Audyt IT jako przestrzeń danych w programie

W programie Ewida Audit pojęcie Audyt IT oznacza przestrzeń danych, w której można przechowywać hosty reprezentujące komputery oraz wykonywać ich skanowanie wielokrotnie w czasie. To nie jest pojedynczy raport, ale robocze środowisko, w którym gromadzone są wyniki kolejnych audytów.

Takie podejście dobrze sprawdza się w aplikacji desktopowej Windows, ponieważ pozwala prowadzić stałą pracę z hostami, wynikami skanowania i historią zmian bez potrzeby tworzenia nowego projektu przy każdej kolejnej kontroli.

Tworzenie nowego audytu

Nowy audyt zwykle tworzy się tylko raz, a następnie wykorzystuje jako główną przestrzeń pracy. Wyjątkiem są sytuacje, w których audyty prowadzone są oddzielnie dla różnych firm, oddziałów albo wydzielonych części organizacji.

W praktyce użytkownik licencji wewnętrznej tworzy jeden audyt dla swojej firmy i w tej samej przestrzeni wykonuje cykliczne skanowania komputerów. Jeżeli jednak firma chce rozdzielić dane na kilka niezależnych obszarów, może utworzyć więcej niż jedną przestrzeń audytową.

Kreator nowego audytu

Aby uruchomić kreator nowego audytu, należy wybrać opcję:
Menu > Audyt > Nowy

Kreator prowadzi użytkownika przez kilka podstawowych kroków. Obejmują one:

  • ustalenie danych firmy objętej audytem,
  • dodanie hostów, czyli komputerów przewidzianych do skanowania,
  • opcjonalną instalację Agentów,
  • opcjonalne wykonanie pierwszego skanowania.

Wymagane jest dodanie co najmniej jednego hosta. Pozostałe kroki można pominąć i wrócić do nich później. Po utworzeniu przestrzeni audytu nowe hosty można dodawać w dowolnym czasie, a samo skanowanie uruchamiać wtedy, gdy będzie potrzebne.

Dodawanie hostów do skanowania

Host w Ewida Audit reprezentuje komputer, który ma zostać przeskanowany. Aby uruchomić kreator dodawania hostów, należy użyć opcji:
Menu > Host > Nowy

Hosty można dodawać na kilka sposobów:

  • Wyszukaj hosty (LAN) — automatyczne wyszukiwanie komputerów w sieci lokalnej.
  • Active Directory — import komputerów z określonej ścieżki LDAP.
  • Skanowanie IP — przejście przez wskazany zakres adresów IP z użyciem pingu i danych DNS.
  • Manualne wprowadzenie — ręczne dodanie hosta z poprawną wartością pola Nazwa hosta (HostName).
  • Import — import hostów z innego audytu albo z bazy Ewida Standard.
  • Pliki skanowania — automatyczne utworzenie hosta przy ładowaniu plików skanowania.

W praktyce metoda dodawania hostów zależy od tego, jak uporządkowana jest infrastruktura i skąd najłatwiej pozyskać wiarygodne dane o komputerach.

Host i obiekty powiązane

Podczas wprowadzania hostów można od razu dodać ich obiekty powiązane. W tym celu trzeba przejść do trybu edycji hosta i otworzyć zakładkę Obiekty powiązane.

Najczęściej wykorzystywane powiązania to:

  • Licencja — przydzielona do hosta w trybie audyt-autodopasowanie, który pozwala automatycznie dopasowywać licencje do wykrytego oprogramowania podczas rozpoznania danych.
  • Użytkownik — host może pobierać od niego dane lokalizacyjne, takie jak lokalizacja, oddział, sekcja i numer pokoju.

To przydatne, gdy już na etapie przygotowania audytu wiadomo, który użytkownik odpowiada za dane stanowisko albo które licencje powinny być brane pod uwagę przy analizie hosta.

Okno skanowania hostów

Zdalne skanowanie komputerów uruchamia się za pomocą Kreatora skanowania hostów. Można go otworzyć przez opcję:
Menu > Audyt > Skanuj

To samo okno jest dostępne również z poziomu kreatora nowego audytu. Właśnie tutaj wybiera się hosty do skanowania, ustawia metody połączenia i uruchamia cały proces audytu.

