Configuration des Serveurs d'administration isolés pour corriger les vulnérabilités d'un réseau isolé

Après avoir configuré le Serveur d'administration avec accès à Internet, préparez chaque Serveur d'administration isolé de votre réseau afin de corriger les vulnérabilités et d'installer les mises à jour sur les appareils administrés connectés à ces Serveurs d'administration isolés.

Pour configurer des Serveurs d'administration isolés, suivez les étapes ci-dessous pour chaque Serveur d'administration :

1. Activez une clé de licence pour la fonction Gestion des vulnérabilités et des correctifs (VAPM).
2. Créez deux dossiers sur le disque où le Serveur d'administration est installé :
   • Dossier pour la liste des mises à jour requises
   • Dossier pour les correctifs

   Vous pouvez nommer ces dossiers comme vous le souhaitez.

3. Accordez le droit Modifier au groupe KLAdmins dans les dossiers créés, en utilisant les outils d'administration standard du système d'exploitation.
4. Utilisez l'utilitaire klscflag pour préciser les chemins d'accès aux dossiers dans les propriétés du Serveur d'administration.

   Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

5. Exécutez les commandes suivantes dans la ligne de commande :
   • Pour définir le chemin d'accès au dossier des correctifs :

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<chemin d'accès au dossier>"

   • Pour définir le chemin d'accès au dossier pour la liste des mises à jour requises :

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<chemin d'accès au dossier>"

   Exemple : klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"

6. Si nécessaire, utilisez l'utilitaire klscflag pour spécifier la fréquence à laquelle le Serveur d'administration isolé doit rechercher de nouveaux correctifs :

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valeur en secondes>

   La valeur par défaut est égale à 120 secondes.

   Exemple : klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120

7. Si nécessaire, utilisez l'utilitaire klscflag pour calculer les hachages SHA256 des correctifs :

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Si vous exécutez cette commande, vous pouvez vous assurer que les correctifs n'ont pas été modifiés lors de leur transfert sur le Serveur d'administration isolé et que vous avez reçu les bons correctifs contenant les mises à jour requises.

   Par défaut, Kaspersky Security Center Linux ne calcule pas les hachages SHA256 des correctifs. Si vous activez cette option, après la réception des correctifs par le Serveur d'administration isolé, Kaspersky Security Center Linux calcule leurs hachages et compare les valeurs acquises avec les hachages stockés dans la base de données du Serveur d'administration. Si le hachage calculé ne correspond pas au hachage de la base de données, l'erreur se produit et vous devez remplacer les mauvais correctifs.

8. Créez et planifiez la tâche Recherche de vulnérabilités et de mises à jour requises. Démarrez la tâche manuellement si vous souhaitez qu'elle s'exécute plus tôt qu'il n'est spécifié dans la planification de la tâche.
9. Relancez le service du Serveur d'administration.

Après avoir configuré tous les Serveurs d'administration, vous pouvez transmettre les correctifs et les listes de mises à jour requises et corriger les vulnérabilités des logiciels tiers sur les appareils administrés dans le réseau isolé.