Zamislite scenario – Vlada pije jutarnju kafu, prepričava vikend dragim kolegama i stiže mejl od menadžera bezbednosti:

„Poštovani Vladimire,
Zahtev je da se u sledećoj radnoj nedelji nadogradi 1000 endpoint stanica na poslednju dostupnu verziju antivirusne zaštite, Endpoint Antivirus 7.3. Za nadogradnju na Windows 7 platformi, neophodne su zakrpe za operativni sistem. Za Windows 8 i 10 ide samo nadogradnja ESETa. Upoznati ste sa topografijom mreže i da nemamo tehničko lice na svakoj lokaciji. Instalacija zakrpa i nove verzije ESET-a zahteva dva restarta svake mašine. Prekid u radu AV zaštite nije dozvoljen.
Srdačan pozdrav,
Pretpostavljeni“

Daj da vidimo šta kaže ESET podrška, ima li od njih pomoći?

Možda nekome ovaj scenario deluje kao naučna fantastika, ali uz dobar plan i malo zalaganja procedura je relativno lako izvodljiva:

  • Prvo treba pripremiti Windows 7 mašine za upgrade. Zakrpe možete provući kroz WSUS, GPO ili SCCM. Ukoliko ove tehnologije zakažu ili nemate jasan uvid u rezultate, pokušajte sa SysInternals alatima. Mark Rusinovič je učinio mnogo za IT zajednicu pre 20 i kusur godina i njegovi alati se i danas koriste nesmanjenom žestinom. Na guglu potražite „psexec wusa“ i biće vam mnogo toga jasnije. Instalacija zakrpa na svim stanicama ne bi smela da uzme više od dva radna dana. Ne zaboravite obavezan restart mašina!
  • Za nadogradnju antivirusne zaštite postoji više načina. Ukoliko propusnost mreže nije ograničavajući faktor, kroz ESMC infrastrukturu možete pustiti zadatak za nadogradnju. Paketi za instalaciju biće keširani na distributivnim tačkama i u roku od nekoliko sati imaćete novu verziju zaštite na svim endpoint stanicama. Ko voli da se služi Microsoft tehnologijama, nadogradnju može da spusti kroz GPO ili SCCM. Za mreže sa ograničenim mrežnim resursima postoji ESET Remote Deployment alat i All in one paketi.
  • Ako su lokacije međusobno povezane, odlično! Nama je još uvek matriks da radimo Kragujevac iz Beograda, budi onu dečačku zaljubljenost u računare. Čak i ako neke lokacije nisu u The Mreži, postoje alati za daljinsku konekciju. Dovoljno je da na jedan računar u Somboru spustite RDTool i unapred pripremljene pakete i sve mašine na lokaciji biće ubrzo završene. Nadogradnja AV zaštite, kao i instalacija zakrpa, ne bi smela da uzme više od dva posvećena radna dana. Opet, ne zaboravite obavezan restart mašina nakon nadogradnje!

Korisnik: Sve je to OK, Denise, ali tu postoje ozbiljni logistički problemi. Kako ćemo do mašina koje nisu uključene? Ti silni restarti, to nikako ne može u radno vreme, a ne sme biti prekida u radu AV zaštite… Zašto mora ta nadogradnja, radili smo 7.1 verziju pre par meseci?
Podrška: Znam, Vlado, ali nadogradnja mora da se desi ako želite bolju zaštitu. I, to neće biti samo ovaj put, doćiće na red verzije 7.4, 7.5, 8, 10…
Korisnik: Pa, šta da radimo? Javiti plan svim zaposlenima mejlom? To njih ne treba da interesuje. Obavestiti upravnike sektora? I to nije dobar plan. Dopisi, pozivi telefonom, to ne može za nedelju dana… Čak i ako uspemo svim zaposlenima da dojavimo naše namere, sigurno će biti onih koji će da bocnu dugme za gašenje i kidnu na levo u 5…
Podrška: Postoji rešenje…

Mark Twain

If it’s your job to eat a frog, it’s best to do it first thing in the morning.
Mark Twain

Iskreno se divim ljudima koji su spremni da fizički upale stotine mašina da bi se završio određeni zadatak. Kad se mora, mora se. Taj pristup je naporan, iziskuje vreme, resurse i nije konačan jer se uvek negde desi gašenje određenih stanica od strane korisnika ili samog operativnog sistema. Ukoliko ne postoji način da se mašine daljinski uključe, ulazimo u sferu delovanja onog mučenika Sizifa ili podvlačenja obaveza pod tepih. Ne zna se šta je od ta dva gore. Srećom, kad se već mora, dovoljno je sve mašine obići samo jednom i uključiti Wake on LAN funkcionalnost na svakoj. Niko ne očekuje da ćete ovo završiti za nedelju dana, ali neka bude i za godinu. Za sve sledeće daljinske zadatke, bilo da se radi o ESETu ili nekom drugom obaveznom programu, zakrpi, pa čak i operativnom sistemu – imaćete dostupne mašine za rad, u bilo kom trenutku.

ESMC i Wake on LAN

Wake on LAN funkcionalnost u EMSC serveru se svodi na buđenje računara što je i najpotrebnija opcija. Kada završite nadogradnju na endpoint stanici, možete pustiti zadatak za restart ili gašenje. Ipak, treba obratiti pažnju na detalje. Budnom oku neće promaći da se wake up call šalje kroz ESET servere preko manje poznatog MQTT protokola. Dovoljno je da svakoj stanici obezbedite direktnu komunikaciju prema epns.eset.com serverima i neće biti problema, ali ostaje pitanje zašto se zahtevi ne šalju kroz lokalnu mrežu. Ako već neko vreme radite sa ESETom, znate da iza svakog „zašto“ postoji jasno „zato“, a ovde je razlog potencijalno korišćenje ESET Cloud Administratora. O njemu će biti više priče u nekom od narednih postova.

U našem scenariju idealan tajming za nadogradnju je van radnog vremena, kada korisnici nisu za svojim računarima. Admin može biti u kućnoj fotelji od zelene kože (lična preferenca u doba korone). Svakako će biti neophodno najaviti zaposlenima da sačuvaju otvorena dokumenta zbog planiranog redovnog održavanja, ali to će mnogo manje da ih boli nego restart kad mu se niko ne nada.

Zato, dragi moji, pojedite najveću žabu odmah. Nije lako, ali ni level-up nije mali i gejm postaje daleko zanimljiviji.

 

 

(Visited 194 times, 1 visits today)