Windows XP — живее всех живых


После вселенских разоблачений спалившихся агентов 007 компания Microsoft выпустила множество обновлений безопасности для всех версий Windows, включая Windows XP.

Если с обновлениями новых версий проблем нет: работает обновление через Интернет и через локальные WSUS серверы, то с Windows XP сложнее: в последние годы после окончания расширенной поддержки Windows XP был изменен не только формат пакетов обновления, но протокол, по которому системы обновляются.

В результате нам остаётся скачивать обновления для Windows XP и ставить их только вручную. Если есть SCCM, то можно сделать пакет с обновлениями и установить их за один заход. Это не сложно: используйте ключи quiet и norestart. Рекомендую не лениться и установить эти обновления, т.к. вирусы и трояны под эти дыры уже гуляют по белу свету.

Более подробно о всех обновлениях можно прочитать с статье June 2017 security update release. В частности для Windows XP смотрите Microsoft security advisory 4025685 — в этой же статье про Windows Vista, Windows 8, or Windows Server 2003 снятых с поддержки.

SCCM — меняем рабочий диск для offline servicing


У SCCM есть историческая особенность – количество неведомых настроек бесконечно. Вот конкретная ситуация: сколько не выносили различные рабочие папки SCCM с диска C: на другие диски, всё равно находится хоть что-то что упорно пишет на диск C: — речь в данном случае об offline servicing установочных образов систем. Как только запустил offline servicing, SCCM тут же смонтировал образ – правильно – на диске C:. Сначала скопировал его туда с шары источника, потом смонтировал, пропатчил, отмонтировал и скопировал обратно. Но почему же на системный диск C:?! Читать далее

Одна особенность сжатия образа Windows


Последнее время плотно занимался вопросом чистки от мусора дисков на компьютерах пользователей. Наткнулся на интересную особенность:

если выполнить команду над образом после sysprep

DISM /image:<path to image> /Cleanup-Image /StartComponentCleanup /ResetBase 

то образ не уменьшится, а увеличится в размере.

Поэтому не пытайтесь сжать «сиспрепнутый» образ! Сжимайте развернутый образ, а только потом делайте захват.

SCCM – контроль здоровья дисков


Существует немало утилит, которые показывают состояние диска по технологии S.M.A.R.T. Все они не пригодны для использования в командной строке и скриптах, и, соответственно, в SCCM. Читать далее

ESD — новая функция в SCCM


В последних предварительных версиях SCCM TP появилась новая функция — Enterprise data protection (EDP).

Приятно, что функция доступна не только в Облаке, но в локальных версиях SCCM.

На практике мы видим объективный процесс: все больше информации пользователи выносят за пределы компании на различных мобильных устройствах, все больше информации попадает на Облачные сервисы. Поэтому не удивительно, что продолжают развиваться технологии защиты и контроля подобных процессов. На это и нацелено появление EDP. Читать далее

SCCM – новое обозначение версий


Майкрософт поменял обозначение версий SCCM в сентябре 2015 года. После этого сходу нелегко понять что есть что.

  1. Теперь есть две основные линейки Current branch и Technical Preview.
  2. В каждой линейке обновления нумеруются по году и месяцу выхода: CB 1511, 1601 и т.д. TP 1511, 1601 и т.д. Никакой маркировки RTM или по полному году (SCCM 2012) теперь нет.
  3. В каждой линейке обновления свои и линейки не пересекаются: нельзя преобразовать CB в TP и наоборот.
  4. Внутренняя нумерация продолжается как и раньше (например, для 1511 это 5.0.8325.1000) и для TP нет никакой особой маркировки в номере.
  5. В каждой линейке есть base line версия – версия которую можно использовать для установки с нуля, upgrade SCCM 2012 и на которую можно накатывать последующие обновления через консоль.
  6. Первая базовая версия TP была с номером 1511. Сейчас 1603. Видимо через полгода появится следующая базовая версия. Базовая версия CB 1511 на текущий день.
  7. Новые наработки появляются в версии Technical Preview, затем в последующих обновлениях они переносятся в Current branch.
  8. Триальный период версии Technical Preview – 60 дней, а базовой 90 дней. После этого периода установка очередного обновления обязательна.
  9. Technical Preview ограничена установкой 10 клиентов, нет поддержки сайтов – предназначена только для небольшой тестовой среды.

Полезные ссылки:

Updates for System Center Configuration Manager

https://buildnumbers.wordpress.com/sccm/

SCCM,Application,Powershell – software restriction policy


Все начиналось с простого: потребовалось раскатать на пользователей сертификат. С помощью групповых политик на пользователей можно распространить только корневые сертификаты. Этот вариант отпал. Т.к. под раздачу попадали древние компьютеры с Windows XP, то пришлось протестировать несколько других различных способов. Оказалось, например, что certutil на разных версиях ОС имеет разные наборы ключей, и от этого варианта пришлось отказаться. Powershell подошел, но с оговоркой – пришлось тестировать под версией 2, которая работает на Windows XP. После танцев с бубном (как беден Powershell стрых версий!) скрипт был отлажен на тестовой машине. Для его исполнения решили использовать SCCM. Сделали приложение, сделали распространение на коллекцию пользователей и … началось – мониторинг закраснел ошибками выполнения скрипта. Читать далее