Сбор информации о компьютерах в сети — отправная точка для управления ИТ-инфраструктурой и обеспечения информационной безопасности. Без актуальных данных о составе парка невозможно планировать закупки, контролировать лицензии, выявлять уязвимости и выполнять требования ФСТЭК. В этой статье — подробный разбор методов сбора данных, протоколов, инструментов и типичных ошибок. Если вы только начинаете выстраивать процесс — рекомендуем сначала прочитать руководство по инвентаризации ИТ-активов.
Зачем собирать данные о компьютерах в сети
Организация с парком в 200–500 рабочих станций неизбежно сталкивается с вопросами: сколько компьютеров реально работает, какое ПО на них установлено, есть ли устаревшие системы. Ручной обход и заполнение таблиц — путь, который не масштабируется и устаревает в момент завершения.
Автоматический сбор информации о компьютерах решает задачи двух направлений.
Задачи ИТ-управления
- Состав парка — точное количество рабочих станций, серверов, ноутбуков с моделями и конфигурациями. Без этих данных ИТ-директор принимает решения вслепую
- Планирование закупок — какие компьютеры требуют замены (возраст, производительность, истечение гарантии). Данные о загрузке CPU и свободном месте на дисках позволяют обосновать бюджет на модернизацию
- Контроль лицензий — сколько экземпляров ПО фактически установлено vs сколько лицензий приобретено. Перерасход лицензий — юридический риск; недоиспользование — финансовые потери
- Стандартизация — выявление нетиповых конфигураций и несанкционированного ПО. Например, обнаружение 12 разных версий офисного пакета вместо утверждённой корпоративной
- Helpdesk — быстрый доступ к конфигурации компьютера при обращении пользователя. Администратор видит ОС, RAM, установленное ПО до подключения к рабочему столу
Задачи информационной безопасности
- Управление уязвимостями — сверка версий ПО с БДУ ФСТЭК для выявления уязвимых систем
- Контроль СЗИ — проверка наличия и актуальности антивируса, DLP-агента, средств шифрования
- Выполнение мер ФСТЭК — приказы №117, №21 и №239 требуют инвентаризации ИС и контроля состава ПО (меры АНЗ.1, АНЗ.2)
- Обнаружение теневого ИТ — несанкционированные устройства и ПО в контуре ИСПДн или КИИ
- Реагирование на инциденты — при компрометации важно мгновенно определить конфигурацию затронутого компьютера
Какие данные собирать
Набор параметров зависит от цели. Ниже — систематизированный перечень для ИТ и ИБ.
Данные для ИТ-управления
| Категория | Параметры |
|---|---|
| Идентификация | Hostname, домен, серийный номер, инвентарный номер |
| Операционная система | Название, версия, билд, дата установки, язык |
| Процессор | Модель, количество ядер, тактовая частота |
| Оперативная память | Объём, тип (DDR4/DDR5), количество слотов |
| Накопители | Тип (SSD/HDD), объём, свободное место, S.M.A.R.T.-статус |
| Сетевые адаптеры | MAC-адрес, IP-адрес, скорость подключения, VLAN |
| Установленное ПО | Название, версия, дата установки, издатель |
| Периферия | Принтеры, мониторы (модель, серийный номер) |
| Пользователь | Текущий пользователь, время последнего входа |
Данные для информационной безопасности
| Категория | Параметры |
|---|---|
| Антивирус | Название, версия, дата обновления баз, статус защиты в реальном времени |
| Средства защиты | DLP-агент, SIEM-агент, СЗИ от НСД (Dallas Lock, Secret Net) |
| СКЗИ | КриптоПро CSP, VipNet — версия, лицензия, срок сертификата |
| Парольная политика | Минимальная длина, срок действия, сложность — соответствие политике ИБ |
| Шифрование дисков | BitLocker/LUKS — статус, метод защиты ключа |
| Обновления безопасности | Последние установленные KB/patch, дата последнего обновления |
| USB-устройства | История подключений, текущие подключённые устройства |
| Открытые порты | Список слушающих TCP/UDP-портов и связанных процессов |
| Автозагрузка | Программы в автозапуске — индикатор вредоносного ПО |
Методы сбора данных: протоколы и подходы
WMI / WinRM (Windows)
WMI (Windows Management Instrumentation) — штатный механизм удалённого управления Windows. Позволяет получить практически любые данные об ОС, оборудовании и ПО через стандартизированные классы.
