КиберосноваSGRC

Инвентаризация компьютеров в сети: пошаговое руководство

Инвентаризация компьютеров в локальной сети: ручной vs автоматический способ, какие данные собирать и какие программы использовать.

ИТ-отдел заводит таблицу в Excel — удобно и быстро. Через три месяца в ней 200 строк, пять вкладок и три версии файла у разных сотрудников. Новые машины появляются в сети, но в реестре их нет. Диски заменили — в Excel всё по-прежнему. ОС обновили — никто не записал. Через квартал данные соответствуют реальности примерно на 65%.

Именно так выглядит ручная инвентаризация компьютеров в сети в большинстве организаций. При этом за каждой строкой с устаревшими данными стоит реальный риск: неизвестная машина без антивируса в сети, уязвимое ПО на рабочей станции ключевого сотрудника, отсутствующий в реестре ноутбук при проверке ФСТЭК.

Статья объясняет, какие данные нужно собирать при инвентаризации компьютеров, почему ручной подход не масштабируется, как выбрать метод автоматического сбора и пройти все шаги — от первого агента до отчёта для регулятора.

Что включает инвентаризация компьютеров

Инвентаризация — не просто список IP-адресов. Полноценный учёт компьютеров в сети охватывает три уровня данных: аппаратные характеристики, установленное программное обеспечение и параметры информационной безопасности.

Аппаратные данные

Железо — основа реестра. Без точных данных об оборудовании невозможно планировать замены, управлять гарантийными обязательствами и правильно распределять нагрузку.

Что собирать по каждому компьютеру:

  • Процессор — модель, количество ядер, базовая частота. Важно для оценки производительности и обеспечения совместимости с ПО.
  • Оперативная память — суммарный объём, количество занятых слотов, тип DDR. Без этих данных нельзя планировать апгрейд.
  • Дисковые накопители — тип (HDD/SSD/NVMe), объём, состояние S.M.A.R.T. S.M.A.R.T. позволяет заранее выявить диски с признаками деградации и заменить до отказа.
  • Сетевые карты — MAC-адреса всех интерфейсов (Ethernet, Wi-Fi), IP-адрес, имя в DNS. MAC является уникальным идентификатором устройства — он не меняется при переустановке ОС.
  • Серийный номер и модель — для гарантийного учёта и контракта с поставщиком.

Программное обеспечение

Список ПО — вторая обязательная часть реестра. Здесь важны не только названия программ, но и версии: именно они определяют наличие уязвимостей.

  • Список установленных приложений с версиями и датой установки
  • Операционная система — версия, разрядность, билд, дата установки
  • Установленные обновления (патчи) — какие KB/пакеты установлены, какие пропущены
  • Лицензионный статус — тип лицензии, срок действия, количество активаций

Эти данные закрывают сразу два вопроса: соответствие лицензионным требованиям и наличие уязвимого ПО в инфраструктуре.

ИБ-данные

Стандартные ITAM-системы останавливаются на ПО и железе. Для задач информационной безопасности нужен третий уровень:

  • Состояние СЗИ — установлен ли антивирус, включён ли он, актуальны ли базы, работает ли межсетевой экран, есть ли DLP-агент
  • Уязвимости — сверка установленного ПО с базой данных угроз ФСТЭК: какие версии программ содержат известные уязвимости, на каких машинах они установлены
  • Соответствие политикам ИБ — пароль не истёк, шифрование диска включено, нет запрещённого ПО

Итоговый набор данных для учёта компьютеров:

КатегорияДанныеЗачем
ЖелезоCPU, RAM, HDD/SSD, S.M.A.R.T, S/NУчёт ресурсов, гарантийный учёт
СетьIP, MAC, hostname, VLANСетевая карта активов
ПОПриложения, версии, дата установкиЛицензии, поиск уязвимостей
ОСВерсия, патчи, типCompliance, уязвимости
СЗИАнтивирус, МЭ, DLP, версии базТребования ФСТЭК №17/21/239

Ручная инвентаризация — почему не работает

Аргументы в пользу Excel понятны: не нужно ничего разворачивать, все умеют работать с таблицами, данные под рукой. Но у ручного учёта компьютеров есть три фундаментальных проблемы.

