Axence nVision: narzędzia administracyjne skrojone na miarę firmowych sieci
Axence nVision krakowskiej firmy Axence jest chyba najbardziej znanym polskim narzędziem do monitoringu i zarządzania dla administratorów sieci Windows. Rozwijany od ponad 9 lat, zdobywający regularnie branżowe nagrody, dla niektórych jest już standardem, względem którego ocenia się inne oprogramowanie. Radykalne zmiany w licencjonowaniu produktu, które przyniosła wydana w zeszłym roku wersja 9 sprawiły zaś, że coraz częściej stosowany jest także w najmniejszych firmach i organizacjach. Kto by w końcu nie chciał darmowej licencji na środowisko zawierające do 10 maszyn? Z tego właśnie powodu postanowiliśmy przyjrzeć się bliżej temu narzędziu, sprawdzić czy jest ono tak dobre, jak zachwalają go profesjonaliści – i czy dadzą sobie z nim radę także ci, którzy bardzo zaawansowanej wiedzy technicznej po prostu nie mają.
Jak wspomnieliśmy, domyślnymi odbiorcami zestawu narzędzi Axence nVision są administratorzy sieci Windows. Nie znaczy to, że narzędzie to nie poradzi sobie z innymi systemami operacyjnymi. Możemy wykorzystać go w heterogenicznych sieciach, w których pojawiają się urządzenia działające pod kontrolą Linuksa, macOS-a oraz Androida. Wprawdzie nie będziemy mieć takich możliwości zarządzania nimi, jak w wypadku klientów działających pod Windowsem, ale z perspektywy typowej polskiej firmy, w której króluje oprogramowanie Microsoftu, nie jest to poważna wada – na plus należy zaliczyć, że w ogóle zauważono, że jest coś poza „okienkami”.
Architektura – dla dużych i małych
Od strony architektury Axence nVision składa się z trzech rodzajów komponentów. Pierwszym jest serwer nVision, którego zadaniem jest centralne gromadzenie i przetwarzanie danych o sieci. Działa on, co ciekawe, na bazie opensource’owego silnika bazodanowego Postgresql. Aby go uruchomić wystarczy dwurdzeniowy procesor, 4 GB RAM i 10 GB miejsca na dysku oraz Windows Server 2008 (choć jak sprawdziliśmy, od strony technicznej ruszy nawet na Windowsie 7).
Drugim komponentem jest konsola zarządzająca nVision, czyli desktopowa aplikacja win32, która pozwala na zarządzanie komputerami w monitorowanej sieci. Jej wystarczy dwurdzeniowy procesor, 2 GB RAM, ruszy nawet na Windowsie XP – konsoli nie musimy bowiem instalować na tej samej maszynie, na której uruchomiony został serwer nVision. Konsola pracuje wyłącznie w trybie graficznym, nie ma tu żadnego sterowania z poziomu tekstowej konsoli. W infrastrukturze kontrolowanej przez Axence nVision działać może więcej niż jedna konsola zarządzająca – jest to wygodne, nie trzeba się męczyć ze zdalnym pulpitem do komputera, na którym działa serwer.
Trzeci komponent to agent, tj. aplikacja instalowana na monitorowanych komputerach i gromadząca informacje o ich działaniu, a następnie przesyłająca je w zaszyfrowanych paczkach do serwera.
Agenta w wersji na Windowsa możemy zainstalować na komputerach jako paczkę MSI poprzez Active Directory lub najprościej – z pendrive czy zasobu sieciowego, uruchamiając ręcznie plik .exe. Agentowi wystarczy jeden rdzeń procesora, 128 MB RAM i 100 MB miejsca na dysku, po uruchomieniu sam wykryje adres serwera nVision i się uruchomi.
Agenty na Linuksa (zarówno 32- jak i 64-bit) oraz macOS-a trzeba instalować ręcznie, trzeba też im podać adres IP serwera. Dostarczane są jako skrypty powłoki, najwyraźniej wykorzystują perla i node.js, zadowalają się 32 MB RAM.
Agent androidowy instalowany jest spoza sklepu Play – trzeba zezwolić na instalację z nieznanych źródeł. Jest to póki co wersja rozwojowa, dostępna dla zainteresowanych jako plik .apk do samodzielnej instalacji. Po osiągnięciu spodziewanych funkcjonalności agent trafi do sklepu Play
Instalacja nie tylko dla orłów
Zainstalowanie serwera jak i konsoli sprowadza się do klikania Dalej, dalej w kreatorze instalacji, w jednym z okien wybierając, czy instalujemy serwer z konsolą, czy też samą konsolę (najwyraźniej nie można zainstalować serwera bez tej graficznej konsoli).