Пример — сбор конфигурации через PowerShell:
# Информация о системе
Get-CimInstance Win32_ComputerSystem -ComputerName SRV01 |
Select-Object Name, Model, Manufacturer, TotalPhysicalMemory
# Установленное ПО
Get-CimInstance Win32_Product -ComputerName SRV01 |
Select-Object Name, Version, Vendor, InstallDate
# Диски и свободное место
Get-CimInstance Win32_LogicalDisk -ComputerName SRV01 -Filter "DriveType=3" |
Select-Object DeviceID, Size, FreeSpace
# Обновления безопасности
Get-HotFix -ComputerName SRV01 | Sort-Object InstalledOn -Descending | Select-Object -First 10
Массовый сбор с нескольких компьютеров:
$computers = Get-Content C:\scripts\computers.txt
$results = foreach ($pc in $computers) {
try {
$os = Get-CimInstance Win32_OperatingSystem -ComputerName $pc -ErrorAction Stop
$cpu = Get-CimInstance Win32_Processor -ComputerName $pc
$disk = Get-CimInstance Win32_LogicalDisk -ComputerName $pc -Filter "DriveType=3"
[PSCustomObject]@{
Computer = $pc
OS = $os.Caption
OSVersion = $os.Version
CPU = $cpu.Name
RAM_GB = [math]::Round($os.TotalVisibleMemorySize / 1MB, 1)
Disk_Free = [math]::Round(($disk | Measure-Object FreeSpace -Sum).Sum / 1GB, 1)
}
} catch {
[PSCustomObject]@{ Computer = $pc; OS = "НЕДОСТУПЕН"; OSVersion = $_.Exception.Message }
}
}
$results | Export-Csv -Path C:\reports\inventory.csv -Encoding UTF8 -NoTypeInformation
Ограничения WMI/WinRM:
- Работает только с Windows
- Требует прав локального администратора на удалённом компьютере
- Порты TCP 135 и 5985/5986 должны быть открыты на файрволе
- Win32_Product при каждом вызове пересчитывает MSI-кэш — медленно на большом парке
- Не работает за NAT без дополнительной настройки
SSH (Linux / macOS)
Для сбора данных с Linux-серверов и рабочих станций используется SSH-подключение с выполнением системных команд.
Пример — сбор конфигурации через bash:
#!/bin/bash
# Hostname и ОС
hostname
cat /etc/os-release | grep -E "^(NAME|VERSION)="
# CPU
lscpu | grep "Model name"
# RAM
free -h | grep Mem
# Диски
df -h --type=ext4 --type=xfs --type=btrfs
# Серийный номер (требует sudo)
sudo dmidecode -s system-serial-number
# Установленные пакеты (Debian/Ubuntu)
dpkg --list | wc -l
dpkg --list | awk '/^ii/ {print $2, $3}'
# Установленные пакеты (RHEL/CentOS)
rpm -qa --queryformat '%{NAME} %{VERSION}-%{RELEASE}\n'
# Открытые порты
ss -tlnp
Ограничения SSH:
- Требует учётной записи с sudo для полного сбора (dmidecode, lshw)
- Результаты нужно парсить — вывод команд не структурирован
- Каждый дистрибутив имеет свои особенности (dpkg vs rpm, systemd vs init)
- Массовый сбор требует управления SSH-ключами
SNMP (сетевое оборудование)
SNMP (Simple Network Management Protocol) — основной протокол для сбора данных с коммутаторов, маршрутизаторов, точек доступа Wi-Fi и другого сетевого оборудования.
