ПРОЕКТЫ    

 

     Desktopstandard приходит на помощь военно-воздушным силам

    

Как внести сотни изменений в конфигурацию каждого из полутысячи настольных компьютеров, даже не подходя к нему? Такая задача из области дзен-буддизма встала во весь рост перед Майком Дебруйном - старшим системным инженером подразделения RS Information Systems военно-воздушной базы Ванденберг вблизи калифорнийского города Ломпок. Пользователи здесь мало чем отличаются от множества других. Львиную долю работы они выполняют в среде Windows Office, хотя при реализации более сложных проектов вынуждены переходить на специализированные приложения. Однако год назад командование ВВС США официально потребовало унифицировать интерфейсы всех рабочих станций и централизовать допуск к секретной информации.

Майк Дебруйн: “Перед тем как подступиться

 к программному решению, нужно обязательно

 разобраться в его концепции”

В результате Майку Дебруйну потребовалось нечто такое, что позволило бы быстро вносить изменения в сотни рабочих станций. Без этого даже такие простейшие задачи, как смена имени компьютеров или удаление сценария распечатки материалов, грозили растянуться на несколько дней. А ведь стоило упустить из виду хотя бы одну рабочую станцию, как ее пользователь начисто лишался доступа к жизненно важным приложениям. С другой стороны, если у рядового пользователя оставались привилегии администратора, он мог случайно загрузить опасную программу и тем самым открыть всю сеть для хакерских атак. Во избежание подобных неприятностей командование ВВС поручило Майку Дебруйну обеспечить безопасность всех рабочих станций, и назначенный для этого срок стремительно приближался.

Чтобы решить поставленную задачу, предстояло найти такого производителя ПО, продукция которого была бы не только полностью совместимой с операционной системой ВВС и всеми разработанными здесь специализированными приложениями, но и одновременно отвечала всем требованиям безопасности и администрирования. Внимательно изучив несколько вариантов, Майк Дебруйн остановил в конце концов свой выбор на пакете PolicyMaker фирмы DesktopStandard со штаб-квартирой в г. Портсмуте. Причина такого решения была проста: только эта компания могла заставить все компоненты работать в унисон, и только она одна имела все для этого необходимое.

"Множество пользователей без административных привилегий - общая проблема всех организаций, причем не только военных, - считает директор управления производством DesktopStandard Кевин Салливан. - В большинстве своем пользователи являются одновременно и локальными администраторами своих рабочих станций, а сменив статус, сразу же сталкиваются с проблемой совместимости. Например, лишаются доступа к некоторым приложениям".

Перед Майком Дебруйном маячила и еще одна проблема, хорошо знакомая многим организациям: жесткие сроки. По его словам, ВВС движутся в сторону стандартной конфигурации настольных ПК и централизованного управления всеми своими компьютерами из единого центра, стремясь тем самым свести к минимуму количество брешей в системе безопасности. В результате системные администраторы баз ВВС вынуждены ограничивать привилегии пользователей и администраторов на десятках тысяч настольных рабочих станций. Майк Дебруйн, например, целиком и полностью отвечает за полтысячи таких машин, установленных в восьми зданиях. На каждой из них используются разрешения разного уровня, и чтобы изменить их все, требуются дни, а то и недели работы. А ведь многим сотрудникам нужен доступ к различным критичным для их работы приложениям, для выхода на которые необходимы особые привилегии.

"После установки Microsoft Windows административная учетная запись по умолчанию носит название "Администратор", и в соответствии с требованиями безопасности ее нужно переименовать, - поделился своими заботами Майк Дебруйн. - На первый взгляд ничего сложного здесь нет, но когда за год к 500 имеющимся компьютерам добавляется еще 150, проходить на каждом из них регистрацию, а затем вручную изменять конфигурацию становится не так-то просто. Здесь нужен инструментарий, позволяющий дистанционно изменять имена пользователей и пароли на любой машине".

Возникали и другие проблемы. Предстояло, в частности, удалить все разновидности клиентских скриптов, которые потенциально могут представлять серьезную угрозу безопасности. А ведь изменить сотни строк этих мини-программ, выполняющих различные простые задачи наподобие регистрации на рабочей станции или вывода документов на печать, мягко говоря, задача трудоемкая. Нельзя было также забывать об уязвимых файлах и своевременной установке новых программных заплат для Windows. Но разве по силам было Майку Дебруйну быстро справиться со всем этим на пятистах рабочих станциях?

Положение усугублялось еще и тем, что, подобно многим частным компаниям, штаб ВВС хотел сэкономить на электроэнергии, расходы на которую за последние годы взлетели до небес. Хотя напрямую от Майка Дебруйна этого никто не требовал, он все же хотел порадовать своих боссов: добиться, чтобы сэкономленные на электроэнергии средства перекрыли стоимость приобретаемого оборудования.

