Akcesoria

Audyt legalności oprogramowania

przeczytasz w 5 min.

Automatyczne sprawdzenie legalności oprogramowania

[źródło: Stockvault]

Zasadniczym etapem audytu legalności oprogramowania jest sporządzenie spisu używanych w firmie aplikacji z listą posiadanych przez nią licencji. Proces ten można wydatnie zautomatyzować przy użyciu programów uplook/statlook, AuditPro oraz Axence nVision.

Zarządzanie licencjami jest skomplikowanym procesem, który wymaga wiele uwagi, staranności oraz znajomości przepisów związanych z licencjonowaniem oprogramowania. Za punkt wyjścia należy przyjąć stworzenie katalog posiadanego sprzętu oraz zebranie i uporządkowanie posiadanych licencji, w tym faktur zakupu, innych dokumentów potwierdzających nabycie programu, nośników, opakowań oraz naklejek z kodem produktu. W artykule nie będziemy jednak omawiać zasad licencjonowania, ale przedstawimy narzędzia, które pozwolą zbudować katalog sprzętu i aplikacji oraz przeprowadzić audyt legalności używanego w firmie oprogramowania.

SAM na sam z licencjami

Software Asset Management (SAM) to zestaw dobrych praktyk biznesowych, które obejmują procesy i procedury związane z zarządzaniem licencjami na oprogramowanie. Praktyki SAM umożliwiają zapewnienie zgodności z regulacjami oraz prawnymi aspektami używania aplikacji, które są chronione prawami autorskimi. Wdrożenie procesów i procedur SAM przyczynia się również do lepszego wykorzystania posiadanych licencji w przedsiębiorstwie.

Microsoft wyróżnia cztery podstawowe kroki (etapy) wdrażania zarządzania oprogramowaniem w firmie:

  • przeprowadzenie inwentaryzacji oprogramowania,
  • sporządzenie zestawienia, które porówna listę używanych aplikacji z posiadanymi licencjami,
  • stworzenie polityk i procedur zarządzania oprogramowaniem oraz,
  • przygotowanie i wdrożenie cyklicznego planu zarządzania oprogramowaniem.

Zacznijmy więc od przeprowadzenia spisu oprogramowania, aby dowiedzieć się z jakich aplikacji korzystają pracownicy, którzy i gdzie? W tym celu możemy posłużyć się arkuszem kalkulacyjnym oraz programem ProduKey, który pozwala uzyskać klucze produktu zainstalowanych programów. Kolejny krok polega na zestawieniu listy używanych aplikacji z posiadanymi licencjami.

Microsoft Assessment and Planning (MAP) Toolkit to darmowe narzędzie, które ułatwia planowanie oraz zarządzanie zasobami infrastruktury informatycznej w przedsiębiorstwie. MAP wspiera procesy oceny środowiska IT, wdrażania nowych rozwiązań i migracji do wyższych wersji oprogramowania na podstawie scenariuszy biznesowych np. przenoszenia serwerów i stacji roboczych do chmury.

Dla mniejszych firm Microsoft udostępnił oprogramowanie w chmurze Windows Intune, które zapewnia funkcje scentralizowanego zarządzania stacjami roboczymi z poziomu przeglądarki internetowej, niezależnie od fizycznej lokalizacji komputera. Większe firmy oraz korporacje mogą wykorzystać w tym celu narzędzia wchodzące w skład pakietu Microsoft System Center.

Procesy związane z zarządzaniem zasobami IT w organizacji możesz również zautomatyzować za pomocą oprogramowania firm trzecich m.in. uplook/statlook, AuditPro, Axence nVision czy GLPI z wtyczką OCS Inventory NG lub FusionInventory. Spróbujmy przyjrzeć się bliżej każdej z tych aplikacji.

uplook

uplook to program do kontroli legalności oprogramowania firmy media-press.tv, wcześniej A plus C. Aplikacja upraszcza procesy zarządzania licencjami i jest chętnie wykorzystywana przez administratorów IT oraz profesjonalnych audytorów do prowadzenia zautomatyzowanych audytów legalności.

