“ЭР-Телеком Холдинг” — телекоммуникационная компания с центральным офисом в Перми, которая предлагает услуги широкополосного доступа в Интернет, кабельного и цифрового телевидения, а также фиксированной телефонной связи. Компания имеет филиалы в 42 городах и более 4,2 млн. абонентов. В связи с динамичным развитием компании появилась необходимость повышения эффективности работы ИТ-ресурсов в центральном офисе и филиалах.
Как рассказала Екатерина Марценюк, администратор службы ИТ-инфраструктуры “ЭР-Телеком Холдинг”, основная проблема состояла в отсутствии единой системы управления рабочими станциями: “В филиалах применялся разный инструментарий, не контролировалось выполнение групповых политик, кто-то писал отдельные скрипты для автоматизации управления рабочими станциями, зачастую приложения устанавливались вручную. Все это отнимало достаточно много времени и сил. Поэтому была поставлена задача повысить эффективность работы системных администраторов в филиалах за счет автоматизации рутинных процедур и уменьшения времени на решение текущих заявок от пользователей. Вместе с тем это бы дало возможность администраторам уделять больше времени повышению своей компетентности и саморазвитию”.
С такой целью в первую очередь было решено разобраться с компьютерным парком: провести инвентаризацию аппаратного и программного обеспечения рабочих станций, получить необходимые отчеты и запланировать необходимые мероприятия по его модернизации. Кроме того, нужно было научиться обеспечивать и контролировать установку и обновление приложений на большом количестве компьютеров. Отдельным пунктом также стояло повышение информационной безопасности.
Поскольку у “ЭР-Телеком Холдинг” большой компьютерный парк, проект разделили на несколько этапов. В первую очередь было необходимо реализовать эффективное управление рабочими станциями, затем серверами и, наконец, мобильными устройствами. Выбор решения, по словам Екатерины Марценюк, начался с обзора рынка: “Мы выяснили, какие продукты предлагают поставщики, и отобрали те, которые наилучшим образом соответствовали нашим потребностям и целям. Остановились на двух системах — LANDesk Management Suite и Altiris IT Management Suite Symantec. Чтобы выбрать один из них, понадобилось около трех месяцев. Для этого составили сравнительную таблицу, в которую записывали требуемый функционал и его реализацию в рамках обеих систем. Для оценки использовали систему баллов, куда в числе прочих параметров входила и цена решения в расчете на одно рабочее место. Мы также развернули тестовые площадки для обеих систем и выбрали группу рабочих станций для ознакомления с функционалом обеих систем и его сравнения в более наглядном виде. Это позволило нам принять окончательное решение”.
В результате компания остановила выбор на нескольких продуктах LANDesk: LANDesk Management Suite для управления рабочими станциями и серверами, LANDesk Security Suite для управления информационной безопасностью, а также относительно новом продукте LANDesk Mobility Manager для управления мобильными устройствами. Как объяснила Екатерина Марценюк, несмотря на то, что по возможностям и цене решения Altiris и LANDesk примерно совпадали, тем не менее, функционал последнего, а также более удобный и понятный интерфейс оказались решающими пунктами. Кроме того, наличие у российского представителя вендора, компании ARBYTE, достаточного количества обучающих вебинаров, хорошей базы знаний и руководств на русском языке позволило достаточно быстро разобраться с механизмом его работы.
Внедрение и обучение
Проект стартовал в начале этого года. В первую очередь, ИТ-специалисты “ЭР-Телеком Холдинг” прошли пятидневное обучение в Москве по стандартному курсу, который проводил Антон Ступин, технический директор компании Arbyte (сертифицированного платинового партнера LANDesk). Основную часть работ по первоначальному развертыванию сервиса на площадке заказчика выполнил инженер Arbyte. “Когда он уехал, мы продолжали внедрение самостоятельно, а при возникновении вопросов, которых в начале было достаточно много, обращались в техническую поддержку Arbyte, — рассказала Екатерина Марценюк. — Через месяц после начала проекта было проведено отдельное обучение для системных администраторов филиалов, которое также проводил Антон Ступин. На данный момент я уже написала несколько концепций по реализации того или иного функционала LANDesk с учетом особенностей ИТ-инфраструктуры нашей компании. Для администраторов филиалов также был составлен отдельных пакет инструкций, которые помогают им разобраться с функционалом и выполнять различные задачи с помощью LANDesk”.
