|
Предыдущая статья этой серии обсуждала HFNetChk и Microsoft Baseline Security Analyzer (MBSA) – два бесплатных решения,поставляемые Microsoft и позволяющие всесторонне оценивать связанные с безопасностью системыобновления программного обеспечения и настройки конфигурации системы. Хотянаиболее свежая версия MBSA продемонстрировала дополнительные функциональныевозможности по управлению и работает с новыми продуктами Microsoft (такими как Microsoft Content Management Server, Commerce Server и Host Integration Server), способность удаленногосканирования для обновлений ее главного продукта – Office – по-прежнему отсутствует.
Автор: Марсин Полич
Предыдущая статья этой серии обсуждала HFNetChk и Microsoft Baseline Security Analyzer (MBSA) – два бесплатных решения,поставляемые Microsoft и позволяющие всесторонне оценивать связанные с безопасностью системыобновления программного обеспечения и настройки конфигурации системы. Хотянаиболее свежая версия MBSA продемонстрировала дополнительные функциональныевозможности по управлению и работает с новыми продуктами Microsoft (такими как Microsoft Content Management Server, Commerce Server и Host Integration Server), способность удаленногосканирования для обновлений ее главного продукта – Office – по-прежнему отсутствует.Обнаружение заплат, связанных с Office (относящихся к версиям 2000, ХР и 2003), ограниченотолько тем компьютером, с которого это сканирование запущено.
Чтобы исправить этуситуацию, Microsoft выпустила Office Update Inventory Tool (в настоящее время в версии 2.0),в качестве автономного, бесплатно загружаемого инструмент (кроме тоговключенного в Office 2003 Resource Kit).
OfficeUpdateInventory Tool предоставляет те же функциональные возможности, что и локальноесканирование обновления заплат Office с помощью MBSA 1.2 (фактически, MBSA работает с файлами Office Update Inventory Tool, хранящимися в подкаталоге OfficeUpd главного установочного каталога).Главным их отличием является диапазон поддерживаемых операционных систем (Office Update Inventory Tool является более совершенным в этомсмысле, поскольку не подвержен ограничениям совместимости других подкомпонентовMBSA) и тем,для каких целей был разработан каждый из этих инструментов. В то время как MBSA используется главным образом дляудаленного сканирования больших групп компьютеров (для всех обновлений, заисключением тех, что относятся к Office), Office Update Inventory Tool предназначен для создания перечня,суммирующего статус заплат Office на локальной машине. Это означает, что в типовомсценарии несколько экземпляров этого инструмента буду запускаться индивидуальнона каждом компьютере под управлением Windows. Эти инструменты затем сгружаютрезультаты их сканирования в общую сетевую папку для последующего всестороннегоанализа.
OfficeUpdateInventory Tool состоит из двух отдельных исполняемых файлов (и четырех вспомогательныхфайлов). Первый из них (имеющий подходящее название – INVENTORY.EXE) проводит инвентаризациюлокальной системы и генерирует файл журнала, содержащий результаты, а второй (CONVERT.EXE) – конвертирует этотрезультирующий файл журнала в требуемый формат. Кроме XML-файла, можно генерировать файл вформате CSV (т.е., разделенные запятыми значения), который может быть легкоотображен в выходных данных Excel или MOF (т.е., Management Object Format), а затем использован Systems Management Server для обновления егоинвентаризационной информации. Исполняемые и вспомогательные файлы доступны вдвух отдельных закачиваемых пакетах (Invcm.exe и Invcif.exe) в самораспаковывающемся формате,опубликованных на Web-сайте Microsoft Office Online.
В то время как Invcm.exe (содержащий INVENTORY.EXE; oudetect.dll, который содержит поддерживаемыебиблиотеки кодов; и CONVERT.EXE) является достаточно постоянным, Invcif.exe (содержащий три сжатых файла: patchdata.xml перечисляющий файлы обновлений, cifsPuids.cif хранящий обнаруженные данные и inventorycatalog.html, описывающий соответствие междуобновлениями и обнаруженными данными) изменяется с каждой новой заплатой к Office. Следовательно, он должен регулярнозагружаться. К счастью (как и в случае MBSA), каждый раз, когда запускается Office Update Inventory Tool, он проверяет последние версииэтих двух исполняемых файлов (а также обновленные и обнаруженные данные) изагружает их автоматически.
INVENTORY.EXE может запускаться на любой системепод Windows 98 или более поздней с Windows Installer версии 1.0 или более поздней.Поскольку заплаты Microsoft Office применяются как файлы заплат Windows Installer Package (т.е., файлы с расширением .MSP), то они регистрируются в базеданных Windows Installer. Утилита проверяет содержание этойбазы данных и определяет список уже примененных обновлений. Она также определяетуровень заплат для Office 2000 SR-1a или более поздних версий, Office XP и Office 2003 (новые версии требуютналичия Windows Installer 2.0). Примечание: INVENTORY.EXE, outdetect.dll, patchdata.xml и inventorycatalog.html должны находиться в одной и тойже папке, независимо от того, является ли она локальной для инвентаризируемойсистемы или хранится на удаленном сервере.
