Konfigurieren von isolierten Administrationsservern, Schwachstellen in einem isolierten Netzwerk zu schließen

Nachdem Sie die Konfiguration des Administrationsservers mit Internetzugang abgeschlossen haben, bereiten Sie jeden isolierten Administrationsserver in Ihrem Netzwerk vor, damit Sie auf verwalteten Geräten, die mit isolierten Administrationsservern verbunden sind, Schwachstellen schließen und Updates installieren.

Um die isolierten Administrationsserver zu konfigurieren, führen Sie auf jedem Administrationsserver die folgenden Aktionen aus:

1. Aktivieren Sie einen Lizenzschlüssel für die Funktion "Schwachstellen- und Patch-Management" (VAPM).
2. Erstellen Sie zwei Ordner auf einer Festplatte, auf welcher der Administrationsserver installiert ist:
   • Einen Ordner, in dem die Liste mit erforderlichen Updates erscheint
   • Ordner für Patches

   Sie können diese Ordner beliebig benennen.

3. Gewähren Sie in den erstellten Ordnern unter Verwendung der Standardverwaltungstools des Betriebssystems der Gruppe KLAdmins die Berechtigung zum Ändern.
4. Verwenden Sie das Dienstprogramm "klscflag", um die Pfade zu diesen Ordnern in den Eigenschaften des Administrationsservers festzulegen.

   Führen Sie die Windows-Eingabeaufforderung als Administrator aus und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet <Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center.

5. Geben Sie die folgenden Befehle in die Windows-Eingabeaufforderung ein:
   • So legen Sie den Pfad zum Patch-Ordner fest:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<Pfad zum Ordner>"

   • So legen Sie den Pfad zum Ordner für die Liste mit erforderlichen Updates fest:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<Pfad zum Ordner>"

   Beispiel: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\OrdnerFuerPatches"

6. [Optional] Verwenden Sie das Dienstprogramm "klscflag", um anzugeben, wie oft der isolierte Administrationsserver nach neuen Patches suchen soll:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <Wert in Sekunden>

   Standardmäßig ist der Wert auf 120 Sekunden eingestellt.

   Beispiel: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150

7. [Optional] Verwenden Sie das Dienstprogramm ":klscflag", um die SHA-256-Hashes der Patches zu berechnen:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Wenn Sie diesen Befehl eingeben, können Sie sicherstellen, dass die Patches während der Übertragung auf den isolierten Administrationsserver nicht verändert wurden und dass Sie die richtigen Patches mit den erforderlichen Updates erhalten haben.

   Standardmäßig berechnet Kaspersky Security Center keine SHA-256-Hashes von Patches. Nachdem der isolierte Administrationsserver die Patches erhalten hat, berechnet Kaspersky Security Center bei aktivierter Option deren Hashes und vergleicht die erfassten Werte mit den Hashes, die in der Datenbank des Administrationsservers gespeichert sind. Wenn der berechnete Hash nicht mit dem Hash in der Datenbank übereinstimmt, tritt ein Fehler auf und Sie müssen den inkorrekten Patch ersetzen.

8. Erstellen Sie die Aufgabe Suche nach Schwachstellen und erforderlichen Updates und legen Sie den Aufgabenzeitplan fest. Starten Sie die Aufgabe manuell, wenn Sie möchten, dass sie früher ausgeführt wird, als im Aufgabenzeitplan angegeben.
9. Starten Sie den Dienst des Administrationsservers neu.

Nachdem Sie alle Administrationsserver konfiguriert haben, können Sie die Patches und die Liste mit erforderlichen Updates verschieben und Schwachstellen in Programmen von Drittanbietern auf den verwalteten Geräten im isolierten Netzwerk beheben.