Freitag, 28. Dezember 2018

Softwareverteilung ist Sicherheitsmanagement

UPDATENOW

EmpirumAgentInstaller

 

Autor: Frank Dethlefsen

Datum: 07.12.2018

Version: 1.8.12.7

 

Matrix42 und Empirum sind registrierte Markennamen der Matrix42 AG.

 

Funktionsbeschreibung

Mit der Verteilung von Software-/Patchmanagement-Paketen über den Empirum Advanced Agent oder UEM Agent sollte der Sicherheitsstatus auf dem Computer möglichst aktuell gehalten werden. Deshalb ist es unerlässlich auf sämtlichen Computern einen funktionsfähigen Empirum Advanced Agent oder UEM Agent zu betreiben. Erfahrungen zeigen, dass die Agenten aus diversen Ursachen (Windows Updates, Administratorrechte, Virenscanner, Fehlkonfigurationen, usw.) immer wieder mal gestört werden und deshalb nicht einsatzbereit sind, um den Sicherheitsstatus des Computers zu gewährleisten. Dem soll der EmpirumAgentInstaller entgegenwirken. Er wird bei jedem Computerstart über eine ADS Start-Skript-Gruppenrichtlinie gestartet, überprüft den Empirum Advanced Agent oder UEM Agent Funktion und protokolliert das Ergebnis in einer zentralen Log-Freigabe. Falls der EmpirumAgentInstaller eine Störung erkennt, wird der Agent automatisch vollständig entfernt, neu installiert und konfiguriert.

 

Setup

Melden Sie sich auf dem Haupt-EmpirumServer per Remotedesktop administrativ an und führen Sie die „upDateNow EmpirumAgentInstaller 2018.12.exe“ aus. (*1 siehe Anmerkungen ganz unten). Es erscheint ein Bestätigungsdialog, ob die Installation durchgeführt werden soll. Wählen Sie „continue“ für fortsetzen aus. Nun wird der aktuelle Empirum Advanced Agent in eine selbstextrahierende EmpirumAgent.exe und der aktuelle UEM Agent in eine selbstextrahierende UEMgent.exe gepackt. Es wurde ein Verzeichnis \Empirum\upDateNow\EmpirumAgentInstaller erstellt, in dem sich nun folgende Dateien und Ordner befinden:

Datei: EmpirumAgentInstaller.htm

Anleitung, die über den Link aus dem Startmenü\Programme\upDateNow\ EmpirumAgentInstaller\upDateNow EmpirumAgentInstaller - Tutorial aufgerufen werden kann.

 

Ordner: Correct

In diesem Ordner werden sämtliche Logs von den funktionsbereiten Empirum Advanced Agent oder UEM Agent gesammelt.

 

Ordner: Error

In diesem Ordner werden sämtliche Logs von dem gestörten Empirum Advanced Agent oder UEM Agent gesammelt.

 

Ordner: Install

In diesem Ordner werden sämtliche Installationslogs von dem Empirum Advanced Agent oder UEM Agent gesammelt.

 

Ordner: Source

Dieser Ordner beinhaltet sämtliche Dateien, die Sie später in den entsprechenden Ordner der ADS Start-Skript-Gruppenrichtlinie manuell kopieren müssen.

Ordner: EmpInv

Programm-Ordner für die Empirum-Inventarisierungskomponenten

 

Datei: EmpirumAgentInstaller.exe

Programm, das die Funktion des Empirum Advanced Agent und des UEM Agent prüft und ggf. neu installiert

 

Datei: EmpirumAgentInstaller.ini

Konfigurationsdatei für die EmpirumAgentInstaller.exe

 

Datei: EmpirumAgent.exe

Erzeugter Selbstextrakter vom Empirum Advanced Agent für die Installation

 

Datei: UEMAgent.exe

Erzeugter Selbstextrakter vom UEM Agent für die Installation

 

Datei: DefaultAgentConfig.xml

Agent-Standard-Konfigurationstemplate

 

Ordner: Utils

Dieser Ordner beinhaltet Werkzeuge, die in der einen oder anderen Situation für die manuelle Entstörung des Agenten hilfreich seien können.

