System Center Configuration Manager

El agente de The Fraud Explorer puede ser desplegado de manera masiva y silenciosa en los dispositivos corporativos de una organización a través de su módulo SCEM (System Center Endpoint Manager)

Requisitos previos
Video con todos los pasos
Ingreso a SCCM
Creación de una Aplicación
Información de la Aplicación
Sumario de la creación de la Aplicación
Configuración de la distribución
Tipo de distribución
Comandos para instalar y desinstalar
Experiencia de usuario
Método de detección
Despliegue de la Aplicación
Selección de usuarios o dispositivos
Punto de distribución
Acción de despliegue
Agendamiento del despliegue
Experiencia del usuario
Alertas de despliegue
Resumen del despliegue
Forzar política en PC
Verificación de la instalación
Reinicio del PC
Archivos que crea el agente
Base de datos del agente
Entradas de registro de Windows
Aparición en programas instalados
ProductID con PowerShell
Monitoreo del agente
Inicio del agente
Actualización del agente
Información de la actualización
Resumen de la actualización
Propiedades de la actualización
Configurar la supersedencia
Tipo de despliegue de actualización
Experiencia de usuario en actualización
Despliegue de actualización
Destino de contenido para actualizar
Acción de actualización
Agenda de la actualización
Experiencia para desplegar actualización
Alertamiento de actualización
Resumen de actualización
Verificación de la actualización
PowerShell para verificar actualización
Actualización en listado de Aplicaciones
Desinstalar el agente
Deployment de la desinstalación
Acción de desinstalación
Experiencia de desinstalación
Resumen de la desinstalación
Verificación de la desinstalación

Requisitos previos

Antes de ejecutar cualquier procedimiento en la consola de Microsoft SCCM es importante tener en cuenta los siguientes requisitos previos:

Debe contar con la capacidad de realizar acciones administrativas en la consola SCCM y opcionalmente en los computadores de la organización. En teoría, para llevar a cabo el despliegue de nuestro agente no se requiere realizar ninguna acción en los PC de los empleados, sin embargo, en la primera instalación de pruebas quizás quiera forzar la actualización de la política en alguno de los quipos para no tener que esperar mucho tiempo a que se haga de forma natural.

Los computadores de la organización deben tener previamente el agente SCCM instalado, esto significa que ya un administrador de tecnología ejecutó la instalación del agente (CCMSetup.exe) y éste se pudo conectar correctamente al servidor donde se encuentra instalado el System Center Configuration Manager.

En la consola SCCM ya existe un colección de usuarios o de dispositivos y están bien organizados, de tal manera que cuando se lleve a cabo el procedimiento de NOFRAUD, se puedan seleccionar de forma correcta los dispositivos o usuarios que serán objeto de la metodología antifraude.

Debe copiar o descargar el agente de The Fraud Explorer (normalmente llamado endpointInstaller.msi) al servidor SCCM o al Controlador de Dominio desde donde se compartirá a todos los equipos de la organización para que se pueda llevar a cabo su instalación. Es muy importante que de ahora en adelante, cuando SCCM le pida la ruta del paquete MSI en relación con nuestro agente, use una ruta de red y no una ruta local, es decir, debe usar algo como \\dc.nofraud.la\MSI\endpointInstaller.msi y no C:\MSI\endpointInstaller.msi.

El agente de The Fraud Explorer es compatible con sistemas operativos Windows de 32 y 64 bits, desde Windows 7 en adelante, sin embargo, nuestro agente requiere que el Framework .NET 4.8 de Microsoft esté previamente instalado en los PC donde se llevará a cabo el despliegue. El Framework .NET viene por defecto instalado en Windows y si el sistema operativo cuenta con los últimos parches es altamente probable que este requisito se cumpla de forma automática y no deba realizar nada. El único escenario donde debería instalarlo manualmente es en caso de que los sistemas operativos no estén actualizados. Puede ejecutar el siguiente comando en una consola PowerShell para saber qué versión se encuentra instalada:

reg query "HKLM\SOFTWARE\Microsoft\Net Framework Setup\NDP\v4\Full" /v Release

Si se cumplen estos requisitos, estamos listos para continuar con la aplicación de los procedimientos.