Проблема 1: актуальность. Данные устаревают быстрее, чем успевают обновляться. Рассмотрим реальный пример: администратор собрал данные о 200 компьютерах в январе. За три месяца произошло следующее:

  • 12 машин получили новые диски (замена по гарантии или апгрейд)
  • 8 новых компьютеров добавили в сеть
  • На 30 машинах обновилась ОС — версии в реестре неверны
  • На 15 машинах сотрудники установили новое ПО

К апрелю реестр соответствует реальности примерно на 65%. Это значит, что каждая третья строка содержит ошибку или пропуск.

Проблема 2: масштаб. WMI-запросы вручную требуют административных прав на каждую машину и не масштабируются. Физический обход 200 компьютеров при 15 минутах на машину — это 50 часов, более полутора рабочих недель одного сотрудника. И это только для первоначального снимка, без учёта регулярного обновления.

Проблема 3: связи между данными. Excel не связывает компьютер с установленным на нём антивирусом, лицензией на ПО и ответственным сотрудником. Ответ на вопрос «на каких машинах из ИСПДн "Кадры" антивирус не обновлялся больше недели» требует ручной работы на несколько часов — если данные вообще есть в таблице.

Ручная инвентаризация компьютеров работает до отметки в 50–70 машин. При большем парке она перестаёт решать задачи и начинает создавать иллюзию контроля — что хуже, чем полное отсутствие учёта.

Методы автоматической инвентаризации компьютеров в сети

Автоматический учёт компьютеров реализуется двумя принципиально разными методами: агентным и безагентным. У каждого — своя область применения.

Агентный метод

На каждую рабочую станцию и сервер устанавливается небольшая программа-агент. Агент работает в фоне, собирает данные по расписанию и при изменениях конфигурации, отправляет их на центральный сервер.

Что собирает агент:

  • Полную конфигурацию железа — CPU, RAM, диски, периферия, серийные номера
  • Список всего установленного ПО с версиями
  • Состояние сервисов и процессов
  • Текущего пользователя и его права
  • Сетевые настройки, MAC-адреса
  • Состояние СЗИ — включён ли антивирус, обновлены ли базы

Плюсы агентного метода:

  • Полнота данных — агент видит всё, что видит сама ОС
  • Работает в изолированных сетях и за NAT — агент сам выходит на сервер
  • Мониторинг изменений в реальном времени — событие фиксируется сразу
  • Поддержка Linux, Astra Linux, РЕД ОС — там нет WMI, только агент

Минусы:

  • Нужно развернуть агент на каждую машину — через GPO, Ansible или вручную
  • Небольшое потребление ресурсов — обычно 30–50 МБ RAM, меньше 1% CPU

Когда выбирать: задачи ИБ (контроль СЗИ, сверка с БДУ ФСТЭК), смешанные парки Windows + Linux, изолированные сети, удалённые офисы без VPN-доступа к корпоративной сети.

Безагентный метод (agentless)

Сервер инвентаризации сам опрашивает машины по сетевым протоколам — WMI для Windows, SSH для Linux, SNMP для сетевого оборудования.

Что собирает безагентное сканирование:

ПротоколЧто сканируетДля каких устройств
WMIОС, ПО, оборудование, пользователиWindows-станции
SSHКонфигурация, ПО, процессыLinux-серверы
SNMPСетевые интерфейсы, firmwareКоммутаторы, принтеры
ICMPДоступностьВсе устройства с IP

Плюсы:

  • Быстрый старт — не нужно устанавливать ПО на каждую машину
  • Подходит для сетевого оборудования и принтеров, куда агент не поставить

Минусы:

  • Ограниченные данные — меньше деталей, чем у агента
  • Нужны административные права и прямой сетевой доступ к каждой машине
  • Не работает за NAT и в изолированных сетях
  • Российские ОС (Astra Linux, РЕД ОС) — WMI нет, SSH ограничен правами

Когда выбирать: первичное обнаружение устройств в сети (Discovery), сетевое оборудование, принтеры, МФУ.

Комбинированный подход

Оптимальная стратегия для большинства организаций — агент на рабочих станциях и серверах плюс безагентное сканирование для сетевого оборудования. Такой подход даёт полные данные по ПК при одновременном обнаружении всех устройств в сети.

МетодДанныеИзол. сетьРоссийские ОСКогда
АгентПолныеДаДаПК и серверы
AgentlessБазовыеНетОграниченноСетевое оборудование
КомбоПолныеДаДаБольшие парки

Модуль инвентаризации КиберОснова поддерживает все три подхода в единой консоли.

