ИТ-отдел заводит таблицу в Excel — удобно и быстро. Через три месяца в ней 200 строк, пять вкладок и три версии файла у разных сотрудников. Новые машины появляются в сети, но в реестре их нет. Диски заменили — в Excel всё по-прежнему. ОС обновили — никто не записал. Через квартал данные соответствуют реальности примерно на 65%.
Именно так выглядит ручная инвентаризация компьютеров в сети в большинстве организаций. При этом за каждой строкой с устаревшими данными стоит реальный риск: неизвестная машина без антивируса в сети, уязвимое ПО на рабочей станции ключевого сотрудника, отсутствующий в реестре ноутбук при проверке ФСТЭК.
Статья объясняет, какие данные нужно собирать при инвентаризации компьютеров, почему ручной подход не масштабируется, как выбрать метод автоматического сбора и пройти все шаги — от первого агента до отчёта для регулятора.
Что включает инвентаризация компьютеров
Инвентаризация — не просто список IP-адресов. Полноценный учёт компьютеров в сети охватывает три уровня данных: аппаратные характеристики, установленное программное обеспечение и параметры информационной безопасности.
Аппаратные данные
Железо — основа реестра. Без точных данных об оборудовании невозможно планировать замены, управлять гарантийными обязательствами и правильно распределять нагрузку.
Что собирать по каждому компьютеру:
- Процессор — модель, количество ядер, базовая частота. Важно для оценки производительности и обеспечения совместимости с ПО.
- Оперативная память — суммарный объём, количество занятых слотов, тип DDR. Без этих данных нельзя планировать апгрейд.
- Дисковые накопители — тип (HDD/SSD/NVMe), объём, состояние S.M.A.R.T. S.M.A.R.T. позволяет заранее выявить диски с признаками деградации и заменить до отказа.
- Сетевые карты — MAC-адреса всех интерфейсов (Ethernet, Wi-Fi), IP-адрес, имя в DNS. MAC является уникальным идентификатором устройства — он не меняется при переустановке ОС.
- Серийный номер и модель — для гарантийного учёта и контракта с поставщиком.
Программное обеспечение
Список ПО — вторая обязательная часть реестра. Здесь важны не только названия программ, но и версии: именно они определяют наличие уязвимостей.
- Список установленных приложений с версиями и датой установки
- Операционная система — версия, разрядность, билд, дата установки
- Установленные обновления (патчи) — какие KB/пакеты установлены, какие пропущены
- Лицензионный статус — тип лицензии, срок действия, количество активаций
Эти данные закрывают сразу два вопроса: соответствие лицензионным требованиям и наличие уязвимого ПО в инфраструктуре.
ИБ-данные
Стандартные ITAM-системы останавливаются на ПО и железе. Для задач информационной безопасности нужен третий уровень:
- Состояние СЗИ — установлен ли антивирус, включён ли он, актуальны ли базы, работает ли межсетевой экран, есть ли DLP-агент
- Уязвимости — сверка установленного ПО с базой данных угроз ФСТЭК: какие версии программ содержат известные уязвимости, на каких машинах они установлены
- Соответствие политикам ИБ — пароль не истёк, шифрование диска включено, нет запрещённого ПО
Итоговый набор данных для учёта компьютеров:
| Категория | Данные | Зачем |
|---|---|---|
| Железо | CPU, RAM, HDD/SSD, S.M.A.R.T, S/N | Учёт ресурсов, гарантийный учёт |
| Сеть | IP, MAC, hostname, VLAN | Сетевая карта активов |
| ПО | Приложения, версии, дата установки | Лицензии, поиск уязвимостей |
| ОС | Версия, патчи, тип | Compliance, уязвимости |
| СЗИ | Антивирус, МЭ, DLP, версии баз | Требования ФСТЭК №17/21/239 |
Ручная инвентаризация — почему не работает
Аргументы в пользу Excel понятны: не нужно ничего разворачивать, все умеют работать с таблицами, данные под рукой. Но у ручного учёта компьютеров есть три фундаментальных проблемы.