Program umożliwia inwentaryzację plików multimedialnych i czcionek, które również podlegają ochronie praw autorskich, a o czym się często zapomina. Aplikacja dostarcza informacj, jakie nagrania dźwiękowe i filmy pracownicy przechowują na swoich dyskach. Uplook’a wyposażono w edytor wzorców aplikacji oraz nowy moduł, który służy umożliwia jednoznaczną identyfikację zainstalowanego oprogramowania na podstawie analizy kilku plików. Ma wbudowane gotowe raporty stanu legalności posiadanych aplikacji oraz metryki sprzętu i oprogramowania do podpisania przez użytkowników odpowiedzialnych za daną stację roboczą.

Uplook ma wbudowany moduł ewidencji sprzętu, który ułatwia zarządzanie zasobami IT oraz planowanie zakupów. Program umożliwia tworzenie własnych parametrów ewidencji, dodawanie załączników do kart inwentarzowych (np. faktur zakupu) oraz generowanie kodów kreskowych.

Informacyjny ekran startowy programu uplook. źródło: Aplusc Systems

Proces audytu legalności oprogramowania oraz ewidencji sprzętu jest prowadzony zdalnie w trybie ciągłym. Uplook śledzi zmiany w komputerach, co pozwala administratorowi szybko dostrzec nieuprawnione instalacje wykonywane samodzielnie przez użytkowników.

Przegląd operacji na dyskach wymiennych zarejestrowanych w programie uplook. źródło: Aplusc Systems

Uplook’a rozszerzymy o dodatkowe moduły funkcjonalne, które standardowo są częścią programu statlook tego samego producenta. Moduły Pracownicy oraz weblook umożliwiają zbieranie informacji na temat aktywności użytkowników przy komputerze – czasie pracy, liczbie wydruków, sposobie korzystania z internetu, komunikatorów, FTP itd. Datalook służy do blokowania nośników wymiennych, natomiast moduł helpdesk zapewnia zdalny dostęp do komputerów pracowników oraz funkcje zarządzania zgłoszeniami serwisowymi.

AuditPro

Uplook i statlook mają silną konkurencję w postaci programów AuditPro oraz Axence nVision. AuditPro, czeskiej firmy truconneXion, jest profesjonalnym narzędziem, które wspomaga prace działów informatyki w zakresie zarządzania sprzętowymi i programowymi zasobami IT. Aplikacja umożliwia monitorowanie działań pracowników, mierzenie efektywności pracy przy komputerze oraz śledzenie, w jaki sposób korzystają oni z internetu. Oficjalnym dystrybutorem AuditPro w Polsce jest Mediarecovery.

AuditPro umożliwia przeprowadzenie audytu posiadanego sprzętu i legalności oprogramowania. Funkcja kontroli aplikacji dostarcza wiedzy na temat używanych przez pracowników programów, co pozwala na bardziej optymalne wykorzystanie posiadanych przez firmę licencji. Nieużywane oprogramowanie, jeśli pozwalają na to warunki licencji, warto przenieść na inne stanowisko, oszczędzając w ten sposób pieniądze. Zwróćmy uwagę, że AudtiPro w wersji 7 zaprojektowano z myślą o wsparciu procesów SAM (Software Asset Management) realizowanych w oparciu o normę ISO 19770.

Zarządzanie oprogramowaniem w AuditPro. Filtr produktów umożliwia zawężenie listy wyników. źródło: AuditPro

Wdrożenie AuditPro w firmie nabiera sensu nawet wtedy, gdy zarządzamy jedynie kilkoma komputerami. Producent udostępnia darmową wersję programu dla maksymalnie 5 stacji roboczych, którą możemy użyć do przeprowadzenia własnych testów. Dodajmy, że AuditPro z powodzeniem sprawdzi się również w dużych przedsiębiorstwach i międzynarodowych korporacjach.

