СисАдминам - обновление и мониторинг Др Веб в корп среде MS
- Автор темы Druqn
- Дата начала
Сорри за возможный офтоп, но на то это и курилка. Значится покурим....
Озадачился я у себя в конторе вот такой проблемой - как централизованно обновлять веба на рабочих станциях и при этом быть увереным что все версии у всех актуализированы, современны, нет ошибок в обновлении, программа установлена у всех и настройки на всех р.станциях те что нужны админу.
На данный момент существуют два пути автоматизированного обновления обычного Веба в корпоративной МелкоМягкой среде:
1. Штатная утилита запускаемая из шедулера на рс
2. Альтернативные утилиты - на сегодня лучшая в этом сегменте DrWu
Минусы первого пути - шедулер может быть настроен криво, путь обновления берется из реестра, логи локально в профиль пользователя, если в каталоге сетевого обновления есть исполняемые файлы будет попытка произвести обновление версии, что не всегда есть хорошо.
Минусы второго - утилита наколенная, находится в постоянной разработке, для обновления клиентов нужно либо ставить ее везде, либо открывать шары на рс. Также все альтернативное перепробованное либо больше подходит для одиночного частного использования либо берет на себя только функцию скачать с инета базы.
Я пошел по третьему собственному пути:
1. Разбиваем весь процесс обновления на 2 этапа: непосредственно сформировать сетевой каталог обновлений, состоящий только из баз и нужных нам файлов и каким то образом запустить штатную обновлялку на рс по воле админа и ни как иначе.
2. Первый этап можно решить кучей способов - от честного обновления с официального ресурса до использований альтернативных обновлялок. Я опять же пошел по своему пути от ленности не стал ничего особенного городить, набросал скрипт и попользовал альтернативную консольную программу, которая просто скачивает базы и файл lst. Собственный скрипт используется для генерации собственного lst без исполняемых модулей и включения в него своих файлов.
3. Далее включаем в логон скрипт пользователя/ей скрипт на VBS который ищет установленный Веб на клиенте, если находит, то стартует штатную обновлялку с НУЖНЫМИ ключами, в любом случае пишет логи.
4. После этого по крайней один раз по включении рс защита будет обновлена. Для параноиков возможно принудительно со стороны сервера стартовать обновление сетевого каталога баз каждые X часов и при помощи утилит удаленного запуска стартовать этот скрипт. Тем самым получаем актуальность защиты на уровне Х часов.
Плюсы приведенной схемы:
- все настройки обновления рулятся в одном месте админом сети
- есть логи работы скрипта - мониторит наиболее важную информацию
- сетевые логи штатной обновлялки
- для обновления используется штатная версия апдейтера, никакой самодеятельности
- легко отслеживается последнее обновление любой рс, наличие защиты на ней и быстрое принятие решение
- возможность одновременной поддержки в сети нескольких версий веба - 4.31, 4.32 и т.д по степени появления новых версий в одном месте обновления.
- т.к. lst формируем сами, можно включить туда свои файлы для раздачи на клиентов - настю, риски, ключик
- формированием отдельного сетевого каталога с полным набором фалов и административным запуском скрипта на рс с админовскими правами можно разом обновить все версии на более новые. В штатном варианте только бегать по машинам или использовать шедулер с повышенными правами.
Минусы - хоть и все отлажено, но для использования все равно потребуется доработка напильником под свои потребности - поэтому наличие опыта и минимальные знания скрипт языков понадобятся.
PS: В Enterprise версии все это уже есть, но во первых дорого, а вторых пока еще очень сыро, чего не скачешь о обычной 4.32 на текущий момент.
Если есть желающие испытать или внедрить, то выложу архивчик с исходниками и кратким описаловом. Ну и на словах если будет нужно.
PPS: Озадачиться этим вопросом подвигло полной отсутстиве в паутине подобных рецептов, куча воплей как сделать, и минимум достойных ответов как действительно.
Озадачился я у себя в конторе вот такой проблемой - как централизованно обновлять веба на рабочих станциях и при этом быть увереным что все версии у всех актуализированы, современны, нет ошибок в обновлении, программа установлена у всех и настройки на всех р.станциях те что нужны админу.
