Was ist der Präsentationsmodus?

Der Präsentationsmodus (Presentation mode) ist eine Funktion des Betriebssystems, der von Programmen eingeschaltet und von anderen Programmen systemweit ausgewertet werden kann. Der Präsentationsmodus wird zumeist von Programmen gesetzt die im Vollbild-Modus ausgeführt werden, wie aktive Präsentationen (Microsoft Powerpoint, etc.), Kiosk Modus von Browsern, jedoch auch von Vollbild Terminal Server Sitzungen, Citrix Wokspace App Sitzungen, uvm..

Präsentationsmodus und Empirum UEM Agent

Matrix42 hat sich diese Funktion zu Nutze gemacht und wertet den Präsentationsmodus aus, um den Anwender davor zu schützen, das Software-Installationen während einer laufenden Präsentation starten. Damit man eben nicht nur ein Programm und somit Anwendungsfall abfragt, wo es doch eine Vielzahl an Programmen und Anwendungsfälle gibt, wertet der UEM Agent je nach Konfiguration genau diesen Präsentationsmodus aus.

Feststellungen

So kann es in einer bestehenden Umgebung vorkommen, dass bei der häufigen Nutzung von Programmen, die den Präsentationsmodus aktivieren, die Installation(en) nicht starten. Dies kommt u.a. dann vor, wenn die Windows Clients als „Terminal Clients“ im HomeOffice genutzt werden. Ähnliche Konstellationen treffen auf Administratoren zu, die per Remotedesktopverbindung (mstsc) auf Windows Server aufgeschaltet sind.

Wie bekommen ich nun wichtige Software trotz alledem installiert?

Bei der Zuweisung einer Software wird im Standard die Verteilungsoption „Installieren und Erneuern“ gesetzt. Ergänzt man die Verteilungsoption um die Option „Installationszeitraum ignorieren“, wird die Installation auch bei gesetztem Präsentationsmodus ausgeführt.

Eine weitere Möglichkeit ist natürlich auch, das man sich für diese Clients eine weiteres Agenten-Template erstellt und zuweist. Hier gilt der Grundsatz der Empirum Console, das nähere am Computer befindliche Objekt hat Vorrang. Welches Agenten-Template tatsächlich angezogen wird, kannst du in den Computereigenschaften unter „Zugeordnete Objekte“ überprüfen.
Eine solches Agenten-Template, also mit deaktiviertem Präsentationsmodus, könnte somit für Computer in der Produktion, Kiosksysteme, Anzeigesysteme, Windows als „Terminal Client“ sinnvoll eingesetzt werden.

Was sagt die Empirum Hilfe?

Hier der dazugehörige Text aus der Empirum Hilfe …
Präsentationsmodus beachten:  Wenn der Anwender diese Funktion aktiviert, verhält sich der Agent während einer Präsentation so, als wäre der Computer außerhalb des Installationszeitraums. Es wird keine Software installiert, es sei denn ein Paket hat die Verteilungsoption „Installationszeitraum ignorieren“ gesetzt.

UEM Agent beachtet Präsentationsmodus – Was nun?

Möchte man die Vorteile des Präsentationsmodus nutzen, um seine Kollegen, Chef, Vorstand nicht zu verärgern :), kann bzw. sollte man meines Erachtens trotzdem zumindest Pakete wie die folgenden mit der obigen Verteilungsoption zusätzlich konfigurieren:

• Empirum Inventory
• Matrix42 Patch-Management (Scan)

Weitere Pakete, wie vielleicht auch das Fix Paket des Patch-Managements, können somit von euch auch entsprechend priorisiert werden.

Da ich hier selbst einige Zeit im Dunkeln getappt bin, habe ich das hier für mich und euch zusammengefasst. Wie sind eure Erfahrungen mit dem Präsentationsmodus oder habt ihr Ergänzungen?

Der Beitrag Empirum: Pakete bleiben im Status Download erschien zuerst auf Workplace Management Blog.

EmoCheck

Das Japan CERT stellt das Werkzeug EmoCheck auf GitHub zum Download bereit. Die Datei(en) müssen von dort heruntergeladen werden, ggf. auf Virustotal geprüft und in das unten stehende Paket eingebunden werden.

wpm-blog EmoCheck Paket

Nachfolgend gib es das wpm-blog EmoCheck Paket zum Download. In der ZIP Datei sind wiederum zwei ZIP Archive. Eines was man für den Import nutzen kann, oder alternativ das Paket zum Entpacken für den Packages Ordner und selbst hinzufügen in das SoftwareDepot. Welche Methode ihr auch immer präferiert, die zuvor genannten EmoCheck*.exe Dateien müssen im „pTools“ Unterordner des Paketes abgelegt werden.