Funkcjonalność AuditPro warto rozszerzyć o dodatkowe moduły - Zarządzanie Zasobami, SMS Connector, Kody kreskowe oraz HelpDesk. Zarządzanie Zasobami AuditPro umożliwia prowadzenie ewidencji środków IT. Moduł ten pozwala przyporządkować komputery oraz zainstalowane na nich oprogramowanie do miejsc i pracowników. Każdy zasób może być opisany zestawem cech oraz umieszczony w strukturze firmy. Oznakowanie środka trwałego kodem kreskowym przyspiesza jego identyfikację i ogranicza liczbę pomyłek w trakcie inwentaryzacji sprzętu. Dostępna jest też aplikacja na urządzenia mobilne, która ułatwia prowadzenie spisu z natury.

AuditPro: raport prezentujący sumaryczne zestawienie czasu pracy użytkowników przy komputerze za wskazany okres. źródło: AuditPro

Ważnym elementem ekosystemu AuditPro jest moduł Monitorowanie komputerów. Pozwala on śledzić aktywność pracowników w internecie oraz sposób korzystania przez nich z programów, drukarek czy wymiennych nośników pamięci. Moduł monitorowanie komputerów wyposażono w funkcje blokowania dostępu do wybranych aplikacji oraz kopiowania plików do pamięci przenośnej.

Axence nVision

Axence nVision to dobrze znane wielu polskim administratorom narzędzie do kompleksowego zarządzania siecią komputerową, stacjami roboczymi i serwerami. W skład pakietu nVision wchodzi pięć modułów: Network do wykrywania i wizualizacji sieci oraz ochrony przed awariami, Users zbierający statystyki korzystania z komputerów i internetu przez pracowników, HelpDesk z wbudowanymi funkcjami zdalnego dostępu, bazą zgłoszeń serwerowych oraz chatem, DataGuard służący do ochrony danych przed wyciekiem oraz Inventory umożliwiający zautomatyzowaną inwentaryzację sprzętu i oprogramowania.

Inwentaryzacja oprogramowania w programie Axence nVision. źródło: Axence Software

Axence nVision pozwala sporządzić spis zainstalowanych programów i aktualizacji systemu Windows. Tak przygotowana lista może zostać szybko porównana z zestawieniem zakupionych przez firmę licencji. Wykrywanie aplikacji zainstalowanych na komputerach odbywa się przez analizę plików .exe oraz wpisów w rejestrze. Jest to metoda bardzo dokładna, która ogranicza możliwość fałszowania lub ukrywania programów używanych przez samych użytkowników.

Zebrane w ten sposób dane wykorzystywane są w trakcie prowadzenia audytów legalności. Axence nVision generuje raport zgodności, który pozwala porównać listę zainstalowanego oprogramowania z liczbą posiadanych licencji. Program  ma wbudowaną rozbudowaną bazę wzorców oprogramowania; umożliwia również odczyt numerów seryjnych aplikacji Microsoft.

Edycja kartoteki środka trwałego w programie Axence nVision. źródło: Axence Software

Moduł ewidencyjny Axence nVision zbiera informacje o konfiguracji sprzętowej komputerów. Administrator ma możliwość definiowania własnych typów i pól wyposażenia. W bazie danych gromadzone są numery inwentarzowe środków trwałych, informacje o dostawcach oraz powiązane dokumenty np. zeskanowane faktury, gwarancje itd. Program rejestruje historię zmian w konfiguracji sprzętu oraz oprogramowania. Producent udostępnił aplikację dla urządzeń mobilnych z Androidem, która w połączeniu z kodami kreskowymi umieszczonymi na sprzęcie komputerowym, pozwala szybko i wygodnie przeprowadzić inwentaryzację zasobów IT w firmie.