Datei: NETFramework4x-Cleaner.exe

Das Programm, entfernt alle Microsoft .NET Framework 4.0-4.7.2 Versionen, die nicht zum Betriebssystem gehören.

 

Datei: VC2015Redist-Uninstaller.exe

Das Programm, deinstalliert Microsoft Visual C++ Redistributable für Visual Studio 2015

 

Datei: EmpirumAgentCleaner.exe

Das Programm, entfernt nur den Empirum Advanced Agent und den UEM Agent

 

Datei: EmpirumAgentForceInstaller.exe

Das Programm, erzwingt die Entfernung des Agenten und installiert den Empirum Advanced Agent oder UEM Agent neu. Das Programm muss für den Einsatz in den Source Ordner kopiert werden.

 

Konfigurationseinstellungen EmpirumAgentInstaller.ini

Das Setup hat die EmpirumAgentInstaller.ini standardmäßig vorkonfiguriert. Folgende Optionen können Sie anpassen:

 

LOGSHARE

UNC-Pfad von der zentralen Log-Freigabe, in die die Logdateien zurückgeschrieben werden.

 

USERNAME

Verbindungsbenutzer zu der zentralen Log-Freigabe.

 

PASSWORD

Verbindungsbenutzerpasswort. Starten Sie die “EmpirumAgentInstaller.exe /enpass”, um ein verschlüsseltes Passwort zu erzeugen oder geben Sie eines in Klarschrift an.

 

MD5_EMPIRUMAGENT.EXE

Optional können Sie die MD5-Checksumme von der EmpirumAgent.exe hinterlegen. Falls der Wert nicht gesetzt ist, wird keine MD5-Checksummenprüfung verwendet. Durch Ausführung der Kommandozeile "EmpirumAgentInstaller.exe /CreateMD5 ADV" wird die MD5-Checksumme von der EmpirumAgent.exe in der EmpirumAgentInstaller.ini erzeugt.

 

MD5_UEMMAGENT.EXE

Optional können Sie die MD5-Checksumme von der UEMAgent.exe hinterlegen. Falls der Wert nicht gesetzt ist, wird keine MD5-Checksummenprüfung verwendet. Durch Ausführung der Kommandozeile "EmpirumAgentInstaller.exe /CreateMD5 UEM" wird die MD5-Checksumme von der UEMAgent.exe in der EmpirumAgentInstaller.ini erzeugt.

 

CHECK_ONLY

Setzen Sie den Wert auf 1, wenn der EmpirumAgentInstaller nur nach der Funktion des Empirum Advanced Agent oder des UEM Agent prüfen soll. Es wird im Störungsfall keine Neuinstallation durchgeführt.

 

OS PERMISSION

Setzen Sie den Wert auf „ADV“ für den Empirum Advanced Agent oder „UEM“ für den UEM Agent auf den Betriebssystemen, auf denen Sie die Funktionsprüfung grundsätzlich erlauben wollen. Z.B.

Win_7_x86      = ADV

Win_7_x64      = ADV

Win_8_x86      = ADV

Win_8_x64      = ADV

Win_81_x86    = ADV

Win_81_x64    = ADV

Win_10_x86    = UEM

Win_10_x64    = UEM

 

CHECK_ONLY_IF_EMPIRUM_AGENT_WAS_INSTALLED

Setzen Sie den Wert auf 1, wenn der EmpirumAgentInstaller nur nach der Funktion des Empirum Advanced Agent oder des UEM Agent prüfen soll, wenn dieser zuvor schon installiert war.

 

INSTALLATION_ATTEMPTS

Optional können Sie einen Schwellenwert 1 oder höher als Anzahl für die Installationsversuche setzen. Wird der Schwellenwert erreicht, wird vom Computer eine Logdatei im Error Verzeichnis in der Logfreigabe erstellt. Der Computer gilt dann als unheilbar und es wird kein weiterer Installationsversuch unternommen. Der Computer muss dann manuell bzw. durch eine Neuinstallation des Betriebssystems instandgesetzt werden. Ist die Option 0 oder leer, sind unbegrenzt Installationsversuche möglich.

 

Besondere Konfigurationseinstellungen

Wenn es lokal auf dem Computer eine Datei C:\Windows\noEmpirumAgent.ini gibt, wird der Computer grundsätzlich von der Funktionsprüfung ausgeschlossen.

