FAQ – Teil 1: DSM Patch Reporting PRO – Features unter der Lupe

FAQ – Teil 1: DSM Patch Reporting PRO – Features unter der Lupe

Die letzten Tage habe ich damit verbracht eine neue DSM Testumgebung zu installieren und Fragen von interessierten Admins zu beantworten. Die meisten Fragen haben sich auf Features von „DSM Patch Reporting PRO“ bezogen. Dabei sind Interessante Ideen für Funktionen und Reports aufgekommen welche ich definitiv mit in die Software hinzufügen werden. Ob diese Features direkt schon in der ersten Version vorhanden sein werden oder nicht, ist abhängig vom Programmieraufwand und meiner zur Verfügung stehenden Zeit.

Werbung

Folgende Features wurden vorgeschlagen

1 Computer Compliance Report

Ein DSM Nutzer hat angefragt ob es möglich sein wird, einen Report mit dem Compliance Status der Computer Objekte erstellen zu können. Diesen Report gab es bisher noch nicht. Gestern habe ich im Backend die Möglichkeit erstellt, solch einen Report auswerten zu lassen. In dem Report kann ein, aber auch mehrere Computer Compliance Stände ausgegeben werden. Zum Beispiel:

  • Computer: Test123
  • Gepatchte Sicherheitslücken: 72%
  • Offene Sicherheitslücken: 28%

Welche Sicherheitslücken offen und welche geschlossen sind, lässt sich bereits seit Anfang der Programmierung ausgeben und ist in einem Extra Report vorhanden. Der Computer Compliance Report liefert jedoch eine schlanke und schnelle Übersicht welche Maschinen noch viele Sicherheitslücken offen haben. Der Report kann wie immer als CSV, XML, XLSX, HTML und PDF ausgegeben werden. In Excel steht Ihnen dann die Möglichkeit zu, die Daten zu filtern. Zum Beispiel: Welche Computer Objekte haben weniger als 50% der Sicherheitslücken geschlossen.

2 Single-Sign On

Ein Interessent von DSM Patch Reporting hat gefragt ob es möglich sein wird sich mit Windows Accounts automatisch einzuloggen – Sprich Single Sign On zu verwenden. In der aktuellen Version ist dies nicht möglich. Der Grund dafür ist, dass ich DSM Patch Reporting für die Infrastruktur so flexibel machen möchte wie nur irgendwie möglich. DSM Patch Reporting ist mit ASP.Core (Dotnet Core) und Angular programmiert. Dadurch ist der Microservice wie auch das Web-Dashboard auf Linux wie auch Windows Server lauffähig. Das gibt mir die Möglichkeit Ihnen als Anwender eine vorkonfigurierte Virtuelle Maschine zum Download zur Verfügung zu stellen. Ebenso macht dies den Einsatz von Docker Container möglich. Die Option die Anwendung manuell auf einem Windows Server installieren zu können haben Sie noch immer – müssen dies jedoch nicht tun wenn Sie sich nicht um die Infrastruktur kümmern möchten. Da DSM Patch Reporting auch auf Linux / Docker etc. läuft, können Sie einfach die Anwendung auf Azure, Digital Ocean etc. veröffentlichen. Aber was hat das ganze jetzt mit Single Sign On zu tun? Damit SSO in der Web Applikation funktioniert, muss irgendein Prozess wie Windows Authentifizierung durchreichen. Das macht in der Regel der IIS, sofern die Windows Authentifizierung als Feature aktiviert ist. Das die Web Applikation die Authentifizierung entgegen nimmt, muss recht Umständlich implementiert werden. Somit könnte auf die Web Applikation nur von einem Windows Gerät zugegriffen werden. Das man Daten über ein Mobile Gerät (z.B. Durch eine App) abruft würde dadurch unmöglich werden. Auch die Option die Anwendung auf Digital Ocean laufen zu lassen wäre damit gestorben, weil zwingend ein eine Anbindung an einen Domänen Controller (In der Regel Active Directory) notwendig wäre.

Zum aktuellen Zeitpunkt wollte ich vorerst die höchstmögliche Flexibilität für die Admins welche die Infrastruktur beitreiben müssen, und dazu zähle ich die Freiheit, einen Linux Server verwenden zu können (Und somit auch Lizenzkosten zu sparen).

Sollte dieses Feature sehr häufig angefragt werden, werde ich in einer Zukünftigen Version die Windows Authentifizierung mit implementieren. In der Ersten Version wird es jedoch einzelne Benutzeraccounts für die Anwendung geben.

3 Automatische Zeit-gesteuerte Reports

Als Feature wurde angefragt, ob es möglich sein wird, zeit-gesteuert Reports per Mail verschicken zu können. Diesen Feature Request habe ich in meine Todo aufgenommen und wird direkt im ersten Release mit dabei sein. Im Windows Dashbaord wird es Möglich sein, solche Job-Definitionen anzulegen. Ein Cronjob (Linux) oder geplanter Task (Windows) wird dann zu einem Zeitpunkt Ihrer Wahl ein Script anstarten, welche diese Job-Definitionen abruft und den Report für Sie erzeugt und zusendet.

