Configuration des Serveurs d'administration isolés pour corriger les vulnérabilités d'un réseau isolé

Après avoir configuré le Serveur d'administration avec accès à Internet, préparez chaque Serveur d'administration isolé de votre réseau afin de corriger les vulnérabilités et d'installer les mises à jour sur les appareils administrés connectés à ces Serveurs d'administration isolés.

Pour configurer des Serveurs d'administration isolés, suivez les étapes ci-dessous pour chaque Serveur d'administration :

1. Activez une clé de licence pour la fonction Gestion des vulnérabilités et des correctifs (VAPM).
2. Créez deux dossiers sur le disque où le Serveur d'administration est installé :
   • Dossier pour la liste des mises à jour requises
   • Dossier pour les correctifs

   Vous pouvez nommer ces dossiers comme vous le souhaitez.

3. Accordez le droit Modifier au groupe KLAdmins dans les dossiers créés, en utilisant les outils d'administration standard du système d'exploitation.
4. Utilisez l'utilitaire klscflag pour préciser les chemins d'accès aux dossiers dans les propriétés du Serveur d'administration.

   Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

5. Exécutez les commandes suivantes dans la ligne de commande :
   • Pour définir le chemin d'accès au dossier des correctifs :

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<chemin d'accès au dossier>"

   • Pour définir le chemin d'accès au dossier pour la liste des mises à jour requises :

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<chemin d'accès au dossier>"

   Exemple : klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"

6. Si nécessaire, utilisez l'utilitaire klscflag pour spécifier la fréquence à laquelle le Serveur d'administration isolé doit rechercher de nouveaux correctifs :

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valeur en secondes>

   La valeur par défaut est égale à 120 secondes.

   Exemple : klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120

7. Si nécessaire, utilisez l'utilitaire klscflag pour calculer les hachages SHA256 des correctifs :

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Si vous exécutez cette commande, vous pouvez vous assurer que les correctifs n'ont pas été modifiés lors de leur transfert sur le Serveur d'administration isolé et que vous avez reçu les bons correctifs contenant les mises à jour requises.

   Par défaut, Kaspersky Security Center Linux ne calcule pas les hachages SHA256 des correctifs. Si vous activez cette option, après la réception des correctifs par le Serveur d'administration isolé, Kaspersky Security Center Linux calcule leurs hachages et compare les valeurs acquises avec les hachages stockés dans la base de données du Serveur d'administration. Si le hachage calculé ne correspond pas au hachage de la base de données, l'erreur se produit et vous devez remplacer les mauvais correctifs.

8. Créez la tâche Recherche de vulnérabilités et de mises à jour requises pour obtenir des informations sur les correctifs des logiciels tiers installés sur les appareils administrés, puis définissez la planification de la tâche.
9. Créez la tâche Corriger les vulnérabilités pour spécifier les correctifs pour les logiciels tiers utilisés pour corriger les vulnérabilités, puis définissez la planification de la tâche.

   Démarrez les tâches manuellement si vous souhaitez qu'elles s'exécutent plus tôt qu'il n'est spécifié dans la planification. L'ordre de lancement des tâches est important. La tâche Corriger les vulnérabilités doit être lancée après la tâche Recherche de vulnérabilités et de mises à jour requises.

10. Relancez le service du Serveur d'administration.

Après avoir configuré tous les Serveurs d'administration, vous pouvez transmettre les correctifs et les listes de mises à jour requises et corriger les vulnérabilités des logiciels tiers sur les appareils administrés dans le réseau isolé.

Voir également : Scénario : Correction des vulnérabilités des logiciels tiers dans un réseau isolé À propos de la correction des vulnérabilités des logiciels tiers dans un réseau isolé

Haut de page