Wenn es lokal auf dem Computer die Datei C:\Windows\EmpirumAgentInstaller.ini gibt, kann die vorgegebene OS PERMISSION z.B. zum Testen des UEM Agent unter Windows 10 lokal geändert werden.

 

Einrichtung der ADS Start-Skript-Gruppenrichtlinie

Starten Sie die ADS Gruppenrichtlinienverwaltung und erstellen Sie ein Gruppenrichtlinienobjekt mit dem Namen "upDateNow EmpirumAgentInstaller". Richten Sie auf das Gruppenrichtlinienobjekt folgende Richtlinie ein: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Skripts (Start/Herunterfahren) > Starten > Skripts. Klicken Sie den Button „Dateien anzeigen“ an. Es öffnet sich ein Explorer-Fenster mit Pfad zum Startup-Ordner auf dem Domain-Controller. \\<AD-FQDN>\SysVol\<AD-FQDN>\Policies\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\Machine\Scripts\Startup

Kopieren Sie den gesamten Inhalt des Ordners \\<Haupt-EmpirumServer>\\EmpirumAgentInstaller$\Source\*.* in den obigen Startup-Ordner.

Fügen Sie anschließend die EmpirumAgentInstaller.exe als Skript hinzu und bestätigen Sie die Auswahl mit „übernehmen“.

Weisen Sie nun das Gruppenrichtlinienobjekt „upDateNow EmpirumAgentInstaller“ den ADS-Organisationseinheiten (OU) zu, in denen sich die zu überprüfenden Computerobjekte befinden.

 

Zentrale Log-Freigabe und Unterordner Correct, Error und Install

Log-Freigabe: \\<Haupt-EmpirumServer>\EmpirumAgentInstaller$

\Correct: Der EmpirumAgentInstaller schreibt bzw. überschreibt für jeden funktionierenden Empirum Advanced Agent oder UEM Agent eine Datei <Computername>.log in den Log-Freigabeunterordner Correct. Es wird immer nur der letzte Status vorgehalten.

\Error: Der EmpirumAgentInstaller schreibt für jeden nicht funktionierenden Empirum Advanced Agent oder UEM Agent eine Datei <Computername>.log in den Log-Unterordner Error. Es wird immer nur der letzte Status vorgehalten. Computer, die hier auftauchen müssen manuell instandgesetzt werden oder wenn nötig, das Betriebssystem neu installiert bekommen.

\Install: Der EmpirumAgentInstaller schreibt für jede Empirum Advanced Agent oder UEM Agent Installation eine Datei <Computername>_<Datum>_<Uhrzeit>_(<Installationsversuch>).log in den Log-Unterordner Install. Es wird eine Log-Historie erstellt, anhand derer erkennbar ist, dass ein Computer sehr häufig oder permanent neu installiert wird. Hier sollte man manuell eingreifen bzw. den Computer ggf. neu installieren.

 

Inventarisierung in der Matrix42 Management Console

Ist die Empirum Advanced Agent oder UEM Agent-Funktionsprüfung nicht erfolgreich, wird der Agent entfernt und neu installiert. Der Computer wird dann wird zusätzlich inventarisiert. Falls der Computer zuvor nicht zugeordnet war, finden Sie das Computerobjekt anschließend unter „Nicht zugeordnete Computer“ in der Matrix42 Management Console.

 

SWDepot-Log in der Matrix42 Management Console

Ist die Empirum Advanced Agent- oder UEM Agent-Funktionsprüfung nicht erfolgreich, wird der Agent entfernt und neu installiert. Das Installationsergebnis wird zusätzlich in der Matrix42 Management Console im SWDepot-Log geloggt.

15.07.2017 23:22:59    Domain    Computername    User    EmpirumAgentInstallerLog    1.0    0    Install    Success    INFO: Empirum Advanced Agent was installed and started successfully.