The Fraud Explorer es un software que junto con FraudGPT detecta el fraude y la corrupción en las organizaciones. Este software está siendo desarrollado por NOFRAUD.la. Este contenido es privado y únicamente está disponible para clientes de NOFRAUD. Está prohibida su publicación en fuentes abiertas o disponibles al público.

Video con todos los pasos

En vez de seguir los pasos documentados, también puede optar por visualizar este video.

El video contiene todos los pasos de la guía ejecutados de forma práctica y cada uno de los pasos está separado por capítulos.

Ingreso a SCCM

En el menú inicio de Windows Server, dar clic en Configuration Manager Console. En esta ventana destacan dos entradas en el menú izquierdo inferior: Software Library y Monitoring. En estas dos opciones radicarán los procedimientos para el despliegue y el monitoreo de las acciones que se ejecuten en la consola.

En este manual se dará por entendido que la organización ya tiene previamente configuradas las colecciones de usuarios y/o dispositivos, por lo que no se entrará en la opción Assets and Compliance.

Creación de una Aplicación

En la pantalla principal del SCCM, se debe dar clic en Software Library y allí dar clic derecho sobre la entrada del menú llamada Application y luego en Create Application.

Ene sta ventana se debe seleccionar que el tipo de aplicación a desplegar es Windows Installer (msi) y en Location se debe escribir la ruta completa donde se encuentra el instalador. No se debe escribir una ruta local, se debe escribir una ruta de red alcanzable por todas las máquinas de la organización.

Información de la Aplicación

Se debe escribir el nombre de la aplicación. Para nuestro caso y para la primera vez que se despliega el software, recomendamos escribir Business Analytics.

En el campo Intallation program se debe escribir:

msiexec /i "endpointInstaller.msi" /qn /quiet

Nótese que se deben escribir las comillas y que la línea termina en /qn /quiet. Estas opciones indicarán al instalador que despliegue el software de manera silenciosa sin interactuar con el usuario.

En la opción Install behavior se debe seleccionar Install for System. Esto hará que el agente se instale con el usuario system y que tenga todos los permisos necesarios para que el agente funcione. Aunque el agente de The Fraud Explorer no requiere ejecutarse con permisos administrador, sí se requiere tener este tipo de privilegios para su instalación.

Al agente de The Fraud Explorer corre a nivel de usuario, con permisos del usuario que será monitoreado, es decir, con permisos restringidos al usuario, y no como administrador.

Sumario de la creación de la Aplicación

Al finalizar el asistente de creación de la aplicación, se mostrará un resumen, en donde se destaca que SCCM ha detectado automáticamente el código del producto y que además será el método de detección por defecto para identificar si el software queda o no queda instalado en los PC de los usuarios.

No es necesario indicar otra información por el momento, por ejemplo, la versión, comentarios o fabricante de la aplicación.

Configuración de la distribución

Una vez creada la aplicación, se debe dar clic derecho sobre ella y seleccionar Properties. Una vez abra la ventana de propiedades, se debe seleccionar la pestaña Distribution Settings.

Se debe seleccionar en Distribution priority la opción High y en las opciones de Prestaged distribution point settings se debe elegir la opción Automatically download content when packages are assigned to distribution points.

Tipo de distribución

En la misma ventana de propiedades de la aplicación, se debe ir a la pestaña Deployment Types, seleccionar la entrada por defecto y luego dar clic en Edit.

Esto abrirá una nueva ventana en la que se configurarán varias opciones que determinarán el tipo de despliegue que se realizará para el agente.

Comandos para instalar y desinstalar

A esta pestaña se llega desde la ventana de propiedades de la aplicación, luego entrando a la pestaña Deployment Types y dando clic en Edit. Aquí se van a configurar los comandos de instalación y desinstalación del agente MSI.

En el campo Installation program se debe asegurar que está escrito:

msiexec /i "endpointInstaller.msi" /quiet /qn

Y en el campo Uninstall program se debe asegurar que está escrito:

msiexec /x "{A9F34A76-527C-4CA9-8A2D-5E7BB75A2EB4}" /qn

Nótese las comillas en ambos comandos. Por defecto en el comando de desinstalación no están presentes las comillas ni el /qn.

