Обнаружение устройств в сети

В этом разделе описаны поиск устройств и опрос сети.

Open Single Management Platform позволяет искать устройства на основании заданных критериев. Вы можете сохранить результаты поиска в текстовый файл.

Функция поиска позволяет находить следующие устройства:

• управляемые устройства в группах администрирования Сервера администрирования и его подчиненных Серверов;
• нераспределенные устройства под управлением Сервера администрирования и его подчиненных Серверов.

Сценарий: обнаружение сетевых устройств

Вам нужно выполнить поиск устройств перед установкой приложений безопасности. При обнаружении сетевых устройств можно получить о них информацию и управлять ими с помощью политик. Регулярные опросы сети необходимы для проверки появления новых устройств и наличия обнаруженных ранее устройств в сети.

Обнаружение сетевых устройств состоит из следующих этапов:

1. Первоначальное обнаружение устройств

   Выполните обнаружение устройств вручную.

2. Настройка будущих опросов

   Убедитесь, что опрос IP-диапазонов включен и что расписание опроса соответствует требованиям вашей организации. При настройке расписания опроса опирайтесь на рекомендации для частоты опросов сети.

   Также можно включить опрос Zeroconf, если в вашей сети есть IPv6-устройства.

   Если сетевые устройства включены в домен, рекомендуется использовать опрос контроллеров домена.

   Вы можете выполнять опрос IP-диапазонов и опрос Zeroconf только с помощью точки распространения.

3. Задание правил для добавления обнаруженных устройств в группы администрирования (если требуется)

   Новые устройства появляются в сети в результате их обнаружения при опросах сети. Они автоматически попадают в группу Нераспределенные устройства. При необходимости можно настроить правила автоматического перемещения этих устройств в группу Управляемые устройства. Можно также настроить правила хранения.

   Если вы пропустили этап, на котором задаются правила, все новые обнаруженные устройства будут помещены в группу Нераспределенные устройства. Вы можете переместить эти устройства в группу Управляемые устройства вручную. Если вы вручную переместили устройства в группу Управляемые устройства, вы можете проанализировать информацию о каждом из устройств и решить, требуется ли переместить его в группу администрирования и в какую.

Результаты

Завершение сценария дает следующее:

• Сервер администрирования Kaspersky Security Center обнаруживает устройства в сети и предоставляет информацию о них.
• Настроены будущие опросы сети и расписание их запуска.

Новые обнаруженные устройства распределены в соответствии с заданными правилами. Если правила не заданы, устройства остаются в группе Нераспределенные устройства.

Опрос IP-диапазонов

Развернуть все | Свернуть все

Open Single Management Platform позволяет опрашивать IP-диапазоны только с помощью точки распространения. Точка распространения пытается выполнить обратное преобразование имен: для каждого IPv4-адреса из указанного диапазона выполнить преобразование в DNS-имя с помощью стандартных DNS-запросов. Если данная операция завершается успешно, точка распространения отправляет запрос ICMP ECHO REQUEST (аналог команды ping) на полученное имя. Если устройство отвечает, информация об этом устройстве добавляется в базу данных Open Single Management Platform. Обратное преобразование имен необходимо для исключения сетевых устройств, которые могут иметь IP-адреса, но не являются компьютерами, таких как сетевые принтеры или роутеры.

Этот способ опроса основывается на правильно настроенной локальной службе DNS. Для его использования должна быть настроена зона обратного просмотра DNS. Если эта зона не настроена, опрос IP-подсети не даст результатов.

Первоначально точка распространения получает IP-диапазоны для опроса из сетевых параметров устройства, который выполняет роль точки распространения. Если адрес устройства 192.168.0.1 и маска подсети – 255.255.255.0, сеть 192.168.0.0/24 включена в список адресов для автоматического опроса. Точка распространения выполнит опрос всех адресов от 192.168.0.1 до 192.168.0.254.

Если включен только опрос IP-диапазонов, точка распространения обнаруживает устройства только с IPv4-адресами. Если в вашей сети есть IPv6-устройства, включите опрос Zeroconf устройств.

Опрос IP-диапазонов с помощью точки распространения

Чтобы настроить опрос IP-диапазонов с помощью точки распространения:

1. Откройте свойства точки распространения.
2. Перейдите в раздел Опрос IP-диапазонов и выберите параметр Разрешить опрос диапазона.

   Откроется окно IP-диапазон

3. Укажите имя нового IP-диапазона.
4. Нажмите на кнопку Добавить и укажите IP-диапазон с помощью адреса и маски подсети или с помощью начального и конечного IP-адреса. Также можно добавить существующую подсеть, нажав на кнопку Обзор.
5. Нажмите на кнопку Настроить расписание опроса, чтобы указать параметры расписания опроса при необходимости.