В настоящее время проект движется к завершению. Программные агенты LANDesk установлены на 95% рабочих станций, собрана необходимая инвентарная информация, определены моменты, на которые следует обратить особое внимание, создано несколько наборов дистрибутивов для установки на рабочих станциях. Активно идет внедрение модуля Security Suite, а для контроля установки критических обновлений используется Patch Management.
Первые результаты
На сегодняшний день проект уже приносит свои плоды — проведена инвентаризация ИТ-парка, удалось повысить информационную безопасность, гораздо удобнее стало проводить обновление программного обеспечения. Благодаря тому, что Patch Management поддерживает работу с программным обеспечением не только Microsoft, но и других вендоров, появилась возможность управлять процессом обновления операционной системы и приложений: “Например, мы выбираем определенные уязвимости, для которых хотим установить обновления, выделяем группу машин и выполняем установку только для них. Таким образом, мы контролируем весь процесс от начала до конца — смотрим, на какие компьютеры ставили обновления, установились ли они, а если нет, то почему”, — рассказала Екатерина Марценюк.
В Security Suite также входит система Host Intrusion Prevention System (HIPS). Это целый комплекс защитных мер по обеспечению информационной безопасности рабочих станций. В качестве примера Екатерина Марценюк привела блокировку USB-портов: “Есть определенные группы пользователей, которым нужно закрыть USB-порты, но при этом оставить работающими USB-клавиатуру и мышку. Security Suite позволяет управлять таким разграничением, а также, в случае необходимости, выдавать временное разрешение на разблокировку отдельного устройства или выделить группу с устройствами, которые будут или не будут блокироваться. Другими словами, управление очень гибкое. На данный момент этот функционал передан на контроль менеджерам по информационной безопасности”.
Она также отметила возможность формирования черных и белых списков программ, разрешённых или не разрешённых к запуску на компьютерах, и наличие в системе режима обучения: “Можно задать обучающий период, чтобы определить, какие программы запускаются на данном компьютере, и на основании собранной информации тиражировать этот список на другие машины, периодически его обновляя. Управлять данным процессом можно гибко, скажем, настроить его так, чтобы обучение шло в пределах определенного времени, а потом либо начинался мониторинг, либо сразу блокировка запрещенных программ. При этом все события по вызову программ отслеживаются, так что в любой момент можно выявить какие-то нестыковки”.
Важную роль для “ЭР-Телеком Холдинг” также играл функционал развертывания операционных систем, поскольку одна из задач проекта состояла в унификации рабочих мест. “Раньше администраторы устанавливали ОС разными способами: кто с диска, кто через какие-то специальные программы. Такой разнобой в настройках и версиях усложняет процесс диагностики проблемы и увеличивает время ее решения, — рассказала Екатерина Марценюк. — Для подготовки к унификации рабочих мест мы сделали образ на основе Windows 7, который включили в provisioning-шаблон, предназначенный для развертывания ОС на рабочие станции. Помимо установки ОС выполняется ряд других операций — с помощью механизма HI I — Hardware-independent Imaging, автоматически устанавливаются необходимые драйвера, компьютер вводится в домен, устанавливается базовый набор приложений. Работа администратора упрощается до нескольких щелчков мыши — через пару часов ему остается только принять готовую систему”.
Через LANDesk также был реализован функционал миграции пользовательских профилей, который позволяет автоматизировать процесс переноса настроек пользователя, включая ярлыки и картинку рабочего стола, на новый компьютер или восстановить их при переустановке ОС.