Experiencia de usuario

A esta pestaña se llega desde la ventana de propiedades de la aplicación, luego entrando a la pestaña Deployment Types y dando clic en Edit. Aquí se va a configurar la experiencia que tendrá el usuario final.

En Install behavior se debe asegurar que está seleccionado Install for system. En Logon requirement debe estar especificada la opción Only when a user is logged on y en Installation program visibility se debe seleccionar Hidden.

Método de detección

A esta pestaña se llega desde la ventana de propiedades de la aplicación, luego entrando a la pestaña Deployment Types y dando clic en Edit. Aquí se va a configurar el método de detección del MSI de The Fraud Explorer en los computadores de la organización.

Por defecto, SCCM detecta que el agente de The Fraud Explorer está instalado si en el computador existe un paquete con el código de producto que previamente se ha inventariado de manera automática. Esta opción se debe dejar así, sin modificar.

Sin embargo, podrían existir problemas en algunos computadores donde por determinadas circunstancias ya no es posible localizar el software a través del código de producto. Se recomienda que en estos casos se use el método File System y se use la ruta C:\ProgramData\Software\businessAnalytics.exe para que SCCM sepa que el agente de The Fraud Explorer está instalado y pueda ejecutar acciones futuras sobre él, como actualizaciones o desinstalaciones.

Despliegue de la Aplicación

A esta ventana se llega dando clic derecho sobre la aplicación recientemente creada y luego en la opción Deploy.

En esta opción (Deploy) se configurarán las opciones de despliegue de la aplicación y se seleccionarán a cuales usuarios o dispositivos se les instalará el agente de The Fraud Explorer.

Selección de usuarios o dispositivos

Una vez estando en la opción Deploy, se procede a dar clic en Browse y se llega a esta ventana donde se debe seleccionar a qué dispositivos o usuarios se les instalará el agente de The Fraud Explorer.

Previo a esta ventana, como requisito previo, deberá haber organizado sus dispositivos y usuarios de tal forma que se permita seleccionar fácilmente el grupo de usuarios que se desea monitorear.

Punto de distribución

Siguiendo con la opción de Deploy, se deberá seleccionar el punto de distribución donde será distribuido el contenido.

En una instalación normal, solo se tendrá un único punto o distribución. Para seleccionarlo debe dar clic en Add y luego marcar la casilla del Distribution Point.

Acción de despliegue

Procediendo con la configuración del Deploy, se selecciona la acción que ejecutará este despliegue. En este caso se selecciona la acción Install y el propósito Required.

Se marca la casilla When a resource is no longer a member of the collection, uninstall this application. Esta opción permite que cuando un usuario o un dispositivo no pertenezca a la colección seleccionada en los pasos anteriores, se envíe la acción de desinstalación del agente de The Fraud Explorer.

Agendamiento del despliegue

En esta ventana se puede configurar un horario y fecha específica para el despliegue de la acción de Instalación.

Para el caso del agente de The Fraud Explorer, se recomienda que no se realice agendamiento o programación, sino que se realice de manera inmediata.

Experiencia del usuario

La experiencia del usuario en la pantalla Deploy se refiere a aquellos comportamientos que se le mostrarán y se le permitirán al usaurio realizar con nuestro instalador. Para una instalación silenciosa y desatendida, se recomienda elegir la opción Hide in Software Center and all notifications.

Con esta configuración, el agente de SCCM en el dispositivo del usuario no mostrará ningún mensaje de instalación o desinstalación del agente de The Fraud Explorer.

Alertas de despliegue

En esta pantalla se pueden configurar alertas que informen sobre problemas o inconvenientes en la ejecución de la acción de despliegue.

Se recomienda no configurar alertas para el despliegue de la solución The Fraud Explorer y dejar las opciones por defecto de la ventana que no envían alertas.

Resumen del despliegue

Al finalizar se obtiene este resumen de las operaciones que fueron ejecutadas de forma exitosa.

Aquí se debe verificar que la acción a ejecutar sea Install, que el propósito sea Required y que no se le muestre ningún tipo de mensaje o alerta al usuario en su dispositivo.