EmoCheck Empirum Package (449 Downloads )
MD5 Hash der Downloaddatei: FEB7522A6A138EED59D779828E784D55

Wie läuft es ab, was kann konfiguriert werden?

Das Paket kopiert das Tool nach „C:\ProgramData\EmoCheck\Exe“ und generiert eine Ausgabe nach „C:\ProgramData\EmoCheck\Log“. Findet es im aktuellen Log einen definierten Text, so wird „Alarm“ geschlagen, indem das Paket auf einen Fehler läuft und je nach gesetzter Variable im Paket auch die Ausgabe auf den EmpirumServer nach „Empirum\Configurator\Log\EmoCheck\<Computername>“ überträgt (Voreinstellung). Die Log Dateien werden auf dem Client in „C:\ProgramData\EmoCheck\Log\Archive“ archiviert. Das Paket kann somit gerne komplett „silent“, mit der Verteilungsoption „Nicht anzeigen“ mittels Zeitplaner regelmäßig ausgeführt werden. Die Deinstallation räumt alles wieder weg.

Nur Überprüfung!

Das EmoCheck Tool, und somit auch dieses Softwarepaket, überprüft nur auf verdächtige Dateien! Falls eine verdächtige Datei gefunden wurde, muss noch Hand angelegt werden. Das Paket erstellt bereits einen Registry-Eintrag mittels dem man, ähnlich der Patch-Management Scan und Fix Kombination, mit einem Aufräumpaket hinterhergehen könnte. Aufgrund der Log/Rollout-Koordinations-Rückmeldungen sollte man die betroffenen Computer jedoch besser vom Netz nehmen bzw. per OS Installation komplett überschreiben.

Letzter Hinweis

Das Paket muss keine verlässliche Prüfung sein, da die Malware Schreiber und Jäger natürlich ein stetes Katz und Maus Spiel betreiben. Einen besseren Schutz bieten hier eher sogenannte NextGen AntiVirus Lösungen, die ausgefeiltere Mechanismen zur Malware Erkennung und Behandlung beinhalten.

Der Beitrag EmoCheck per Empirum Paket erschien zuerst auf Workplace Management Blog.

Empirum Inventory Konfiguration

Damit man die genaue Dateiversion hier angezeigt bekommt, muss man die Konfiguration der Inventarisierung anpassen. Dazu wechselt man in der Management Console unter Konfiguration, Inventory auf das Register Inventory-Konfiguration und öffnet über den „Datei, Öffnen“ Dialog die EmpInvScan_Windows.xml.

Anschließend wählt man in der rechten Baumansicht „Dateisuche“ aus. Nun fügen wir unter der Dateisuche Einträge hinzu (Link zur WebHilfe).Hierbei ist nur der Dateiname, Hersteller und Anwendungsname auszufüllen! Den Rest erledigt die Inventarisierung durch den Parameter /V2 für uns.

Die folgende Liste enthält Beispiele, die je nach Wunsch angepasst werden kann.
Hersteller, Anwendungsname, Dateiname
Matrix42, Empirum Inventory, %SYSTEM%\Empirum\EmpInventory.exe
Matrix42, Empirum Remote Installer Service, %SYSTEM%\Empirum\ERIS.exe
Matrix42, Empirum Personal Backup, %SYSTEM%\Empirum\PBackup.exe
Matrix42, PM3Client, %ProgramFiles%\Matrix42\PM3Client\PM3Client.exe

Hier auch Beispiel für eine nicht Matrix42 Komponente:
Microsoft, Internet Explorer, %ProgramFiles%\Internet Explorer\iexplore.exe

Wenn die Einstellungen vorgenommen wurde, muss die Konfiguration gespeichert werden.
Für die letztendliche Nutzung muss die Konfiguration je nach Infrastruktur ggf. noch auf SubDepots synchronisiert und mittels des EmpirumAgenten auch noch auf die Clients synchronisiert werden. Ab diesem Zeitpunkt sollte dann das Inventory „auskunftsfreudiger“ sein. Hierzu finden sich dann genauere Versionsangaben unter „Inventory\Dateien“ und „Inventory\Software“ eines jeden Computers.

Diese Informationen können natürlich dann auch über Filter, etc. ausgewertet werden.

Der Beitrag Ermittlung installierter Programm-Versionen erschien zuerst auf Workplace Management Blog.

