Kaspersky Security Center 8: один экран вместо зоопарка разрозненных лицензий
Мигрировали клиента на KSC 8 - наконец-то статус каждой машины виден в одном окне, обновления идут без VPN-коллизий, а не по принципу «вроде должно работать».
Kaspersky Security Center 8 (бывший Administration Kit) вышел с поддержкой централизованного управления для сред 500+ машин.
Kaspersky выпустил Security Center 8 - ребрендированный и существенно переработанный Administration Kit. Для тех, кто занимается корпоративными парками в несколько сотен машин, это не просто смена названия. Мы как раз заканчивали миграцию одного клиента с разрозненных лицензий на централизованную схему, и новый релиз пришёлся к месту.
Что было до
Парк у клиента - что-то около пятисот рабочих мест, несколько офисов, VPN между ними. Kaspersky стоял почти везде, но история у него была... живописная. Лицензии покупались в разное время, разными людьми, на разные объёмы. Где-то стоял KAV 6, где-то уже 8, в одном удалённом офисе - вовсе KAV 5 корпоративный, поддержку которого Kaspersky фактически свернул. Обновления баз настроены у каждого агента напрямую через интернет или через локальный сервер обновлений, который поднял кто-то когда-то и больше не трогал.
Результат предсказуемый: никакой нормальной картины о состоянии парка нет. Чтобы понять, у кого базы не обновлялись неделю, надо либо ходить по машинам ногами, либо собирать логи скриптами, написанными на коленке. После Opera Aurora прошлась по нескольким нашим клиентам и мы об этом писали, вопрос мониторинга антивирусного статуса превратился из «надо бы» в «почему у вас этого до сих пор нет».
Про то, что разрозненные агенты на устаревших базах - это не абстрактный риск, мы уже убедились ещё несколько лет назад на другом объекте и с тех пор централизованный сервер обновлений считаем базовым требованием.
Что такое KSC 8 на практике
Kaspersky Security Center 8 - это единая точка управления: политики, обновления, задачи, карантин, отчёты. Агенты на машинах получают всё через сервер администрирования, а не тянут каждый из своего источника. Сервер может быть один или в иерархии - для распределённых сетей это важно, потому что гонять трафик обновлений через VPN на каждую машину - удовольствие дорогое и ненадёжное.
Новое в восьмёрке по сравнению с тем, что было:
- Иерархия серверов - главный сервер в центральном офисе, подчинённые серверы в филиалах. Каждый филиал качает обновления с локального сервера, а тот синхронизируется с центральным. Трафик через VPN - одна копия обновлений, а не пятьдесят агентов, которые ломятся одновременно.
- Политики на основе Active Directory - привязка к OU, группам, конкретным машинам. Раньше надо было городить группы внутри Administration Kit вручную, теперь структура берётся из AD.
- Отчёты из коробки - статус обновлений, история заражений, машины без агента, лицензии с истекающим сроком. Не идеально, но ловит 80% вопросов, которые раньше требовали ручного сбора данных.
- Веб-консоль (пока скромная) - возможность посмотреть общую картину без установки консоли администратора на каждый компьютер, с которого работаешь.
Как мигрировали
Миграция с разных версий KAV на единый KSC 8 - не одна кнопка. Сначала разобрались с лицензиями: клиент в итоге купил консолидированную корпоративную лицензию на весь парк, что оказалось дешевле, чем продлевать разрозненные куски по отдельности. Это само по себе уже был аргумент.
Дальше - поэтапно. Развернули главный сервер, настроили подчинённые серверы в двух крупных филиалах. Политики строили от AD: структура OU у клиента была более-менее в порядке, поэтому параметры защиты разложились по группам без особого насилия.
Больнее всего было с машинами на KAV 5 - там агент старый, новый сервер его не видит в полной мере. Пришлось переустанавливать агент вручную или скриптом через psexec там, где удалённое развёртывание не сработало. Несколько машин в одном из офисов оказались вообще без антивируса - просто выпали при предыдущих переездах парка. Это был неприятный сюрприз, но лучше увидеть это в консоли, чем узнать потом при разборе инцидента.
Что изменилось
Сейчас у клиента в консоли KSC видна вся инфраструктура. Красные иконки - машины с проблемами: старые базы, выключенный реальный мониторинг, истёкшая лицензия. Зелёные - всё в порядке. Серые - не выходили на связь с сервером дольше суток. Вот и всё, что нужно для ежедневного контроля.
Обновления через VPN перестали создавать проблемы - трафик с фильтра обновлений теперь идёт в один поток на подчинённый сервер, а дальше раздаётся внутри филиала. До этого периодически было: VPN ночью перегружен, агенты не обновились, утром картина непонятная.
Задачи по расписанию - полное сканирование, обновление баз, проверка критических областей - настраиваются один раз на уровне политики и применяются ко всем машинам в группе. Никаких «а у меня на этой машине расписание не настроено, я не знал».
Это ещё не финальное состояние: часть политик надо довернуть под специфику разных отделов, веб-фильтрацию клиент пока не включал, разбираемся с несколькими машинами, где агент конфликтует с другим ПО. Но базовая цель достигнута - парк виден, управляется из одной точки, обновления работают предсказуемо. Для управляемого сопровождения это минимальная планка, ниже которой работать не комфортно ни нам, ни клиенту.