Пошаговая инструкция: как провести инвентаризацию компьютеров

Шаг 1: Определить периметр

До развёртывания любого инструмента ответьте на вопрос: «Что должно оказаться в реестре активов к концу недели?»

  • Какие подсети включить в сканирование (корпоративная ЛВС, DMZ, Wi-Fi-сегмент, удалённые офисы)
  • Что входит, что нет: принтеры и МФУ — отдельный учёт или в общий реестр?
  • Ответственные за сегменты — кто подтверждает данные по каждому офису

Периметр на бумаге — обязательный шаг. Без него система будет обнаруживать устройства, о которых никто не знает, и пропускать те, о которых все забыли.

Шаг 2: Развернуть агент

Windows — через Active Directory GPO:

  • Создать GPO в Group Policy Management Console
  • Добавить MSI-пакет агента в раздел Computer Configuration → Software Installation
  • Применить GPO к нужным OU
  • Агент установится при следующем входе в домен или принудительной синхронизации GPO

Windows — без AD (через SCCM или скрипт):

  • Использовать SCCM/Configuration Manager для массового деплоя
  • Или запустить PowerShell-скрипт через PsExec по списку хостов

Linux/Astra Linux — через Ansible:

- name: Установить агент инвентаризации
  apt:
    deb: /tmp/kiberosnova-agent.deb
    state: present
  • Playbook запускается один раз для всех Linux-хостов
  • Для первых 5–10 машин допустима ручная установка через dpkg -i agent.deb

Проверка: после установки агент должен появиться в консоли со статусом «онлайн» и прислать первые данные.

Шаг 3: Дать системе собрать первичные данные

Первый полный снимок занимает 24–48 часов — агент обходит все установленные компоненты и отправляет данные на сервер. В этот период не нужно ничего настраивать дополнительно.

Когда данные поступили, сравните количество машин в консоли с известным списком из Active Directory. Расхождение в 5–10% — норма (выключенные машины, устройства без агента). Расхождение более 20% — сигнал проверить GPO или скрипт установки.

Шаг 4: Верифицировать данные

Выберите 5–10 компьютеров наугад из разных подразделений. Физически или по удалённому доступу сверьте данные в консоли с реальностью:

  • CPU и RAM — совпадает ли с тем, что видит диспетчер задач?
  • Список ПО — есть ли программы, которые установлены, но не отображаются?
  • IP-адрес — актуален ли (DHCP мог выдать другой)?

Типичные расхождения: IP-адреса при DHCP без резервирования, пользователи на машинах с общими учётными записями. Оба случая решаются настройкой в системе, а не являются ошибкой агента.

Шаг 5: Настроить расписание и оповещения

Настройте автоматический сбор данных:

  • Периодичность: ежедневный полный снимок + реакция на событие (смена пользователя, установка ПО, изменение IP)
  • Оповещения:
    • Новый компьютер появился в сети — уведомление администратору
    • Изменилась конфигурация компьютера (новый диск, изменился объём RAM)
    • Антивирус выключен или базы не обновлялись более 3 дней
    • Компьютер не выходил на сервер более 48 часов

Оповещения — это переход от пассивного учёта к активному контролю.

Шаг 6: Подключить ИБ-процессы

После того как реестр стабилизировался и данные актуальны, подключите ИБ-контекст:

  • Сверка с БДУ ФСТЭКавтоматическая проверка уязвимостей по установленному ПО. Система покажет, на каких машинах есть ПО с известными уязвимостями из базы ФСТЭК.
  • Реестр СЗИ — на каких машинах какие средства защиты установлены, статус сертификатов ФСТЭК.
  • Отчёт для проверки — экспорт актуального реестра компьютеров с данными по ПО и СЗИ в PDF или Excel за один клик.

Требования ФСТЭК к инвентаризации компьютеров

Инвентаризация компьютеров — не только ИТ-задача, но и требование регуляторов. Три основных приказа ФСТЭК прямо предписывают контроль состава технических средств и ПО.

Приказ ФСТЭК №17 (ГИС) — мера АУД.2 «Анализ конфигурации информационной системы» является обязательной для всех классов защищённости (1К, 2К, 3К). Требование: регулярный контроль состава технических средств, ПО и конфигурации, выявление несанкционированных изменений.

