Kaspersky Endpoint Security 10.2 désinstalle automatiquement SCCM 2012 !

J’avais prévu aujourd’hui de migrer le client antivirus Kaspersky de mon serveur SCCM de la version 8 vers la version 10.2.

Quelle ne fut pas ma surprise de voir que l’installation de Kaspersky Endpoint Security 10.2 lance AUTOMATIQUEMENT et SILENCIEUSEMENT la désinstallation de SCCM 2012 !

Journal de déinstallation de SCCM

Journal de désinstallation de SCCM

Il était pourtant bien spécifié dans les paramètres de la tâche d’installation de ne pas supprimer automatiquement les applications incompatibles.

La case est bien décochée

La case est bien décochée

Heureusement pour moi, mon infrastructure SCCM dispose d’un site enfant et la présence de ce dernier a empêché la bonne désinstallation du produit.

La présence du site enfant en sauveur !

La présence du site enfant en sauveur !

Une recherche plus tard sur les forums de Kaspersky montre que le problème est connu depuis le mois de février !! ARRGGGGHHH !!

 

J’ai demandé au support une solution de contournement, mais si vous êtes dans mon cas, suivez-ce conseil : remettez à plus tard la migration de KES.

 

EDIT : Le support de kaspersky m’a répondu que ce problème serait corrigé dans KES 10 SP1.

Pour le moment la seule solution de contournement consiste à by-passer le contrôle des applications incompatibles lors de l’installation de KES :

==> Installation locale :
setup.exe /pSKIPPRODUCTCHECK = 1

==> Installation à distance via SC 10 :
– Modifiez le fichier kes10win.kpd et kes10win.kud dans le sous-dossier exec depuis le dossier du paquet d’installation de l’application.
– Ouvrez Kes10win.kpd dans un éditeur de texte.
– Trouvez la section [setup], et modifiez la ligne comme suit :
Params = / s / pAKINSTALL = 1 / Peula = 1 / pSKIPPRODUCTCHECK = 1 / pSKIPPRODUCTUNINSTALL = 1
– Enregistrez les modifications dans Kes10win.kpd.
Faites la même chose avec le fichier Kes10win.kud.

Le contrôle logiciel dans SCCM 2012

SCCM 2012 propose une fonction de contrôle logiciel qui permet d’auditer l’usage de logiciels sur les postes de travail.

Dans une période où il faut faire des économies, il est toujours intéressant de pouvoir récupérer des licences logicielles sur des PC qui ne les utilisent jamais.

Dans cet exemple nous verrons comment :

  • activer la fonctionnalité du contrôle logiciel dans la console d’administration;
  • Créer une règle de surveillance pour l’application Adobe Acrobat;
  • Activer la fonctionnalité du contrôle logiciel dans la politique du client et paramétrer les remontées de surveillance;
  • Consulter les logs relatifs à la surveillance d’une application;
  • Gérer les tâches de maintenance relatives au contrôle logiciel;
  • Afficher un rapport d’utilisation d’un logiciel contrôlé.

La fonctionnalité de Contrôle logiciel est disponible au travers de la console d’administration dans la vue Ressources et Conformité

Propriétés_Control_logiciel

Par défaut, SCCM crée automatiquement des règles de contrôle à partir des données d’inventaire récemment utilisées. Elles sont désactivées par défaut mais bien présentes dans la liste. Il suffit juste d’activer la surveillance pour commencer le contrôle.

Pour avoir une console moins chargée, je préfère désactiver cette fonction et ajouter moi-même les logiciels à contrôler.

Pour créer une nouvelle règle, cliquer sur le bouton « Créer une règle de contrôle de logiciel » et remplir l’assistant.

regle_control_logiciel_acrobat2

ATTENTION : C’est à ce stade qu’il faut être vigilant car la détection automatique de la langue ou de la version d’un fichier exécutable peut vous jouer des tours.

Acrobat_propriétés2

En effet, j’ai rencontré plusieurs cas où la remontée d’utilisations d’applications contrôlées ne s’effectuait pas à cause de ces deux réglages.

Une mise à jour changeant le numéro de version, une version multilingue et l’application ne sera plus surveillée. N’hésitez donc pas à utiliser le caractère * pour rendre la règle plus générique (par exemple 9.* au lieu de 9.5.3) et à choisir « n’importe quelle langue » pour être certain d’avoir des résultats. Si nécessaire, on pourra toujours affiner la surveillance par la suite.

