Организация у нас достаточно нестандартная и сетка небольшая. Windows-машин около 40. Антивирусами озадачивались, но зоопарк антивирусов был редкий — около 20 Касперских, Windows Essentials, и даже в некоторых случаях присутствовал ClamWin — в общем извращались как могли.
И вот, в конце уже прошлого года Касперский был закуплен в нужных количествах и было принято решение настроить его «по-человечески» – то есть под управлением Administration Kit.
Поизучав после получения лицензии сайт лаборатории Касперского обнаружила, что давно уже вышла связка обозначенная в теме. «Ну, а чем мы хуже?» подумалось и было принято решение следовать в ногу со временем. На тестовой машинке воздрузили Kaspersky Security Center 9.0 и уже с помощью него стали разворачивать защиту.
Тестовые испытания прошли на ура. Возможности центра показались впечатляющими, первые распространение пакетов на подопытных кроликов клиентских машинах было успешным. Причем эксперименты ставились еще со старым — тогда еще действующим ключом. Апгрейд наших машин на Workstation 6 прошел успешно, новые машинки тоже бодренько устанавливали удаленно пакет. Счастью не было предела. Наконец защита развернулась на всех машинках. Ура! Победа.
Тут надо оговориться. Парк машин у нас не отличается особой новизной — Core i7 стоят далеко не у всех ни у кого не стоят. Поэтому подозрения могли возникнуть бы сразу — на 3 машины новомодный Endpoint Security 8 отказался устанавливаться — мало памяти. Но подозрения не возникли
Несколько дней мы прибывали в счастливом неведении. Раздражало только одно. Уведомления. Центр рассылал на почту уведомления о том что он отключен при каждом чихе — пользователь перезагрузил машину — пожалуйте 2 сообщения о том, что он бедняга отключен. В настройках рассылки было отключено уже все что можно — даже «полезные» уведомления об обнаружении вирусов. Но сообщения посылались и посылались достигнув масштабов спама. С этим тоже вполне себе мерились. Пару раз машинка с Центром падала — замертво — не реагируя на врешнии раздражители вообще — даже на кнопку Power с трудом. Причина нам еще не была понятна, как люди сомневающиеся сразу думали на свои кривые руки.
И тут в один из дней наступил Апокалипсис. Предчувствия его не возникло, так как админы у нас используют Linux на своих машинках и серверах и к Windows подходят только при проблемах у пользователях. Так вот — на Linux машинах Апокалипсиса и не было. Он был в виндовом сегменте сети. День выдался жарким. Виндовые машины висли наглухо — помогал благословенный ресет. Но самое ужасное было — плоттеры (да, используются у нас два таких монстра). Плоттеры отказались печатать — выводили «Малевича» – черный квадрат через раз. Так как оба вели себя совершенно одинаково вопрос о поломке плоттера отпал. Оставался вопрос — что с ними.
Есть еще у нас пользовании пара самописных программ, писанных еще кажется под 95 виндос и соответственно связь с авторами по большей части потеряна. Программы простые, но крайне полезные нашим пользователям — выполняли свои функции как рабочие лошадки и проблем не было. И тут одна из них «перестает запускаться» – подхожу — и правда не запускается. Перезагружают комп — один раз запустится и все — помахала ручкой. При этом в процессы она вещается исправно — сколько по ней покликаешь мышкой. В процессе изучения феномера обнаружилось, что иногда она запускалась — на 3-15 раз в зависимости от своих желаний. И процессов в памяти дофига. Каспер — молчит, проверили еще чем смогли — вроде не вирус.
В общем — вопросов в тот день было больше чем ответов.
Возникло подозрение на сетевого червя, которые конкретно забивает трафик. Касперский скромно молчал — вирусов по его мнению не было. Отключив пару машин и проверив их всеми возможными утилитами пару вирусов выловлено было, но ситуацию это не спасло.
Это была предыстория. Длинная и затянутая, но может кто-то узнает в ней свою и ему поможет наше решение.
Решение оказалось очень простым. Виноват был Endpoint Security 8. Памяти он кушал совсем не скромно. Даже для шустрых машинок, что уж говорить о старичках. Ресурсов занимал под 100%, поэтому ничего другое работать и не могло. А так как плоттеры у нас используют при печати память компьютера, то и начинали печатать «черные квадраты», когда эта память заканчивалась. Установили экстренно обратно несколько Workstation — проблема с плоттерами порешалась, с зависанием тоже.
