Administratorzy odpowiedzialni za legalizację oprogramowania wykorzystywanego w przedsiębiorstwach mogą skorzystać ze specjalnych narzędzi przeznaczonych do inwentaryzacji.

Legalizacja bądź weryfikacja legalności posiadanego oprogramowania w firmie wykorzystującej setki kompute-rów tylko z pozoru może wydawać się zadaniem łatwym. Wymaga policzenia, ile i jakie aplikacje funkcjonują na poszczególnych stacjach roboczych i serwerach, oraz zestawienia tych wyliczeń z liczbą posiadanych licencji. Najtrudniejszym etapem jest ustalenie, jakie aplikacje działają na poszczególnych komputerach. O ile taką procedurę można przeprowadzić ręcznie w przypadku podstawowych aplikacji biurowych (identyfikując je na lokalnym dysku twardym), o tyle nie sposób zidentyfikować tą drogą pozostałych aplikacji, które mogą pracować na komputerach. A do powodzenia operacji kluczowa jest pełna identyfikacja każdego pliku wykonywalnego i bibliotek aplikacji znajdujących się na dyskach twardych. Tylko wtedy bowiem można mieć pewność, że nie przeoczono żadnej aplikacji i wyniki audytu stanowią odzwierciedlenie rzeczywistości. Nawet nieświadome pominięcie dowolnego programu może mieć fatalne skutki, gdy w firmie pojawi się audytor pracujący na zlecenie organizacji zwalczającej piractwo.

System znany czy niszowy?

Osoba odpowiadająca za weryfikację legalności oprogramowania w firmie może posłużyć się wieloma aplikacjami umożliwiającymi identyfikację programów zainstalowanych na komputerach. Aplikacje pozwalające zliczyć licencje dostarczają zarówno znani producenci (Microsoft, HP, Computer Associates, IBM) w ramach oferowanych przez nich systemów zarządzania infrastrukturą informatyczną, jak i mniejsze firmy, specjalizujące się w tym zakresie (Attest Software, Pathfinder, Express Meter). Każdy z dostępnych pakietów może jednak stosować różne metody identyfikacji aplikacji, a co za tym idzie zapewniać różną skuteczność ich automatycznego rozpoznawania po pierwszym uruchomieniu na komputerze.

Najbardziej w tym zakresie ograniczone są narzędzia tych producentów, których produkty są przeznaczone wyłącznie do identyfikacji programów pochodzących od nich. Najlepszym przykładem jest pakiet Microsoft Systems Management Server, który wykonuje inwentaryzację zasobów, ale tylko w ograniczonym zakresie. SMS może stwierdzić, czy na dyskach komputerów pracujących w sieci znajdują się określone pliki, zdefiniowane wcześniej przez administratora. Aplikacja posługuje się opisem charakterystycznych plików, na podstawie których można rozpoznać, jaka wersja systemu i jakie aplikacje biurowe pakietu Microsoft Office są zainstalowane na komputerze. Na tym kończą się możliwości SMS. Jeśli użytkownik chciałby stwierdzić, jakie inne pakiety działają w sieci, musiałby ręcznie stworzyć opisy wszystkich programów istniejących na rynku. A to operacja niewykonalna.

Porównanie z bazą danych

Inaczej działa aplikacja GASP firm Attest Software. Skanuje ona dysk komputera, odnotowując w specjalnie tworzonym dokumencie opisującym jego konfigurację informacje o wszystkich plikach odnalezionych na lokalnych dyskach. Tak zebrane dane są następnie analizowane przez moduł centralny, który na podstawie listy plików stara się zidentyfikować programy pracujące na komputerze. Każdorazowo wyszczególnia również informacje o plikach, których pochodzenia nie udało się ustalić, co pozwala administratorowi próbować skojarzyć plik z aplikacją (np. QRT.EXE z aplikacją QR Tekst).

Wadą tego typu aplikacji audytowych jest to, że ich bazy danych z założe- nia nie uwzględniają tysięcy aplikacji występujących na rynkach lokalnych, np. szerokiej gamy aplikacji księgowych, finansowych, dostępnych wyłącznie w Polsce.