По словам Екатерины Марценюк, развертывание операционной системы на новые компьютеры на данный момент занимает около двух с половиной часов при параллельной загрузке восьми — десяти машин. Для одного компьютера отработка шаблона занимает до полутора часов. При этом нет необходимости переносить компьютеры с места на место — весь процесс осуществляется через загрузку по сети.
Подводные камни
Как известно, практически ни один проект по внедрению сложного решения не обходится без проблем. Не стал исключением и наш случай. Екатерина Марценюк отметила, что основные трудности были связаны не столько с технологией, сколько с людьми: “Хотя конечные пользователи у нас — администраторы филиалов, т. е. люди технически грамотные, это не значит, что удалось избежать проблем. Не все и не всегда готовы сразу переходить на новый софт. А так как LANDesk — инструмент с широким функционалом, для работы с ним необходимо первоначальное обучение и практика. Даже сейчас, несмотря на наличие подробных инструкций, остаются люди, которые не готовы начать пользоваться непривычным для них инструментом. Поэтому мы продолжаем обучать их и параллельно ставим различные задачи, например, по сбору инвентарной информации, развертыванию приложений, установке обновлений, развертыванию операционных систем. Это также обеспечивает нам дополнительную тестовую площадку для проверки и отладки того или иного функционала, так как бывает, что по ходу выявляются какие-то неполадки”.
Что касается технических проблем, то, по словам Екатерины Марценюк, их можно разделить на три вида: “Первые связаны с некорректной работой инсталлированных продуктов . В таких случаях ведется работа с технической поддержкой вендора. Второй вид — это когда продукт работает, но настройки не дают нужного результата. Тогда проводится диагностика и зачастую вопрос решается. Тем не менее, иногда для изучения ситуации требуется много времени, так как некоторые проблемы связаны с особенностями инфраструктуры предприятия. Третий тип — необъяснимые проблемы, которые возникают непредсказуемо и, как правило, вылечиваются либо сами, либо путем переустановки ОС или агента”.
Защита мобильных пользователей
“ЭР-Телеком Холдинг” приобрел также систему LANDesk Mobility Manager — решение для управления мобильными устройствами, подключенными к сети, и обеспечения их безопасности. Это одно из первых внедрений данного продукта в России.
Антон Ступин объяснил принцип работы системы: “На устройства под iOS или Android устанавливается программа-агент, и тогда пользователь может самостоятельно подключить его к корпоративной сети, введя свой логин, пароль и почтовый адрес. После этого на устройство загружаются политики безопасности, которые что-то блокируют, что-то настраивают, а что-то предлагают пользователю настроить самому”.
В результате пользователь получает устройство, настроенное для работы с корпоративной почтой и документами. При необходимости отдельно настраивается корпоративный портал, в котором организация может размещать аудио- и видеофайлы, документы и другую необходимую для данного сотрудника информацию. В нем также можно размещать ссылки на Apple AppStore и Google Play для установки программ на iOS и Android-устройства. В ближайшем будущем планируется интеграция Mobility Manager с LANDesk Management напрямую через устройство LANDesk Management Gateway. Сейчас она осуществляется через облака Google и Apple.
По словам Екатерины Марценюк, этот продукт планируется использовать для решения трех основных задач: проведения инвентаризации, применения настроек и политик безопасности, а также обеспечения пользователей мобильных устройств удаленной поддержкой: “Например, можно сбросить пароль на блокировку устройства, если человек его забыл, или автоматически отправить ему настройки Wi-Fi-соединения. В случае потери или кражи мобильного устройства в Mobility Manager также предусмотрена функция полного или избирательного удаления данных — wiping”.
Сейчас “ЭР-Телеком Холдинг” использует Mobility Manager только тестовом режиме на нескольких устройствах. В ближайшее время планируется охватить и других корпоративных пользователей, особенно тех, кто часто ездит в командировки.