Erstellen der Aufgabe "Suche nach Schwachstellen und erforderlichen Updates"

Alle erweitern | Alles ausblenden

Über die Aufgabe Find vulnerabilities and required updates erhält Kaspersky Security Center Linux eine Listen mit erkannten Schwachstellen und erforderlichen Updates für die Software von Drittanbietern, die auf den verwalteten Geräten installiert ist.

Sie können die Aufgabe Find vulnerabilities and required updates nur für Windows-Geräte erstellen. Sie können diese Aufgabe nicht für Geräte mit anderen Betriebssystemen erstellen.

Die Aufgabe Find vulnerabilities and required updates wird automatisch erstellt, wenn der Schnellstartassistent ausgeführt wird. Wenn Sie den Assistenten nicht ausgeführt haben, erstellen Sie die Aufgabe manuell.

So erstellen Sie die Aufgabe Find vulnerabilities and required updates:

1. Wechseln Sie im Hauptmenü zu Asset management → Tasks.
2. Klicken Sie auf Add.

   Der New task wizard wird gestartet. Klicken Sie auf Next, um den Schritten des Assistenten zu folgen.

3. Wählen Sie für Kaspersky Security Center den Aufgabentyp Find vulnerabilities and required updates.
4. Geben Sie den Namen für die Aufgabe an, die Sie anlegen. Der Aufgabenname darf nicht mehr als 100 Zeichen umfassen und darf keine Sonderzeiten ("*<>?\:|) enthalten.
5. Wählen Sie die Geräte aus, denen die Aufgabe zugewiesen werden soll.
6. Wählen Sie die Methoden für die Untersuchung auf Schwachstellen und die zu aktualisierenden Anwendungen aus:
   • Search for vulnerabilities and updates listed by Microsoft

     Wenn Kaspersky Security Center Linux nach Schwachstellen und Updates sucht, verwendet die Anwendung die Informationen über geeignete Microsoft-Updates aus der Quelle für momentan verfügbare Microsoft-Updates.

     Sie können diese Funktion deaktivieren, wenn Sie beispielsweise verschiedene Aufgaben mit unterschiedlichen Einstellungen für Microsoft-Updates und für Updates für Drittanbieter-Anwendungen haben.

     Diese Option ist standardmäßig aktiviert.

     Informationen über optionale Microsoft Windows-Updates werden nicht an den Administrationsserver übertragen.

     • Connect to the update server to update data

       Der Windows-Update-Agent auf einem verwalteten Gerät stellt eine Verbindung zur Quelle für Microsoft-Updates her. Die folgenden Server können als Quelle für Microsoft-Updates dienen:

       • Windows Server mit Microsoft Windows Server Update Services (WSUS), das in Ihrem Unternehmensnetzwerk bereitgestellt wurde
       • Microsoft-Update-Server

       Wenn diese Option aktiviert ist, stellt der Windows-Update-Agent auf einem verwalteten Gerät eine Verbindung zur Quelle für Microsoft-Updates her, um die Informationen über geeignete Microsoft-Windows-Updates zu aktualisieren.

       Wenn diese Option deaktiviert ist, verwendet der Windows-Update-Agent auf einem verwalteten Gerät die Informationen über geeignete Microsoft Windows-Updates, die zuvor von der Quelle der Microsoft-Updates empfangen wurden.

       Das Herstellen einer Verbindung zur Quelle für Microsoft-Updates kann ressourcenaufwendig sein. Sie können diese Option deaktivieren, wenn Sie in einer anderen Aufgabe oder in den Eigenschaften der Administrationsagenten-Richtlinie im Abschnitt Software updates and vulnerabilities eine regelmäßige Verbindung zu dieser Update-Quelle festgelegt haben. Wenn Sie diese Option nicht deaktivieren möchten, können Sie den Aufgabenzeitplan so anpassen, dass die Aufgabenstarts innerhalb von 360 Minuten zufällig verzögert werden, um eine Überlastung des Servers zu vermeiden.

       Diese Option ist standardmäßig aktiviert.

       Der Modus für den Update-Download beruht auf einer Kombination der folgenden Optionen, die in den Einstellungen der Administrationsagenten-Richtlinie festgelegt werden:

