Configuration des Serveurs d'administration isolés pour corriger les vulnérabilités d'un réseau isolé

Après avoir terminé la configuration du Serveur d'administration avec accès à Internet, préparez chaque Serveur d'administration isolé de votre réseau afin de pouvoir corriger les vulnérabilités et installer les mises à jour sur les appareils administrés connectés à des Serveurs d'administration isolés.

Pour configurer des Serveurs d'administration isolés, réalisez les actions suivantes sur chaque Serveur d'administration :

1. Activez une clé de licence pour la fonction Gestion des vulnérabilités et des correctifs (VAPM).
2. Créez deux dossiers sur un disque où le Serveur d'administration est installé :
   • Dossier où apparaîtra la liste des mises à jour requises
   • Dossier pour les correctifs

   Vous pouvez nommer ces dossiers comme vous souhaitez.

3. Accordez les droits d'accès Modifier au groupe KLAdmins dans les dossiers créés, en utilisant les outils d'administration standard du système d'exploitation.
4. Utilisez l'utilitaire klscflag pour écrire les chemins d'accès aux dossiers dans les propriétés du Serveur d'administration.

   Exécutez l'invite de commande Windows en utilisant les droits d'administrateur, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le dossier dans lequel le Serveur d'administration est installé. Chemin d'installation par défaut est <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

5. Saisissez les commandes suivantes à l'invite de commande Windows :
   • Pour définir le chemin d'accès au dossier des correctifs :

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<chemin d'accès au dossier>"

   • Pour définir le chemin d'accès au dossier pour la liste des mises à jour requises :

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<chemin d'accès au dossier>"

   Exemple : klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"

6. [Facultatif] Utilisez l'utilitaire klscflag pour spécifier la fréquence à laquelle le Serveur d'administration isolé doit rechercher de nouveaux correctifs :

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valeur en secondes>

   La valeur par défaut est égale à 120 secondes.

   Exemple : klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150

7. [Facultatif] Utilisez l'utilitaire klscflag pour calculer les hachages SHA-256 des correctifs :

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Si vous saisissez cette commande, vous pouvez vous assurer que les correctifs n'ont pas été modifiés lors de leur transfert sur le Serveur d'administration isolé et que vous avez reçu les bons correctifs contenant les mises à jour requises.

   Par défaut, Kaspersky Security Center ne calcule pas les hachages SHA-256 des correctifs. Si vous activez cette option, après la réception des correctifs par le Serveur d'administration isolé, Kaspersky Security Center calcule leurs hachages et compare les valeurs acquises avec les hachages stockés dans la base de données du Serveur d'administration. Si le hachage calculé ne correspond pas au hachage de la base de données, l'erreur se produit et vous devez remplacer les mauvais correctifs.

8. Créez la tâche Recherche de vulnérabilités et de mises à jour requises et définir le calendrier des tâches. Démarrez la tâche si vous souhaitez qu'elle s'exécute plus tôt qu'il n'est spécifié dans la planification de la tâche.
9. Relancez le service du Serveur d'administration.

Après avoir configuré tous les Serveurs d'administration, vous pouvez déplacer les correctifs et les listes de mises à jour requises et corrigez les vulnérabilités des logiciels tiers sur les appareils administrés dans le réseau isolé.