Konfigurowanie izolowanych Serwerów administracyjnych w celu usunięcia luk w odizolowanej sieci

Po zakończeniu konfigurowania serwera administracyjnego z dostępem do internetu, przygotuj każdy odizolowany serwer administracyjny w Twojej sieci, abyś mógł: wyeliminować luki i zainstalować aktualizacje na zarządzanych urządzeniach podłączonych do izolowanych serwerów administracyjnych.

Aby skonfigurować izolowane serwery administracyjne, wykonaj następujące czynności na każdym serwerze administracyjnym:

  1. Aktywuj klucz licencyjny dla funkcji Zarządzanie lukami i poprawkami (VAPM).
  2. Utwórz dwa foldery na dysku, na którym zainstalowany jest serwer administracyjny:
    • Folder, w którym pojawi się lista wymaganych aktualizacji
    • Folder na poprawki

    Możesz nazwać te foldery tak, jak chcesz.

  3. Przyznaj uprawnienia do modyfikacji do grupy KLAdmins w utworzonych folderach, korzystając ze standardowych narzędzi administracyjnych systemu operacyjnego.
  4. Użyj narzędzia klscflag, aby zapisać ścieżki do folderów we właściwościach Serwera administracyjnego.

    Uruchom wiersz poleceń systemu Windows, korzystając z uprawnień administratora, a następnie zmień bieżący katalog na inny za pomocą narzędzia klscflag. Narzędzie klscflag znajduje się w folderze, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

  5. Wpisz następujące polecenia w wierszu polecenia systemu Windows:
    • W celu ustawienia ścieżki do folderu dla poprawek:

      klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<ścieżka do folderu>"

    • W celu ustawienia ścieżki do folderu dla listy wymaganych aktualizacji:

      klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<ścieżka do folderu>"

    Na przykład: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"

  6. W razie konieczności użyj narzędzia klscflag, aby określić, jak często izolowany Serwer administracyjny powinien sprawdzać dostępność nowych poprawek:

    klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <wartość w sekundach>

    Domyślna wartość to 120 sekund.

    Na przykład: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150

  7. W razie konieczności użyj narzędzia klscflag, aby obliczyć skróty SHA256 poprawek:

    klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

    Jeśli wprowadzisz to polecenie, możesz się upewnić, że poprawki nie zostały zmodyfikowane podczas przesyłania na izolowany Serwer administracyjny oraz że otrzymano prawidłowe poprawki zawierające wymagane aktualizacje.

    Domyślnie, Kaspersky Security Center nie oblicza skrótów SHA256 poprawek. Jeśli włączysz tę opcję, po odebraniu przez izolowany serwer administracyjny poprawek, Kaspersky Security Center oblicza ich skróty i porównuje uzyskane wartości ze skrótami przechowywanymi w bazie danych serwera administracyjnego. Jeśli obliczony skrót nie zgadza się ze skrótem w bazie danych, pojawia się błąd i trzeba zastąpić nieprawidłowe poprawki.

  8. Utwórz zadanie Wyszukiwanie luk i wymaganych aktualizacji aby uzyskać informacje o poprawkach oprogramowania innych firm zainstalowanych na zarządzanych urządzeniach, a następnie ustal harmonogram zadania.
  9. Utwórz zadanie Napraw luki aby określić poprawki dla oprogramowania innych firm używane do naprawiania luk, a następnie ustaw harmonogram zadań.

    Uruchom zadanie ręcznie, jeśli chcesz, aby zostało uruchomione wcześniej niż jest to określone w harmonogramie zadań. Kolejność rozpoczynania zadań ma znaczenie. Napraw luki należy uruchomić po zakończeniu zadania Wyszukiwanie luk i wymaganych aktualizacji.

  10. Uruchom ponownie usługę Serwera administracyjnego.

Po skonfigurowaniu wszystkich serwerów administracyjnych możesz: zarządzać poprawkami i listami wymaganych aktualizacji oraz eliminować luki w zabezpieczeniach oprogramowania firm trzecich na zarządzanych urządzeniach w odizolowanej sieci.

Zobacz również:

Scenariusz: Eliminowanie luk w oprogramowaniu innych firm w odizolowanej sieci

Eliminowanie luk w oprogramowaniu innych firm w odizolowanej sieci

Przejdź do góry