   Опрос запускается в соответствие с расписанием. Запуск опроса вручную недоступен.

   Варианты расписания опроса:

   • Каждые N дней

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • Каждые N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • По дням недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

6. Включите параметр Использовать Zeroconf для опроса IPv6-сетей, чтобы точка распространения выполняла опрос IPv6-сети, используя сеть с нулевой конфигурацией (далее также Zeroconf).

   В этом случае указанные IP-диапазоны игнорируются, так как точка распространения опрашивает всю сеть. Параметр Использовать Zeroconf для опроса IPv6-сетей доступен, если точка распространения работает под управлением Linux. Чтобы использовать опрос Zeroconf IPv6, вам нужно установить утилиту avahi-browse на точке распространения.

После завершения опроса вновь обнаруженные устройства автоматически включаются в группу Управляемые устройства, если вы настроили и включили правила перемещения устройств. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Опрос контроллеров домена

Развернуть все | Свернуть все

Open Single Management Platform поддерживает опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba. Для контроллеров домена Samba, в качестве контроллеров домена Active Directory используется Samba 4.

При опросе контроллера домена Сервер администрирования или точка распространения получают информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.

Рекомендуется использовать опрос контроллеров домена, если все сетевые устройства являются членами домена. Если некоторые из сетевых устройств не включены в домен, эти устройства не могут быть обнаружены с помощью опроса контроллеров домена.

Предварительные требования

Перед опросом контроллеров домена убедитесь, что включены следующие протоколы:

• Simple Authentication and Security Layer (SASL).
• Lightweight Directory Access Protocol (LDAP).

Убедитесь, что на устройстве контроллеров домена доступны следующие порты:

• 389 для SASL.
• 636 для TLS.

Опрос контроллеров домена с помощью Сервера администрирования

Чтобы опросить контроллеры домена с помощью Сервера администрирования:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Контроллеры доменов.
2. Нажмите на кнопку Параметры опроса.

   Откроется окно Параметры опроса контроллеров домена.

3. Выберите параметр Включить опрос контроллеров домена.
4. В разделе Опросить указанные домены нажмите на кнопку Добавить, укажите адрес и учетные данные пользователя контроллеров домена.
5. При необходимости в окне Параметры опроса контроллеров домена укажите расписание опроса. По умолчанию период опроса составляет один час. Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

   Доступны следующие варианты расписания опроса сети:

   • Каждые N дней

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • Каждые N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • По дням недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

   Если вы измените учетные записи пользователей в группе безопасности домена, эти изменения отобразятся в Open Single Management Platform через час после опроса контроллеров домена.

6. Нажмите на кнопку Сохранить, чтобы применить изменения.
7. Если требуется запустить опрос сети немедленно, нажмите на кнопку Начать опрос.

Опрос контроллеров домена с помощью точки распространения

Также можно опрашивать контроллеры домена с помощью точки распространения. Управляемое устройство с операционной системой Windows или Linux может выступать в роли точки распространения.

Для точки распространения с операционной системой Linux поддерживается опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba.
Для точки распространения с операционной системой Windows поддерживается только опрос контроллеров домена Microsoft Active Directory.
Опрос с помощью точки распространения с операционной системой Mac не поддерживается.

Чтобы настроить опрос контроллеров домена с помощью точки распространения:

1. Откройте свойства точки распространения.
2. Выберите раздел Опрос контроллеров домена.
3. Выберите параметр Включить опрос контроллеров домена.
4. Выберите контроллеры домена, которые вы хотите опросить.

   Если вы используете точку распространения с операционной системой Linux, в разделе Опросить указанные домены нажмите на кнопку Добавить, а затем укажите адрес и учетные данные пользователя контроллеров домена.

   Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

   • Опросить текущий домен
   • Опросить весь лес доменов
   • Опросить указанные домены
5. Нажмите на кнопку Настроить расписание опроса, чтобы указать параметры расписания опроса при необходимости.

   Опрос запускается в соответствие с расписанием. Запуск опроса вручную недоступен.

После завершения опроса в разделе Контроллеры доменов отобразится структура домена.

Если вы настроили и включили правила перемещения устройств, новые обнаруженные устройства будут автоматически перемещаться в группу Управляемые устройства. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Обнаруженные учетные записи пользователей могут быть использованы для доменной аутентификации в Консоли OSMP.

Аутентификация и подключение к контроллеру домена

При первоначальном подключении к контроллеру домена Сервер администрирования идентифицирует протокол подключения. Этот протокол используется для всех будущих подключений к контроллеру домена.