Forzar política en PC

No hay necesidad de forzar la política de despliegue que se acabó de crear en el SCCM, sin embargo, si queremos que se ejecute de inmediato, es decir, que se instale nuestro agente, podemos forzar su ejecución.

Se debe entrar al Panel de Control de Windows, dar clic en Sistema y Seguridad y luego en Configuration Manager. En la ventana que se abre, se ingresa a la pestaña Actions y allí se da clic en Machine Policy Retrieval & Evaluation Cycle y luego clic en Run Now.

Verificación de la instalación

Para verificar la instalación se puede esperar a que en el SCCM, en el centro de Monitoreo, se muestre el nivel de cumplimiento. Sin embargo si queremos verificar directamente en el PC, se debe abrir el archivo de log ubicado en C:\ProgramData\Software\app.log con el blog de notas.

En este log se puede ver que el usuario que instaló la aplicación es system y que además por se la primera ejecución no se inicia el agente. Esto es debido a que el agente está programado para que funcione con privilegios de usuario normal, no con privilegios de administrador ni system por seguridad.

Reinicio del PC

Para que el agente de The Fraud Explorer empiece a funcionar, se debe reiniciar el PC. Una vez reiniciado el PC se puede volver a a abrir el archivo C:\ProgramData\Software\app.log donde se verá información sobre su primera ejecución.

$ApplogNormalExecution.png$

Como se observa, ya la ejecución se hace con un usuario normal sin privilegios elevados y de esa manera el agente de The Fraud Explorer lo detecta y procede a arrancar diciendo Modules started successfully.

El agente de The Fraud Explorer está configurado internamente para no permitir que se arranque con usuario administrador ni system.

Archivos que crea el agente

En la carpeta C:\ProgramData\Software se almacena el archivo ejecutable del agente de The Fraud Explorer llamado businessAnalytics.exe. Junto a él también se encuentra un archivo de los llamado app.log, un archivo de configuración llamado configApp.xml y un archivo con instrucciones internas para la desinstalación llamado uninstall.xml.

En caso de tener que agregar excepciones en el antivirus, el contenido de esta carpeta debería incluirse en las reglas de excepción o para la regla de ejecución el binario businessAnalytics.exe.

Base de datos del agente

Internamente el agente de The Fraud Explorer almacena su configuración en un archivo cifrado llamado endpoint.db3 y localizado en la carpeta C:\Users\empleado\AppData\Local\Software. Esta carpeta depende al final del usuario que será monitoreado.

En este archivo se almacena configuración como la dirección del servidor, las llaves de cifrado para la comunicación con la consola central y otra información relevante para su funcionamiento.

Entradas de registro de Windows

El agente de The Fraud Explorer crea una entrada en el registro de Windows en la ruta HKEY_LOCAL_MACHINE, SOFTWARE, WOW6432Node, Microsoft, Windows, CurrentVersion, Run.

Esta entrada garantiza que el agente inicie cada vez que el dispositivo sea reiniciado. El agente de The Fraud Explorer no crea ninguna otra entrada en el registro de Windows aparte de esta.

Aparición en programas instalados

Si se entra al panel de control y allí se ingresa a las aplicaciones y características del equipo, se verá que aparece el agente de The Fraud Explorer con el nombre Business Analytics.

Junto con el nombre de la aplicación aparece también la versión del agente. Cuando se realiza una actualización, no se crean entradas nuevas sino que se re-emplaza la actual con la nueva versión.

ProductID con PowerShell

Se puede verificar la instalación del agente de The Fraud Explorer a bajo nivel con PowerShell. Para ello debe ejecutar el siguiente comando en modo administrador:

get-wmiobject Win32_Product | Format-Table IdentifyingNumber, Name, LocalPackage - AutoSize

El comando mostrará información relevante como el nombre del producto, el ID del producto y la ubicación del archivo MSI dentro del caché de archivos de instalación de Windows.

Monitoreo del agente

En el PC del usuario, se puede abrir el Administrador de tareas y en la pestaña Detalles buscar el ejecutable businessAnalytics.exe.