SNMPv2c vs SNMPv3:
| Параметр | SNMPv2c | SNMPv3 |
|---|---|---|
| Аутентификация | Community string (открытый текст) | Логин + пароль (MD5/SHA) |
| Шифрование | Нет | AES/DES |
| Сложность настройки | Минимальная | Умеренная |
| Безопасность | Низкая | Высокая |
| Рекомендация | Только изолированная сеть управления | Продуктивные сети |
Ключевые OID для инвентаризации:
1.3.6.1.2.1.1.1.0(sysDescr) — описание устройства, модель, версия прошивки1.3.6.1.2.1.1.5.0(sysName) — hostname1.3.6.1.2.1.1.3.0(sysUpTime) — время работы с последней перезагрузки1.3.6.1.2.1.2.2.1(ifTable) — таблица сетевых интерфейсов1.3.6.1.2.1.17.7.1.2(dot1qTpFdbTable) — таблица MAC-адресов
Пример — опрос коммутатора:
# Описание устройства
snmpget -v2c -c public 192.168.1.1 1.3.6.1.2.1.1.1.0
# Таблица MAC-адресов
snmpwalk -v2c -c public 192.168.1.1 1.3.6.1.2.1.17.7.1.2
# SNMPv3 с аутентификацией и шифрованием
snmpget -v3 -u monitor -l authPriv -a SHA -A "AuthPass123" -x AES -X "PrivPass456" \
192.168.1.1 1.3.6.1.2.1.1.1.0
Ограничения SNMP:
- Ограниченный набор данных по сравнению с WMI/SSH
- Не все вендоры реализуют полный набор MIB
- Версия 2c передаёт community string открытым текстом — риск перехвата
- Для Windows-компьютеров SNMP даёт минимум информации
Агентный подход
Программный агент — небольшая служба, устанавливаемая на каждый компьютер. Агент собирает данные локально с максимальной полнотой и передаёт результат на центральный сервер.
Как работает агент:
- Устанавливается как служба Windows (NT Service) или демон Linux (systemd unit)
- При запуске выполняет полный сбор конфигурации
- Далее работает по расписанию (каждые 4–24 часа) или по событию (изменение конфигурации)
- Передаёт данные на сервер по HTTPS (443 порт) — исходящее соединение
- Сервер агрегирует данные в единую CMDB
Преимущества агентного подхода:
- Полнота данных — агент имеет локальный доступ ко всем параметрам ОС, включая историю USB-подключений, реестр Windows, журналы событий
- Работа за NAT — агент инициирует исходящее соединение; не нужен входящий доступ к компьютеру
- Удалённые офисы и VPN — данные собираются даже при нестабильном канале
- Офлайн-сбор — агент накапливает данные локально и отправляет при восстановлении связи
- Минимальная нагрузка на сеть — передаются только изменения (дельта)
Подробнее об агентном подходе — на странице агента инвентаризации.
Сравнительная таблица методов сбора
| Критерий | WMI/WinRM | SSH | SNMP | Агент |
|---|---|---|---|---|
| ОС | Windows | Linux, macOS | Любая (сетевое оборудование) | Windows, Linux, macOS |
| Полнота данных | Высокая | Высокая | Ограниченная | Максимальная |
| Установка на ПК | Не требуется | Не требуется | Не требуется | Требуется |
| Работа за NAT | Нет | Нет | Нет | Да |
| Права | Локальный админ | sudo | Community / USM | SYSTEM / root |
| Сетевые порты | 135, 5985 (входящие) | 22 (входящий) | 161 (входящий) | 443 (исходящий) |
| Масштабирование | Среднее (сетевая нагрузка) | Среднее | Хорошее | Отличное |
| Офлайн-сбор | Нет | Нет | Нет | Да |
На практике оптимален комбинированный подход: агенты на рабочих станциях, WMI/SSH для серверов, SNMP для сетевого оборудования.
Обзор инструментов для сбора данных
PowerShell-скрипты (бесплатно)
Самый простой вариант для небольших сетей (до 50 ПК). Примеры скриптов приведены выше. Подход требует квалификации администратора, ручного запуска и самостоятельной обработки результатов. Данные сохраняются в CSV — нет истории изменений, нет веб-интерфейса, нет оповещений.
Подходит: для разовой инвентаризации или стартового аудита. При масштабировании от скриптов переходят к специализированным системам, так как поддержка самописных решений требует постоянных трудозатрат.
GLPI + FusionInventory (open source)
Бесплатная связка для ИТ-инвентаризации. FusionInventory — агент, собирающий данные. GLPI — веб-платформа с CMDB, helpdesk и управлением лицензиями. Поддерживает Windows, Linux, macOS, сетевое оборудование (SNMP).