Первоначальное подключение к контроллеру домена происходит следующим образом:

1. Сервер администрирования пытается подключиться к контроллеру домена по TLS.

   По умолчанию проверка сертификата не требуется. Для флага KLNAG_LDAP_TLS_REQCERT установите значение 1, чтобы принудительно выполнить проверку сертификата.

   По умолчанию для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT, чтобы указать другой путь.

2. В случае сбоя TLS-соединения Сервер администрирования пытается подключиться к контроллеру домена по SASL (DIGEST-MD5).
3. В случае сбоя подключения по SASL (DIGEST-MD5) Сервер администрирования использует простую проверку подлинности (Simple Authentication) по незашифрованному TCP-соединению для подключения к контроллеру домена.

Вы можете использовать команды KDT для настройки флагов. Например, вы можете принудительно проверить сертификат. Для этого на устройстве администратора, на котором расположена утилита KDT, выполните команду:

./kdt invoke ksc --action klscflag --param klscflag_param=" -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1"

Настройка контроллеров домена Samba

Open Single Management Platform поддерживает контроллеры домена Linux, работающие только на Samba 4.

Контроллер домена Samba поддерживает те же расширения схемы, что и контроллер домена Microsoft Active Directory. Вы можете включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory, используя расширение схемы Samba 4. Это необязательное действие.

Рекомендуется включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory. Это обеспечит корректное взаимодействие Open Single Management Platform и контроллером домена Samba.

Чтобы включить полную совместимость контроллера домена Samba с контроллером домена Microsoft Active Directory:

1. Выполните команду, чтобы использовать расширение схемы RFC2307:

   samba-tool domain provision --use-rfc2307 --interactive

2. Включите обновление схемы на контроллере домена Samba. Для этого добавьте следующую строку в файл /etc/samba/smb.conf:

   dsdb:schema update allowed = true

   Если обновление схемы завершается с ошибкой, необходимо выполнить полное восстановление контроллера домена, который выполняет роль схемы master.

Если вы хотите правильно опросить контроллер домена Samba, вам нужно указать netbios name и параметры workgroup в файле /etc/samba/smb.conf.

Использование динамического режима VDI на клиентских устройствах

В сети организации может быть развернута виртуальная инфраструктура с использованием временных виртуальных машин. Open Single Management Platform обнаруживает временные виртуальные машины и добавляет данные о них в базу данных Сервера администрирования. После завершения работы пользователя с временной виртуальной машиной машина удаляется из виртуальной инфраструктуры. Однако запись об удаленной виртуальной машине может сохраниться в базе данных Сервера администрирования. Кроме того, несуществующие виртуальные машины могут отображаться в Консоли OSMP.

Чтобы избежать сохранения данных о несуществующих виртуальных машинах, в Open Single Management Platform реализована поддержка динамического режима для Virtual Desktop Infrastructure (VDI). Администратор может включить поддержку динамического режима для VDI в свойствах инсталляционного пакета Агента администрирования, который будет установлен на временной виртуальной машине.

Во время выключения временной виртуальной машины Агент администрирования информирует Сервер администрирования о выключении. В случае успешного выключения виртуальной машины, она удаляется из списка устройств, подключенных к Серверу администрирования. Если выключение виртуальной машины выполнено некорректно и Агент администрирования не послал Серверу уведомление о выключении, используется дублирующий сценарий. Согласно этому сценарию виртуальная машина удаляется из списка устройств, подключенных к Серверу администрирования, после трех неудачных попыток синхронизации с Сервером.

Включение динамического режима VDI в свойствах инсталляционного пакета Агента администрирования

Чтобы включить динамический режим VDI:

1. В главном окне приложения перейдите в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Инсталляционные пакеты.
2. В контекстном меню инсталляционного пакета Агента администрирования выберите пункт Свойства.

   Откроется окно Свойства.

3. В окне Свойства выберите раздел Дополнительно.
4. В разделе Дополнительно выберите параметр Включить динамический режим для VDI.

Устройство, на которое устанавливается Агент администрирования, будет являться частью VDI.

Перемещение в группу администрирования устройств, являющихся частью VDI

Чтобы переместить устройства, являющиеся частью VDI, в группу администрирования:

1. Перейдите в раздел Активы (Устройства) → Правила перемещения.
2. Нажмите на кнопку Добавить.
3. На вкладке Условия правила выберите вкладку Виртуальные машины.
4. Установите для правила Является виртуальной машиной значение Да и для Часть Virtual Desktop Infrastructure значение Да.
5. Нажмите на кнопку Сохранить.