Za zaletę jednak należy uznać sposób identyfikacji programów. Każda aplikacja jest opisana w centralnej bazie audytowej, nad której aktualizacją czuwa producent oprogramowania GASP. Istotną zaletą tego pakietu jest też to, że jest to narzędzie stosowane przez polskie firmy zajmujące się audytem oprogramowania (w szczególności firmy Microsoft Audit Partner). Dzięki temu rozpoznaje on wiele polskich aplikacji.

Bez własnej bazy

Ostatnim ze sposobów automatycznego audytu oprogramowania jest zastosowanie narzędzia, które samo "zdobywa wiedzę" o aplikacjach działających na komputerach w trakcie wykonywania inwentaryzacji. Takim rozwiązaniem jest np. Barefoot Auditor firmy Pathfinder.

Producenci pakietu doszli do wniosku, że dostarczanie centralnej bazy danych z opisami aplikacji mija się z celem, gdyż współpracujący z nią pakiet PC Auditor (poprzedni produkt firmy Pathfinder) rozpoznawał zaledwie ok. 50% wykrytych aplikacji. Aktualizacja takiej bazy jest - zdaniem producentów pakietu - zbyt kłopotliwa, gdyż i tak nie jest możliwe objęcie nią wszystkich aplikacji, które pojawiają się na rynku.

W przypadku programu Barefoot Auditor zastosowano więc inną metodę. Podejmuje on próbę zidentyfikowania aplikacji, analizując np. informacje opisujące pliki DLL, EXE, COM itp. zawarte w samych tych plikach (informacje typu Product, Publisher, Copyright, Version, Serial). Dzięki temu aplikacja sama tworzy bazę na podstawie informacji zawartych na dysku. Według zapewnień producenta, skuteczność rozpoznawania aplikacji w przypadku tego narzędzia wynosi ok. 90%.

Również ten sposób prowadze- nia audytu ma istotną wadę. Nie można wykluczyć pomyłki oprogramowa- nia, gdyż w rzeczywistości opiera się ono na informacjach, które mogą być nieprawdziwe. Niejednokrotnie bowiem pliki pochodzące z różnych aplikacji są nie opisane lub też opisa- ne w sposób niewystarczający (skrócona, nic nie mówiąca nazwa programu, np. PCSDRT). Zdarza się, że zawie- rają nieprawdziwe informacje do- tyczące wersji aplikacji, co fałszuje wyniki.

Kryteria wyboru

Wybierając rozwiązanie, które będzie wykorzystywane do audytu oprogramowania, należy zwrócić uwagę na kilka istotnych kryteriów.

Przede wszystkim należy wybrać takie rozwiązanie, którego rozwój jest zagwarantowany (szczególnie istotne w przypadku pakietów korzystających z centralnej bazy danych do identyfi-kowania aplikacji). Oczywiście, nigdy nie wiadomo na ile dany producent zaangażuje się w rozwój swojego narzędzia, ale jest bardzo prawdopodobne, że jeśli produkty audytowe są jedynymi w jego ofercie i od nich zależy byt firmy, to linia tych rozwiązań będzie kontynuowana. Wagę tego kryterium wyboru potwierdza historia firmy Dr. Solomon's. Oferowała ona bardzo dobre narzędzie inwentaryzacyjne Dr. Solomon's Audit, ale po przejęciu przez firmę Network Associates rozwój produktu wstrzymano.

Innym istotnym kryterium jest to, by informacje udostępniane przez produkt audytowy można było uznać za wiarogodne. W tym przypadku wyznacznikiem jest poparcie produktu przez takie instytucje, jak BSA czy SSI, i certyfikacja producentów oprogramowania.

Nie bez znaczenia jest również możliwość pracy oprogramowania na wielu platformach systemowych. Większość z dostępnych na rynku rozwiązań ogranicza się do wykonywania audytów na różnych wersjach systemu Windows, ale np. GASP dodatkowo pozwala zbierać informacje o aplikacjach pracujących na komputerach Macintosh, a także z systemami DOS i OS/2.