Wenn man nicht weiß, in welcher Datei sich die Einstellung niederschlägt bzw. in welcher Datei die Anpassung vorgenommen werden, kann man die Änderung mittels des PackageWizards und dem Differenzanalyseverfahren (Diff) festhalten.

Variante 1 – Diff bzw. Differenzanalyseverfahren

Das bedeutet, man startet den PackageWizard und wählt den Punkt „Systemanalyse vor und nach der Installation …“ und führt den PreScan durch. Ist der PreScan abgeschlossen, führt man seine Änderung der Einstellung durch bzw. kopiert eine Datei manuell in das Benutzerverzeichnis. Anschließend führt man den PostScan durch. Ist der PostScan erfolgreich abgeschlossen, führt man den PackageWizard Assistenten bis zum Ende durch. Kopieren Sie die Datei nicht auf den EmpirumServer. Wenn man den Haken bei Datei mit dem PackageEditor öffnen wählt, kann man sich die kommenden Schritte sparen.

Nun kann man die gerade erzeugte Setup.inf Datei öffnen. Geben Sie dazu %TEMP% im Windows Explorer ein. Hiermit landet man direkt im temporären Verzeichnis. Hier sollte ein Verzeichnis mit der Herstellerbezeichnung (aus der Eingabe im PackageWizard) vorhanden sein. Darunter befindet sich ein Verzeichnis mit dem Softwarenamen, dann der Version und dann „Install„. Im „Install“ Verzeichnis befindet sich die gerade erstellte Setup.inf.
Jetzt können Sie den Kopierbefehl, als auch die dazugehörige Datei in Ihr ggf. bereits vorhandenes Paket einfügen bzw. übernehmen.

Variante 2 – Empirum Kopierflag CLIENT (pro Benutzer):

Ergänzen der Setup.inf wie folgt. Eintragen eines Sektionsaufrufes unterhalb von [Product] in der passenden Reihenfolge. Vorteilhaft ist es, wenn man den benutzerspezifischen Teil nach der eigentlichen Installation des Programmes ausführt, hier mit Set:Product symbolisiert. Zusätzlich muss die benutzerspezifische Datei (hier: Freecommander.ini) im Ordner (hier: APPDATA\Freecommander) des Programmes unter „Source“ (hier: Packages\<Hersteller>\<Softwarename>\<Version>\) abgelegt werden.

Kopierflags

Die Datei wird in diesem Falle bei einer Deinstallation auch wieder vom Computer entfernt. Ist dies nicht gewünscht, da dann Einstellungen nicht zu einer neu installierten Version übernommen werden, so kann zu den vorhandenen Flags CLIENT ALWAYS auch noch das DONTDELETE hinzugefügt werden. Ein weiterer Blog Artikel zum Kopierbefehl kann hier eingesehen werden, alle Kopierflags sind hier aufgeführt.

ALWAYS

Das Flag ALWAYS überschreibt eine gegebenenfalls existierende Datei. Bei benutzerspezifischen Einstellungen sollte man das Flag ALWAYS immer setzen, da die installierten Programme zumeist eine vordefinierte Einstellungsdatei einrichten und diese hat dann das Datum der Installation der Software und die eigene Einstellungsdatei hätte ggf. ein älteres Datum und würde im Standard nicht installiert/kopiert werden. Mit ALWAYS stellt man somit sicher, dass die eigene Datei mit Einstellungen eine gegebenenfalls vorhandene Datei überschreibt!

[Product]
...
;---Beispiel für eine Installation, diese Zeile nicht übernehmen! 
#Set:Product 
...
#Benutzereinstellungen 
...

[Benutzereinstellungen]
1:APPDATA\Freecommander\Freecommander.ini, %APPDATA%, CLIENT ALWAYS, 0

Variante 3 – Empirum Kopierbefehl copy

Ergänzen der Setup.inf wie folgt. Eintragen zweier Sektionsaufrufe unterhalb von [Product] in der passenden Reihenfolge. Vorteilhaft ist es, wenn man den benutzerspezifischen Teil nach der eigentlichen Installation des Programmes ausführt, hier mit Set:Product symbolisiert. Die Sektion „BenutzereinstellungenMachine“ kopiert die Einstellungsdatei (hier wurde eine config.xml Datei angenommen) auf den Computer zur lokalen Ablage. Die Sektion „BenutzereinstellungenClient“ kopiert die Datei dann pro Benutzer in das angegebene Verzeichnis. Zusätzlich muss die benutzerspezifische Datei im Ordner des Programmes unter „Source“ (hier: Packages\<Hersteller>\<Softwarename>\<Version>) abgelegt werden.