Приказ ФСТЭК №21 (ИСПДн) — мера АНЗ.4 «Контроль состава технических средств, программного обеспечения и средств защиты информации». Требование: ведение актуального реестра технических средств с фиксацией изменений.

Приказ ФСТЭК №239 (КИИ) — мера АНЗ.4 аналогична: регулярный контроль состава ПО и технических средств объектов критической информационной инфраструктуры.

Что происходит без автоматизации: при проверке инспектор ФСТЭК запрашивает актуальный реестр активов. Реестр в Excel трёхмесячной давности — это нарушение требования регулярного контроля. Показать изменения конфигурации за последний месяц по конкретному компьютеру невозможно без системы с историей изменений.

Типичные вопросы инспектора, на которые без автоматизации нет ответа:

  • На каких рабочих станциях, входящих в ИСПДн «Кадры», установлено ПО без лицензии?
  • Когда последний раз обновлялись антивирусные базы на конкретной группе компьютеров?
  • Какие устройства появились в сети за последний квартал и были ли они добавлены в реестр?
  • Есть ли в инфраструктуре компьютеры без установленных обязательных СЗИ?

С автоматизированной инвентаризацией ответ на любой из этих вопросов занимает минуты: фильтр в консоли, выгрузка в PDF.

Готовы выстроить учёт компьютеров, который закроет требования ФСТЭК? Посмотрите, как работает КиберОснова — покажем на ваших данных.

Инвентаризация компьютеров на российских ОС

Переход на отечественные операционные системы создаёт дополнительную сложность для инвентаризации: стандартные WMI-инструменты там не работают. Рассмотрим поддерживаемые платформы.

Astra Linux 1.7.4 и выше — наиболее распространённая российская ОС в защищённых контурах. Агент распространяется в виде .deb-пакета. Поддерживает особенности платформы: SELinux/AstraLinux SE-модули, мандатный контроль доступа. Безагентный метод через WMI недоступен — только агент или SSH с соответствующими правами.

ALT СП 10.2 и выше, ALT Сервер 10.4 и выше — агент поставляется как .rpm-пакет или .deb в зависимости от сборки. Массовая установка — через Ansible или штатный пакетный менеджер с централизованным репозиторием.

РЕД ОС 7.3 — полная поддержка. Агент устанавливается как системный сервис, автозапуск через systemd.

Централизованная установка без Group Policy. На российских ОС нет аналога Windows Group Policy для деплоя ПО. Стандартное решение — Ansible playbook, который устанавливает агент на все Linux-хосты из инвентаря. Первоначальная настройка playbook занимает 1–2 часа, после чего деплой на любое количество машин — одна команда.

Агент КиберОснова поддерживает Windows (Server 2012 R2+, 10/11), Astra Linux, ALT и РЕД ОС. Все данные поступают в единую консоль — смешанный парк Windows + Linux отображается в одном реестре без разделения.

Это закрывает типичную проблему организаций в переходный период: часть компьютеров работает под Windows, часть переведена на Astra. Раньше это были два разных реестра и два инструмента. С единым учётом компьютеров в сети — один реестр, одна консоль, единые отчёты.

Заключение

Ручная инвентаризация компьютеров жизнеспособна до 50 машин. При большем парке она создаёт иллюзию контроля при реальной погрешности 30–40% и не позволяет закрыть требования регуляторов.

Автоматизация решает три ключевые задачи: актуальность данных (реестр обновляется ежедневно), масштаб (200 машин или 2000 — разница только во времени первичного развёртывания) и ИБ-контекст (связь компьютера с установленными СЗИ, уязвимостями и требованиями ФСТЭК).

КиберОснова поддерживает агентный сбор для Windows и российских ОС (Astra Linux, ALT, РЕД ОС), безагентное сканирование сетевого оборудования и единую консоль для смешанных парков. Реестр компьютеров становится актуальным в течение 24–48 часов после развёртывания агентов.

Запросите демо — проведём инвентаризацию вашей сети прямо на встрече и покажем данные по вашим компьютерам в реальном времени.

Часто задаваемые вопросы

Можно ли провести инвентаризацию компьютеров без установки агента?