Tryby skanowania komputerów

Każdy host można skanować inną metodą. W polu Tryb skanowania wybiera się sposób połączenia dla konkretnego komputera. Dostępne są trzy podstawowe tryby:

  • Local — skanowanie komputera lokalnego, na którym działa Ewida Audit.
  • Agent — skanowanie z użyciem wcześniej zainstalowanego Agenta.
  • DCOM — skanowanie przez zdalne połączenie DCOM, po wcześniejszej konfiguracji systemu.

Dzięki temu w jednym procesie można łączyć różne metody pracy. To ważne w środowiskach mieszanych, gdzie część komputerów jest przygotowana pod Agentów, a część skanowana doraźnie przez DCOM lub lokalnie.

Dodawanie, edycja i usuwanie hostów ze skanowania

W oknie skanowania można zarządzać listą komputerów objętych bieżącym procesem. Do dyspozycji są trzy podstawowe operacje:

  • Dodawanie hostów do skanowania — przez przycisk dodawania albo menu kontekstowe.
  • Edycja hostów — przez przycisk edycji albo menu kontekstowe hosta.
  • Usuwanie hostów ze skanowania — usunięcie wybranych hostów, wszystkich hostów albo tylko tych z błędami połączenia.

Warto pamiętać, że usunięcie hosta z bieżącego procesu nie usuwa go z bazy danych audytu. Oznacza jedynie pominięcie go podczas aktualnie uruchamianego skanowania.

Test połączenia przed skanowaniem

Przed rozpoczęciem skanowania każdy host powinien poprawnie przejść test połączenia. Test uruchamia się automatycznie po dodaniu hosta do listy, ale można go też wywołać ręcznie przyciskiem Test połączenia.

To ważny etap, ponieważ pozwala wychwycić błędy konfiguracji jeszcze przed uruchomieniem właściwego procesu. W praktyce warto najpierw doprowadzić listę hostów do stanu bez błędów, a dopiero potem rozpocząć skanowanie.

Najczęstsze błędy DCOM

W przypadku połączeń DCOM najczęściej pojawiają się trzy grupy problemów:

  • Brak odpowiedzi na PING — zwykle oznacza błędną nazwę hosta, wyłączony komputer albo brak dostępności sieciowej.
  • The RPC Server is unavailable — najczęściej wskazuje na nieprawidłową konfigurację zdalnego dostępu DCOM.
  • Access Denied — zwykle oznacza błędną konfigurację autoryzacji zdalnej, czyli loginu i hasła administratora używanego do połączenia.

Przy błędach DCOM warto sprawdzić jednocześnie kilka obszarów: nazwę hosta, odpowiedź sieciową, ustawienia firewalla, konfigurację WMI oraz dane logowania przypisane do hosta.

Rozpoczęcie i przerywanie procesu skanowania

Aby uruchomić skanowanie komputerów, należy użyć przycisku Rozpocznij proces. Każdy host jest skanowany w osobnym wątku, a ich łączny limit można ustawić w opcjach ogólnych audytu.

W środowiskach wolniejszych albo przeciążonych można dodatkowo dostosować timeout zapytań zdalnych. To przydatne wtedy, gdy połączenia są niestabilne lub komputery odpowiadają z opóźnieniem.

Proces można przerwać w całości przyciskiem Przerwij proces albo zatrzymać skanowanie tylko dla wybranego hosta za pomocą jego menu kontekstowego.

Log skanowania hosta

Przebieg zdalnego skanowania można obserwować w czasie rzeczywistym. Służy do tego przycisk Log audytu hosta albo odpowiednia opcja w menu kontekstowym hosta.

Dla wybranego komputera otwierane jest osobne okno tekstowe, do którego trafiają komunikaty z aktualnie wykonywanego procesu. To bardzo przydatne przy diagnostyce błędów, ponieważ pozwala zobaczyć dokładnie, na którym etapie skanowanie się zatrzymało lub co zostało wykonane poprawnie.

DCOM - kiedy warto używać tej metody

Skanowanie przez DCOM jest jedną z trzech metod dostępnych w Ewida Audit. Sprawdza się tam, gdzie nie ma potrzeby instalowania Agenta, ale komputery są odpowiednio przygotowane do zdalnego połączenia administracyjnego.

Trzeba jednak pamiętać, że konfiguracja DCOM zależy od wersji systemu Windows, polityk bezpieczeństwa oraz uprawnień administracyjnych. W części środowisk będzie to szybka i wygodna metoda, a w innych bardziej praktyczne okaże się użycie Agenta albo lokalnego skanowania.