 

Lokales Log-Verzeichnis auf dem Computer

Die Empirum Advanced Agent oder UEM Agent -Funktionsprüfung und ggf. die Agent-Installation werden auf dem lokalen Computer im folgenden Verzeichnis protokolliert:

C:\ProgramData\upDateNow\EmpirumAgentInstaller\<Computername>.log

 

Neukonfiguration

Falls Sie ein Empirum Update bzw. eine neue Empirum Advanced Agent- oder UEM Agent-Version einsetzen oder eine Konfigurationsänderung vornehmen möchten, wiederholen Sie den Setup-Vorgang mit der „upDateNow EmpirumAgentInstaller 2018.12.exe“ wie oben beschrieben.

 

Manuelle Entstörung

Computer, die der EmpirumAgentInstaller als unheilbar einstuft (siehe Error-Verzeichnis), müssen manuell instandgesetzt werden. Erfahrungen zeigen, dass häufig eine fehlerhafte voraussetzende Komponenten Microsoft Visual C++ 2015/2017 Redistributable oder Microsoft .NET Framework 4.x die Ursache für die Störung des Empirum Agenten ist. Eine vollständige Entfernung und Neuinstallation der Komponente behebt meistens die Problemursache. upDateNow stellt für die Entfernung zwei Programmwerkzeuge „NETFramework4x-Cleaner.exe“ und „VC2015Redist-Uninstaller.exe“ im Verzeichnis \\<Haupt-EmpirumServer>\EmpirumAgentInstaller$\Utils bereit. Gehen Sie folgendermaßen für manuelle Entstörung vor: Melden Sie sich am Problemcomputer administrativ an. Führen Sie „NETFramework4x-Cleaner.exe“ und „VC2015Redist-Uninstaller.exe“ aus. Starten Sie den Computer neu. Warten Sie ca. 8 Minuten bis der Empirum Advanced Agent oder UEM Agent samt seinen voraussetzenden Komponenten vom EmpirumAgentInstaller neu installiert wurde. Sollte der Empirum Advanced Agent oder UEM Agent weiterhin eine Funktionsstörung haben, sollte man eine Betriebssystem-Neuinstallation in Betracht ziehen.

 

Sonstige Hinweise

Das Programm EmpirumAgentInstaller.exe ist ein 32-Bit Microsoft Foundation Classes basierendes Programm, das außer dem Betriebssystem Windows selbst keinerlei Voraussetzungen wie z.B. Microsoft Visual C++ 2015 Redistributable oder Microsoft .NET Framework 4.6.1 benötigt und ist deshalb prädestiniert für die Reparatur des Empirum Advanced Agent oder UEM Agent und dessen Voraussetzungen. Das Programm erfordert Administratorrechte für die Ausführung.

 

Sollten Sie Fragen, Probleme oder Anregungen haben, stehe ich Ihnen gerne per Email zu Verfügung: Frank.Dethlefsen@upDateNow.de

 

*1: Uns ist bewusst, dass die Ausführung der „upDateNow EmpirumAgentInstaller 2018.12.exe“ auf einem Server aus Sicherheitsgründen nicht üblich ist. Wir haben uns dennoch dafür entschieden, weil es die Installation und Konfiguration sehr vereinfacht. Um sich davon zu überzeugen, was das Setup macht, können Sie die „upDateNow EmpirumAgentInstaller 2018.12.exe“ mit 7-Zip entpacken und das Installationsskript unter Install\Setup.inf analysieren.

 

 

Copyright © 2018 upDateNow GmbH

Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte liegen bei der upDateNow GmbH. Jede andere Nutzung, insbesondere die Weitergabe an Dritte, Speicherung innerhalb eines Datensystems, Verbreitung, Bearbeitung, Vortrag, Aufführung und Vorführung sind untersagt. Dies gilt sowohl für das gesamte Dokument als auch für Teile davon. Änderungen sind vorbehalten. Nachdruck, auch auszugsweise, ist nur mit schriftlicher Genehmigung der upDateNow GmbH gestattet.

 

Matrix42 und Empirum sind registrierte Markennamen der Matrix42 AG.

 

upDateNow GmbH

Wacholderweg 7

44869 Bochum

Deutschland

Tel.:     +49 (0)2327 - 689 - 9977

Fax:     +49 (0)2327 - 689 - 9881

E-Mail: Info@upDateNow.email

Web:   https://www.upDateNow.de

Keine Kommentare:

Kommentar veröffentlichen