LanScope Catの配布機能を使ったWindows10の簡易キッティング
noteは初めて書きます。
LanScopeUserCommunityのアドベントカレンダーに参加したのがきっかけです。
当社ではMOTEX社のLanScope Catを導入し、運用しています。ログ監視からデバイス制御、ネットワークアクセス制限等、多くの機能を備える統合セキュリティソフトです。
会社跨いで使用していますが、「猫好きだから選んだんだろ」みたいに言われることもありました。でも、青空も好きなので問題ありません。
先頃、ISMS認証を取得しましたが、審査で「LanScopeを非常によく活用している印象を持った」というコメントを頂きました。いずれ機会があったら、ISO27001の管理策とLanScope Catの機能対応なんか作ってみようかなと思ってます。
今回はキッティングについて書きます。
クローニングやプロビジョニングするほどの規模ではない。月数台、パラパラと新入社員なり、故障交換なりで設定作業を行っている規模感の組織におすすめの方法です。この規模だとキッティングやプロビジョニングは効率が良くないと考えます←テストまでしかしたことないですが。
だいたい、そんな規模の会社だからこそ、手作業でやってると設定漏れとか起きて面倒なことになります。
「標準化」こそ情シスの生業(私見)
で、基本的には能書き通りなのですが、ソフトウェアの管理について、非常に可能性のある機能だと感じたので、これが出来るようになるといいなをここで表現し、ついに実装されました!を狙います。MOTEXさんよろしくお願いします。
新規クライアントへの配布設定の概要
新規クライアントへの配布機能が備わったのはいつのバージョンからだったか忘れましたが、クライアントエージェント(MR)が新たにインストールされた端末に対し、予め設定しておいた配布設定が実行される機能となります。
前は新規端末にはログオンスクリプトなんかを使ってバッチで実行したりしてましたね(ログオンスクリプト用MR配布スクリプトは改造の元ネタにもってこいです)。大きい会社だとクローンとかプロビジョニング使うところでしょうが、構成変更のたびに毎回変更もしないでしょうし、既存端末への配布も実施するでしょうから、差分をこの「新規クライアントへの配布設定」で行うのはありなんじゃないでしょうか。
当社の場合は規模的にクローニングやプロビジョニングは効率が悪いので、専らLanScope Catを使用してキッティングしています。
ドメインに入れて、LanScope Catのクライアントエージェント(MR)のインストールをする。あとは待ってれば終わります。その間にアカウント関係の処理!
新規クライアントへの配布設定の内容
通常の配布設定を作成し、そこから選ぶ形です。
新規クライアント専用に作成しても良いし、既存端末への配布と兼用でも良いと思います。
当社では、新規クライアントへの配布設定用は稼動中端末への配布とは分けており、新規にクライアントへの配布については、
・配布設定名に「新規」と入れる
・完了ダイアログを表示させる
というルールにしています。下のように配布状況で確認する方が良い場合もあるでしょうね。
実行条件の設定
新規クライアントへの配布設定では、配布を実行する条件を指定出来ます。いや、必須でした。指定しなければならない。
・条件に設定したアプリのうち、どれか1つでもインストールされている
もしくは
・条件に設定したアプリのうち、どれか1つでもインストールされていない
↓こうです
当社では新規クライアントに関してはもれなく実行したいので、新規クライアントにはあり得ない”7-ZIPがインストールされてない”のを条件にしています。
"notepad.exeがインストールされている"でもいいでしょう。
ここでMOTEXさん!この機能は、”新規クライアントが対象”なわけですから、条件いらないような気がするのですが、どうでしょう?!
以下は改善要望です。
上の図のようにバージョンも検知できるので、既存クライアントへの配布もこのように条件で実行できるようになったら、アップデートにも使えるし、そもそも新規と既存のクライアントを区別して配布実行する必要もなくなります。
実行するのをアンインストーラにすれば、ソフトウェアの乗り換え(ウィルス対策ソフトとか)にも使用できますね。
新規クライアントへの配布にここまで条件細かく設定できる必要はないと思う!ので、きっと開発が進んでいるはず!中の人よろしくお願いします。
会社跨いで6から使っていますが、その頃から思っていることです。
あ、でもWEBコンソールでFlashやJavaのアップデートが非常に簡単になったことはアピールしておかないと。この部分は配布機能使わなくても良さそうですね。本当に助かっています。
配布してるもの
こんなのを配布しています。グループポリシーで出来るのも一部入ってますが、いろいろ理由があったりします(社外秘)。
いずれもサイレントインストールです(配布に使うスクリプトや実行オプションをコミュニティで共有できたら素敵だなあと)。
ほんとにこれだけで終わっちゃいます。その間にADのアカウントとか、Googleのアカウントとか諸々作る。その間に終わってます。
あ、Anまだやってなかった。。。
配布機能におけるその他要望
以前は出来たと思いますが、配布対象のアップデートがあった時に、配布ファイルだけを差し替える運用が出来なくなりました(ファイルのハッシュ値をチェックしている)。
セキュリティ的には理解できるのですが。せめて全ステップやり直すのではなく、ファイル差し替えだけ、さくっと出来るようにしてもらえると幸せ。
まとめ
エージェントをインストールするだけで、設定しておいた配布設定が実行され、ソフトウェアのインストールや設定が完了してしちゃいます。
今は新規にエージェントをインストールした場合だけ自動実行される→きっといつか既存クライアントへの自動実行が実装される、されてほしい。
配布設定をエクスポートとか出来て、スクリプトなども含めてコミュニティで共有できたら幸せになる情シスが増える気がする。
以上、要望がいつか実装されますように!
…実は出来ます!だったらすみませんすみません(追加の記事書きます)