентаризации и откройте слева пункт «Inventory Summary Results».

Ознакомьтесь с данными, представленными в интерфейсе. Посмотрите отчёт по ПО,

сгруппировав его по компьютерам, продуктам и вендорам. Дополнительно можно

посмотреть отчёты в других ветвях, например, «Discovery and Readiness», где

содержатся отдельные данные по SQL серверам. Обратите внимание, что по отчёту

«Microsoft SQL Server Discovery» можно определить, какие издания SQL (Express,

Enterprise и т.п.) установлены в сети.

Рисунок 7. Данные инвентаризации ПО




Упражнение 2: Подсчёт статистики использования Windows Server и

SQL Server

В данном упражнении вы научитесь подчитывать статистику использования Windows Server и SQL

Server. Полученные знания применимы также для подсчёта статистики других серверных

продуктов в составе Core CAL, отсутствующих в настоящей лабораторной работе, например,

Sharepoint Server.

Для начала немного теории. Для того, чтобы статистика была посчитана, необходимо выполнить

несколько подготовительных действий:

Провести инвентаризацию. Мы это сделали в упражнении 1.

Настроить серверы на сбор информации.

Сервер, который вы получили в составе лабораторной от Microsoft, уже содержит в

необходимые для анализа данные по использованию SQL Server.

Если вы подготовили виртуальные машины для данной лабораторной работы

самостоятельно, выполните сначала Упражнение 4 и рекомендации главы

«Упражнение 4», чтобы настроить соответствующим образом SQL Server.

Полное руководство по настройке доступно на странице MAP на сайте Microsoft.

Название документа — “Usage_Tracker_Guide.en.doc”.

Собрать с настроенных серверов файлы журналов для анализа.

Не пытайтесь парсить используемые системой файлы журналов Windows Server

напрямую. Файлы заблокированы, прочесть их не удастся. Для анализа нужно их

скопировать.

Итак, приступим к упражнению:

1. Скопируйте файл журнала безопасности сервера MSP-MAP-SRV в другую папку, где его

сможет проанализировать MAP. Для лабораторной работы на сервере подготовлена

общая сетевая папка «C:\System Logs» (ярлык «Shared Logs Folder» на рабочем столе).

Для копирования в неё свежей копии журнала воспользуйтесь командным файлом,

расположенным на рабочем столе сервера: «Copy Logs.cmd».

Copy Logs.cmd

Del “%SystemDrive%\System Logs\*.evtx”

Copy “%SystemRoot%\System32\winevt\Logs\security.evtx” “%SystemDrive%\System Logs”

2. Переключитесь на рабочую машину MSP-MAP-WKS, в интерфейс MAP.




3. Настройте сканирование журналов. Для этого нажмите в главном окне MAP ссылку

«Configure Log Parser» и в появившемся окне добавьте UNC-путь к журналам сервера:

«\\MSP-MAP-SRV\System Logs».

Рисунок 8. Настройка парсера

4. Закройте окно настройки парсера кнопкой «Save».

5. Нажмите в главном окне MAP ссылку «Parse Logs».

6. Дождитесь окончания работы парсера (в нашем случае несколько секунд).




7. Убедиться в том, что парсер выполнил работу, можно открыв в дереве слева в окне

MAP пункт «Log Parsing Overview», подпункт «Log Files».

Рисунок 9. Результат работы парсера

8. Посмотреть значения необходимых CAL можно, открыв в том же дереве пункт

«Software Usage Summary». Откройте его и просмотрите данные в его подпунктах

Windows Server и SQL Server. Если отображаются данные только с нулевыми

значениями, выполните следующий пункт упражнения и повторите парсинг заново,

начиная с копирования журнала безопасности.

Рисунок 10. Требуемые клиентские лицензии Windows Server




Рисунок 11. Требуемые клиентские лицезии SQL

Данные об использовании SQL можно собрать только c SQL Server изданий Enterprise и

Datacenter. В случае, когда SQL Server одного из этих изданий установлен в оценочном

режиме (наш случай) отображается тип издания «Evaluation».

Несмотря на то, что в списке серверов могут присутствовать другие издания (в нашем

случае SQL Server 2008 Express), настроить необходимый MAP аудит использования на

них технически невозможно, именно поэтому в данной лабораторной работе

журналы с рабочей станции анализировать не имеет смысла.

