Дистанционное администрирование – это самый главный инструмент в сетевой работе. Если администратор будет ходить к каждому пользователю и устанавливать необходимую программу, то производительность у такого подхода будет ничтожно мала. Физическая установка ПО масштабируется плохо и практически не приемлема в корпоративной сети. Если администратор будет подключаться к каждому пользователь по удаленному доступу (RDP и подобные), производительность будет выше, но всё равно это ручная операция, и ее нельзя сравнить с выполнением тех же действий при дистанционном администрировании через центр управления. Автоматизировав процесс можно запустить установку или удаление программы сразу на сотнях или тысячах компьютеров в сети. Автоматизированное дистанционное администрирование – это не просто удобство, а единственный масштабируемый способ управления корпоративной инфраструктурой. Об этом и пойдет речь далее на этой странице.
KSC выбран для указанных выше целей по причине его наличия в сети нашей организации. Альтернатив для автоматизации установки в настоящее время достаточно много. Близкий аналог, доступный в большинстве сетей – это GPO в AD DC. GPO подходит для базовых задач, но не является полноценным центром управления программным обеспечением и работать с ним достаточно сложно. В KSC работать комфортно, но так же есть свои ограничения.
Основное требование для работы с KSC – на каждом компьютере должен быть установлен агент. Так же должна быть корректная сетевая доступность, права, совместимые версии и базовая готовность клиентской ОС к удалённому управлению. Про установку KSC и агентов можно прочитать на этой странице.
Основной посыл данной инструкции в том, что нужно учиться администрировать головой, а не ногами. Приступаем к настройке.
Дистанционная установка ПО.
Установку выполним на примере агента ZABBIX. Его нужно установить на сервера в сети для выполнения требований по информационной безопасности присланных свыше.
Инсталляционный пакет.
Переходим в KSC и создаем инсталляционный пакет.
Создать инсталляционный пакет можно прямо в задаче, но в данном случае разъясняется подробнее, чтоб знать, где эти пакеты потом искать. Тоесть альтернативный вариант: создаем задачу и в ней выбираем – новый инсталляционный пакет.
Выбираем тип пакета.
Создать инсталляционный пакет для программы «Лаборатории Касперского» – пакеты для продуктов «Лаборатории Касперского» с использованием встроенных дистрибутивов и параметров установки, поддерживаемых KSC.
Создать инсталляционный пакет для указанного исполняемого файла – пакеты для пользовательских EXE или MSI с возможностью указания параметров установки для последующего централизованного развертывания. Это то что нужно в данном случае. Выбираем этот вариант.
Выбрать программу из базы «Лаборатории Касперского» для создания инсталляционного пакета – пакеты из базы программ KSC с использованием заранее подготовленных шаблонов установки.
База программ KSC – это поддерживаемый вендором каталог популярных приложений с заранее настроенными параметрами установки для централизованного развертывания. Платные приложения в базе KSC содержат только установочные файлы и параметры установки. После развертывания продукт работает в пробном режиме либо требует активации лицензии в соответствии с условиями правообладателя.
Создать инсталляционный пакет с образом операционной системы – пакеты с образом операционной системы на основе эталонного образа или WIM-файла для автоматизированной установки ОС.
Указываем понятное название для создаваемого пакета.
Выбираем установочный файл через кнопку «Обзор».
Параметры запуска исполняемого файла (необязательно) – позволяют передать исполняемому файлу дополнительные аргументы командной строки, которые определяют режим работы и поведение программы при запуске.
В данном случае добавлена строка такого вида:
|
1 |
/qn /norestart SERVER="192.168.1.10" SERVERACTIVE="192.168.1.10" HostnameItem="system.hostname" HostMetadata="windows-server" |
qn – включает полностью тихий режим установки MSI. Установка проходит без окон и запросов пользователю.
norestart – запрещает автоматическую перезагрузку системы после установки. Критично для серверов в эксплуатации.
SERVER= «192.168.1.10» – указывает адрес Zabbix-сервера для пассивных проверок. Агент принимает входящие соединения от сервера.
SERVERACTIVE= «192.168.1.10» – указывает адрес Zabbix-сервера для активных проверок. Агент сам инициирует соединение с сервером.
HostnameItem= «system.hostname» – имя хоста берётся автоматически из ОС. Используется системное имя Windows.
HostMetadata= «windows-server» – задаёт метаданные хоста. Используется для правила автодобавления хостов на Zabbix-сервере.