Проблема 1: актуальность. Данные устаревают быстрее, чем успевают обновляться. Рассмотрим реальный пример: администратор собрал данные о 200 компьютерах в январе. За три месяца произошло следующее:
- 12 машин получили новые диски (замена по гарантии или апгрейд)
- 8 новых компьютеров добавили в сеть
- На 30 машинах обновилась ОС — версии в реестре неверны
- На 15 машинах сотрудники установили новое ПО
К апрелю реестр соответствует реальности примерно на 65%. Это значит, что каждая третья строка содержит ошибку или пропуск.
Проблема 2: масштаб. WMI-запросы вручную требуют административных прав на каждую машину и не масштабируются. Физический обход 200 компьютеров при 15 минутах на машину — это 50 часов, более полутора рабочих недель одного сотрудника. И это только для первоначального снимка, без учёта регулярного обновления.
Проблема 3: связи между данными. Excel не связывает компьютер с установленным на нём антивирусом, лицензией на ПО и ответственным сотрудником. Ответ на вопрос «на каких машинах из ИСПДн "Кадры" антивирус не обновлялся больше недели» требует ручной работы на несколько часов — если данные вообще есть в таблице.
Ручная инвентаризация компьютеров работает до отметки в 50–70 машин. При большем парке она перестаёт решать задачи и начинает создавать иллюзию контроля — что хуже, чем полное отсутствие учёта.
Методы автоматической инвентаризации компьютеров в сети
Автоматический учёт компьютеров реализуется двумя принципиально разными методами: агентным и безагентным. У каждого — своя область применения.
Агентный метод
На каждую рабочую станцию и сервер устанавливается небольшая программа-агент. Агент работает в фоне, собирает данные по расписанию и при изменениях конфигурации, отправляет их на центральный сервер.
Что собирает агент:
- Полную конфигурацию железа — CPU, RAM, диски, периферия, серийные номера
- Список всего установленного ПО с версиями
- Состояние сервисов и процессов
- Текущего пользователя и его права
- Сетевые настройки, MAC-адреса
- Состояние СЗИ — включён ли антивирус, обновлены ли базы
Плюсы агентного метода:
- Полнота данных — агент видит всё, что видит сама ОС
- Работает в изолированных сетях и за NAT — агент сам выходит на сервер
- Мониторинг изменений в реальном времени — событие фиксируется сразу
- Поддержка Linux, Astra Linux, РЕД ОС — там нет WMI, только агент
Минусы:
- Нужно развернуть агент на каждую машину — через GPO, Ansible или вручную
- Небольшое потребление ресурсов — обычно 30–50 МБ RAM, меньше 1% CPU
Когда выбирать: задачи ИБ (контроль СЗИ, сверка с БДУ ФСТЭК), смешанные парки Windows + Linux, изолированные сети, удалённые офисы без VPN-доступа к корпоративной сети.
Безагентный метод (agentless)
Сервер инвентаризации сам опрашивает машины по сетевым протоколам — WMI для Windows, SSH для Linux, SNMP для сетевого оборудования.
Что собирает безагентное сканирование:
| Протокол | Что сканирует | Для каких устройств |
|---|---|---|
| WMI | ОС, ПО, оборудование, пользователи | Windows-станции |
| SSH | Конфигурация, ПО, процессы | Linux-серверы |
| SNMP | Сетевые интерфейсы, firmware | Коммутаторы, принтеры |
| ICMP | Доступность | Все устройства с IP |
Плюсы:
- Быстрый старт — не нужно устанавливать ПО на каждую машину
- Подходит для сетевого оборудования и принтеров, куда агент не поставить
Минусы:
- Ограниченные данные — меньше деталей, чем у агента
- Нужны административные права и прямой сетевой доступ к каждой машине
- Не работает за NAT и в изолированных сетях
- Российские ОС (Astra Linux, РЕД ОС) — WMI нет, SSH ограничен правами
Когда выбирать: первичное обнаружение устройств в сети (Discovery), сетевое оборудование, принтеры, МФУ.