Плюсы: бесплатно, широкое сообщество, ITAM-функциональность. Минусы: нет в реестре российского ПО, нет учёта СЗИ/СКЗИ, нет связи с БДУ ФСТЭК, интерфейс требует доработки.
Подробный обзор GLPI и других программ — в статье программы для инвентаризации компьютеров.
10-Strike: Инвентаризация компьютеров (российский)
Программа для сбора информации о компьютерах в локальной сети. Безагентный сбор через WMI, наглядные отчёты, экспорт в Excel. Лицензия — разовая покупка, стоимость зависит от числа ПК.
Плюсы: простой интерфейс, низкая стоимость, российский разработчик. Минусы: только Windows, нет агента, нет ИБ-функций, нет API для интеграции.
Lansweeper (корпоративный)
Мощная платформа для инвентаризации ИТ-активов. Безагентное и агентное сканирование, CMDB, дашборды, интеграция с ServiceNow и Jira.
Плюсы: масштабируемость, визуализация, интеграции. Минусы: зарубежный вендор, стоимость от $2/актив/месяц, нет поддержки российских НПА.
SGRC КиберОснова (ИБ-фокус)
Платформа, созданная для задач информационной безопасности. В отличие от ИТ-инструментов, КиберОснова не просто собирает данные — она связывает их с рисками, уязвимостями и требованиями регуляторов.
Что отличает от ИТ-инструментов:
- Собранное ПО автоматически сверяется с БДУ ФСТЭК — уязвимости выявляются без ручного анализа
- Учёт СЗИ с реквизитами сертификатов ФСТЭК и сроками действия
- Учёт СКЗИ по требованиям ФСБ (Приказ ФАПСИ №152)
- Привязка активов к объектам КИИ, ИСПДн, мерам защиты
- Формирование отчётов для проверок ФСТЭК и аудитов ИБ
Подробнее о возможностях — на странице обнаружение компьютеров в сети.
Сбор данных для ИБ: сверка с БДУ ФСТЭК
Одна из ключевых задач сбора информации о компьютерах — управление уязвимостями. Процесс состоит из нескольких этапов.
Этап 1. Сбор данных об установленном ПО
Агент или безагентный сканер собирает полный список ПО с каждого компьютера: название, версию, издателя, дату установки. На парке в 300 рабочих станций это может быть 15 000–30 000 записей.
Этап 2. Нормализация названий
Одно и то же ПО может быть записано по-разному:
- «Microsoft Office Professional Plus 2021» vs «Microsoft 365 Apps for Enterprise» vs «Office 16.0»
- «Google Chrome» vs «Google Chrome for Business» vs «Chromium»
- «КриптоПро CSP 5.0.12000» vs «CryptoPro CSP 5.0 R2»
Без нормализации автоматическая сверка невозможна. Системы инвентаризации корпоративного уровня используют справочники CPE (Common Platform Enumeration) для приведения названий к единому формату.
Этап 3. Сверка с БДУ ФСТЭК
Нормализованные данные о ПО сверяются с банком данных угроз и уязвимостей ФСТЭК (bdu.fstec.ru). Результат — список уязвимостей с привязкой к конкретным компьютерам.
Пример результата сверки для организации с 300 ПК:
| Показатель | Значение |
|---|---|
| Всего уникальных версий ПО | 847 |
| Версий с известными уязвимостями | 47 |
| Уязвимостей с CVSS >= 9.0 (критические) | 12 |
| Уязвимостей с CVSS 7.0–8.9 (высокие) | 89 |
| Компьютеров с хотя бы 1 критической уязвимостью | 156 (52%) |
Без автоматизированного сбора данных и сверки с БДУ этот анализ занял бы недели ручной работы. Подробнее о процессе — на странице проверка БДУ ФСТЭК.
Типичные проблемы при сборе данных
Неполный охват
Компьютеры за NAT, в удалённых офисах, подключённые через VPN — не видны при безагентном сканировании. Результат: «слепые зоны», в которых могут находиться уязвимые или скомпрометированные системы. По статистике, при безагентном сканировании корпоративной сети покрытие составляет 70–85% — остальные устройства остаются невидимыми. Решение — агентный подход или комбинированная схема с несколькими методами обнаружения.