Копировать всю папку в инсталляционный пакет – позволяет включить в инсталляционный пакет все файлы из каталога с установщиком, а не только основной EXE/MSI-файл. Например, если есть дополнительные файлы с конфигурацией.
Конвертировать параметры на рекомендуемые значения для программ, распознаваемых Kaspersky Security Center – автоматически приводит параметры установки к рекомендуемым значениям для программ, которые KSC умеет распознавать. Для нераспознаваемых программ (например Zabbix) галочка фактически игнорируется.
Ожидаем загрузку создаваемого пакета в KSC.
При создании инсталляционного пакета KSC физически копирует файлы в общую сетевую папку сервера администрирования \\KSCSERVER\KLSHARE.
Пакет создан.
Задача по удаленной установке программы.
Задача создаётся на сервере KSC, но установка фактически выполняется агентом на клиентских компьютерах. Сервер KSC хранит настройки, параметры пакета и список целей установки. Далее агенты получают с сервера инструкции и дистрибутивы.
Создаем новую задачу.
Выбираем из предложенного списка задачу «Удаленная установка программы».
Источник пакета оставляем по умолчанию – локальный сервер KSC.
Второй вариант источника пакета – облачная платформа Microsoft Azure.
Выбираем созданный пакет.
На этом шаге можно создать новый инсталляционный пакет или отредактировать свойсва уже существующего.
Выполняем настройки.
Принудительно загрузить инсталляционный пакет:
С помощью Агента администрирования – пакет скачивается на клиентский компьютер агентом.
Средствами операционной системы с помощью точек распространения – установка выполняется через точки распространения ОС. Клиенты получают пакет напрямую через файловую систему без участия агента. Используется для массового развёртывания если агент не установлен.
Средствами операционной системы с помощью Сервера администрирования – пакет скачивается напрямую с сервера KSC через SMB или HTTP. Агент не участвует, но требуется доступ к серверу. Подходит для специфических случаев, например, когда агент ещё не установлен. При стандартной установке через агента этот пункт отмечать не требуется.
Использование поставщика облачных служб API — установка пакета через облачные API (например, Azure). Требует специальной лицензии Kaspersky. Используется для интеграции с облачной инфраструктурой.
Не устанавливать программу, если она уже установлена – предотвращает повторную установку, если на клиенте уже установлено это ПО. Отмечаем.
Назначить установку инсталляционного пакета в групповых политиках Active Directory – пакет распространяется через GPO, а не через агента KSC. Позволяет применять установку на компьютеры, включённые в домен, без агента.
Закрыть все работающие программы перед началом установки – автоматически завершает процессы, которые могут помешать установке. На выбор есть вариант предлагать пользователю закрыть работающее приложение. В данном случае не используется.
Не перезагружать устройство – установка завершится, но ОС не перезагрузится. Не рекомендуется, если установка требует перезагрузки для корректной работы.
Перезагрузить устройство – агент автоматически перезагружает компьютер после установки. Используется редко, так как может прервать работу пользователя
Запрашивать у пользователя (по умолчанию) – появляется уведомление с предложением перезагрузки. Рекомендуется оставлять – безопасно и удобно для пользователей
Повторять запрос каждые X минут – можно оставить стандартные 5 мин, чтобы напоминание не терялось.
Принудительно перезагрузить – оставляем. Перезагрузка произойдет через 30мин, если понадобится. Подходит для обязательных обновлений безопасности, критических программ и отсутствующих на рабочих местах пользователей.
Принудительное закрытие программ – включают только в корпоративных средах, где можно прерывать приложения. Для обычных рабочих станций лучше оставить отключённым.
Выбираем устройства, на которые хотим установить пакет.
Выбрать устройства, обнаруженные в сети Сервером администрирования – выбрать компьютеры, которые уже обнаружены KSC в сети и на которых установлен агент. Выбираем этот пункт в данном случае.
Задать адреса устройств вручную или импортировать из списка – указать компьютеры по IP-адресам или именам хостов, даже если они ещё не обнаружены в сети.
Назначить задачу выборке устройств – позволяет автоматически распространять задачу на устройства, подходящие под критерии. Среди выбора критериев в основном статусы (базы устарели, давно не выполнялся поиск вредоносного ПО и тп).
Назначить задачу группе администрирования – назначение задачи на группу устройств, созданную в KSC.
Выбираем управляемые устройства. В данном случае программу нужно установить только на сервера – выбираем раздел с серверами.
Для массового распространения выбираем все устройства сразу.
Учетная запись не требуется, потому что агент уже установлен заранее.
Способ запуска – вручную или по расписанию.