Kluczowym kryterium jest również raportowanie. Aplikacja musi umożliwiać nie tylko wyszukanie plików na dyskach twardych, ale także przeprowadzać rzetelną analizę wykorzysta- nia aplikacji, pozwalać na wpisanie stanu posiadanych licencji i tworzyć raporty dotyczące legalności oprogramowania, liczbę wymaganych dodat- kowych licencji itp. Powinna być jednocześnie na tyle elastyczna, by umożliwić zmianę opisu dotyczącego sposobu licencjonowania wykrytych aplikacji i systemów. Przykładowo, programy Microsoft Excel i Microsoft Word odnalezione na jednym z komputerów mogą być traktowane jako: nie-zależne aplikacje, komponenty pakie- tu Microsoft Office Standard, Office Professional lub Office Small Business. W każdym z tych przypadków pakiety te są objęte inną licencją, dostępną w różnych cenach. Dodatkowa trudność wynika również ze sposobu liczenia systemów i aplikacji dostępnych w ramach licencji OEM, które na stałe są związane z konkretnym komputerem i nie można ich wykorzystać do legalizacji oprogramowania na innym.

Istotnym wymogiem jest również to, by system audytowy wspoma- gał proces ręcznego rozpoznawania aplikacji. Powinien udostępniać do- datkowe informacje o plikach EXE i DLL wątpliwego pochodzenia, a także próbować je grupować, np. ze względu na ich lokalizację na dysku (ten sam katalog).

Dobrze również, gdy aplikacja oprócz realizacji podstawowych funkcji, jaką jest audyt oprogramowania, przeprowadza również inwentaryzację sprzętu, umożliwiając nadanie mu indywidualnych numerów (np. numerów środków trwałych), weryfikując wersję BIOS i gromadząc podstawowe parametry techniczne.

Identyfikacja to nie wszystko

Audyt oprogramowania nie powinien być procesem jednorazowym. Przeprowadzanie go w sposób regularny (np. raz na kwartał) umożliwi weryfikację, czy od czasu pełnej legalizacji oprogramowania użytkownicy zainstalowali na komputerach programy, na które nie ma licencji. Administrator ma również możliwość wspomagania "walki" z niesfornymi użytkownikami z wykorzystaniem dodatkowych rozwiązań i narzędzi, uniemożliwiających nieuprawnionym pracownikom instalowanie dodatkowych aplikacji.

Podstawowym mechanizmem, który może być wykorzystany do ograniczenia praw użytkowników, jest system profili dostępny w Windows (jego najbardziej zaawansowana forma znajduje się w Windows 2000). Mechanizm ten, chociaż bardzo przydatny w ograniczaniu dostępu do funkcji systemowych, np. zmiany tapety na pulpicie, nie jest optymalny do kontrolowania instalacji programów bądź uruchamiania konkretnych aplikacji. Znacznie bardziej rozbudowane funkcje zapewniają narzędzia niezależnych producentów, takie jak Lan Licenser firmy ABC Systems lub GASP Meter oferowany przez Attest Software.

Dzięki wykorzystaniu takich aplikacji administrator może zarówno mierzyć aktualne wykorzystanie aplikacji na stacjach roboczych i serwerach, jak i ograniczać ich uruchamianie. Mechanizmy ograniczania są bardzo rozbudowane: od całkowitego zabronienia uruchamiania aplikacji do przyznania prawa do jej uruchamiania, ale tylko w przypadku zaistnienia określonych warunków, np. konkretnej pory dnia, określonego zakresu (np. tylko 20 równolegle pracujących kopii aplikacji w całej sieci) itp. Produkt Lan Licenser w tym zakresie oferuje najszersze funkcje, umożliwiając np. użytkownikowi skorzystanie z funkcji callback - poinformowania o możliwości urucho- mienia aplikacji w momencie, gdy zostanie ona zamknięta przez innego użytkownika.

Wszystkie te funkcje są realizowane za pośrednictwem dedykowanego klienta instalowanego na stacjach roboczych, który komunikuje się z centralnym serwerem zarządzającym licencjami i przechowującym informacje o prawach dostępu do aplikacji poszczególnych pracowników.