Комбинированный подход
Оптимальная стратегия для большинства организаций — агент на рабочих станциях и серверах плюс безагентное сканирование для сетевого оборудования. Такой подход даёт полные данные по ПК при одновременном обнаружении всех устройств в сети.
| Метод | Данные | Изол. сеть | Российские ОС | Когда |
|---|---|---|---|---|
| Агент | Полные | Да | Да | ПК и серверы |
| Agentless | Базовые | Нет | Ограниченно | Сетевое оборудование |
| Комбо | Полные | Да | Да | Большие парки |
Модуль инвентаризации КиберОснова поддерживает все три подхода в единой консоли.
Пошаговая инструкция: как провести инвентаризацию компьютеров
Шаг 1: Определить периметр
До развёртывания любого инструмента ответьте на вопрос: «Что должно оказаться в реестре активов к концу недели?»
- Какие подсети включить в сканирование (корпоративная ЛВС, DMZ, Wi-Fi-сегмент, удалённые офисы)
- Что входит, что нет: принтеры и МФУ — отдельный учёт или в общий реестр?
- Ответственные за сегменты — кто подтверждает данные по каждому офису
Периметр на бумаге — обязательный шаг. Без него система будет обнаруживать устройства, о которых никто не знает, и пропускать те, о которых все забыли.
Шаг 2: Развернуть агент
Windows — через Active Directory GPO:
- Создать GPO в Group Policy Management Console
- Добавить MSI-пакет агента в раздел Computer Configuration → Software Installation
- Применить GPO к нужным OU
- Агент установится при следующем входе в домен или принудительной синхронизации GPO
Windows — без AD (через SCCM или скрипт):
- Использовать SCCM/Configuration Manager для массового деплоя
- Или запустить PowerShell-скрипт через PsExec по списку хостов
Linux/Astra Linux — через Ansible:
- name: Установить агент инвентаризации
apt:
deb: /tmp/kiberosnova-agent.deb
state: present
- Playbook запускается один раз для всех Linux-хостов
- Для первых 5–10 машин допустима ручная установка через
dpkg -i agent.deb
Проверка: после установки агент должен появиться в консоли со статусом «онлайн» и прислать первые данные.
Шаг 3: Дать системе собрать первичные данные
Первый полный снимок занимает 24–48 часов — агент обходит все установленные компоненты и отправляет данные на сервер. В этот период не нужно ничего настраивать дополнительно.
Когда данные поступили, сравните количество машин в консоли с известным списком из Active Directory. Расхождение в 5–10% — норма (выключенные машины, устройства без агента). Расхождение более 20% — сигнал проверить GPO или скрипт установки.
Шаг 4: Верифицировать данные
Выберите 5–10 компьютеров наугад из разных подразделений. Физически или по удалённому доступу сверьте данные в консоли с реальностью:
- CPU и RAM — совпадает ли с тем, что видит диспетчер задач?
- Список ПО — есть ли программы, которые установлены, но не отображаются?
- IP-адрес — актуален ли (DHCP мог выдать другой)?
Типичные расхождения: IP-адреса при DHCP без резервирования, пользователи на машинах с общими учётными записями. Оба случая решаются настройкой в системе, а не являются ошибкой агента.
Шаг 5: Настроить расписание и оповещения
Настройте автоматический сбор данных:
- Периодичность: ежедневный полный снимок + реакция на событие (смена пользователя, установка ПО, изменение IP)
- Оповещения:
- Новый компьютер появился в сети — уведомление администратору
- Изменилась конфигурация компьютера (новый диск, изменился объём RAM)
- Антивирус выключен или базы не обновлялись более 3 дней
- Компьютер не выходил на сервер более 48 часов
Оповещения — это переход от пассивного учёта к активному контролю.
Шаг 6: Подключить ИБ-процессы
После того как реестр стабилизировался и данные актуальны, подключите ИБ-контекст:
- Сверка с БДУ ФСТЭК — автоматическая проверка уязвимостей по установленному ПО. Система покажет, на каких машинах есть ПО с известными уязвимостями из базы ФСТЭК.
- Реестр СЗИ — на каких машинах какие средства защиты установлены, статус сертификатов ФСТЭК.
- Отчёт для проверки — экспорт актуального реестра компьютеров с данными по ПО и СЗИ в PDF или Excel за один клик.
Требования ФСТЭК к инвентаризации компьютеров
Инвентаризация компьютеров — не только ИТ-задача, но и требование регуляторов. Три основных приказа ФСТЭК прямо предписывают контроль состава технических средств и ПО.