Процессорные лицензии SQL и виртуальные машины в интерфейсе MAP

отображаются с недостаточной для оценки лицензионного соответствия

детальностью. Как увидеть больше данных инвентаризации — в следующем

упражнении.




Упражнение 3: Просмотр отчётов в Excel

В данном упражнении вы научитесь выгружать отчёты MAP в Excel и анализировать данные в них.

1. В интерфейсе MAP выберите в меню «File» пункт «Prepare New Reports and Proposals»

(«подготовить новые отчёты и рекомендации»).

2. Выберите необходимые отчёты. Минимум те, что указаны на рисунке, дополнительно

можете выбрать и любые другие отчёты из предложенных. Нажмите «Next» и

дождитесь окончания формирования отчётов.

Рисунок 12. Выбор подготавливаемых отчётов




3. Выберите в меню «View» пункт «Saved Reports and Proposals» («сохранённые отчёты и

рекомендации»). Откроется интерфейс Проводника Windows с перечнем

сформированных файлов.

Рисунок 13. Перечень сформированных документов

4. Откройте отчёт «HardwareAndSoftwareSummary-[дата и время формирования]».

Изучите наиболее полезные в инвентаризации лицензий ПО страницы:

a. Operating System Summary содержит данные о количестве, наименованиях и

изданиях операционных систем на инвентаризируемых компьютерах.

b. Hardware Inventory содержит данные об аппаратной платформе. Наибольший

интерес представляют столбцы «Number of Processors» («количество процесоров»,

а также соседние столбцы с количеством ядер и т.п.) и «Computer Model»

(«модель компьютера»), где для виртуальных машин отображается «Virtual

Machine» (см. также последнюю колонку).

c. Applications Summary (Windows) содержит данные о количестве копий ПО на всех

инвентаризируемых компьютерах.

5. Для анализа лицензионного соответствия SQL Server могут пригодиться данные отчётов

«SqlServerAssessment-[дата и время формирования]» и «SqlServerDatabaseDetails-

[дата и время формирования]». Ознакомьтесь с ними самостоятельно.




6. Для анализа лицензионного соответствия продуктов, имеющих особые условия

лицензирования для виртуальных сред пригодится отчёт «VMRepot-[дата и время

формирования]». Изучите вкладку «Host and Guest Details».




Упражнение 4: Настройка Windows Server и SQL Server для подсчёта

CAL

MAP собирает данные об использовании, как вы уже убедились в Упражнении 2, из журналов

системы или журналов приложений (например, в случае с Sharepoint Server). В данном

упражнении вы научитесь настраивать (проверять настройки) Windows Server и SQL Server,

управляющие сбором необходимых данных в системных журналах.

Для начала немного теории:

Использование Windows Server подсчитывается путём анализа событий Logon в журнале

безопасности (Security Event Log) операционной системы.

Запись событий Logon производится на Windows Server, начиная с версии 2003, ПО

УМОЛЧАНИЮ. В большинстве случаев, таким образом, дополнительная настройка

Windows Server не требуется.

Однако, могут встречаться случаи, когда запись событий Logon отключена

администратором, а также необходимо её настроить на серверах младше версии

2003.

Тема настройки событий системного аудита значительно шире, чем тема настоящей

лабораторной, поэтому здесь даётся частично. За более подробной информацией

обратитесь к справочным и учебным материалам Windows Server.

Использование SQL Server также подсчитывается путём анализа журналов безопасности

операционной системы, и для этого необходимо включить аудит событий Logon на SQL

Server.

Запись событий Logon рассматриваемым в упражнении (и поддерживаемым MAP)

способом возможна только на SQL Server изданий Enterprise и Datacenter.

Приступим к упражнению:

1. Чтобы проверить факт записи событий Logon на сервере, из консоли сервера MSP-MAP-

SRV запустите оснастку «Event Viewer». Для вашего удобства соответствующая иконка

на виртуальной машине вынесена на панель запуска. Вы также можете запустить

оснастку из меню «Start», пункт «Run», строка запуска «eventvwr» (не забудьте нажать

«ОК»).

Рисунок 14. Запуск Event Viewer




2. В запущенной оснастке откройте пункт дерева «Windows Logs\Security».

Интересующие события отображают в столбце «Task Category» значение «Logon»,

источник (Source) — «Microsoft Windows security».

3. Не закрывайте Event Viewer, он понадобится далее.

4. Откройте SQL Server Management Studio из меню или из панели запуска.

Рисунок 15. Запуск Management Studio

5. Авторизуйтесь на сервере, как показано на рисунке.

