«Код Безопасности: Инвентаризация». Производим учет персональных компьютеров

 ЮРИЙ РАЗЗОРЕНОВ, старший инженер сектора сетевых систем и систем безопасности

«Код Безопасности: Инвентаризация»
Производим учет персональных компьютеров

Контроль ПО и оборудования, установленного на клиентских ПК, позволит избежать множества проблем. Используя «Код Безопасности: Инвентаризация», можно легко решить эту задачу

Разработкой «Код Безопасности: Инвентаризация» [1] занимается российская компания «Код Безопасности», предлагающая широкий спектр программных продуктов для защиты информационных систем. Одними из особенностей представляемых решений являются соответствие требованиям международных и отраслевых стандартов и учет российских реалий. Продукция имеет сертификаты ФСТЭК, Министерства обороны и ФСБ России. Первая версия продукта «Код Безопасности: Инвентаризация» появилась в 2009 году.

Программа активно развивается (ежегодно выпускается до двух релизов), дорабатывается и улучшается. К бета-тестированию привлекаются все желающие, лучшие предложения учитываются в итоговой версии. По итогам 2011 года КБИ был признан лучшим в категории «Софт» по версии журнала IT Expert.

«Код Безопасности: Инвентаризация»: назначение и возможности

КБИ – решение, позволяющее автоматически собрать, обработать и систематизировать подробную информацию об аппаратном обеспечении и ПО, установленных на ПК, которые работают под управлением ОС Windows в LAN. С его помощью администратор может снизить бизнес-риски и соответствовать требованиям стандартов.

Проводя постоянный аудит, сразу же узнать о том, что пользователь установил нелегальную или запрещенную политиками компании программу или изменил «железо».

После первой инспекции администратор создает паспорт ПО и «железа» компьютера, который затем сравнивается в последующих проверках.

Программа позволяет определить, кто работает за компьютером, распределять ПК по подразделениям и кабинетам, создавать список всего ПО, используемого в организации, вести учет лицензий. Для контроля ПО администратор может создавать списки запрещенных и разрешенных приложений и получать информацию при установке их пользователями.

Программы объединяются по категориям. Библиотека ПО насчитывает более 3000 продуктов, при необходимости список можно обновлять самостоятельно. Для сверки лицензионной чистоты реализована возможность сопоставления exe-файла, находящегося на клиентской системе, с файлом из библиотеки. Также КБИ обнаруживает наличие второй ОС Windows и показывает информацию из boot.ini. Все это дополнено подробными отчетами, они охватывают все задачи, для решения которых, собственно, и устанавливался КБИ.

В поставке программы насчитывается 24 готовых отчета, разделенных на шесть категорий (Инспекции, Белый и Черный списки ПО, Программное обеспечение, Подразделения, Оборудование, Паспорта).

Кроме того, на сайте проекта доступны три набора дополнительных отчетов, объединенных по группам, позволяющих получить информацию о неопознанных и нежелательных программах и файлах, наиболее распространенном оборудовании и ПО, а также информацию по подразделениям.

Для сбора данных используются WMI и опрос реестра, также имеется возможность удаленного сканирования разделов жесткого диска в целях обнаружения программ (дистрибутивов и portable-версий, работающих без установки), музыки, видео.

При наличии Active Directory КБИ задействует ее возможности для получения сведений о пользователях и сбора информации о компьютерах и не требует установки на клиентские ПК программ-агентов, что существенно упрощает развертывание.

Рисунок 1. Окно программы управления «Код Безопасности: Инвентаризация»

Но, если ПК не включен в локальную сеть или не используется Active Directory, на клиентские системы устанавливается агент (файл samagent.msi находится в каталоге IM-дистрибутива), который может функционировать автоматически (как служба) или запускаться вручную по мере необходимости.

Во время установки агента указывается периодичность инспектирования и задаются параметры поиска. Чтобы не настраивать их каждый раз, можно использовать шаблон samagent.xml (Program Files\SecurityCode\InventoryManager\Agent).

Ранее в сети с большим количеством рабочих станций было замечено падение производительности. Поэтому в актуальной на момент тестирования версии 2.1 применен новый алгоритм сканирования, который позволил в пять раз увеличить скорость инвентаризации систем в больших офисах. Теперь в сети из 4000 ПК полная инвентаризация проводится в течение двух часов.

Серверная часть состоит из трех компонентов. Собственно сервер, осуществляющий подключение по расписанию и сбор информации об установленном на рабочих станциях ПО, ее обработку и сохранение результатов. В качестве сервера может использовать любой ПК, работающий под управлением x86/x64 версий Windows XP SP2/Vista/7 и 2003/2008. Собранная информация сохраняется в Microsoft SQL Server 2005/2008 (в т.ч. и бесплатном Express). Для генерации отчетов используется SQL Server Reporting Services.

Для удаленного управления и просмотра отчетов применяется программа управления, которая может быть установлена на любом компьютере.

Знакомимся с КБИ

Рекомендуемые системные требования для сервера КБИ невелики: CPU 2 Ггц, RAM 2 Гб и 10 Гб свободного места на диске. Процесс развертывания сервера КБИ очень прост, причем для Windows XP/2003 возможен вариант автоматической установки с параметрами по умолчанию, когда от администратора потребуется минимальное вмешательство.

Дистрибутив содержит все необходимые компоненты для разрешения зависимостей, после запуска программы установки будет произведена проверка и отмечены те зависимости, которые уже имеются в системе.

По окончании запускается конфигуратор сервера КБИ, в нем необходимо выбрать первый пункт, активирующий процесс создания базы данных и отчетов. Другие пункты конфигуратора позволяют подключиться к уже существующей БД, экспортировать и импортировать библиотеку ПО, настроить удаленный доступ к серверу с других ПК, на которых установлена Программа настройки, и добавить собственные настройки и отчеты.

При первом вызове программы управления запускается Мастер инспектирования компьютера, который в пошаговом режиме поможет разобраться в порядке настройки. По окончании можно построить отчет о системе. Все компьютеры, которые будут проверяться в домене Active Directory, необходимо добавить в одно подразделение, также потребуется создать и применить ряд GPO для возможности удаленного доступа к реестру.

Все эти шаги с учетом развертывания на разных ОС очень подробно расписаны в документации и при внимательном ее изучении каких-либо трудностей вызвать не должны.

После инвентаризации компьютер появляется в списке известных, собранную информацию можно будет просмотреть в окне программы управления КБИ.

Последнее выполнено в «классическом» для таких приложений стиле – слева находятся пункты меню, справа показывается результат работы. Интерфейс полностью русский, ведь это российская разработка, назначения пунктов меню понятны и без пояснений.

Все настройки производятся с помощью пошаговых мастеров, которые вызываются из контекстного меню или меню панели инструментов (нужные пункты активируются, показывая доступные в данный момент операции), администратору необходимо лишь заполнить предложенные пункты.

***

Знакомство с «Код Безопасности: Инвентаризация» показало, что это понятное и простое в использовании решение, позволяющее администратору полностью контролировать все происходящее на ПК в подчиненной сети. Чтобы освоиться в программе управления и всех доступных установках КБИ, достаточно потратить 30-60 минут.

После всех настроек сервер практически не требует внимания, он будет автоматически собирать информацию, администратору остается лишь следить за отчетами.

1. Сайт «Код Безопасности: Инвентаризация» – http://www.securitycode.ru/products/im.
2. Канал на YouTube – http://www.youtube.com/user/SecurityCode2010.

Комментарии могут оставлять только зарегистрированные пользователи