       • Der Windows-Update-Agent auf einem verwalteten Gerät stellt nur unter den folgenden Bedingungen eine Verbindung zum Update-Server her, um Updates zu erhalten: Die Option Connect to the update server to update data in den Eigenschaften der Aufgabe zum Find vulnerabilities and required updates ist aktiviert und die Option Windows Update search mode steht in den Einstellungen der Administrationsagent-Richtlinie auf Active.
       • Wenn Sie den Administrationsagenten nicht benötigen, um während der Ausführung der Aufgabe Untersuchung auf Schwachstellen eine Verbindung zur Microsoft Windows-Update-Quelle herzustellen und Updates herunterzuladen, können Sie die Option Windows Update search mode auf Passive setzen, wobei die Option Connect to the update server to update data aktiviert bleiben muss. Auf diese Weise können Sie Ressourcen sparen und zuvor abgerufene Windows-Updates verwenden, um nach Schwachstellen zu suchen. Sie können den passiven Modus verwenden, wenn Sie das Abrufen von Microsoft Windows-Updates auf eine andere Art konfigurieren. Wenn das Abrufen von Microsoft Windows-Updates jedoch nicht auf eine andere Art konfiguriert ist, setzen Sie die Option Windows Update search mode nicht auf Passive, da in diesem Fall keine Informationen über Updates abgerufen werden.
       • Wenn die Option Windows Update search mode auf Disabled steht, fragt Kaspersky Security Center Linux keine Informationen über Updates ab. Der Status der Option Connect to the update server to update data (aktiviert oder deaktiviert) hat darauf keinen Einfluss darauf.

       Wenn im Netzwerk Ihrer Organisation ein WSUS-Server (lokaler WSUS-Server) verwendet wird und Sie diesen zusammen mit dem Kaspersky Security Center Administrationsserver verwenden möchten, müssen Sie zunächst sicherstellen, dass der Kaspersky Security Center Administrationsserver nicht als WSUS-Server verwendet wird. Anschließend gehen Sie wie folgt vor:

       1. Geben Sie auf Ihren verwalteten Windows-Geräten Ihren lokalen WSUS-Server für den Windows Update-Dienst an. Sie können dies entweder manuell in der Windows-Registry oder mithilfe einer Windows-Gruppenrichtlinie tun.
       2. Legen Sie auf Ihrem lokalen WSUS-Server die erforderlichen Update-Klassifizierungen und die Anwendungen, an welche die Updates verteilt werden sollen, fest.
       3. Synchronisieren Sie Ihren WSUS-Server mit dem Upstream-Server (das kann entweder ein Microsoft WSUS-Server oder ein anderer lokaler Upstream-WSUS-Server sein).

       Nachdem die Aufgabe Finden von Schwachstellen und erforderlichen Updates auf dem Gerät ausgeführt wurde, verwendet der Administrationsagent den Windows Update-Dienst, um eine Anfrage für Windows-Updates zu initiieren, die auf dem Gerät anwendbar sind. Der Windows Update-Dienst bezieht die Adresse des externen WSUS-Servers aus der Registry und sucht auf diesem externen WSUS-Server direkt nach Updates. Anschließend leitet der Windows Update-Dienst diese Liste über den Administrationsagenten an den Administrationsserver weiter. Damit verfügt der Administrationsserver über eine aktuelle Update-Grundlage.

   • Search for third-party vulnerabilities and updates listed by Kaspersky

     Wenn diese Option aktiviert ist, sucht Kaspersky Security Center Linux in der Windows-Registrierung und den unter Specify paths for advanced search of applications in file system festgelegten Ordnern nach Schwachstellen und erforderlichen Updates für Drittanbieter-Produkte (Anwendungen, die von anderen Programmherstellern als Kaspersky und Microsoft stammen). Die vollständige Liste der unterstützten Drittanbieter-Anwendungen wird von Kaspersky verwaltet.

     Wenn diese Option deaktiviert ist, sucht Kaspersky Security Center Linux nicht nach Schwachstellen und erforderlichen Updates für Drittanbieter-Anwendungen. Sie können diese Option beispielsweise deaktivieren, wenn Sie verschiedene Aufgaben mit unterschiedlichen Einstellungen für Microsoft Windows-Updates und Updates für Drittanbieter-Anwendungen haben.

     Diese Option ist standardmäßig aktiviert.

   Sie können diese Optionen nach der Erstellung der Aufgabe auf der Registerkarte Application settings im Eigenschaftenfenster der Aufgabe deaktivieren.

7. Specify paths for advanced search of applications across the file system

   Die Ordner, in denen Kaspersky Security Center Linux nach Drittanbieter-Anwendungen sucht, in denen Schwachstellen behoben und Updates installiert werden müssen. Sie können Systemvariablen verwenden.

   Legen Sie die Ordner fest, in denen Programme installiert sind. Standardmäßig enthält die Liste die Systemordner, in denen die meisten Programme installiert sind.

   Sie können die angegebenen Pfade nach der Erstellung der Aufgabe auf der Registerkarte Application settings im Eigenschaftenfenster der Aufgabe ändern.