Приказ ФСТЭК №17 (ГИС) — мера АУД.2 «Анализ конфигурации информационной системы» является обязательной для всех классов защищённости (1К, 2К, 3К). Требование: регулярный контроль состава технических средств, ПО и конфигурации, выявление несанкционированных изменений.
Приказ ФСТЭК №21 (ИСПДн) — мера АНЗ.4 «Контроль состава технических средств, программного обеспечения и средств защиты информации». Требование: ведение актуального реестра технических средств с фиксацией изменений.
Приказ ФСТЭК №239 (КИИ) — мера АНЗ.4 аналогична: регулярный контроль состава ПО и технических средств объектов критической информационной инфраструктуры.
Что происходит без автоматизации: при проверке инспектор ФСТЭК запрашивает актуальный реестр активов. Реестр в Excel трёхмесячной давности — это нарушение требования регулярного контроля. Показать изменения конфигурации за последний месяц по конкретному компьютеру невозможно без системы с историей изменений.
Типичные вопросы инспектора, на которые без автоматизации нет ответа:
- На каких рабочих станциях, входящих в ИСПДн «Кадры», установлено ПО без лицензии?
- Когда последний раз обновлялись антивирусные базы на конкретной группе компьютеров?
- Какие устройства появились в сети за последний квартал и были ли они добавлены в реестр?
- Есть ли в инфраструктуре компьютеры без установленных обязательных СЗИ?
С автоматизированной инвентаризацией ответ на любой из этих вопросов занимает минуты: фильтр в консоли, выгрузка в PDF.
Готовы выстроить учёт компьютеров, который закроет требования ФСТЭК? Посмотрите, как работает КиберОснова — покажем на ваших данных.
Инвентаризация компьютеров на российских ОС
Переход на отечественные операционные системы создаёт дополнительную сложность для инвентаризации: стандартные WMI-инструменты там не работают. Рассмотрим поддерживаемые платформы.
Astra Linux 1.7.4 и выше — наиболее распространённая российская ОС в защищённых контурах. Агент распространяется в виде .deb-пакета. Поддерживает особенности платформы: SELinux/AstraLinux SE-модули, мандатный контроль доступа. Безагентный метод через WMI недоступен — только агент или SSH с соответствующими правами.
ALT СП 10.2 и выше, ALT Сервер 10.4 и выше — агент поставляется как .rpm-пакет или .deb в зависимости от сборки. Массовая установка — через Ansible или штатный пакетный менеджер с централизованным репозиторием.
РЕД ОС 7.3 — полная поддержка. Агент устанавливается как системный сервис, автозапуск через systemd.
Централизованная установка без Group Policy. На российских ОС нет аналога Windows Group Policy для деплоя ПО. Стандартное решение — Ansible playbook, который устанавливает агент на все Linux-хосты из инвентаря. Первоначальная настройка playbook занимает 1–2 часа, после чего деплой на любое количество машин — одна команда.
Агент КиберОснова поддерживает Windows (Server 2012 R2+, 10/11), Astra Linux, ALT и РЕД ОС. Все данные поступают в единую консоль — смешанный парк Windows + Linux отображается в одном реестре без разделения.
Это закрывает типичную проблему организаций в переходный период: часть компьютеров работает под Windows, часть переведена на Astra. Раньше это были два разных реестра и два инструмента. С единым учётом компьютеров в сети — один реестр, одна консоль, единые отчёты.
Заключение
Ручная инвентаризация компьютеров жизнеспособна до 50 машин. При большем парке она создаёт иллюзию контроля при реальной погрешности 30–40% и не позволяет закрыть требования регуляторов.
Автоматизация решает три ключевые задачи: актуальность данных (реестр обновляется ежедневно), масштаб (200 машин или 2000 — разница только во времени первичного развёртывания) и ИБ-контекст (связь компьютера с установленными СЗИ, уязвимостями и требованиями ФСТЭК).
КиберОснова поддерживает агентный сбор для Windows и российских ОС (Astra Linux, ALT, РЕД ОС), безагентное сканирование сетевого оборудования и единую консоль для смешанных парков. Реестр компьютеров становится актуальным в течение 24–48 часов после развёртывания агентов.
