Az alábbi cikkben a System Center Endpoint Protection 2012 SP1 (a továbbiakban SCEP) verziójával használható különböző definíciós állomány frissítési konfigurációkat mutatom be – kiemelve a System Center Configuration Manager 2012 SP1 integrált megoldás részleteit.
A frissítések központi terítésére az alábbi alternatívák állnak rendelkezésre:
- Configuration Manager integrált terítés – ebben az esetben a Configuration Manager Software Update Management szolgáltatásán keresztül jutnak el a frissítések a kliensekig.
- Windows Server Update Services (WSUS) – ebben az esetben a vállalati WSUS infrastruktúrán keresztül jutnak el a frissítések a kliensekig.
- Microsoft Update – ebben az esetben a kliensek direktben kapcsolódnak a Microsoft Update szolgáltatáshoz és töltik le a számukra szükséges frissítéseket.
- Microsoft Malware Protection Center – ebben az esetben a Microsoft Malware Protection Center szolgáltatáshoz csatlakoznak a kliensek és töltik le a számukra szükséges frissítéseket.
- UNC megosztás – ebben az esetben a frissítéseket valamilyen automatizált módon letöltjük és egy megosztáson keresztül tesszük elérhetővé a kliensek számára.
A Configuration Manager integrált megoldás kivételével mindegyik alternatíva esetében a frissítések menedzsmentje a SCEP kliensen keresztül történik. A különböző beállítások központi terítésére az Antimalware Policy-k szolgálnak, melyeket a Configuration Manager-ben definiálhatunk.
A Configuration Manager integrált megoldás esetében a frissítések letöltését a Configuration Manager végzi, ennek automatizálására Automatic Deployment Rule (ADR a továbbiakban) létrehozása szolgál – ami adott feltételeknek megfelelően letölti és publikálja az aktuális frissítéseket a kliensek felé. Az ADR-t 8 óránként sűrűbben futtatni nem érdemes. A frissen publikált frissítésekről a Configuration Manager agent-ek a soron következő házirend letöltés után tudomást szereznek, majd a Windows Update Agent segítségével kiértékelik azokat és a szükségesnek ítélt frissítéseket a Configuration Manager agent telepíti az adott számítógépre. Az aktuálisan használatban lévő definíciós állományról a SCEP UI-on keresztül tájékozódhatunk.
Amennyiben nem az elvárásainknak megfelelően működik a frissítések terítése, a nyomozás során az alábbiak segíthetnek:
- Ha kizárólag Configuration Manager integrált forrást állítottunk be, a SCEP UI-on keresztül nem lehet azonnali frissítési folyamatot indítani az alábbi képen látható ’Update’ gomb megnyomásával – ez megfelel az elvárt működésnek a korábban
ismertetettekkel összhangban.
Minden más esetben használható a felület pl.: WSUS, UNC, stb.
- Configuration Manager specifikus log-ok (C:\Windows\CCM\Logs):
- ccmexec.log
- updatesdeployment.log
- execmgr.log
- ciagent.log
- updateshandler.log
- scanagent.log
- wuahandler.log
- SCEP kliens specifikus log-ok (C:\ProgramData\Microsoft\Microsoft Antimalware\Support):
- MPDetection-<date-timestamp>.log
- MPLog-<date-timestamp>.log
- MPCacheStats.log
- Végül, de nem utolsó sorban rengeteg hasznos információ található a Windows Update log-ban (C:\Windows\windowsupdate.log), a következő bejegyzésekre érdemes keresni:
- Configuration Manager agent által indított hívás:
COMAPI -- START -- COMAPI: Init Search [ClientId = CcmExec]
- SCEP kliens által indított hívás:
COMAPI -- START -- COMAPI: Init Search [ClientId = System Center 2012 Endpoint Protection]