Windows Firewall - włączenie zdalnego zarządzania

Przy konfiguracji DCOM jednym z pierwszych obszarów do sprawdzenia jest firewall systemu Windows. Należy upewnić się, że zdalne zarządzanie i wymagane wyjątki sieciowe są dozwolone dla danego komputera.

  1. Uruchom gpedit.msc.
  2. Przejdź do gałęzi polityk związanych z zaporą systemu Windows.
  3. Sprawdź ustawienia wyjątków administracji zdalnej, ICMP, portów lokalnych i programów lokalnych.

W niektórych środowiskach część tych ustawień może już być nadana centralnie przez administratora domeny, dlatego nie zawsze trzeba wprowadzać wszystkie zmiany ręcznie.

WMI - zabezpieczenia i uprawnienia

Drugim ważnym obszarem jest konfiguracja WMI. Dla poprawnego działania zdalnego skanowania trzeba sprawdzić, czy grupa administratorów ma wymagane prawa do odpowiednich obszarów nazw i podobszarów WMI.

  1. Uruchom wmimgmt.msc.
  2. Otwórz właściwości Sterowanie usługą WMI (lokalnie).
  3. Przejdź do zakładki Zabezpieczenia.
  4. Sprawdź uprawnienia dla grupy Administratorzy w zakresie obszaru Root i jego podobszarów.

Brak odpowiednich praw w WMI bardzo często powoduje problemy z odczytem danych o systemie i sprzęcie, nawet jeśli sam host jest osiągalny w sieci.

DCOM - ustawienia domyślne

Kolejnym etapem jest sprawdzenie ogólnych ustawień DCOM. W tym celu należy otworzyć dcomcnfg.exe i przejść do właściwości Mój komputer w gałęzi usług składowych.

Warto zweryfikować przede wszystkim:

  • czy włączony jest model obiektów rozproszonych COM,
  • czy poziom uwierzytelniania ustawiony jest odpowiednio dla środowiska,
  • czy poziom personifikacji pozwala na poprawne połączenie,
  • czy grupa administratorów ma właściwe uprawnienia uruchamiania i aktywacji,
  • czy te same zasady obowiązują również w limitach zabezpieczeń COM.

To właśnie w tej części konfiguracji często znajdują się przyczyny błędów typu Access Denied albo problemów z aktywacją połączenia zdalnego.

Dodatkowe informacje przy trudnych problemach z połączeniem

Jeżeli mimo poprawnego ustawienia firewalla, WMI i DCOM połączenie nadal nie działa, warto sprawdzić dodatkowe elementy środowiska.

Zasady zabezpieczeń lokalnych

W secpol.msc należy sprawdzić ustawienia modelu zabezpieczeń dla kont lokalnych. W niektórych konfiguracjach wymagany jest tryb klasyczny.

Starsze systemy Windows

W przypadku bardzo starych systemów mogą być potrzebne dodatkowe komponenty lub wpisy rejestru związane z WMI i DCOM. Dotyczy to głównie historycznych wersji Windows, które dziś spotyka się już rzadko.

Znane ograniczenia kompatybilności

  • Windows XP Home nie obsługuje zdalnego zarządzania w sposób wymagany do takiego skanowania.
  • Część starszych systemów ma ograniczoną zgodność z nowszymi wersjami Windows.

W praktyce, jeżeli środowisko jest mocno zróżnicowane albo obejmuje starsze systemy, często szybciej i pewniej jest użyć Agenta lub skanowania lokalnego.

Konto Administratora

Przy połączeniach DCOM oraz innych metodach zdalnego skanowania bardzo ważne jest poprawne konto administratora. Należy upewnić się, że konto jest aktywne, ma ustawione hasło i zostało prawidłowo wskazane w konfiguracji hosta w Ewida Audit.

Najczęściej oznacza to sprawdzenie statusu konta Administratora z poziomu wiersza poleceń oraz upewnienie się, że dane logowania wpisane w polu Autoryzacja zdalna odpowiadają rzeczywistej konfiguracji komputera docelowego.

To jeden z najprostszych, ale i najczęściej pomijanych elementów konfiguracji. Bez poprawnych danych administratora nawet dobrze przygotowany komputer może nie przejść testu połączenia.