Запросите демо — проведём инвентаризацию вашей сети прямо на встрече и покажем данные по вашим компьютерам в реальном времени.
Часто задаваемые вопросы
Можно ли провести инвентаризацию компьютеров без установки агента?
Да, безагентный метод работает через WMI (Windows Management Instrumentation) и SSH (Linux). Сервер инвентаризации сам опрашивает машины по сети — нужны только права администратора и прямой сетевой доступ. Но у этого подхода есть ограничения: за NAT и в изолированных сетях он не работает, данные менее полные, чем у агента, и невозможен мониторинг в реальном времени. Для задач ИБ — контроль состояния антивируса, сверка с БДУ ФСТЭК — безагентного метода недостаточно. Оптимальный подход: агент на рабочих станциях и серверах, безагентное сканирование — для принтеров и сетевого оборудования.
Как часто нужно обновлять данные при инвентаризации?
Зависит от задачи. Для учёта ИТ-активов достаточно ежедневного снимка — агент собирает данные раз в сутки и фиксирует изменения. Для задач ИБ нужен режим реального времени или близкий к нему: система должна замечать, что антивирус выключен или на машину установили новую программу, в течение часа-двух. Требования ФСТЭК к КИИ (мера АНЗ.4) предполагают регулярный контроль состава ПО и технических средств — это толкует в пользу автоматического ежедневного сбора с немедленными уведомлениями об изменениях конфигурации.
Что делать, если компьютер в сети не отвечает на опросы?
Первый шаг — понять причину. Чаще всего это: машина выключена или ушла в спящий режим; брандмауэр Windows блокирует WMI-запросы; недостаточно прав у сервисной учётной записи; машина в другой VLAN без маршрутизации до сервера инвентаризации. При агентном подходе отсутствие ответа видно сразу — агент не выходил на сервер более N часов. Такие машины выводятся в отдельный список «нет данных». Для хронически недоступных машин используйте ручной ввод данных или временное подключение по VPN. В изолированных сетях без прямого доступа агентный метод — единственное решение.
Как организовать инвентаризацию в сети с несколькими VLAN?
Для безагентного сканирования нужен маршрутизируемый доступ сервера инвентаризации ко всем VLAN — на межсетевом экране открываются порты WMI (135, 445) или SNMP (161). Это требует согласования с сетевыми администраторами и может быть нежелательно с точки зрения ИБ. Агентный подход проще: агент устанавливается на машину в любом VLAN и сам выходит на сервер по одному порту (например, HTTPS 443). Никаких дополнительных правил в файерволе для каждого VLAN не требуется. Именно поэтому для сетей с разграниченными сегментами агентный метод предпочтительнее.
Нужна ли инвентаризация компьютеров для прохождения проверки ФСТЭК?
Да, и это одно из базовых требований. Приказ ФСТЭК №17 (ГИС) требует выполнения меры АУД.2 — анализ конфигурации информационной системы — для всех классов защищённости. Приказы №21 (ИСПДн) и №239 (КИИ) содержат меру АНЗ.4 — регулярный контроль состава технических средств и ПО. При проверке инспектор вправе запросить актуальный реестр активов, сведения об установленных СЗИ и их сертификатах ФСТЭК. Если реестр ведётся в Excel и данные месячной давности — это нарушение. Автоматизированная инвентаризация с ежедневным обновлением закрывает это требование и позволяет сформировать отчёт на любую дату за несколько минут.
Чем инвентаризация компьютеров отличается от сетевого сканирования?
Сетевое сканирование — это разовая операция: утилита (nmap, Advanced IP Scanner) проходит по диапазону IP-адресов и возвращает список живых хостов с открытыми портами. Результат — срез на момент сканирования. Инвентаризация компьютеров — это непрерывный процесс: система регулярно собирает данные о каждой машине, фиксирует изменения, хранит историю и связывает аппаратные данные с ПО, пользователями и ИБ-контекстом. Сканирование — инструмент обнаружения, инвентаризация — система учёта. Сканирование может быть первым шагом для построения первоначального реестра, но не заменяет постоянного учёта ПО и активов в целом.