ADG Оставить заявку
Блог Информационная безопасность 5 мин чтения

Kaspersky Security Center 8: один экран вместо зоопарка разрозненных лицензий

Мигрировали клиента на KSC 8 - наконец-то статус каждой машины виден в одном окне, обновления идут без VPN-коллизий, а не по принципу «вроде должно работать».

Контекст момента

Kaspersky Security Center 8 (бывший Administration Kit) вышел с поддержкой централизованного управления для сред 500+ машин.

Kaspersky выпустил Security Center 8 - ребрендированный и существенно переработанный Administration Kit. Для тех, кто занимается корпоративными парками в несколько сотен машин, это не просто смена названия. Мы как раз заканчивали миграцию одного клиента с разрозненных лицензий на централизованную схему, и новый релиз пришёлся к месту.

Что было до

Парк у клиента - что-то около пятисот рабочих мест, несколько офисов, VPN между ними. Kaspersky стоял почти везде, но история у него была... живописная. Лицензии покупались в разное время, разными людьми, на разные объёмы. Где-то стоял KAV 6, где-то уже 8, в одном удалённом офисе - вовсе KAV 5 корпоративный, поддержку которого Kaspersky фактически свернул. Обновления баз настроены у каждого агента напрямую через интернет или через локальный сервер обновлений, который поднял кто-то когда-то и больше не трогал.

Результат предсказуемый: никакой нормальной картины о состоянии парка нет. Чтобы понять, у кого базы не обновлялись неделю, надо либо ходить по машинам ногами, либо собирать логи скриптами, написанными на коленке. После Opera Aurora прошлась по нескольким нашим клиентам и мы об этом писали, вопрос мониторинга антивирусного статуса превратился из «надо бы» в «почему у вас этого до сих пор нет».

Про то, что разрозненные агенты на устаревших базах - это не абстрактный риск, мы уже убедились ещё несколько лет назад на другом объекте и с тех пор централизованный сервер обновлений считаем базовым требованием.

Что такое KSC 8 на практике

Kaspersky Security Center 8 - это единая точка управления: политики, обновления, задачи, карантин, отчёты. Агенты на машинах получают всё через сервер администрирования, а не тянут каждый из своего источника. Сервер может быть один или в иерархии - для распределённых сетей это важно, потому что гонять трафик обновлений через VPN на каждую машину - удовольствие дорогое и ненадёжное.

Новое в восьмёрке по сравнению с тем, что было:

  • Иерархия серверов - главный сервер в центральном офисе, подчинённые серверы в филиалах. Каждый филиал качает обновления с локального сервера, а тот синхронизируется с центральным. Трафик через VPN - одна копия обновлений, а не пятьдесят агентов, которые ломятся одновременно.
  • Политики на основе Active Directory - привязка к OU, группам, конкретным машинам. Раньше надо было городить группы внутри Administration Kit вручную, теперь структура берётся из AD.
  • Отчёты из коробки - статус обновлений, история заражений, машины без агента, лицензии с истекающим сроком. Не идеально, но ловит 80% вопросов, которые раньше требовали ручного сбора данных.
  • Веб-консоль (пока скромная) - возможность посмотреть общую картину без установки консоли администратора на каждый компьютер, с которого работаешь.

Как мигрировали

Миграция с разных версий KAV на единый KSC 8 - не одна кнопка. Сначала разобрались с лицензиями: клиент в итоге купил консолидированную корпоративную лицензию на весь парк, что оказалось дешевле, чем продлевать разрозненные куски по отдельности. Это само по себе уже был аргумент.

Дальше - поэтапно. Развернули главный сервер, настроили подчинённые серверы в двух крупных филиалах. Политики строили от AD: структура OU у клиента была более-менее в порядке, поэтому параметры защиты разложились по группам без особого насилия.

Больнее всего было с машинами на KAV 5 - там агент старый, новый сервер его не видит в полной мере. Пришлось переустанавливать агент вручную или скриптом через psexec там, где удалённое развёртывание не сработало. Несколько машин в одном из офисов оказались вообще без антивируса - просто выпали при предыдущих переездах парка. Это был неприятный сюрприз, но лучше увидеть это в консоли, чем узнать потом при разборе инцидента.

Что изменилось

Сейчас у клиента в консоли KSC видна вся инфраструктура. Красные иконки - машины с проблемами: старые базы, выключенный реальный мониторинг, истёкшая лицензия. Зелёные - всё в порядке. Серые - не выходили на связь с сервером дольше суток. Вот и всё, что нужно для ежедневного контроля.

Обновления через VPN перестали создавать проблемы - трафик с фильтра обновлений теперь идёт в один поток на подчинённый сервер, а дальше раздаётся внутри филиала. До этого периодически было: VPN ночью перегружен, агенты не обновились, утром картина непонятная.

Задачи по расписанию - полное сканирование, обновление баз, проверка критических областей - настраиваются один раз на уровне политики и применяются ко всем машинам в группе. Никаких «а у меня на этой машине расписание не настроено, я не знал».

Это ещё не финальное состояние: часть политик надо довернуть под специфику разных отделов, веб-фильтрацию клиент пока не включал, разбираемся с несколькими машинами, где агент конфликтует с другим ПО. Но базовая цель достигнута - парк виден, управляется из одной точки, обновления работают предсказуемо. Для управляемого сопровождения это минимальная планка, ниже которой работать не комфортно ни нам, ни клиенту.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.