ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

200 машин под одним дашбордом: переводим парк на McAfee ePolicy Orchestrator

Перевели 200 рабочих станций клиента с локальных антивирусов на централизованное управление через ePolicy Orchestrator 4.0. Первый же аудит вскрыл 12 машин с базами трёхнедельной давности.

Контекст момента

McAfee ePolicy Orchestrator 4.0 выходит в 2007 году с переработанным интерфейсом и централизованным управлением антивирусными политиками для корпоративных парков

Когда парк рабочих станций перешагивает за сотню машин, антивирус из «просто установленного» превращается в отдельную задачу управления. Установить - не проблема. Проблема - убедиться, что он обновляется, работает и не был тихо выключен пользователем, которому «мешал». Именно в такой ситуации мы оказались с одним из клиентов: 200 рабочих станций, у каждой свой локальный антивирус, обновляющийся когда как, и никакого централизованного контроля.

Решение - McAfee ePolicy Orchestrator 4.0, который вышел в этом году с переработанным интерфейсом. Взялись за развёртывание в рамках сервиса managed IT.

Как было до

Ситуация типичная для парков, которые росли стихийно. На половине машин - McAfee VirusScan, на четверти - Kaspersky, на остальных то, что поставил предыдущий подрядчик или сам пользователь. Обновления тянутся напрямую из интернета, у каждого продукта свои настройки, своё расписание, своя логика. Никто не смотрит в консоль, потому что единой консоли нет.

Мы с этим разобрались ещё в 2005-м на сервере обновлений: централизованная раздача сигнатур через внутренний источник работает, но без централизованного управления агентами это полумера. Сигнатуры обновляются, но что происходит с самим антивирусом - непонятно.

Что делает ePolicy Orchestrator

EPO - это не антивирус. Это система управления: она ставит агентов на машины, раздаёт политики, собирает статусы и показывает всё это в одном месте. Антивирус (McAfee VirusScan Enterprise) идёт отдельным продуктом, EPO им управляет.

Архитектура несложная: один сервер EPO в сети, агент McAfee Agent на каждой рабочей станции, связь по HTTP/HTTPS. Агент раз в несколько часов чекинится на сервер, забирает политики, отправляет статус. На сервере - веб-консоль с деревом машин, дашборд с цифрами по парку, задачи на деплой и обновление.

Как разворачивали

Развёртывание заняло несколько дней активной работы плюс неделю «долётов» на машины, которые не были включены в момент пуша агента.

Первый этап - инвентаризация. Без неё никуда. Выгрузили всё из Active Directory, сверились с реальным парком, нашли несколько машин, которые числились в AD, но уже год как не заходили в сеть. Их сразу убрали из scope.

Второй этап - деплой агентов. EPO умеет пушить агента через AD с помощью групповых политик или вручную через msiexec. Пошли через GPO - по машинам из нужных OU агент разошёлся за ночь. Те, кто не попал с первого раза, ловили при следующем входе.

Третий этап - унификация антивируса. На машинах с чужими продуктами нужно было сначала снести старый антивирус, потом поставить VirusScan Enterprise через EPO. Снос Kaspersky с удалённым паролем - отдельное удовольствие, там пришлось делать скрипт через psexec.

Четвёртый этап - политики. Настроили единую политику: расписание сканирования, источник обновлений (внутренний сервер обновлений McAfee), реакция на угрозы, запрет отключения пользователем. Всё это раздаётся с сервера и применяется при каждом чекине агента.

Первый аудит: сюрприз в 12 машинах

Как только все агенты зарегистрировались на сервере, мы запустили отчёт по состоянию баз. Картина оказалась неожиданной даже для нас - хотя чего-то такого мы, честно говоря, и ждали.

12 машин из 200 показали возраст антивирусных баз больше трёх недель. На двух - вообще месяц с лишним. Причины разные:

  • несколько машин стояли за NAT-ом в отдельном офисе и давно перестали выходить на внешние серверы обновлений McAfee (внутренний сервер мы ещё не подключили к ним),
  • на паре машин антивирус был отключён вручную - сервис остановлен, автозапуск снят. Никто этого не замечал,
  • остальные просто давно не включались и не обновились после выхода из спячки.

С локальными антивирусами эти 12 машин существовали бы в таком виде ещё неизвестно сколько. Теперь мы увидели их в первый же день после завершения миграции.

Все 12 машин исправили в течение дня: дотянули обновления, на двух машинах с отключёнными сервисами разобрались с пользователями, политику сделали жёстче - теперь перезапуск сервиса через задачу EPO при любом расхождении с эталоном.

Что получили в итоге

Главное - видимость. Раньше про антивирусное состояние парка знали «в целом нормально». Теперь - точное число машин с устаревшими базами, список угроз за сутки по всем хостам, статус последнего сканирования. Дашборд EPO обновляется по мере чекина агентов, критические отклонения видны сразу.

Отдельно ценно то, что политику нельзя обойти с рабочей станции без прав домен-администратора. Пользователь не может выключить антивирус штатными средствами - при следующем чекине агент его поднимет и отрапортует об инциденте.

Хватит ли этого? С точки зрения аудита безопасности - это один контроль из многих. Антивирус не заменяет патч-менеджмент, сегментацию сети и мониторинг логов. Но 12 машин с мёртвыми базами в первый же день - хорошее напоминание о том, что «антивирус установлен» и «антивирус работает» - это разные вещи.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.