Приступая к поиску нового программного решения, Майк Дебруйн поставил во главу угла полную его совместимость с уже используемыми в ВВС операционной системой и приложениями. "Мы задались вопросом: что является у нас главным средством управления, - вспоминает он. - Оказалось, что это Group Policy и Active Directory корпорации Microsoft. Именно они составляют основу всей сети Windows, от которой ВВС пока отказываться не собираются". Оба этих компонента Майку Дебруйну были знакомы, но нравились не слишком. На его взгляд, они были далеко не столь удобны, как того хотелось бы, да и их функциональность, с его точки зрения, оставляла желать лучшего. Поэтому он засел за изучение всех программных пакетов, совместимых с используемыми в ВВС системами, и начал активно знакомиться с исследованиями и публикациями. Нужно было найти нечто такое, что расширяло бы функции Group Policy. В общей сложности Майк Дебруйн оценил ПО четырех или пяти производителей. "Все они предлагают пробные версии, которые мы загружали и обыгрывали в своей среде, - рассказал он. - Как оказалось, наилучшую детализацию обеспечивает пакет PolicyMaker компании DesktopStandard".

Наконец-то был получен ответ на ранее не поддававшийся решению вопрос: как внести изменения в полсотни компьютеров, не подходя к каждому из них. Правда, развертывать пакет пришлось своими силами, без привлечения специалистов DesktopStandard, - из-за режима секретности их нельзя было пригласить на объект для обучения Майка Дебруйна и его коллег. В качестве компромисса компания организовала для них онлайновую подготовку. Пройдя ее, Майк Дебруйн научился дистанционно устанавливать заплаты безопасности и устранять уязвимые файлы на каждой из своих машин. Теперь ему не составляло никакого труда удалять ненужные скрипты и привилегии пользователей прямо из своего офиса, а при необходимости он мог повышать уровень прав отдельных пользователей для работы с конкретными приложениями.

Краткая справка: военно-воздушная база Ванденберг

- Местоположение. Калифорния, вблизи города Ломпок.    

- Назначение. Испытания космических аппаратов и ракет в интересах министерства обороны США, а также запуск искусственных спутников Земли.

- Технический партнер. Компания DesktopStandard.

- Рекомендованное решение. Для удовлетворения потребностей администрирования развернуть программный пакет PolicyMaker компании DesktopStandard. 

DesktopStandard помогла также сэкономить деньги. Хотя на авиабазе Ванденберг и были установлены плоскопанельные дисплеи, автоматически отключать их раньше не удавалось. Теперь же у Майка Дебруйна появилась возможность дистанционно гасить экраны на ночь. По его оценкам, это позволило экономить порядка 10 долл. на каждой рабочей станции в неделю, что в масштабе всей системы соответствует примерно 260 тыс. долл. в год.

Но еще важнее то, что на авиабазе Ванденберг была в полной мере реализована инициатива по стандартизации настольных систем, причем с минимальными затратами ручного труда и без особой головной боли. Понравился Майку Дебруйну также уровень технической поддержки и обучения. "В DesktopStandard работают отличные специалисты, - рассказал он. - От них не услышишь набивших оскомину вопросов - ведь при звонке в другую службу технической помощи у вас в первую очередь интересуются, пытались ли вы перезагрузить компьютер, и лишь после этого подключают к эксперту. Здесь же, что бы меня ни интересовало, я сразу же получал ответ. Меня не заставляли ждать переключения на других специалистов только потому, что первый не понимал проблемы или не знал, как ее решить".

На авиабазе Ванденберг строго следуют

требованиям мандата командования ВВС

 на стандартизацию

От необходимости предварительно изучать программный пакет это, правда, не избавляет, что хорошо видно на примере Майка Дебруйна. "Перед тем как подключиться к учебной телеконференции DesktopStandard, я решил опробовать новинку сам, - пояснил он. - Но понять все стороны работы пакета самостоятельно мне не удалось и пришлось звонить в службу технической поддержки".

Сложность развертывания системы и подготовки персонала на секретном объекте признает и Кевин Салливан, но при этом он отдает должное Майку Дебруйну. Тот настолько хорошо разобрался в возникших трудностях, что помог специалистам DesktopStandard быстро обойти их. "В свой список мы внесли примерно 24 типа функций, а заказчик сосредоточил внимание на восьми из них, - пояснил Салливан. - Под первым номером шел мандат на стандартизацию, и когда Майк Дебруйн взглянул на то, что мы предлагаем, оказалось, что именно в этом направлении наша разработка подходит ему больше всего".

Огромную важность понимания используемых приложений и нового пакета признает и сам Майк Дебруйн: "Многие, покупая программу, даже не представляют, как ею пользоваться. Если бы я обратился к DesktopStandard, понятия не имея о Group Policy, я бы попросту ничего не понял. Перед тем как подступиться к программному решению, нужно обязательно разобраться в его концепции".

С Айрой Апфель можно связаться по адресу: iapfel@yahoo.com.

Версия для печати