MYCSS

2016-01-26

Визначення серійного номера HDD з консолі для ESET Endpoint Security

Адмініструючи локальну мережу де розвернута система з корпоративним антивірусом "ESET Endpoint Security" стало завдання на визначення серійних номерів накопичувачів HDD.
Навіщо ?
Тому що вбудована система захисту  "КОНТРОЛЬ ПРИСТРОЇВ" має невелику ваду, у деяких випадках вона не може відрізнити змінний накопичувач що підключено через порт USB, від накопичувача що підключено через SATA.
У такому випадку якщо я створюю правило що забороняє усі змінні накопичувачі, то у таке правил потрапляють і локальні диски котрі підключені через порт SATA.
Підтримка антивірусу, теж протестувала таку ситуацію і порекомендувала зробити виключення для локальних дисків усіх комп'ютерів локальної мережі за серійним номером.
У програмі є інструмент що дозволяє заповнити це з локального комп'ютера.
Заповнити з локального комп'ютера інформацію про пористої.
Але це корпоративний продукт,  що адміністратор повинен бігати на усіх комп'ютерах організації ?
Тому я і почав шукати рішення, тому що підтримка не дала відповіді як це зробити засобами "корпоративного" продукту.  Для цього потрібно отримати список усіх серійних номерів накопичувачів комп'ютерів за допомогою запуску команди на комп'ютерах:
wmic  DISKDRIVE get Model, SerialNumber, MediaType, SystemName | find "Fixed hard disk media"
Отримання серійних номерів накопичувачів
Надалі за допомогою "ESET Remote Administrator", створюємо завдання для централізованого збору усіх номерів, наприклад до одного спільного файлу, або на електрону пошту.
Отриманий файл, обробляємо і додаю серійні номери до групи пристроїв.
Додавання серійних номерів до групи пристроїв
А за групою створюємо правило що дозволяє працювати офісним накопичувачам:
Правило для дозволу офісних накопичувачів.


Але як додавати увесь список пристроїв до групи ?
У локальній програмі "ESET Endpoint Security" є така можливість:
Import серійних номерів
А ось як це зробити у "ESET Remote Administrator"? Допомогу отримав від служби підтримки:
"Централізованого збору контролю пристроїв в ERA 6 немає. ERA 6 працює з клiєнтами через агента, а також використовуючи політику. Якщо у Вас уже е ПК з налаштованими правилами, можливо зробити наступним чином. Починаючи з версiї ERA 6.2 розробники додали можливість перетворювати файл конфігурації на політику. Можна запросити файл конфігурації з клієнта i натиснути кнопку "Перетворити в політику". Після чого політику можна буде відредагувати, додати інші записи (якщо потрібно)."

Тому отримаю файл зі список номерів для прикладу з одного комп'ютера.
wmic DISKDRIVE get  SerialNumber |find /V "SerialNumber" |find /V "Volume" > snlist.txt
У файлі потрібно прибрати пусті рядки. Імпортую цей фал до групи пристроїв на локальному комп'ютері з встановленим "ESET Endpoint Security".
Імпорт файлу з серійним номерами
Результат імпорту серійних номерів до групи пристроїв
Надалі у "ESET Remote Administrator" робимо запит конфігурації з того комп'ютера де ми імпортували файл з серійними номерами.
Запит конфігурації комп'ютера у ERA
 Після запиту зачищаємо отриману конфігурацію, від не потрібних налаштувань, і залишаємо тільки те що пов'язано з контролем пристроїв.

Отриману конфігурацію перетворюємо до поліції
Даний метод, не ідеальний так як не має ні коментарів що за пристрої мають цей серійний номер, а ні з якого вони комп'ютера.  Але вважаю скоро цей функціонал може з'явитися у самій програмі  "ESET Remote Administrator" у наступних версіях.
Ця публікація основана на версіях продуктів:
  • ESET Endpoint Security - 6.2.2033.1
  • ESET Remote Administrator Server - 6.2.171.0

Немає коментарів:

Коли забув ти рідну мову, біднієш духом ти щодня...
When you forgot your native language you would become a poor at spirit every day ...

Д.Білоус / D.Bilous
Рабів до раю не пускають. Будь вільним!

ipv6 ready