Настройка изолированных Серверов администрирования для закрытия уязвимостей в изолированной сети

После того, как настройка Сервера администрирования с доступом в интернет закончена, подготовьте каждый изолированный Сервер администрирования в вашей сети, чтобы вы могли закрывать уязвимости и устанавливать обновления на управляемых устройствах, подключенных к изолированным Серверам администрирования.

Чтобы настроить изолированные Серверы администрирования, выполните следующие действия на каждом из них:

  1. Активируйте лицензионный ключ для Системного администрирования.
  2. Создайте две папки на диске, где установлен Сервер администрирования:
    • папку, в которой появится список необходимых обновлений;
    • папку для патчей.

    Названия папок могут быть любыми.

  3. Предоставьте группе KLAdmins право Изменение на созданные папки, используя стандартные средства администрирования операционной системы.
  4. С помощью утилиты klscflag укажите пути к папкам в свойствах Сервера администрирования.

    Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

  5. Введите следующие команды в командной строке Windows:
    • Чтобы указать путь к папке для исправлений:

      klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<путь к папке>"

    • Чтобы задать путь к папке для списка необходимых обновлений:

      klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<path to the folder>"

    Пример: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"

  6. При необходимости с помощью утилиты klscflag укажите, как часто изолированный Сервер администрирования должен проверять наличие новых патчей:

    klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <value in seconds>

    По умолчанию указано значение 120 секунд.

    Пример: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150

  7. При необходимости с используйте утилиту klscflag для вычисления хешей SHA256 патчей:

    klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

    Введя эту команду, вы можете убедиться, что патчи не были изменены при их переносе на изолированный Сервер администрирования и что вы получили корректные патчи, содержащие необходимые обновления.

    По умолчанию Kaspersky Security Center не вычисляет хеши SHA256 патчей. Если включить этот параметр, после получения патчей изолированным Сервером администрирования Kaspersky Security Center вычисляет их хеши и сравнивает полученные значения с хешами, хранящимися в базе данных Сервера администрирования. Если вычисленный хеш не совпадает с хешем в базе данных, возникает ошибка и вам необходимо заменить неверные патчи.

  8. Создайте задачу Поиск уязвимостей и требуемых обновлений, чтобы получить информацию о патчах для приложений сторонних производителей, установленных на управляемых устройствах, и настройте расписание выполнения задачи.
  9. Создайте задачу Закрытие уязвимостей, чтобы указать патчи для приложений сторонних производителей, используемых для закрытия уязвимостей, и настройте расписание задачи.

    Запустите задачи вручную, если вы хотите, чтобы они выполнялись раньше, чем указано в расписании задачи. Порядок запуска задач важен. Задачу Закрытие уязвимостей необходимо запустить после завершения задачи Поиск уязвимостей и требуемых обновлений.

  10. Перезапустите службу Сервера администрирования.

После настройки всех Серверов администрирования вы можете переместить исправления и списки необходимых обновлений и закрыть уязвимости приложений сторонних производителей на управляемых устройствах в изолированной сети.

См. также:

Сценарий: закрытие уязвимостей в приложениях сторонних производителей в изолированной сети

О закрытии уязвимостей в приложениях сторонних производителей в изолированной сети

В начало