Potem pozostaje podanie adresu sieci i maski, która zostanie wykorzystana przy pierwszym skanowaniu sieci. Instalator sam powinien tu sieć firmową rozpoznać.
Wreszcie zaś podajemy albo klucz licencji, albo przechodzimy przez proces generacji darmowego klucza licencyjnego – tu trzeba podać imię, nazwisko, firmę, e-maila i telefon kontaktowy. Dane przechowywane są w koncie Axence (Axence Account), zgodnie z warunkami świadczenia usługi strony trzecie nie będą miały do nich dostępu.
Jeśli po zainstalowaniu okaże się, że program nie nawiąże połączenia z agentami, powodem może być konfiguracja zapory sieciowej. Konieczne jest otworzenie portów TCP (4433, 4434 i 4436) w monitorowanych systemach, by agenty mogły komunikować się z serwerem. Jeśli chcemy korzystać z protokołów zdalnego zarządzania WMI bez instalacji Agentów, to trzeba będzie dodatkowo otworzyć porty 135, 139, 445 i 593.
Moduły: to co potrzebne
Obecnie, w wersji 9.1 Axence nVision oferuje pięć modułów, które właściwie wyczerpują funkcjonalnie zakres typowych zadań firmowego administratora. Pierwszy z nich, Network, dostępny jest za darmo bez względu na liczbę końcówek w firmowej sieci. Pozostałe dostępne są za darmo w sieciach, w których działa do 10 agentów monitorujących. Większe firmy, aby skorzystać z ich możliwości, muszą zakupić licencję.
Network
Network odpowiada za monitorowanie i wizualizację sieci. Zetkniemy się z nim już w trakcie instalacji, podczas pierwszego skanowania sieci. Powinien on wykryć wszystkie aktywne urządzenia, tworząc mapę sieci z uwzględnieniem jej logicznej struktury. Mapę taką możemy później sobie edytować z użyciem prostych narzędzi graficznych, przydzielać urządzenia do poszczególnych oddziałów, kategoryzować je według typu czy funkcji.
Ciekawą funkcją jest tworzenie inteligentnych map, tj. takich, które będą dynamicznie zmieniać zawartość według zadanych warunków i zdarzeń – np. dostępności online, aktywności agenta czy przypisania do oddziału. Warto podkreślić, że skaner tego modułu powinien także poradzić sobie z wykryciem sąsiednich sieci za routerami, o ile możliwe jest skorzystanie z protokołu SNMP.
Za pomocą tego modułu zapoznamy się też z dostępnością usług TCP/IP – można uruchomić ich monitorowanie, zarówno korzystając z predefiniowanej listy, jak i definiując własne usługi. Monitorowanie nie ogranicza się do pingów – moduł Network zbiera odpowiedzi na wysłane do usługi żądania. Dostajemy również liczniki wydajności, pozwalające na ocenę metryk różnych usług (np. czas ładowania strony czy czas wysłania e-maila) i możliwość reagowania na zaburzenia w ich działaniu, np. zrestartowanie usługi, która uległa awarii. Usługi windowsowe możemy monitorować w jeszcze szerszym zakresie, sprawdzając ich dziennik zdarzeń – do tego trzeba jednak uwierzytelnić się na końcówce poprzez Windows Management Instrumentation.
Zdarzenia zachodzące w tym module można powiązać z powiadomieniami, zarówno na desktopie, jak i przez e-maila lub SMS-a, co powinno zadowolić praktycznie każdego admina.
Inventory
Im większa firma, tym większy potencjał bałaganu w IT. Moduł Inventory ma temu zapobiec. Tu właśnie główną rolę odgrywają agenty zainstalowane na końcówkach, które gromadzą dane o konfiguracji sprzętowej i zainstalowanych w systemie aplikacjach. Rozwiązanie to można potraktować zarówno jako korzyść administracyjną, jak i zabezpieczenie przed odpowiedzialnością karną i cywilną – chodzi oczywiście o nadzorowanie legalności zainstalowanego oprogramowania.
Możemy więc sprawdzić zainstalowane na komputerach aplikacje i przechowywane na nich pliki, a moduł zadba o ich automatyczną identyfikację, wykorzystując swoją bazę wzorców i ustalając typ licencjonowania. Do tego moduł oferuje narzędzie do audytu inwentaryzacji, czyli prostej funkcjonalności typu SAM: porównujemy liczbę zainstalowanych kopii oprogramowania z liczbą dostępnych licencji, można tu też obserwować historię zmian w zainstalowanym oprogramowaniu.
Tak samo działa to w odniesieniu do sprzętu – pod ręką są informacje o sprzęcie i jego zmianach konfiguracji w czasie. Razem te informacje wykorzystywane są do tworzenia listy środków trwałych, którą wypełnić można danymi księgowymi (np. dołączając faktury), i przeglądać w kontekście historii zmian.