El ejecutable se arranca con los privilegios del usuario que será monitoreado. Se pueden ver además los consumos de recursos que hace el agente. Cuando recién arranca, el agente puede consumir 17 MB de memoria RAM, pero una vez termina de arrancar su uso es de aproximadamente 8 MB.

Inicio del agente

Al crear la entrada en el registro de Windows, automáticamente el agente puede verse en la misma ventana del Administrador de tareas, en la pestaña Inicio.

En esta ventana se muestran todas las aplicaciones que arrancan cuando el usuario inicia sesión con su cuenta en Windows. El agente de The Fraud Explorer no arranca como servicio y no interfiere en el proceso de arranque de sistema operativo.

En caso de tener problemas con el arranque de Windows, puede descartar directamente que sea el agente de The Fraud Explorer, porque el agente se ejecuta en la etapa final cuando se ha cargado completamente el explorador de Windows.

Actualización del agente

En el módulo de Aplicaciones, donde se había creado la primera llamada Business Analytics, debe ahora crear una nueva que será usada para actualizar la anterior. No se crearán dos aplicaciones diferentes, sino que se le enseñará al SCCM que hay una nueva versión de una aplicación ya existente y que una precede a otra.

Se dará clic derecho sobre Aplications y luego en Create Application. En la ventana inicial deberá seleccionar el agente con una versión superior al anterior.

Información de la actualización

En la ventana donde se le pide proporcionar más información, deberá colocar un nombre que distinga esta aplicación de la anterior, por ejemplo Business Analytics Upgrade.

En el campo de texto de Installation program deberá especificar el comando para instalar la nueva versión:

msiexec /i "endpointInstallation-v3.2.0.msi" /quiet /qn

Deberá luego seleccionar en Install behavior la opción Install for system, porque igual que la aplicación original, el nuevo agente también requiere que se ejecute la instalación con un rol privilegiado.

Resumen de la actualización

El resumen de la aplicación creada para actualizar la anterior luce así.

Se destaca que el código del producto es diferente al anterior paquete MSI. Internamente cuando el MSI se instala, busca versiones anteriores del mismo paquete y si las encuentra sobre-escribe la instalación anterior y modifica la información del paquete para que no queden duplicados o repetidos.

Propiedades de la actualización

Una vez finalizada la creación de la aplicación para la actualización, se procede a dar clic derecho sobre ella y luego en la pestaña Distribution Settings deberá seleccionar High en Distribution priority.

Para terminar, deberá seleccionar la opción Automatically download content when packages are assigned to distribution points.

Configurar la supersedencia

En la ventana de propiedades de la actualización, deberá dar clic en la pestaña Supersedence para configurar la relación que existe entre esta actualización y la versión anterior del agente.

En la ventana que aparece deberá escoger Business Analytics - Windows Installer en la columna New Deployment Type y deberá dejar la casilla de Uninstall no activa (sin activar).

Tipo de despliegue de actualización

Estando en la ventana de propiedades de la actualización y luego dando clic en la pestaña Deployment Type y editándola, se entrará en esta ventana en la cual deberá especificar los comandos de instalación y desinstalación del nuevo agente.

En la pestaña Programs deberá asegurarse de que el campo Uninstall program contenga las comillas alrededor del ID del producto y que termine en /qn.

Experiencia de usuario en actualización

En la misma ventana que la anterior (Deployment Type - Edit) deberá dar clic en la pestaña User Experience para configurar la forma en que se le muestra información al usuario.

Deberá seleccionar en Install behavior la opción Install for system, en Logon requirement la opción Only when a user is logged on y por último en Installation program visibility escoger Hidden.

Despliegue de actualización

Una vez creada la aplicación para la actualización, se procede a dar clic derecho sobre ella y luego en Deploy.

En esta ventana deberá seleccionas la colección de usuarios o dispositivos a los cuales se les hará la actualización del agente.

Destino de contenido para actualizar

En esta ventana deberá asegurarse de seleccionar el Distribution Point donde será descargado el contenido.

Normalmente existe solo un Distribution Point, por lo que se recomienda seleccionar el que trae por defecto cuando se da clic en Add y luego en Distribution Point.

Acción de actualización

En la ventana de acciones, se deberá seleccionar Install y el propósito de la acción será Required.