GLPI

Na rynku znajduje się również oprogramowanie rozwijane w modelu open source, które stanowi ciekawą alternatywę dla komercyjnych rozwiązań do zarządzania zasobami IT. Tego typu narzędzia są chętnie wykorzystywane zarówno przedsiębiorstwach prywatnych, jak i administracji publicznej. Dobrym przykładem jest tutaj aplikacja webowa GLPI, która działa w przeglądarce internetowej. Program umożliwia prowadzenie ewidencji sprzętu oraz używanego w firmie oprogramowania. Procesy te można zautomatyzować za pomocą darmowych narzędzi OCS Inventory NG oraz FusionInventory, które w prosty sposób uda nam się zintegrować z GLPI.

Microsoft Assessment and Planning (MAP) Toolkit to darmowe narzędzie, które ułatwia planowanie oraz zarządzanie zasobami infrastruktury informatycznej w przedsiębiorstwie.

GLPI służy do ewidencji posiadanych komputerów, licencji na oprogramowanie oraz informacji o urządzeniach peryferyjnych takich jak skanery, drukarki, telefony lub tablice dydaktyczne. W bazie programu zgromadzimy szczegółowe dane na temat konfiguracji sprzętowej stacji roboczych i serwerów, urządzeń sieciowych (adres IP, MAC oraz sieci VLAN) oraz warunków licencji na oprogramowanie (liczba, ważność, umowy, dokumenty zakupu). Każde urządzenie może zostać przypisane do pracownika oraz umieszczone w strukturze biznesowej przedsiębiorstwa. GLPI umożliwia śledzenie stanu urządzeń (np. w naprawie, sprawne) oraz zmian w ewidencji środków trwałych. W połączeniu z systemem obsługi zgłoszeń serwisowych ułatwia to zarządzanie awariami oraz prowadzenie napraw sprzętu.

ProduKey

W przypadku małych firm audyt legalności oprogramowania można przeprowadzić samemu. Dotyczy to tylko podmiotów, w których liczba stacji roboczych i serwerów nie przekracza kilkunastu sztuk, a zestaw używanego oprogramowania biurowego ogranicza się do aplikacji Windows i pakietu Office. Wiele osób zadaje sobie pytanie, jak pobrać z rejestru systemu klucze produktów dla zainstalowanego oprogramowania.

Klucz produktu (ang. Product Key) to indywidualny ciąg znaków, który jest wprowadzany w trakcie instalacji programu na komputerze. Dla systemu Windows jest on zapisany na samoprzylepnej etykiecie Certyfikat Autentyczności Microsoft COA (ang. Certificate of Authenticity), umieszczonej na obudowie komputera. W przypadku innych aplikacji (np. pakietu biurowego Office) może on zostać dostarczony w formie naklejki na opakowaniu płyty instalacyjnej lub wizytówki, ale również w formie elektronicznej.

ProduKey pozwala wyciągnąć z rejestru systemu klucz produktów Windows oraz Microsoft Office. źródło: NirSoft

W trakcie porządkowania licencji może zajść potrzeba zweryfikowania lub przyporządkowania COA z kluczem zapisanym w rejestrze systemu Windows dla danego programu. Tu z pomocą przychodzą takie narzędzia jak ProduKey, The Magical Jelly Bean KeyFinder oraz WinKeyFinder.

ProduKey to niewielki program, które wyświetla ProductID oraz klucz produktu dla systemu Windows (włączając w to komputery z Windows 7 i 8), Microsoft Office (w tym wersje 2007 i 2010) oraz serwerów Microsoft Exchange i SQL Server. Aplikacja nie wymaga instalacji na dysku; może być uruchamiana z wiersza poleceń.

Komentarze

1
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    0
    polecam wszystkim statlook (dawniej uplook) http://www.statlook.com/pl/
    świetne narzędzie do audytu oprogramowania.

    Witaj!

    Niedługo wyłaczymy stare logowanie.
    Logowanie będzie możliwe tylko przez 1Login.

    Połącz konto już teraz.

    Zaloguj przez 1Login