4 Reports pro DSM Organisations-Einheit (OU)

Die Tage habe ich die Anfrage bekommen ob es möglich sein wird, pro Organisations-Einheit Reports zu ziehen. Dazu gibt es aktuell mehrere Lösungsansätze. Ich kann zum einen mehrere DSM Patch Reporting Server und Client Scripte laufen lassen. Bei der Konfiguration vom Client Script kann ich einen Zielserver angeben und eine OU (oder Gruppe) von dem das Client Script die Computer Objekte sucht. Der Standard-Wert ist die oberste Computers and Users OU, sodass alle Computer an den Server übermittelt werden. Das Client Script übermittelt nicht, in welchen Gruppen oder OUs sich ein Computer Objekt befindet. Das würde auch die Performance von DSM Patch Reporting Statistik massiv beeinflussen.

Was jedoch möglich ist, ist dass Sie für explizit eine Organisations Einheit auswählen und diese an einen anderen DSM Patch Reporting Server senden.

Zum Beispiel:

  • DSM Patch Reporting Server – A
    • Bekommt alle Daten aus folgender OU gesendet:
      • Managed Users & Computers\Standort-A
  • DSM Patch Reporting Server – B
    • Bekommt alle Daten aus folgender OU gesendet:
      • Managed USers & Computers\Standort-B
  • DSM Patch Reporting Server – C
    • Bekommt alle Daten von allen OUs gesendet (Für gesamt Überblick)

Das Aufteilen auf mehrere DSM Patch Reporting Server kann bei vielen Computer Objekten auch zur Last Verteilung genutzt werden.

5 Kenntwort-Schutz auf Reports

Sowohl die Web Oberfläche wie auch das Windows Dashboard benötigt zum abrufen von Reports bzw. Daten einen Benutzernamen wie auch ein Kennwort. Über die Windows Oberfläche lassen sich dann Reports in Form von XLS, CSV, PDF, HTML und XML erzeugen. Diese Reports sind nicht Passwortgeschützt und lässen sich von jeder beliebigen Person offnen – Auch ohne Zugriff auf ein Dashboard. Dieses Feature wird in der ersten Version von DSM Patch Reporting nicht vorhanden sein. Sollte diese Funktion jedoch häufig angefragt werden, wird es Zukunft implementiert. Dies lässt sich jedoch nur bis zu einem gewissen Grad realisren. Bei Excel und PDF Dateien sollte ein Passwortschutz möglich sein. CSV Dateien lässen sich meines Wissens nicht mit einem Passwort schützen.

6 Anbindung an Monitoring System

Ein sehr Interessantes Feature das angefragt wurde ist, ob es möglich sein wird DSM Patch Reporting an ein Monitoring System anzubinden und / oder Alarme zu erzeugen. Bisher was diese Funktion nicht vorgesehen, jedoch finde ich den Gedanken sehr interessant. Das versenden von E-Mails oder SNMP Traps sollte kein Problem sein. Ebenso kann ich mir Vorstellen einen PRTG Sensor zu programmieren und diesen als Add-On anzubieten. Auf Windows Servern könnte man einen EventLog Eintrag schreiben. Da es sich bei DSM Patch Reporting um einen Microservice handelt welcher eine API bereit stellt, ist es ohne weiteres Möglich selbst solche Sensoren oder Alarme zu programmieren oder einfach als Dienstleistung bei mir einzukaufen.

7 Werden die Charts interaktiv sein?

Nein, die Charts sind nicht interaktiv. Das gibt die Chart-Library welche ich verwende nicht her. Was möglich ist, ist die Maus über Bereiche von den Charts zu bewegen und dann Zahlen und Informationen einblenden zu lassen. Ich kann jedoch nicht direkt in einen Bereich vom Chart klicken und dann einen detaillierten Report angezeigt bekommen.

8 Wie lange bleiben die Patch Daten vorenthalten

Das ist sehr variabel, abhängig von der Größe Ihrer DSM Installation (Anzahl von Computer Objekten) und abhängig von Ihrer Bereitschaft mehrere DSM Patch Reporting Installationen zu haben. Im Prinzip ist es ganz einfach: Mehr mehr Daten vorenthalten werden, umso mehr Daten in der Datenbank. Je mehr Daten aus der Datenbank abgefragt werden, umso länger dauert die Abfrage.

Die Dashboards sind so ausgelegt das Sie nur die wichtigsten Informationen anzeigen. Zum Beispiel können zwar unbegrenzt Datch Daten aus der Vergangenheit in der Datenbank gespeichert werden, jedoch zeigt das Dashboard nur die letzten 10 Daten aus der Historie an. Wenn Sie weiter in die Vergangenheit zurück reisen möchten, müssen Sie einen Report erzeugen. Je länger Sie in die Vergangheit zurückreisen, umso länger dauert das erstellen vom Report. Ab einer Gewissen größe Ihrer DSM Infrastruktur sollten Sie sich überlegen, die DSM Patch Reporting Installation auf mehrere Server aufzuteilen. Jeder DSM Patch Reporting Server sammelt dann Daten aus einer anderen OU. Zum Beispiel könnten Sie Pro Unternehmens-Standort einen DSM Patch Reporting Server betreiben. Sie können so viele DSM Patch Reporting Server betreiben wie Sie möchten. Und hier kommen wir auch schon zur nächsten Frage.