Users
Agenty zbierają nie tylko informacje o sprzęcie i zainstalowanym oprogramowaniu, ale także o aktywności użytkowników. W ramach tej analizy gromadzone są też dane o czasie pracy i wykorzystania poszczególnych programów, w tym aktywność pracowników w Internecie (odwiedzane przez nich strony WWW, czy nagłówki ich korespondencji mailowej wraz z informacjami o załącznikach (nazwami i rozmiarami).
Administrator może też podejrzeć wykorzystanie łącza sieciowego, wykorzystanie drukarek (z podliczeniem kosztów wydruku), a jak zechce, to i zdalnie zrobić zrzut ekranu czy uruchomić cykliczne zapisywanie zrzutów – by udokumentować obijanie się pracownika.
Oprócz tego agenty pozwalają ustawić blokowanie określonych aplikacji na urządzeniu, zablokować dostęp do określonych stron WWW, portów sieciowych (by np. poskromić ruch torrentowy) czy typów plików pobieranych z Internetu i uzyskać informacje o aktualnym obciążeniu systemu.
Tym wszystkim można dość precyzyjnie zarządzać poprzez profil agenta – tu określimy m.in., czy ikonka agenta będzie widoczna w zasobniku systemowym, czy będą wyświetlane komunikaty o monitorowaniu aktywności użytkownika, i w których godzinach monitoring będzie aktywny.
Z tych wszystkich zebranych danych można generować przeróżne raporty, zarówno dla pojedynczych końcówek, określonych użytkowników jak i grup urządzeń – kierownicy będą zachwyceni, dowiadując się, ile czasu ich pracownicy spędzają na Facebooku lub YouTube.
DataGuard
Pracownicy nie mają tajemnic przed adminem, ale firma ma tajemnice, które admin musi chronić. Do tego służy moduł DataGuard, którego głównym zadaniem jest ochrona przed wyciekiem informacji. Odbywa się to poprzez kontrolę dostępu do zewnętrznych nośników danych i połączeń sieciowych.
Administrator może więc zablokować tak odczyt jak i zapis na pamięci USB, ale też np. tylko selektywnie zabronić uruchamiania programów z takich nośników, mogących przenosić przecież złośliwe oprogramowanie. Uprawnienia mogą być przyznawane (i odbierane) określonym użytkownikom i grupom użytkowników. Ich transgresje mogą być raportowane administratorowi – o ile ustawi sobie odpowiednie alarmy dla takich zakazanych czynności.
DataGuard zawiera też mechanizm audytu bezpieczeństwa plików. Tu sprawdzimy listę zapisanych na zewnętrznych nośnikach plików, wraz z datą i loginem użytkownika, który tego dokonał.
HelpDesk
Jak sama nazwa wskazuje, tym razem mamy do czynienia z czymś, co będzie bardziej podobało się użytkownikom, a mniej administratorowi. HelpDesk to przepisany ostatnio na nowo moduł Axence nVision, który pozwala na poinformowanie pomocy technicznej, że coś działa nie tak. Pracownicy korzystający z komputerów, na którym działają agenty Axence nVision mogą wysłać zgłoszenie-ticket z opisem napotkanego problemu.
Administrator (lub administratorzy) będą mogli zobaczyć taki ticket na liście zgłoszeń, wraz z informacją o zgłaszającym. Tam przypisać też można zgłoszeniu kategorię i ustawić priorytet. W razie potrzeby mogą też porozmawiać ze zgłaszającym przez wbudowany komunikator, mogą też bezpośrednio z poziomu modułu HelpDesku uruchomić sesję zdalnego dostępu i nie ruszając się od swojego biurka rozwiązać zgłoszony problem.
Jako że zwykle tickety zgłaszane przez pracowników dotyczą powtarzających się kwestii, pomocną częścią modułu HelpDesk jest baza wiedzy. Za jej pomocą stworzyć można firmowy FAQ, do którego można później odesłać pracowników.
O poziomie dopracowania tego modułu, szczególnie pod kątem potrzeb większych firm świadczyć może funkcja kalendarza, w której zaznaczyć można okresy nieobecności pracowników technicznych, elastyczny system raportowania, oraz kreator automatyzacji, za pomocą którego zautomatyzować można najczęściej powtarzane przy przetwarzaniu zgłoszeń czynności.
Licencjonowanie: można i za darmo, a jeśli nie, to całkiem tanio
Od wersji 9 Axence nVision znacząco uatrakcyjniono licencjonowanie tego zestawu narzędzi. Wcześniej mogliśmy skorzystać z ograniczonej w możliwościach edycji Free oraz pełnowartościowej Pro, dostępnej też jako 30-dniowa wersja próbna.