Рисунок 16. Подключение к SQL Server

6. Через меню «File\Open\File» откройте сценарий «Enable Audit.sql», находящийся на

рабочем столе в папке «SQL Scripts».

7. Чтобы включить аудит событий SQL Server, выполните открытый только что сценарий,

нажав на кнопку «Execute».




Рисунок 17. Выполните сценарий

Одного включения аудита данным сценарием мало!

Для того, чтобы события SQL Server записывались в журнал безопасности системы,

нужно убедиться, что SQL Server имеет соответствующие права и включён аудит

соответствующих событий.

8. Проверим права SQL Server на запись событий аудита:

a. Откройте оснастку Services через меню «Start\Administrative Tools\Services».

b. Найдите в списке служб SQL Server (MSSQLSERVER) и определите, из под какой

учётной записи выполняется служба.




На виртуальной машине лабораторной работы SQL Server выполняется от лица

учётной записи «Local System», которая имеет право «Generate Security

Audits» по умолчанию. Однако, SQL Server может быть настроен на работу от

лица другой учётной записи.

c. Проверим, что соответствующая учётная запись имеет право «Generate Security

Audits». Поскольку мы находимся на контроллере домена, проверим

соответствующую политику. Запустите оснастку «Group Policy Management».

Рисунок 18. Запуск Group Policy Management

d. Найдите политику контроллеров домена, как показано на рисунке. Правым

щелчком откройте меню и выберите пункт «Edit».




Рисунок 19. Откройте политику по умолчанию для контроллеров домена

e. Откройте дерево объектов групповой политики как показано на рисунке и

убедитесь, что учётная запись, от лица которой выполняется SQL Server, имеет

нужные права. Не закрывайте пока это окно.

На серверах ваших клиентов или на ваших собственных серверах добавьте

сюда соответствующую учётную запись, если она отличается от Local Service и

Network Service, иначе события аудита SQL Server регистрироваться не будут.

Рисунок 20. Право Generate Security Audits




9. Не закрывая Group Policy Management Editor, сразу убедимся, что включён аудит

событий «Object Access». Это также требование MAP.

MAP требует включить регистрацию этих событий, как успешных, так и неуспешных.

Рисунок 21. Включение Audit Object Access

10. Проверим, что события SQL Server Audit регистрируются.

a. Переключитесь в рабочую станцию MSP-MAP-WKS и запустите консоль

(Command Prompt, cmd.exe и т.п.).




b. Выполните авторизацию на сервере SQL, набрав в запущеной консоли команду,

отображённую на рисунке. Затем наберите «exit», чтобы выйти из osql.

Рисунок 22. Пробуем авторизоваться на SQL Server

c. Переключитесь в консоли сервера MSP-MAP-SRV в оснастку «Event Viewer».

d. Используя команду «Find» в правой колонке Event Viewer, выполните поиск

строки «sql» по журналу «Security» или отфильтруйте события по источнику

«MSSQLSERVER$AUDIT». Зарегистрированное событие будет примерно таким,

как показано на втором рисунке ниже.

Рисунок 23. Настройка фильтра




Рисунок 24. Событие SQL Server

11. Отключить регистрацию событий можно при помощи сценария «Disable Audit.sql».

Можете попробовать сделать это самостоятельно, если осталось время.




Заключение

Доступное бесплатное средство оценки и инвентаризации Microsoft Assessment and Planning (MAP)

Toolkit может быть использовано для инвентаризации программного обеспечения и проверки его

лицензионного соответствия, предоставляя такие данные, как количество ПО, типы и количество

операционных систем, характеристики аппаратного обеспечения.

После несложной, выполненной по инструкциям, настройки соответствующих серверных

приложений MAP позволяет собирать статистику их использования, что является подспорьем в

расчёте необходимых лицензий клиентского доступа (CAL)

Полезные ресурсы

Скачать MAP и документацию: http://www.microsoft.com/map

Software Asset Management: http://www.microsoft.com/rus/licensemanagement

Доступно о лицензировании ПО: http://www.microsoft.com/rus/microsoft4you

Дополнительные вопросы можно задать автору:

Александр Голев, [email protected]

http://www.microsoft.com/map

http://www.microsoft.com/rus/licensemanagement

http://www.microsoft.com/rus/microsoft4you

mailto:[email protected]

Начните sam с инвентаризации ПО: аудит развёрнутого ПО...

Documents