Configurazione di Administration Server isolati per la correzione delle vulnerabilità in una rete isolata

Al termine della configurazione di Administration Server con l'accesso a Internet, preparare tutti gli Administration Server isolati nella rete, così da correggere le vulnerabilità e installare gli aggiornamenti nei dispositivi gestiti connessi agli Administration Server isolati.

Per configurare Administration Server isolati, attenersi alla seguente procedura per ogni Administration Server:

1. Attivare una chiave di licenza per la funzionalità Vulnerability e patch management (VAPM).
2. Creare due cartelle su un disco in cui è installato Administration Server:
   • Una cartella per l'elenco degli aggiornamenti necessari
   • Cartella per le patch

   È possibile denominare queste cartelle come desiderato.

3. Concedere il diritto di Modifica al gruppo KLAdmins nelle cartelle create, utilizzando gli strumenti di amministrazione standard del sistema operativo.
4. Utilizzare l'utilità klscflag per specificare i percorsi delle cartelle nelle proprietà di Administration Server.

   Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

5. Eseguire i comandi seguenti nella riga di comando:
   • Per impostare il percorso della cartella per le patch:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<percorso della cartella>"

   • Per impostare il percorso della cartella per un elenco degli aggiornamenti necessari:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<percorso della cartella>"

   Esempio: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"

6. Se necessario, utilizzare l'utilità klscflag per specificare la frequenza con cui l'Administration Server isolato deve verificare la presenza di nuove patch:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valore in secondi>

   Il valore predefinito è 120 secondi.

   Esempio: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120

7. Se necessario, utilizzare l'utilità klscflag per calcolare gli hash SHA256 delle patch:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Eseguendo questo comando, è possibile assicurarsi che le patch non siano state modificate durante il trasferimento all'Administration Server isolato e di aver ricevuto le patch corrette con gli aggiornamenti richiesti.

   Per impostazione predefinita, Kaspersky Security Center Linux non calcola gli hash SHA256 delle patch. Se si abilita questa opzione, dopo che l'Administration Server isolato ha ricevuto le patch, Kaspersky Security Center Linux calcola gli hash e confronta i valori acquisiti con gli hash archiviati nel database di Administration Server. Se l'hash calcolato non corrisponde all'hash nel database, si verifica un errore ed è necessario sostituire le patch errate.

8. Creare l'attività Trova vulnerabilità e aggiornamenti richiesti per ottenere informazioni sulle patch per il software di terze parti installato nei dispositivi gestiti, quindi impostare la pianificazione dell'attività.
9. Creare l'attività Correggi vulnerabilità per specificare le patch per il software di terze parti utilizzato per correggere le vulnerabilità, quindi impostare la pianificazione dell'attività.

   Eseguire le attività manualmente se si desidera che vengano eseguite prima di quanto specificato nella pianificazione. L'ordine in cui vengono avviate le attività è importante. L'attività Correggi vulnerabilità deve essere eseguita al termine dell'attività Trova vulnerabilità e aggiornamenti richiesti.

10. Riavviare il servizio Administration Server.

Dopo aver configurato tutti gli Administration Server, è possibile trasmettere le patch e gli elenchi degli aggiornamenti necessari e correggere le vulnerabilità del software di terze parti nei dispositivi gestiti nella rete isolata.

Vedere anche: Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Inizio pagina