Teraz w sieciach zawierających do 10 stacji roboczych można z pełnej wersji Axence nVision korzystać za darmo.
W większych sieciach za darmo można korzystać z modułu Network. Jeśli chcemy w nich skorzystać z tych dodatkowych modułów (Inventory, Users, DataGuard i HelpDesk), należy skontaktować się z producentem – przygotuje dla nas indywidualną wycenę.
W ramach licencji otrzymujemy też 12 miesięcy darmowej pomocy technicznej z prawem do aktualizacji oprogramowania. Koszt przedłużenia umowy serwisowej,o kolejne 12 miesięcy to jedynie 20% ceny bazowej pakietu. Trzeba jednak podkreślić, że same licencje są bezterminowe, nie wygasają po tych 12 miesiącach.
Dodatkowo producent oferuje licencję edukacyjną, w ramach której szkoły mogą pozyskać oprogramowanie Axence nVision nieodpłatnie, na dowolnych rozmiarów sieci.
Duże plusy i drobne minusy
Za pomocą Axence nVision nawet osoby, które nie posiadają głębokiej wiedzy na temat zarządzania infrastrukturą firmową mogą lepiej kontrolować firmową sieć i zachowania użytkowników, ograniczając wszystko to, co mogłoby zaszkodzić produktywności i bezpieczeństwu.
Grupowe zablokowanie wszystkim Facebooka w określonych godzinach to raptem kilka kliknięć – i za to należy się twórcom tego rozwiązania bardzo duży plus. Mniejszych firm często nie stać przecież na zatrudnienie chodzących w szelkach administratorów, którzy myślą komendami PowerShella.
Nawet jednak w większych firmach, które takich guru Windows Servera zatrudniają, Axence nVision może znaleźć swoje zastosowanie. Jest po prostu wygodny. Trudno znaleźć w nim poważne niedostatki, a zakres oferowanych funkcji odzwierciedla realne problemy administratorów i pracowników helpdesków w takich organizacjach.
Pochwalić należy szczególnie moduł do audytów licencji, oferujący wszystkie podstawowe funkcje SAM. Tu nie chodzi tylko o minimalizację ryzyka prawnego dla firmy, związanego z piractwem, ale też o potencjalne oszczędności. Wiele firm kupuje bowiem więcej licencji niż potrzebuje – dzięki dynamicznej inwentaryzacji możemy szybko odkryć, że wcale ich nie potrzebujemy.
Dużym atutem nVision jest jego skromny apetyt na zasoby sprzętowe – to ważne szczególnie tam, gdzie budżet nie pozwala wymienić kilkuset komputerów ze starymi procesorami i małą ilością pamięci na nowe maszyny. Agenty zajmują naprawdę mało zasobów – w czasie testu taki agent pracował bez problemów w maszynie wirtualnej z Windowsem XP, jednym rdzeniem CPU i 256 MB RAM, w niczym jej nie ograniczając.
By nie było jednak tak idealnie, trzeba wspomnieć o minusach programu. Graficzny interfejs użytkownika trąci myszką, równie dobrze mógłby pochodzić z początku stulecia. Nie jest też specjalnie intuicyjny, warto przed rozpoczęciem pracy z programem zapoznać się z udostępnionymi na YouTube filmami instruktażowymi poszczególnych modułów, które przygotował producent. Na pewno też narzędzie dla administratorów powinno mieć jakiś normalny interfejs konsolowy – wiele rzeczy można zrobić szybciej z poziomu linii komend, niż przeklikując się przez GUI.
Dzisiejsze sieci firmowe nie są też już tak homogeniczne, jak kiedyś, gdy wszyscy i wszystko działało pod kontrolą systemów Microsoftu. Trend BYOD (Bring Your Own Device) sprawił, że nierzadko w firmach spotkamy komputery z macOS-em, zdarzają się linuksowe stacje robocze, a iPhone w rękach prezesa to częsty widok.
Można więc powiedzieć, że dobrze, że agenty na macOS-a i Linuksa są, ale źle, że są tak ograniczone w możliwościach względem agentów na Windowsa. Brakuje też agenta na iOS-a, a ten androidowy jest wciąż we wczesnej fazie rozwoju, by z niego skorzystać, należy zainstalować samodzielnie pakiet .apk, co może być problemem w wielu organizacjach, zakazujących takich praktyk ze względów bezpieczeństwa. Z tymi właśnie niedociągnięciami Axence będzie musiało zmierzyć się w następnych wersjach swojego pożytecznego narzędzia.
Axence nVision znajdziecie w naszej bazie oprogramowania na Windowsa.