ADG Оставить заявку
Блог Информационная безопасность 5 мин чтения

Сервер обновлений антивируса: как треть парка жила с базами трёхмесячной давности

Обнаружили, что у трети машин антивирусные базы не обновлялись три месяца. Подняли внутренний сервер обновлений - теперь статус каждой машины виден, базы раскатываются централизованно.

Контекст момента

Централизованные серверы обновлений антивируса становятся обязательными при парке от 20 машин

На одном из клиентских объектов - парк около сорока машин, нормальный средний офис - антивирус стоял на каждой. Kaspersky, лицензионный, всё как положено. И когда нас туда взяли на управляемое сопровождение, первое, что мы сделали - прошлись по состоянию машин. Картина оказалась неприятной.

Треть парка жила с антивирусными базами трёхмесячной давности. Несколько машин - четырёхмесячной. Одна вообще не обновлялась с момента установки системы.

Антивирус стоял. Лицензии были. Обновление через интернет было настроено. Просто никто никогда не проверял, работает ли оно.

Почему «обновление через интернет» не работает само

Механика такая: каждая машина по расписанию ходит на серверы производителя, скачивает базы, устанавливает. Звучит просто. На практике ломается в нескольких местах.

Сеть и прокси. У клиента был прокси с аутентификацией. Антивирус на части машин прокси не знал - настраивали вручную при установке, где-то забыли. Те машины молча не обновлялись.

Пользователь выключает компьютер. Расписание стоит на рабочее время, но конкретная машина в это время выключена - пользователь уехал в командировку, ушёл в отпуск. Пропустил один раз, пропустил второй. Через месяц базы уже заметно отстают.

Обновление падает с ошибкой - и никто не знает. Сервер производителя недоступен, истёкло время ожидания, ошибка сети - антивирус записал это в локальный лог и забыл. Пользователь ничего не видит, администратор ничего не видит. Базы тем временем стареют.

Ширина канала. Сорок машин одновременно ходят за обновлениями наружу. Не катастрофа, но лишняя нагрузка на канал, которого клиентам обычно и так немного.

Итог: схема «каждый обновляется сам» требует постоянного ручного контроля, чтобы убедиться, что она вообще работает. А ручной контроль сорока машин - это задача, которую делают редко или не делают совсем.

Что такое сервер обновлений

У Kaspersky есть отдельный продукт - Administration Kit (KAV для сетей, если по-старому). Он делает несколько вещей, но ключевое для нас: внутренний сервер обновлений, с которого все агенты на рабочих станциях тянут базы.

Схема меняется принципиально. Сервер обновлений один раз скачивает базы с серверов Kaspersky - один запрос наружу. Все остальные машины обновляются уже с него, внутри сети. Прокси касается только сервера, не каждой рабочей станции. Канал наружу разгружается.

Но главное не это. Главное - центральная консоль видит состояние каждого агента: когда последний раз подключался, какая версия баз, статус последнего обновления, были ли ошибки. Не «в среднем всё нормально», а конкретно по каждой машине.

Как разворачивали

Развернули Administration Server на выделенной машине - там же крутился файловый сервер, ресурсов хватало. Установка занимает час, ещё час на первичную конфигурацию.

Потом несколько шагов:

Инвентаризация. Сервер нашёл в сети все машины через Active Directory. Сразу стало видно, где агент не установлен вообще - таких оказалось три штуки, про которые мы не знали.

Раскатка агентов. На машины, где агента не было или была старая версия, агент поставили принудительно через AD - без участия пользователей.

Настройка политики обновления. Все агенты получают политику: обновляться каждые четыре часа с внутреннего сервера. Сервер сам обновляется с Kaspersky каждые два часа. Отставание баз на всём парке - максимум шесть часов.

Алерты. Если машина не подключалась к серверу больше суток - в консоли предупреждение. Если базы старше двух дней - отдельный алерт. Это не падение на пейджер, но при ежедневном обходе дашборда видно сразу.

На раскатку политики и приведение всех машин к актуальному состоянию ушло около трёх часов - в основном потому что некоторые машины были выключены и дождались следующего дня.

Что увидели после

Через неделю картина стала читаемой. Машины с отставанием исчезли - все подтянулись к актуальным базам в первые сутки. Осталось несколько хронически выключенных - ноутбуки сотрудников, которые бывают в офисе раз в неделю. Их вынесли отдельно: при подключении к сети агент сразу стягивает обновления, консоль фиксирует факт.

Прокси-проблема решилась централизованно: настроили аутентификацию один раз на сервере обновлений, рабочие станции про прокси теперь не знают.

Трафик наружу по антивирусным обновлениям упал заметно - было видно в статистике на маршрутизаторе. Вместо сорока независимых запросов - один от сервера.

Про порог в двадцать машин

Ставить ли сервер обновлений - вопрос масштаба. До десяти машин это избыточно: проще следить руками или написать скрипт, который раз в неделю проверяет дату баз и пишет на почту. Десять-двадцать машин - серая зона, зависит от того, насколько дисциплинированы пользователи и есть ли у администратора время на ручной контроль.

При двадцати машинах и больше - без централизации тихие угрозы находят лазейку именно там, где базы отстали. Это не теоретический риск: когда в 2003 году Blaster гулял по сетям, в самых пострадавших офисах была ровно такая история - патчи и обновления формально стояли, но за их актуальностью никто не следил.

Антивирус с устаревшими базами - это не антивирус. Это иконка в трее, которая создаёт ощущение защиты.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.