Запуск по расписанию: вручную – задача запускается только по инициативе администратора, а не автоматически. Подходит для разовых установок или тестов, когда нужно полное ручное управление.
Запускать пропущенные задачи – если компьютер был выключен или недоступен во время запланированного запуска, задача будет выполнена при следующей доступности устройства. Очень важно для корпоративных сетей, где не все ПК включены постоянно.
Использовать автоматическое определение случайного интервала между запусками задачи – KSC распределяет старт задач по случайному времени, чтобы не перегружать сеть или сервер при одновременной установке на сотни ПК. Помогает избежать пиковой нагрузки на сеть и перегрузки сервера KSC.
Использовать случайную задержку запуска задачи в интервале (мин) – дополнительная ручная настройка задержки старта задачи в диапазоне минут, например, 1-5 минут. Похожий эффект на предыдущий пункт, но можно задать конкретный интервал, чтобы более точно контролировать распределение нагрузки.
Указываем понятное название для задачи.
Завершаем работу мастера.
Запустить задачу после завершения работы мастера – не отмечаем в данном случае.
После завершения мастера в задачу можно зайти и отредактировать большинство настроек. Добавить другие устройства, учетную запись и тп.
Нельзя изменять только параметры пакета. 
Запускаем задачу на выполнение.
Ожидаем выполнения и смотрим результат.
В компьютере или сервере это почти не мешает работе. Все процессы происходят в скрытом виде и понять, что идет установка ПО можно только через диспетчер задач.
Проверяем на сервере. Zabbix-агент присутствует.
Проверяем самое главное – конфигурацию.
В конфигурации указаны все дополнительные параметры, которые вводились. Это значит, что агент автоматически обратится к серверу и хост добавится в список по правилу автодобавления. Полная автоматизация процесса. Если нужно установить программу на сотнях компьютеров, то такой подход существенно облегчает работу сис.админа.
Дистанционное удаление ПО.
Удалять будем так же на примере Zabbix-агента. Агент удаляется на тех компьютерах, которые больше не нужно мониторить.
Создаем задачу.
Выбираем тип «Удаленная деинсталляция программы».
Программа в данном случае находится в реестре программ KSC. Реестр создается после установки агента и сбора информации с целевого компьютера.
Удалить программу, поддерживаемую KSC – удаление программ Касперского (антивирусы, агенты и тп).
Удалить несовместимую программу – удаление программ, которые не входят в базу KSC, но установлены на клиенте. KSC пытается использовать стандартные механизмы Windows (MSI или exe с ключами uninstall). Установка может завершиться с ошибкой, если деинсталлятор нестандартный.
Удалить программу из реестра программ – позволяет выбрать конкретную программу из списка, установленного на клиенте, и удалить её полностью. То что нужно для заданной цели.
Удалить указанное обновление программы, патч или стороннюю программу – удаление отдельных обновлений, патчей или стороннего ПО, которое можно удалить через Windows Installer. Используется для точечного исправления или отката обновления, а не полной деинсталляции основного продукта.
Выбираем нужную программу из списка.
Указываем параметры.
Способ удаления – можно задать конкретную команду для удаления, если это нужно. Например, если KSC не может автоматически определить правильный способ удаления или для нестандартного стороннего ПО. В данном случае оставляем автоопределение.
Считать, что требуется перезагрузка после успешного удаления – отключаем. Сервера нельзя перезагружать. Если это компьютер можно оставить или по обстоятельствам в зависимости от программы.
Действия при необходимости перезагрузки аналогичные действиям при установке ПО (описаны выше).
Выбираем нужные компьютеры.
Выбираем все управляемые устройства.
При удалении программы KSC проверяет версию на клиенте. Соответственно, удаление произойдёт только на устройствах с указанной (более старой) версией, остальные останутся нетронутыми.
Альтернативный вариант – подробно выбрать нужные компьютеры.
Учетная запись не требуется, потому что агент уже установлен.
Тип запуска – вручную.
Указываем понятное название.
Завершаем работу мастера.
Далее можно зайти в созданную задачу и отредактировать её свойства.
Запускаем задачу.
Ожидаем выполнения и проверяем результат.
Задача запускалась на примерно 400 выбранных компьютеров. Удаление не стартует одновременно на всех ПК, а выполняется с распределением по времени. В KSC используется защитный (случайный) интервал запуска, чтобы не создавать пиковую нагрузку. Даже если задача одна и назначена на все устройства, агенты получают и запускают её с задержкой.
Вот примерно так это всё настраивается и работает. Представленный подход существенно упрощает повседневную работу администратора.