В случае с нашей самописной программой оказалось еще веселее. У той был конфликт не с самим Endpoint, а с Агентом администрирования, которые отвечал за связь с сервером. Пришлось поставить у нее «Режим совместимости с Windows 95» – решение было найдено методом «научного тыка» моим начальником. Решили уже ничего не трогать, если работает.
Разумеется, после таких фокусов терпеть на клиентских машинах Endpoint никто не стал и началась великая переустановка на Workstation.
Поясню почему великая. Endpoint ловко разворачивался на чистых машинках и апгрейдился с Workstation, а вот обратный фокус — даунгрейд на Workstation не прошел. Центр отчитался, что установка прошла успешно, но к сожалению удалить Endpoint он не смог, а просто деактивировал его. Насколько это была рабочая связка — деактивированный Endpoint и запущенный Workstation проверять особо не стали. Да, работало, да, политики вроде работали. Но прошлось бежать ножками по клиетам и сносить этот, уже полюбившейся Endpoint. Сносился он сказочно — прихватывав с собой часть Workstation, приходилось потом переустанавливать и Workstation. В общем — грустно живется, создай себе работу, как говорится.
После нескольких дней суматохи, вернувшись на старый добрый Workstation все успокоилось. Даже с центром они подружились и нареканий вроде не было. По крайней мере пока наблюдаем и размышляем — оставить этого свежего зверя или уйти еще и на Administration Kit.
Проблема с оповещениями по почте тоже ушла сама собой — вместе с Endpoint.
По поводу Endpoint обращались в поддержку. Про ресурсоемкость они знают — решают. По поводу оповещений ничего внятного не сказали — показывали те меня, которые были нами исследованы вдоль и поперек. Вопрос мы закрыли — так решили проблему альтернативно.
Было там еще пару глюков. Например — компьютеры с Endpoint очень интересно принимали значение «Критичный» – с пометкой «Давно не обновлялся» или «Не проверялся на вирусы» – хотя руками специально запускаешь там и то и другое, а он все равно «горит» красным — неприятно. Поддержка сказал, что проблему они знают, это косяк заполнения базы данных, и защита при это работает корректно. Извинения конечно приняты, но видеть, что у тебя все клиенты в критичном состоянии как-то дискомфортно.
Ну и глюк с определением лицензии был. Когда пришло время активировать новый ключ — его установили вторым ключом на те машины, где до него действовал предыдущий. В техдокументации говорилось, что второй ключ автоматически становится первым, когда истекает срок действия предыдущего. НО — все 20 машин «загорелись красным» – лицензия истекла в день Ч — пробежав ногами по 10 из них обнаружила, что клиенты при этом спокойненько работают видят как раз таки новый ключ — а вот центр почему-то об этом не знает.
Так как совпало это с нашей глобальной переустановкой – проблема исчезла и эта. Тут уже не знаю — спасибо Workstation или то, что он уже ставился с новым ключов и о существовании предыдущего ничего не знал. Поддержка ничего ответить не смогла — вроде как проблема может быть и в используемой базе данных и еще где, а так как у нас проблема решила сама и продиагностировать они ее не могут. Ну и бог с ней — лишь бы работало.
И последняя вроде проблема с зависанием сервера. Тут уж Касперский не при чем — почти не при чем. Вопрос к windows. После чтения логов моим начальником было выяснено, что причина в том, что Windows органичивает количество входящих соединений TCP-IP 10 — а когда все наши 40 машинок начанали апдейтится или проверяться виндоус это не мог терпеть и отваливался. Наглухо. Погуглив на эту тему — было обнаружено, что варианта здесь два — использовать патч или руками править реестр, НО…. опять это но — при это терялась лицензионная чистота винды. А нафиг нам проблемы мы люди честные и делать этого не хотелось. Вопрос о том, насколько это правильно с точки зрения Microsoft поднимать здесь не будем — это тема отдельной беседы. Скажем только о том — насколько тогда правомерно Касперский в своих системных требования к железу для установки Kaspersky Security Center завлял WindowsXP и понятно, что наша организация не самая многочисленная.
Хотя в общем-то и это проблему удалось решить — распределив запуск задания на обновление и проверку случайным образом в интервале — мы взяли полчаса пока. Сервер отработал неделю и не свалился.
Подводя итог можно сказать, что проблема была в Endpoint Security 8 — и избавившись от него избавились и от проблем.
Жаль конечно, что пришлось откатится на старый софт — много интересных возможностей у Endpoint было, однако все же хочется, чтобы работали пользователи, а не только антивирус.