Устаревшие данные
Разовая инвентаризация устаревает через неделю: новые компьютеры, обновления ПО, переезды пользователей, подключение USB-устройств. Данные должны обновляться автоматически и регулярно — минимум раз в сутки для ПО и обновлений безопасности. Инвентаризация, проведённая квартал назад, для целей управления уязвимостями практически бесполезна — за три месяца публикуются сотни новых записей в БДУ ФСТЭК.
Автоматизируйте сбор данных и сверку с БДУ ФСТЭК. Запросите демо КиберОснова — покажем, как агент обнаруживает уязвимые версии ПО на ваших рабочих станциях за часы вместо дней.
Нормализация названий ПО
Главная техническая сложность. Один и тот же продукт может иметь десятки вариантов названия в зависимости от версии, языка, способа установки. Без нормализации:
- Отчёты содержат дубликаты
- Сверка с БДУ пропускает уязвимости
- Подсчёт лицензий неточен
Решение — использование CPE-справочника (Common Platform Enumeration) или встроенного нормализатора в SGRC-системе. CPE присваивает каждому продукту уникальный идентификатор вида cpe:2.3:a:microsoft:office:2021:*:*:*:*:*:*:*, что позволяет однозначно сопоставлять установленное ПО с записями в базах уязвимостей.
Управление учётными записями
Для безагентного сбора нужны административные учётные записи на каждом компьютере. При смене паролей или политик доступа сканирование ломается. Агентный подход снимает эту проблему — агент работает с локальными правами.
Ложное чувство полноты
Организация сканирует 90% компьютеров и считает, что картина полная. Но оставшиеся 10% могут включать критичные системы: ноутбуки руководства, тестовые серверы разработчиков, промышленные контроллеры. Мониторинг рабочих станций в непрерывном режиме помогает обнаруживать пропущенные устройства.
Заключение: пошаговый план внедрения
Внедрение автоматического сбора информации о компьютерах можно провести за 5 шагов.
Шаг 1. Определите цели и периметр
Зафиксируйте, зачем собираете данные: ИТ-инвентаризация, контроль лицензий, управление уязвимостями, подготовка к проверке ФСТЭК. От цели зависит набор параметров и выбор инструмента. Определите сетевые сегменты, филиалы, количество устройств и типы ОС в инфраструктуре. Составьте перечень IP-подсетей, которые нужно охватить.
Шаг 2. Выберите метод сбора
Для Windows-сети до 100 ПК в одном сегменте достаточно WMI + PowerShell-скрипты. Для гетерогенной среды с удалёнными офисами — агентный подход. Для сетевого оборудования — SNMP. Оптимально — комбинация методов.
Шаг 3. Проведите пилотный сбор
Запустите сбор на 10–20 компьютерах. Проверьте полноту данных, скорость, нагрузку на сеть. Исправьте проблемы с файрволами, правами доступа, недоступными подсетями.
Шаг 4. Масштабируйте и автоматизируйте
Разверните сбор на весь парк. Настройте расписание: ежедневный сбор ПО и обновлений, еженедельный — полной конфигурации. Подключите оповещения: появление нового устройства в сети, обнаружение критической уязвимости, истечение лицензии или сертификата ФСТЭК на СЗИ. Задокументируйте процедуру подключения новых сегментов сети — это упростит масштабирование при открытии филиалов.
Шаг 5. Свяжите с ИБ-процессами
Интегрируйте собранные данные с управлением уязвимостями, учётом компьютеров в организации и отчётностью для регуляторов. На этом этапе разница между ИТ-инструментом и SGRC-платформой становится критичной: ИТ-система покажет список ПО, а SGRC — список уязвимостей с привязкой к компьютерам, мерам защиты и требованиям приказов ФСТЭК №117, №21 и №239. Данные из инвентаризации становятся основой для выполнения мер АНЗ.1 (выявление уязвимостей), АНЗ.2 (контроль установки обновлений) и ОПС.1 (контроль запуска программного обеспечения) согласно 187-ФЗ и подзаконным актам.
Хотите увидеть, как автоматический сбор данных работает на практике? Запросите демо КиберОснова — покажем агент, безагентное сканирование и сверку с БДУ ФСТЭК на реальной инфраструктуре.