Вы также должны иметьдоступ к файлу Puids.cif, расположенному по умолчанию в подкаталоге cifs главного установочного каталога. Чтобыопределить расположение этого подкаталога или поместить его в каталог,содержащую другие файлы, можно использовать параметр /s. Предположим, что вы хотитезапустить инвентаризацию, используя файлы на локальной системе (по умолчаниюхранимые в папке C:inventory) и перенаправить результаты в тоже самое расположение (определяемое значением, следующим после параметра /o). Тогда вам нужно выполнитьследующую команду:
|
INVENTORY.EXE /s C:inventorycifs /o C:inventory
|
Если эти файлы хранятся вобщей папке Inventory на удаленном сервере (в демонстрационных целях япереименовал ее в REMOTE) и вы хотите перенаправить результаты туда же, то нужновыполнить следующую команду:
|
REMOTEInventoryINVENTORY.EXE /s REMOTEInventorycifs /o REMOTEInventory
|
В обоих случаях,полученный результат будет иметь форму файла журнала, названный так же, как NetBIOS-имя локального компьютера и будетсохраняться либо в папке C:inventory на локальной системе, либо REMOTEInventory на удаленном сервере. Этот журналсостоит из строчных, индивидуально зашифрованных записей, определяющихидентификатор заплаты и ее статус. В обоих случаях, эта команда должнавызываться на локальной системе (той, на которой проводится сканирование экземпляраMS Office).
Утилита INVENTORY.EXE также может быть использована дляфорсирования обновлений обнаруженных файлов (cifsPuids.cif, patchdata.xml и inventorycatalog.html) с помощью следующего синтаксиса(для локального и удаленных серверов, соответственно):
|
INVENTORY.EXE /update C:inventory
INVENTORY.EXE /update REMOTEInventory
|
CONVERT.EXE требует наличия ОС Windows ME или более поздней версии и MSXML parser 3.0 SP4 или более поздней версии (включенныйв Internet Explorer 5.0 или более поздние и можетбыть загружен отдельно, если у вас старая версия этого браузера). Эта утилитаиспользует файл журнала, генерируемый INVENTORY.EXE и, основываясь на информации из patchdata.xml, она конвертирует данные в XML- (или, в качестве альтернативы, CSV- или MOF-) формат. Как и в предыдущемпримере, можно сохранить этот файл на локальной или удаленной системе, полагая,что сервер, папка и общие имена остаются теми же, что и в предыдущих примерах.При создании выходного XML-файла в общей папке REMOTEInventory, должна быть выполнена следующаякоманда (с исходными файлами, расположенными на локальном и удаленномкомпьютере, соответственно):
|
CONVERT.EXE /d C:inventory /o REMOTEInventory%computername%.xml /xml C:Inventorypatchdata.xml
CONVERT.EXE /d REMOTEInventory /o REMOTEInventory%computername%.xml /xml REMOTEInventorypatchdata.xml
|
Подобным образом, дляпреобразования файлов журналов в MOF-формат и сохранения их под тем же именем, но срасширением *.mof, нужно выполнить следующую команду:
|
CONVERT.EXE /d C:inventory /o REMOTEInventory%computername%.mof /mof
CONVERT.EXE /d REMOTEInventory /o REMOTEInventory%computername%.mof /mof
|
И в заключение, создание CSV-файлов требует следующегосинтаксиса:
|
CONVERT.EXE /d C:inventory /o REMOTEInventory%computername%.csv /csv
CONVERT.EXE /d REMOTEInventory /o REMOTEInventory%computername%.csv /csv
|
Обратите внимание, что вэтом случае вы создали XML-, CSV-, and MOF-файлы в общей папке REMOTEInventory (что упрощает сбор анализируемойинформации с нескольких компьютеров). Каждый файл будет иметь уникальное имя,получаемое при выполнении сканирования из имени компьютера. Эти файлы включаютинформацию об обнаруженных данных, на которых основаны результаты сканирования.XML-файлымогут быть легко проанализированы в Internet Explorer (имеющем встроенный XML-анализатор (parser)). Тэги XML, используемые для разделения иописания контекста файлов, являются интуитивно понятными. Тэг высшего уровня отмечает начало и конецинвентаризации, явно идентифицирует NetBIOS-имя компьютера и обозначает те обновления,которые в настоящее время отсутствуют (каждая подобная запись будет содержать URL, с которого данное обновлениеможет быть загружено).
Иногда вы можетевстретить тэг , обозначающий, что эта заплата должна применятьсяк расположенному на стороне сервера образу (image) с которого это приложение былопервоначально установлено (используя административную установочную опцию). Вкачестве альтернативы, вместо открытия этого файла в Internet Explorer, вы можете скопировать его вотчетный каталог MSBA (SecurityScans расположен в папке профиляучетной записи пользователя, используемой для установки MBSA) и просмотреть его с помощьюграфического интерфейса (выбрать опцию "Pick a security report to view"). И хотя это сканированиебудет упоминаться, как незавершенное, результаты, относящиеся к элементу Office Security Updates, могут быть проверены.
Рекомендации Microsoft по применению Office Update Inventory Tool включают в себя использования SMS 2.0 Feature Pack (о котором я расскажу в следующейстатье этой серии) или необходимости запуска пользователями этого инструмента сих рабочих станций (двойным щелчком значка командного файла, вызывающегопроцесс инвентаризации). В то время как первая опция существенно ускоряетпроцесс сбора информации и применения отсутствующих обновлений, основываясь на еерезультатах, вторую можно определить в качестве надежного решения для большихсред. Для того, чтобы узнать о других способах развертывания Office Update Inventory Tool, отсылаю вас к некоторым изрешений, представленным во второйстатье этой серии. Эти решения позволяют удаленное выполнение произвольновыбранных программ.
В следующей статье этойсерии я представлю вашему вниманию более совершенные и действенные методыуправления заплатами от Microsoft.
|
_3963_3919_little.png)
_1079_1080_1078_little.png)
Навигация
ISRAland - РЕКЛАМА