Да, безагентный метод работает через WMI (Windows Management Instrumentation) и SSH (Linux). Сервер инвентаризации сам опрашивает машины по сети — нужны только права администратора и прямой сетевой доступ. Но у этого подхода есть ограничения: за NAT и в изолированных сетях он не работает, данные менее полные, чем у агента, и невозможен мониторинг в реальном времени. Для задач ИБ — контроль состояния антивируса, сверка с БДУ ФСТЭК — безагентного метода недостаточно. Оптимальный подход: агент на рабочих станциях и серверах, безагентное сканирование — для принтеров и сетевого оборудования.

Как часто нужно обновлять данные при инвентаризации?

Зависит от задачи. Для учёта ИТ-активов достаточно ежедневного снимка — агент собирает данные раз в сутки и фиксирует изменения. Для задач ИБ нужен режим реального времени или близкий к нему: система должна замечать, что антивирус выключен или на машину установили новую программу, в течение часа-двух. Требования ФСТЭК к КИИ (мера АНЗ.4) предполагают регулярный контроль состава ПО и технических средств — это толкует в пользу автоматического ежедневного сбора с немедленными уведомлениями об изменениях конфигурации.

Что делать, если компьютер в сети не отвечает на опросы?

Первый шаг — понять причину. Чаще всего это: машина выключена или ушла в спящий режим; брандмауэр Windows блокирует WMI-запросы; недостаточно прав у сервисной учётной записи; машина в другой VLAN без маршрутизации до сервера инвентаризации. При агентном подходе отсутствие ответа видно сразу — агент не выходил на сервер более N часов. Такие машины выводятся в отдельный список «нет данных». Для хронически недоступных машин используйте ручной ввод данных или временное подключение по VPN. В изолированных сетях без прямого доступа агентный метод — единственное решение.

Как организовать инвентаризацию в сети с несколькими VLAN?

Для безагентного сканирования нужен маршрутизируемый доступ сервера инвентаризации ко всем VLAN — на межсетевом экране открываются порты WMI (135, 445) или SNMP (161). Это требует согласования с сетевыми администраторами и может быть нежелательно с точки зрения ИБ. Агентный подход проще: агент устанавливается на машину в любом VLAN и сам выходит на сервер по одному порту (например, HTTPS 443). Никаких дополнительных правил в файерволе для каждого VLAN не требуется. Именно поэтому для сетей с разграниченными сегментами агентный метод предпочтительнее.

Нужна ли инвентаризация компьютеров для прохождения проверки ФСТЭК?

Да, и это одно из базовых требований. Приказ ФСТЭК №17 (ГИС) требует выполнения меры АУД.2 — анализ конфигурации информационной системы — для всех классов защищённости. Приказы №21 (ИСПДн) и №239 (КИИ) содержат меру АНЗ.4 — регулярный контроль состава технических средств и ПО. При проверке инспектор вправе запросить актуальный реестр активов, сведения об установленных СЗИ и их сертификатах ФСТЭК. Если реестр ведётся в Excel и данные месячной давности — это нарушение. Автоматизированная инвентаризация с ежедневным обновлением закрывает это требование и позволяет сформировать отчёт на любую дату за несколько минут.

Чем инвентаризация компьютеров отличается от сетевого сканирования?

Сетевое сканирование — это разовая операция: утилита (nmap, Advanced IP Scanner) проходит по диапазону IP-адресов и возвращает список живых хостов с открытыми портами. Результат — срез на момент сканирования. Инвентаризация компьютеров — это непрерывный процесс: система регулярно собирает данные о каждой машине, фиксирует изменения, хранит историю и связывает аппаратные данные с ПО, пользователями и ИБ-контекстом. Сканирование — инструмент обнаружения, инвентаризация — система учёта. Сканирование может быть первым шагом для построения первоначального реестра, но не заменяет постоянного учёта ПО и активов в целом.

Василий Сеничев
Василий Сеничев

Основатель и CEO КиберОснова

Основатель платформы КиберОснова SGRC. Более 12 лет в информационной безопасности: от технического эксперта до продуктового руководителя. Строил процессы ИБ в крупных государственных и коммерческих организациях до основания КиберОснова.

SGRCавтоматизация ИБуправление ИБКИИпродуктовое управление
Все статьи автора →
FAQ

Часто задаваемые вопросы

Не нашли ответ? Напишите нам

Связанные материалы

Автоматизируйте ИБ с КиберОснова

Запросите демо-доступ — покажем, как платформа решает ваши задачи.