A ce stade, la règle de contrôle est créée. Il faut s’assurer que dans la politique du client, l’agent de contrôle logiciel est bien activé et spécifier le délai de regroupement des données.
Pour cela, rendez-vous dans le volet Administration, paramètres du client puis éditer la politique diffusée sur les postes de travail.

Ctrl_Logiciel_Client

Une fois la politique appliquée sur les postes de travail, ils vont commencer à auditer l’utilisation des applications surveillées.

On peut le vérifier en consultant le log local mtrmgr.log à l’aide de cmtrace.

Ouvrez le log puis lancer l’application surveillée pour constater le début du contrôle.

log_mtrmgr

On constate ici que le processus « Acrobat.exe » est bien détecté avec son PID dès son lancement et qu’il est bien associé à une règle de surveillance.

log_mtrmgr_finOn peut aussi lire dans le log la détection de la fermeture du processus quand on quitte l’application.

Le poste a donc bien détecté l’usage d’une application surveillée. Pour accélérer la remontée de cette information sur le serveur, on peut forcer l’exécution du rapport par le panneau de configuration de l’agent local.

CfgMgrCtrlPanel

Sélectionner, « Cycle du rapport d’utilisation du contrôle de logiciel » et cliquer sur Exécuter maintenant.

Le log de cette action locale s’appelle SWMTRReportGen.log.

log_SWMTRReportGen

Une fois l’information remontée au serveur, il va falloir que le server résume ces données pour pouvoir les consulter à partir des rapports SCCM.

Cette action est gérée dans les tâches de Maintenance de site, accessibles dans les réglages du site du volet Administration.

TachesDeMaintenance

Par défaut, les deux tâches relatives au contrôle logiciel sont exécutées quotidiennement.

TachesDeMaintenanceCtrlLogiciel

Il n’y a malheureusement pas la possibilité de forcer l’exécution de ces tâches de maintenance par l’interface graphique.

Dès le lendemain, on peut donc aller voir les rapports pour voir si le contrôle est bien effectif.

Les rapports sont accessibles dans le volet Surveillance, dans Rapports, Rapports puis Contrôle Logiciel.

Rapports_Control_Logiciel 2

En exécutant le rapport « Ordinateurs ayant exécuté un programme contrôlé spécifique » et en filtrant sur le logiciel Acrobat, on obtient le résultat suivant

Rapport_Control_Logiciel2

Dans cet exemple, nous aurons donc fait une démonstration du contrôle logiciel dans SCCM 2012 de sa création jusqu’à l’exécution d’un rapport d’utilisation.

Maintenance de site SCCM

Maintenance de site

A la recherche d’informations sur l’obsolescence des objets découverts dans SCCM par pulsations d’inventaire, je suis tombé sur un article bien détaillé et en français sur les tâches de maintenances de SCCM.

liste des tâches de maintenance de site

liste des tâches de maintenance de site

J’ai pu ainsi paramétrer la tâche de suppression des données obsolètes de découverte des clients en cliquant sur modifier et baisser la valeur par défaut de 90 jours.

http://alexjouclas.wordpress.com/2012/11/16/sccm-2012-taches-de-maintenance/

Ready for SCCM 2012 !!

Le grand jour approche ! Nous sommes enfin prêts pour installer Microsoft System Center Configuration Manager 2012 en production !

Pour cela, nous avons monté un serveur physique sous Windows 2008 R2 dédié à SCCM avec les spécifications suivantes :

Bi Processeur Xeon X5450 @ 3 GHz
16 Go de RAM
6 disques SAS 300 Go 10000 tpm en RAID
4 cartes réseau Giga (dont deux cartes dédiées au déploiement de Masters)

Bien sur, le serveur a été installé à la clé USB (3.0) grâce à MDT 2012 Update 1 et à notre point de déploiement lié dédié aux OS Serveurs 🙂

La base de données sera quand à elle hébergée sur un autre serveur SQL 2008 R2 mutualisé.

System Center 2012 Configuration Manager

Enfin !

Après avoir téléchargé tous les composants et bataillé à deux pendant un jour et demi pour gérer les pré requis un par un, l’installation de SCCM 2012 RC2 est enfin en cours !

L'installation accepte enfin de se dérouler après l'installation de tous les pré requis