Al final deberá activar la casilla que dice When a resource is no longer a member of the collection, uninstall this application. Esto lo que significa es que cuando el usuario o el dispositivo se saquen de la colección automáticamente se le enviará la orden de desinstalar el agente.

Agenda de la actualización

En la ventana de agendar la actualización se puede programar para cuándo se realiza.

Se recomienda no activar el agendamiento y dejar que se actualice de forma inmediata.

Experiencia para desplegar actualización

En esta ventana se configura la experiencia del usuario para que no se le muestre ningún tipo de aviso ni tenga ninguna interacción con la actualización del agente.

Se deberá elegir la opción Hide in Software Center and all notifications para que no se le presente al usuario ninguna alerta al momento de llevar a cabo la actualización.

Alertamiento de actualización

Se pueden configurar alertas en caso de que la actualización falle o no se lleve a cabo.

Se recomienda no configurar ninguna alerta y proceder con las opciones por defecto.

Resumen de actualización

Al finalizar el proceso de actualización se mostrará un resumen donde se consolida toda la información sobre las configuraciones seleccionadas.

En esta pantalla es importante asegurarse de que la acción elegida fue Install y de que el propósito fue Required.

Verificación de la actualización

En el PC del usuario donde se llevó a cabo la actualización, se puede abrir el archivo C:\ProgramData\Software\app.log para verificar que la actualización se haya llevado a cabo con éxito.

Deberá aparecer el mensaje Process killed (applies for upgrade/reinstall case) y se mostrará la usuario system como el ejecutor de esa actividad.

PowerShell para verificar actualización

Si se vuelve a ejecutar el siguiente comando en el PowerShell, se dará cuenta de que la versión anterior ya no existe y se ha reemplazado por la nueva versión:

get-wmiobject Win32_Product | Format-Table IdentifyingNumber, Name, LocalPackage -AutoSize

Adicionalmente se muestra el nuevo código del producto, que es diferente al anterior.

Actualización en listado de Aplicaciones

Adicionalmente, si abre el Panel de control en el PC del usuario y da clic en Aplicaciones y características, verá que solo existe una entrada en el listado de aplicaciones referente al agente de The Fraud Explorer.

Se podrá ver adicionalmente que la versión cambió y se muestra la versión del nuevo agente.

Desinstalar el agente

Para desinstalar el agente se debe primero eliminar el Deployment de instalación o actualización del agente, para esto, se da clic en la última aplicación creada previamente y luego en la parte inferior entrar a la pestaña Deployments, seleccionar la entrada que aparece, darle clic derecho y luego en Delete.

Debe eliminar el deployment, no la aplicación y esto es debido a que no pueden existir dos deployments que se contraríen el uno al otro (uno instala y otro desinstala).

Deployment de la desinstalación

Para crear un Deploy de deinstalación, de clic derecho sobre la última aplicación creada (la última versión del agente) y luego en la opción Deploy.

En la ventana de Deploy seleccione la colección de usuario o dispositivos en los cuales se llevará a cabo la desinstalación del agente.

Acción de desinstalación

Se debe seleccionar la acción Uninstall para continuar con la desinstalación del agente.

En esta ventana la opción de Purpose está deshabilitada debido a que una desinstalación por defecto tiene un propósito único y este es el requerido.

Experiencia de desinstalación

En esta ventana se configura qué tipo de información se le mostrará al usuario cuando se ejecute la desinstalación del agente en su máquina.

Se recomienda establecer la opción Hide in Software Center and all notifications para que el usaurio no sea molestado con avisos de desinstalación del agente.

Resumen de la desinstalación

Para finalizar, se muestra un resumen de la acción de desinstalación que se acabó de configurar.

Aquí se debe revisar que efectivamente quede bien señalada que la acción es Uninstall.

Verificación de la desinstalación

Para verificar en un PC de usuario, se puede volver a ejecutar el comando en la consola de PowerShell que muestra el listado de las aplicaciones instaladas:

get-wmiobject Win32_Product | Format-Table IdentifyingNumber, Name, LocalPackage -AutoSize

Como se observa, después de crear la acción de desinstalación en el SCCM, ya no aparece la aplicación Business Analytics.