На данный момент существуют два пути автоматизированного обновления обычного Веба в корпоративной МелкоМягкой среде:
1. Штатная утилита запускаемая из шедулера на рс
2. Альтернативные утилиты - на сегодня лучшая в этом сегменте DrWu
Минусы первого пути - шедулер может быть настроен криво, путь обновления берется из реестра, логи локально в профиль пользователя, если в каталоге сетевого обновления есть исполняемые файлы будет попытка произвести обновление версии, что не всегда есть хорошо.
Минусы второго - утилита наколенная, находится в постоянной разработке, для обновления клиентов нужно либо ставить ее везде, либо открывать шары на рс. Также все альтернативное перепробованное либо больше подходит для одиночного частного использования либо берет на себя только функцию скачать с инета базы.
Я пошел по третьему собственному пути:
1. Разбиваем весь процесс обновления на 2 этапа: непосредственно сформировать сетевой каталог обновлений, состоящий только из баз и нужных нам файлов и каким то образом запустить штатную обновлялку на рс по воле админа и ни как иначе.
2. Первый этап можно решить кучей способов - от честного обновления с официального ресурса до использований альтернативных обновлялок. Я опять же пошел по своему пути от ленности не стал ничего особенного городить, набросал скрипт и попользовал альтернативную консольную программу, которая просто скачивает базы и файл lst. Собственный скрипт используется для генерации собственного lst без исполняемых модулей и включения в него своих файлов.
3. Далее включаем в логон скрипт пользователя/ей скрипт на VBS который ищет установленный Веб на клиенте, если находит, то стартует штатную обновлялку с НУЖНЫМИ ключами, в любом случае пишет логи.
4. После этого по крайней один раз по включении рс защита будет обновлена. Для параноиков возможно принудительно со стороны сервера стартовать обновление сетевого каталога баз каждые X часов и при помощи утилит удаленного запуска стартовать этот скрипт. Тем самым получаем актуальность защиты на уровне Х часов.
Плюсы приведенной схемы:
- все настройки обновления рулятся в одном месте админом сети
- есть логи работы скрипта - мониторит наиболее важную информацию
- сетевые логи штатной обновлялки
- для обновления используется штатная версия апдейтера, никакой самодеятельности
- легко отслеживается последнее обновление любой рс, наличие защиты на ней и быстрое принятие решение
- возможность одновременной поддержки в сети нескольких версий веба - 4.31, 4.32 и т.д по степени появления новых версий в одном месте обновления.
- т.к. lst формируем сами, можно включить туда свои файлы для раздачи на клиентов - настю, риски, ключик
- формированием отдельного сетевого каталога с полным набором фалов и административным запуском скрипта на рс с админовскими правами можно разом обновить все версии на более новые. В штатном варианте только бегать по машинам или использовать шедулер с повышенными правами.
Минусы - хоть и все отлажено, но для использования все равно потребуется доработка напильником под свои потребности - поэтому наличие опыта и минимальные знания скрипт языков понадобятся.
PS: В Enterprise версии все это уже есть, но во первых дорого, а вторых пока еще очень сыро, чего не скачешь о обычной 4.32 на текущий момент.
Если есть желающие испытать или внедрить, то выложу архивчик с исходниками и кратким описаловом. Ну и на словах если будет нужно.
PPS: Озадачиться этим вопросом подвигло полной отсутстиве в паутине подобных рецептов, куча воплей как сделать, и минимум достойных ответов как действительно.
надо было ставить SAV Corporate - всё уже есть штатно, плюс удалённая установка на рабочие станции
PS: хотя надо полагать - drWeb - корпоративный стандарт...
PS: хотя надо полагать - drWeb - корпоративный стандарт...
дык стоит...... Но практика показала что веб в плане оперативности будет понадежнее.zavr сказал(а):
В итоге сав остался только на серверах - почта и инет, почта дополнительно долбиться плагином каспера. Веб принят в качестве стандарта для рс. Что мне лично не нравится в сав:
1. Суточное отставание обновлений.
2. Размер обновлений - тянуть 20-100 мегов в день тяжко. Нет системы today и в случае алертов нужно тянуть всю базу снова.
3. Емайл скан работает только на стандратных портах 25 и 110
4. Меньшее количество вирусных записей + плюс записи риски и адваре включены в общую базу. В данном случае не доверял никаким Vb и проверял сам на пакете из 80 с лишним зверей.