Система управления распределенным компьютерным парком

Система управления объектами Корпоративной информационной сети ИС Ivanti (ранее LANDESK) предназначена для повышения качества оказания IT-услуг при сопровождении пользователей и объектов Корпоративной информационной сети, а также для обеспечения необходимого уровня информационной безопасности в Корпоративной информационной сети.

В ИС реализованы следующие функции управления Объектами:

• Сбор инвентарных данных о конфигурации ПК и установленном ПО;
• Получение статистики использования ПО, ведение учета лицензий;
• Сбор инвентарных данных о принтерах и других SNMP-совместимых сетевых устройствах;
• Получение сведений о неуправляемых устройствах в сети (т.е. IP-устройствах без установленного агентского ПО);
• Обеспечение наполнения CMDB и систему управления ИТ-активами точными, полными и актуальными инвентарными данными;
• Детализированный доступ к функционалу ИС с разграничением по ролям;
• Обеспечение логирования сессий дистанционных подключений специалистов техподдержки к компьютерам пользователей;
• Поддержка ОС Windows 7 и выше, Windows Server 2012;
• Увеличение количества и качества шаблонов отчетов;
• Обеспечение защиты компьютеров с использованием комплекса средств, включая: контроль доступа к сети, управление обновлениями для ОС и ПО, блокировка работы и устранение вредоносного ПО, настройка, контроль использования и блокировка прикладного ПО с использованием единой централизованной консоли управления.

Основное ПО:

• Ivanti Endpoint Manager (ранее LANDESK Management Suite) — комплексная масштабируемая система управления парком ПК и серверов, позволяющая решать широкий спектр задач: обнаружение любых сетевых устройств, детальная инвентаризация аппаратуры и ПО, сбор статистики использования ПО, развертывание ОС и миграция профилей пользователей, установка/удаление ПО и многое другое с обеспечением минимальной нагрузки на целевые ПК, каналы связи и ИТ специалистов.
• Ivanti Endpoint Security (ранее LANDESK Security Suite) — функциональное расширение Ivanti Endpoint Manager, представляющее собой многоуровневую систему безопасности для защиты компьютерного парка от различных угроз, в том числе «уязвимостей нулевого дня». Защита включает модуль обнаружения различных видов уязвимостей (в т.ч. заданных пользователем), модуль управления обновлениями, средства контроля работы антивирусов, централизованный модуль предотвращения вторжений (HIPS), модуль управления приложениями и контроль доступа к внешним устройствам и мобильным носителям информации и многое другое.
• Ivanti Data Analytics — функциональное расширение Ivanti Endpoint Manager, обеспечивающее инвентаризацию сетевого оборудования по протоколу SNMP, импорта дополнительной информации об оборудовании и ПО из различных источников, в том числе «облаков» вендоров.

Вспомогательные системы:

• MS SQL Server — централизованное хранилище настроек и данных.;
• Служба каталога MS Active Directory. Используется для импорта дополнительных инвентарных данных и авторизации пользователей;
• MS Cluster Server. В целях обеспечения устойчивой работы системы при отказе оборудования центральный управляющий сервер системы Ivanti и сервер баз данных реализованы в виде единого кластера под управлением MS Cluster Server c применением технологии групп доступности AlwaysOn и MS NLB.

Московский аэропорт Домодедово — одна из крупнейших воздушных гаваней России, в 2017 году аэропорт обслужил 30,6 млн человек.

Аэропорт Домодедово стал первым российским аэропортом, осуществивший переход в категорию крупнейших аэропортов Европы по классификации Международного совета аэропортов (ACI). Регулярные пассажирские и грузовые перевозки в Домодедово выполняют 54 авиакомпании-партнера. Маршрутная сеть аэропорта охватывает более 200 направлений Европейского, Азиатско-Тихоокеанского регионов, Ближнего Востока, Северной и Центральной Америки, 66 из которых являются уникальными для Московского авиационного узла: совершить путешествие по ним можно только из Домодедово.