Es wird einen Cleanup bzw. Archivierungs-Prozess geben, der veraltete Datensätze aus der Datenbank in ein Archiv verschiebt, welches nicht jedes mal mit abfragt wird. Mit diesem können Sie dann selbst bestimmen wie lange Sie die Daten aufheben möchten (8 Wochen, 6 Monate, 1 Jahr etc.)

9 Lassen sich mehre DSM Patch Reporting Server in einem Dashboard anzeigen

Beim Login vom Windows Dashboard haben Sie die Möglichkeit den gewünschten DSM Patch Reporting Server anzugeben. Sie können damit zwischen verschiedenen Installationen hin und her springen. Die Daten aus verschiedenen Quellen zusammenzufassen gibt es nicht.

10 Gibt es eine Gesamtübersicht über meinen Patch Stand vom gesamten Unternehmen?

Ja, das ist das erste was Sie auf Ihrem Dashboard sehen. Ebenso sehen Sie einen Verlauf zu den vorherigen Kontrollen (Client Script Syncs). z.B Sind mehr Sicherheitslücken hinzugekommen oder geschlossen worden seit der letzten Kontrolle.

11 Kann ich ermitteln wann ein System zuletzt gepatcht wurde.

Ja dass lässt sich mithilfe vom einem Report erzeugen, sowohl von einem einzelnen Computer Objekt, wie auch über die Gesamte Infrastruktur. Sie können dies Daten auch immer Nachverfolgen wie der Stand in der Vergangenheit war. Zum Beispiel hat eine Workstation in den Letzten 14 Tagen gepatcht. In den letzten 3 Tagen? Im letzten halben Jahr? Wenn ja, welche Updates wurde installiert. Oder welche Updates sind schon lange offen.

12 Was hat es mit dem Visio Addon auf sich?

Das Visio Addon ist ein einfaches Tool welches in Ihrer Ribbon Leiste von Visio auftaucht. Sie können in Visio einen Netzwerkplan zeichnen und dem Shape einen Namen geben. Wenn Sie das Shape mit der Maus selektieren und dann in der Ribbon Leiste einen Report auswählen, können Sie direkt zu diesem System einen Patch Stand einsehen bzw. Report erzeugen. Quasi aus Visio heraus einen Patch Report erstellen.

13 Kann ich nach Hersteller oder nach Kritischen Updates filtern?

Nein, aktuell erfasst das Client Script die Sicherheitslücken (Nicht Policies) von Computer Objekten. Darin enthalten ist der Name der Sicherheitslücken, der aktuelle Compliance Status, das Datum wann die Sicherheitslücke gefunden und geschlossen wurde. Ob es sich um eine Kritische Sicherheitslücke handelt und von welchem Hersteller die Lücke ist, wird nicht explizit erfasst, da das Datenmodell einer Sicherheitslücke diese Information nicht beinhaltet. Ich müsste extra Abfragen an den BLS senden welche für jede Sicherheitlücke diese Information im Patch Paket abruft. Dies würde massiv Performance kosten da je nach größe Ihrer DSM Umgebung sehr viel Sicherheitslücken in der Datenbank stehen können. Der Hersteller ist in der Regel direkt im Namen erkennbar. Zum Beispiel: TeamViewer 14 Update, oder MS18-11-OFF-4461478 for Microsoft Office Professional Plus (KB4461478). Danach kann ich in DSM Patch Reporting natürlich filtern. Ebenso kann ich nach KB Artikel oder Microsoft Produkte suchen (Office, Skype etc.). Zukünftig werde ich versuchen diese Information mit aufzunehmen. Wie ich das mache ohne das die Performance darunter leidet ist mir noch unklar. Das diese Informationen für Sie jedoch relevant sein können, habe ich aufgenommen.

14 Welche Informationen von Computer Objekte werden erfasst

Erfasst wird: Computername, Installiertes Betriebssystem und Computer-Rolle

15 Wann und welche Features werden zukünftig implementiert?

Zukünftig wird es ein „Feature Vote“ System geben. Die am meisten angefragten Änderungen werden erst erstes implementiert.

16 Werden Updates auf neue DSM Patch Reporting Versionen Geld kosten?

Nein, einmal Lizenziert können Sie immer die aktuellste Version herunterladen und installieren.

Sie haben Fragen oder Ideen zur Software?

Schreiben Sie Ihre Frage oder Feature Request in die Kommentar, dann kann ich direkt darauf reagieren und auch andere Interessierte Personen können direkt die Antwort sehen. Alternativ können Sie mir jederzeit gerne eine E-Mail schreiben. Entweder über das Kontaktformular oder direkt per E-Mail. Ich bin jederzeit offen für Feature Requests, denn ich möchte mit der Software das Leben für Sie, als DSM Admin, einfacher machen. Lassen Sie mich ruhig Wissen welche Anforderungen Sie an die Software haben.

Leave a Comment

Your email address will not be published.

Datenschutzbestimmungen akzeptieren