Von dem Empirum Automation Interface kurz EAI genannt wurde 2022 aus Sicherheitsgründen das EAI-XML-Interface vom Hersteller Matrix42 abgeschaltet. Kunden können das EAI-XML-Interface auf eigene Gefahr wieder einschalten. Matrix42 wird aber die EAI-Funktion in einer der nächsten Empirum Versionen endgültig entfernen. Die bisherige EAI-Funktion wird durch das neuere EmpirumAPI-Interface ersetzt.
Das EmpirumAPI-Interface nutzt den „Empirum Interface Hosting Service“, kurz EmpirumAPI-Dienst genannt, für die Verarbeitung. Die Verarbeitung erfordert zwingend einen direkten Netzwerkzugriff auf den Haupt-EmpirumServer, auf dem der EmpirumAPI-Dienst installiert ist. Das EmpirumAPI-Interface bietet in dieser Hinsicht keine Alternative für das bisherige EAI-XML-Interface, das offline bzw. ohne direkten Netzwerkzugriff auf dem Haupt-EmpirumServer genutzt werden konnte.
Zudem muss dem EmpirumAPI-Interface für die Autorisierung im PowerShell-Skript/.NET-Code ein Benutzer und ein verschlüsseltes Passwort mitgegeben werden. Wer Zugriff auf das PowerShell-Skript/.NET-Code hat, kann den Benutzer und das verschlüsselte Passwort entnehmen und damit ein neues PowerShell-Skript/.NET-Code erstellen und ausführen.
Das upDateNow EmpirumAPI-CSV-Task-Interface schließt die Lücke der fehlenden Offline-Funktion des EmpirumAPI-Interfaces und zudem wird auch kein PowerShell-Skript/.NET-Code auf der Client-Seite benötigt. Es werden nur CSV-Dateien mit Auftragsinformationen vom Client an den Haupt-EmpirumServer zurückgeliefert. Die CSV-Dateien mit den Auftragsinformationen werden dann von einem speziell server-seitig vorbereitetem Aufgaben-EmpirumSDK-PowerShell-Skript verarbeitet, um z.B. einen Computer einer Zuweisungsgruppen hinzuzufügen und zu aktivieren.
Bei der Erstellung der Aufgabe wird eine einzigartige umgebungsspezifische TaskID (GUID) für die Verarbeitung generiert, die bekannt sein muss. Sie sind so in der Lage, nur maßgeschneiderte Aufgaben für die Verarbeitung freizugeben und können die Missbrauchsmöglichkeiten auf ein kalkulierbares Minimum reduzieren.
upDateNow liefert zwei Aufgaben mit Softwarepaketen von Haus aus mit:
- Task – Remove computer from OS-Installationgroup
Ein wichtiger Punkt im Rahmen einer EmpirumServer-Sicherheitshärtung ist die Vermeidung von dauerhaften sicherheitsrelevanten Benutzern und Passwörtern in den Empirum-Meta-Daten (Computer.ini) wie z.B. das verschlüsselte DomainJoin-Benutzer- und lokale Administratorpasswort. Wird ein Computer temporär für die Betriebssysteminstallation in eine OS-Installation-Zuweisungsgruppe hinzugefügt, stehen ihm die sicherheitsrelevanten Benutzer und Passwörter zu Verfügung, bis dieser wieder aus der OS-Installation-Zuweisungsgruppe entfernt wird. Die automatische Entfernung des Computers aus der OS-Installation-Zuweisungsgruppe wird mit dem client-seitigem Softwarepaket Remove computer from OS-Installationgroup und der server-seitigen Aufgabe durchgeführt.
- Task – Add-remove computer to-from Kiosk Assigned Software Packages Group
Installiert sich ein Anwender Softwarepakete aus dem Softwaredepot-Kiosk, dann ergeben sich zwei Nachteile.
- Wenn der Computer des Anwenders neu installiert wird, werden die selbst installierten Softwarepakete nicht automatisch wieder installiert.
- Aus Sicherheitsgründen müsste ein Anwender selbst installierte Softwarepakete aus dem Softwaredepot-Kiosk zeitnah updaten. Das wird häufig vergessen.
Die Lösung: Installiert sich ein Anwender auf seinem Computer selbst Softwarepakete aus dem Softwaredepot-Kiosk, wird am Ende der Installation eine CSV-Datei mit den entsprechenden Auftragsinformationen erzeugt, zum Haupt-EmpirumServer transferiert und dort von einem server-seitigen Aufgaben-EmpirumSDK-PowerShell-Skript verarbeitet. Der Computer wird dann zu der entsprechenden Softwareprodukt-Zuweisungsgruppe hinzugefügt und aktiviert. Wird der Computer anschließend neu installiert, wird auch das Softwarepaket automatisch wieder installiert. Im Fall, dass das Softwarepaket aus Sicherheitsgründen zeitnah aktualisiert werden muss, kann der Empirum-Admin in der entsprechenden Softwareprodukt-Zuweisungsgruppe die alte Softwarepaketversion durch eine neue ersetzen und aktivieren. Auf dem Anwendercomputer wird dann die neue Softwarepaketversion automatisch aktualisiert.
Mit den mitgelieferten Aufgaben bekommen Sie nach unserer Erfahrung sehr gute praxisnahe Beispielvorlagen an die Hand, um weitere Aufgaben-EmpirumSDK-PowerShell-Skripte selbst zu entwickeln.
Darüber hinaus können Sie aus dem Aufgaben-EmpirumSDK-PowerShell-Skript auch auf andere Systeme wie z.B. Active Directory, EntraID, SQL-Server oder Macmon zugreifen und Daten verarbeiten.
Die upDateNow GmbH ist ein spezialisierter premium Berater, Dienstleister und Trainer rundum das Produkt Matrix42 Empirum. Das upDateNow Tool EmpirumAPI-CSV-Task-Interface wird Kunden im Rahmen einer kostenpflichtigen Beratung, Dienstleistung oder Workshop kostenfrei bereitgestellt. Sollten Sie Fragen, Probleme, Anregungen oder möchten Sie ein Angebot haben, stehen wir Ihnen gerne per E-Mail Frank.Dethlefsen@updatenow.de zu Verfügung.