В 2009 г. в компании была внедрена комплексная система управления компьютерным парком LANDESK 9.0 (позднее Ivanti). К 2016 г. назрела необходимость в миграции на новую версию в связи с появлением новых операционных систем, не поддерживаемых старой системой и появлением новых требований заказчика, а именно:

• Получение инвентарных данных о программном обеспечении;
• Нормализация инвентарных данных о ПО для последующего экспорта в систему управления ИТ-активами;
• Сбор статистики использования ПО пользователями (количество запусков, время, прошедшее с последнего запуска, общее время работы);
• Управление ПК с новыми версиями ОС;
• Экспорт инвентарных данных в CMDB;
• Реализация «сквозных» технологических процессов, связанных с автоматической установкой пакетов ПО по согласованным заявкам пользователей;
• Контроль действий ИТ-специалистов в рамках использования функционала ИС;
• Автоматизация развертывания ОС и интеграция с системой NAC.

Проект был реализован за 2 этапа силами команды, состоящей из специалистов интегратора и заказчика:

Этап 1 (март — июнь 2016) — Разработка Технического задания. В рамках 1-го этапа была развёрнута тестовая зона, в которой были размещены управляющий сервер и сервер баз данных в конфигурации, полностью идентичной «боевой». В тестовой зоне был настроен и апробирован весь функционал, обеспечивающий выполнение Требований заказчика.

Этап 2 (июль 2016 — сентябрь 2017) — Реализация требований Технического задания и Требований заказчика.

Особенностью 2-го этапа являлось условие, что все работы в «боевой» зоне выполняются только силами собственных специалистов Заказчика. В связи с этим все настройки системы выполнялись специалистами интегратора в тестовой зоне и тщательно документировались в виде соответствующих технических руководств. На основе подготовленных руководств и инструкций специалисты заказчика выполняли настройки «боевой» системы. Всего в рамках проекта было подготовлено более 1000 страниц технических инструкций.

В рамках проекта был реализован следующий функционал системы:

• Обнаружение всех неуправляемых устройств в сети;
• Автоматизированная установка агентского ПО на целевые компьютеры;
• Сбор инвентарных данных с автоматическим отслеживанием изменений;
• Сбор инвентарных данных с сетевых устройств по протоколу SNMP;
• Сбор статистики использования прикладного ПО пользователями;
• Автоматизированная установка и удаление прикладного ПО, в том числе и в интеграции с системой Service Desk на основе авторизованных заявок пользователей;
• Удалённое управление процессами, службами и настройками компьютеров;
• Автоматизация развертывания ОС и интеграции с подсистемой NAC:

— По команде администратора система во взаимодействии с NAC переносит целевой ПК в карантинную подсеть;

— Выполняется заливка требуемого образа ОС;

— Автоматически устанавливаются необходимые драйвера из пополняемой библиотеки драйверов;

— Автоматически устанавливается необходимое прикладное ПО;

— ПК автоматически включается в MS AD в требуемый OU;

— Во взаимодействии с NAC компьютер автоматически переносится из карантинной в рабочую подсеть.

• Обнаружение уязвимостей на компьютерах (по расписанию или в ручном режиме). Критерии уязвимостей и действия по их устранению ежедневно автоматически скачиваются с сайта вендора. Возможно также задание критериев уязвимостей администратором.
• Установка обновлений прикладного и системного ПО. Ivanti поддерживает обновления большого спектра различных производителей.
• Удалённое управление «рабочим столом» компьютеров;
• Контроль антивирусной защиты;
• Обнаружение и блокировка вредоносного ПО;
• Поддержка «чёрных» и «белых» списков. Автоматическая блокировка любого не допущенного к использованию ПО;
• Сложная структура ролевого разделения прав доступа как к функционалу системы, так и к группам управляемых компьютеров;
• Логирование всех действий ИТ-специалистов в рамках системы;
• Обеспечение наполнения CMDB актуальными, точными и полными инвентарными данными, включая статистику использования прикладного ПО пользователями.