[Product]
...
;---Beispiel für eine Installation, diese Zeile nicht übernehmen!
#Set:Product 
...
 #BenutzereinstellungenMachine, MACHINE 
#BenutzereinstellungenClient, CLIENT 
...

[BenutzereinstellungenMachine]
;---kopiert die Einstellungsdatei im Maschinenteil auf den Computer 
-DEL "%APP%\Config.xml"
Copy "%SRC%\Config.xml" "%APP%\Config.xml"

;---Alternative für einen anderen lokalen Ablageort der Konfigurationsdatei 
;-DEL "%WINDIR%\EmPack\%DeveloperName%\%ProductName%\%Version%\Config.xml" 
;Copy "%SRC%\Config.xml" "%WINDIR%\EmPack\%DeveloperName%\%ProductName%\%Version%\Config.xml"

[BenutzereinstellungenClient] 
;---kopiert die Einstellungsdatei im Benutzerteil von der lokalen Ablage in das benutzerspezifische Verzeichnis 
Copy "%APP%\Config.xml" "%AppData%\<Hersteller>\Config.xml"

;---Bei einem alternativen lokalen Ablageort der Konfigurationsdatei 
;Copy "%WINDIR%\EmPack\%DeveloperName%\%ProductName%\%Version%\Config.xml" "%AppData%\<Hersteller>\Config.xml"

;---Falls bei einer Deinstallation auch die Einstellungen wieder entfernt werden sollen. 
;---Achtung, somit werden Einstellungen nicht in eine neue Version übernommen, da die Config.xml beim Deinstallieren gelöscht wird. 
-DEL "%AppData%\Config.xml"

Setup.exe Aufruf

Als letztes ist es wichtig, dass dem Paket beim Einbinden in das SoftwareDepot auch mitgeteilt wird, das ein Benutzertzeil ausgeführt werden muss. Dies wird auf dem Reiter „Prüfung“ im Feld „Befehl“ vorgenommen. Weitere Informationen dazu sind in diesem Artikel vermerkt.

Der Beitrag Setup.inf – Datei pro Benutzer kopieren erschien zuerst auf Workplace Management Blog.

Voraussetzungen

• Es wird ein Benutzer mit administrativen Berechtigungen auf dem Zielsystem benötigt.
• Die Namensauflösung muss funktionieren!
• Die Admin$ Freigaben müssen vorhanden sein.
• Die Firewall muss SMB Verbindungen zulassen.
• Für Windows 7 muss die UAC mindestens dem Standard oder „lockerer“ entsprechen.
• Der Dienst „Remote-Registrierung“ muss aktiviert sein.
• Für Windows XP müssen die Terminal-Dienste aktiv sein, da der Empirum Advanced Agent Dienst davon abhängig ist.

Wer auf Nummer sicher bezüglich Neustarts bei der Agenten Verteilung gehen will, der setzt im matrix42\EmpirumAgent Paket den Reboot auf 2 (Reboot=2) und kommentiert die SetReboot 1 Befehle aus.

Zu guter letzt können einem nun noch übervorsichtige Virenscanner Probleme bei der Verteilung machen.

Kaspersky – Konfiguration von Vertrauenswürdigen Anwendungen bzw. Programmausnahmen auf:

1. %windir%\temp\EmpirumAgent_tmp\Install\Setup.exe
2. %windir%\temp\Setup64.exe

• Zu öffnende Dateien nicht untersuchen
• Programmaktivität nicht kontrollieren
• Netzwerkverkehr nicht untersuchen

und je nach Version

• Zugriff auf Registrierung nicht untersuchen
• Aktivität der Unterprogramme nicht untersuchen.

TrendMicro
Im Matrix42 Forum wurde das Thema auch bereits diskutiert. Dies zeigt auf, dass es kein Problem eines einzelnen Client-Management Herstellers ist. Hier geht es zur Forums Diskussion.

„Probleme“ mit dem Virenscanner kann man dem DebugView Log auf dem EmpirumServer entnehmen. Der Empirum Agent Push Dienst endet dann jeweils mit dem Setup.exe Aufruf auf dem entfernten System. Beim weiteren Versuch wird dann gemeldet, dass die Setup.exe bereits im Zugriff durch ein anderes Programm ist.
Wie sind Eure Erfahrungen?
Habt Ihr funktionierende Einstellungen mit anderen Virenscannern?

Ansonsten, Viel Erfolg!

Der Beitrag Empirum Agent Verteilung per Push erschien zuerst auf Workplace Management Blog.