SCCM 2012 合规性设置 - PrajwalDesai.Com

如果您使用过 SCCM 2007，则 Configuration Manager 2007 所需的配置管理现在在 System Center 2012 Configuration Manager 中称为 sccm 2012 合规性设置。 SCCM 2012 合规性设置包含可帮助您评估用户和客户端设备对多种配置的合规性的工具，例如是否正确安装和配置了正确的 Windows 操作系统版本、是否正确安装和配置了所有必需的应用程序、是否安装了可选应用程序。是否已正确配置，以及是否安装了禁止的应用程序。 Windows Management Instrumentation (WMI) 类型的配置项设置、注册表、脚本以及配置管理器中的所有移动设备设置可让你在发现不合规设置时自动修复这些设置。

SCCM 2012 合规性设置

通过定义配置基线来评估合规性，该配置基线包含要评估的配置项以及描述必须具有的合规性级别的设置和规则。您可以将此配置数据从 Web 导入到 Microsoft System Center Configuration Manager 配置包中，作为 Microsoft 和其他供应商在 Configuration Manager 中定义的最佳实践，然后将其导入到 Configuration Manager 中。管理员可以创建新的配置项和配置基线。定义配置基线后，您可以通过集合将其部署到用户和设备，并按计划评估其设置的合规性。客户端设备可以部署多个配置基线。

配置项：定义在目标系统上比较、检查或评估内容的设置、值和标准的集合。

配置基线：这是多个配置项的分组。配置项必须是要分配的配置基线的一部分，以便对系统集合进行评估。

Configuration Manager 中合规性设置的先决条件

1) 必须启用并配置客户端以进行合规性评估 - 要启用它，请在 CM 控制台中单击管理、客户端设置。右键单击自定义客户端设备设置并选择属性。选择合规性设置。

注意 如果要在所有设备上启用合规性，请选择默认客户端设置。在此示例中，我创建了自定义客户端设备设置，并且选择了合规性设置并将其设置为 true。

在左侧窗格中，选择合规性设置，然后在设备设置下将在客户端上启用合规性评估设置为 True。

2) 必须安装和配置报告点站点系统角色。要安装报告点站点角色，请依次单击管理、站点配置、站点、添加站点系统角色、选择报告服务点。

作为示例，我们将从供应商之一下载配置管理器包并将其导入我们的配置管理器。我们将把配置基线部署到集合中并测试合规性。在此示例中，我们将在此处下载 System Center 2012 Configuration Manager 的配置包。此配置包包含旨在使用 Configuration Manager 2012 中所需的配置管理组件来管理 Configuration Manager 2012 站点系统角色的配置项。此配置包监视以下站点系统角色：管理点、站点服务器和软件更新点。

下载配置包后，在 SCCM 计算机上安装 msi 文件。另请注意文件的安装路径。

在 CM 控制台的资产和合规性下，合规性设置下，右键单击配置基线，然后选择导入配置数据 >。

单击“添加”。

浏览至配置包的安装路径。选择配置管理器配置包（.cab 文件）并单击“打开”。在下一个屏幕上单击“下一步”。

单击关闭。

导入配置包后，单击“配置项”。我们看到有四个配置项。右键单击其中之一，然后单击属性。

每个配置项都有这些属性。此配置项根据 Microsoft 推荐的最佳实践评估 CM 2012 管理点角色的配置。

在下一个选项卡设置中，执行一些脚本来使用 Microsoft 最佳实践测试管理点。

要部署此配置基线，请在配置基线上单击“部署”。

单击在支持时修复不合规规则和允许在维护时段外修复。单击浏览选择集合。在此示例中，我创建了一个名为 SCCM 服务器的设备集合，并将我的 SCCM 添加到其中。单击“自定义”并设置您选择的时间表。

我们现在看到了变化。配置基线已部署到集合中。几分钟后，我们看到不合规计数下的值从0变为1。让我们找出原因。

在 SCCM 计算机上，单击控制面板、配置管理器、配置 - 我们看到存在一个基线。这与我们在上述步骤中应用的配置基线相同。点击评估，然后点击查看报告。

在 4 个配置项中，其中一项报告我们的 SCCM 服务器不合规。

让我们看看为什么它不合规。在“不合规”规则下，我们看到管理点的 BGB 防火墙端口已打开。根据脚本，如果发现 MP 上的 BGB 端口关闭，则会生成警告。其余配置项报告我们的服务器是合规的。

什么是 BGB（绿色大按钮）——管理员可以通过快速或全面扫描等方式在大量客户端上采取紧急行动以对抗特定感染的方法。

右键单击配置项Microsoft System Center 2012 Configuration Manager管理点，选择属性，选择合规性规则，选择BGB防火墙端口并点击编辑。

此处定义的此设置检查 BGB 端口是否在防火墙上打开。如果未打开，则会生成警告。

下一步我们将修改 BGB 防火墙端口的合规性规则。根据合规性条件，BGB 防火墙端口应在管理点上打开。在本实验中，我们不需要打开 BGB 端口，因此我们将脚本返回的值从等于修改为“不等于”。这意味着如果 BGB 端口在管理点上关闭，则不会生成警告。

几分钟后，我们在 SCCM 服务器上评估并运行合规性报告，我们发现我们的 SCCM 服务器完全符合 Microsoft 推荐的最佳实践。

在 CM 控制台中，合规计数值从 0 更改为 1。