8. Aktivieren Sie bei Bedarf die Enable advanced diagnostics

   Wenn diese Funktion aktiviert ist, legt der Administrationsagent Protokolldateien auch dann an, wenn das Erstellen von Protokolldateien für den Administrationsagenten im Tool Remote-Diagnose für Kaspersky Security Center Linux deaktiviert ist. Die Ablaufverfolgung wird abwechselnd in zwei Dateien protokolliert; die Gesamtgröße beider Dateien wird durch den Wert Maximum size, in MB, of advanced diagnostics files bestimmt. Wenn beide Dateien voll sind, überschreibt der Administrationsagent alte Daten. Die Ablaufverfolgungsdateien werden im Ordner %WINDIR%\Temp gespeichert. Auf diese Dateien kann im Remote-Diagnose-Tool zugegriffen werden. Dort können Sie die Dateien herunterladen oder löschen.

   Wenn diese Funktion deaktiviert ist, führt der Administrationsagent die Ablaufverfolgung gemäß den Einstellungen im Remote-Diagnose-Tool für Kaspersky Security Center Linux durch. Es erfolgt keine zusätzliche Ablaufverfolgung.

   Beim Erstellen einer Aufgabe müssen Sie die erweiterte Diagnose nicht aktivieren. Sie können diese Funktion später verwenden, beispielsweise, wenn eine Aufgabe auf einigen Geräten fehlschlägt und Sie während einer weiteren Aufgabenausführung zusätzliche Informationen abrufen möchten.

   Diese Option ist standardmäßig deaktiviert.

   Sie können diese Option nach der Erstellung der Aufgabe auf der Registerkarte Application settings im Eigenschaftenfenster der Aufgabe deaktivieren.

9. Geben Sie die Maximum size, in MB, of advanced diagnostics files an

   Der Standardwert beträgt 100 MB, und der Wert kann zwischen 1 MB und 2.048 MB liegen. Sie werden möglicherweise von einem Experten des Technischen Supports von Kaspersky gebeten, den Standardwert zu ändern, falls die Informationen in von Ihnen gesendeten Dateien der erweiterten Diagnose nicht ausreichen, um das Problem zu beheben.

   Wenn Sie im vorherigen Schritt die erweiterte Diagnose aktiviert haben, müssen Sie diesen Wert angeben. Sie können diesen Wert nach der Erstellung der Aufgabe auf der Registerkarte Application settings im Eigenschaftenfenster der Aufgabe ändern.

10. Wenn Sie die Standardeinstellungen für Aufgaben ändern möchten, aktivieren Sie die Option Open task details when creation is complete auf der Seite Finish task creation. Wenn Sie diese Option nicht aktivieren, wird die Aufgabe mit den Standardeinstellungen erstellt. Sie können die Standardeinstellungen später jederzeit ändern.
11. Klicken Sie auf die Schaltfläche Finish.

    Der Assistent erstellt die Aufgabe. Wenn Sie die Option Nach Open task details when creation is complete haben, wird das Fenster mit Aufgabeneigenschaften automatisch geöffnet. In diesem Fenster können Sie die allgemeinen Aufgabeneinstellungen angeben und bei Bedarf die Einstellungen ändern, die bei der Aufgabenerstellung festgelegt wurden.

    Sie können das Fenster mit den Aufgabeneigenschaften auch öffnen, indem Sie in der Aufgabenliste auf den Namen der erstellten Aufgabe klicken.

Die Aufgabe wird erstellt und konfiguriert. Um die Aufgabe auszuführen, wählen Sie diese in der Aufgabenliste aus und klicken Sie auf Start.

Empfehlungen für den Aufgabenzeitplan

Stellen Sie bei der Planung der Aufgabe Find vulnerabilities and required updates sicher, dass die beiden Optionen Run missed tasks und Use automatically randomized delay for task starts aktiviert sind.

Standardmäßig ist für die Aufgabe Find vulnerabilities and required updates der manuelle Start eingestellt.

Sie können die Aufgabe Find vulnerabilities and required updates auch so planen, dass sie zu einem bestimmten Zeitpunkt gestartet wird. Sie können beispielsweise als geplanten Start die Option Every N hours in der Dropdown-Liste Start task auf der Registerkarte Schedule des Fensters mit den Aufgabeneinstellungen auswählen. Beachten Sie dabei Folgendes: Wenn die Dienstvorschriften des Unternehmens zu dieser Zeit ein Deaktivieren der Geräte vorsehen, wird die Aufgabe Find vulnerabilities and required updates ausgeführt, nachdem die Geräte wieder eingeschaltet wurden. Ein solches Verhalten kann unerwünscht sein, da die Untersuchung auf Schwachstellen eine erhöhte Belastung des Prozessors und des Laufwerkssubsystems verursachen kann. Es wird empfohlen, einen optimalen Zeitplan der Aufgabe basierend auf den im Unternehmen geltenden Dienstvorschriften zu konfigurieren.

Eine genaue Beschreibung der Einstellungen für den Start nach Zeitplan finden Sie in den allgemeinen Aufgabeneinstellungen.

Siehe auch: Szenario: Finden und Schließen von Schwachstellen in Programmen von Drittanbietern Szenario: Aktualisieren von Software von Drittanbietern

Nach oben