Configurazione di Administration Server isolati per la correzione delle vulnerabilità in una rete isolata

Al termine della configurazione di Administration Server con l'accesso a Internet, preparare tutti gli Administration Server isolati nella rete, così da correggere le vulnerabilità e installare gli aggiornamenti nei dispositivi gestiti connessi agli Administration Server isolati.

Per configurare gli Administration Server isolati, eseguire le seguenti azioni su ogni Administration Server:

1. Attivare una chiave di licenza per la funzionalità Vulnerability e patch management (VAPM).
2. Creare due cartelle su un disco in cui è installato Administration Server:
   • Una cartella in cui verrà visualizzato l'elenco degli aggiornamenti necessari
   • Cartella per le patch

   È possibile nominare queste cartelle in qualsiasi modo.

3. Concedere l'autorizzazione Modifica al gruppo KLAdmins nelle cartelle create, utilizzando gli strumenti di amministrazione standard del sistema operativo.
4. Utilizzare l'utilità klscflag per scrivere i percorsi delle cartelle nelle proprietà di Administration Server.

   Eseguire il prompt dei comandi di Windows con diritti di amministratore, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella cartella in cui è installato Administration Server. Il percorso di installazione predefinito è <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

5. Immettere i seguenti comandi nel prompt dei comandi di Windows:
   • Per impostare il percorso della cartella per le patch:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v “<percorso della cartella>"

   • Per impostare il percorso della cartella per un elenco degli aggiornamenti necessari:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<percorso della cartella>"

   Esempio: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"

6. [Facoltativo] Utilizzare l'utilità klscflag per specificare la frequenza con cui l'Administration Server isolato deve verificare la presenza di nuove patch:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valore in secondi>

   Il valore predefinito è 120 secondi.

   Esempio: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150

7. [Facoltativo] Utilizzare l'utilità klscflag per calcolare gli hash SHA-256 delle patch:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Se si immette questo comando, è possibile assicurarsi che le patch non siano state modificate durante il trasferimento all'Administration Server isolato e di aver ricevuto le patch corrette con gli aggiornamenti richiesti.

   Per impostazione predefinita, Kaspersky Security Center non calcola gli hash SHA-256 delle patch. Se si abilita questa opzione, dopo che l'Administration Server isolato ha ricevuto le patch, Kaspersky Security Center calcola gli hash e confronta i valori acquisiti con gli hash archiviati nel database di Administration Server. Se l'hash calcolato non corrisponde all'hash nel database, si verifica un errore ed è necessario sostituire le patch errate.

8. Creare l'attività Trova vulnerabilità e aggiornamenti richiesti e impostare la pianificazione dell'attività. Eseguire l'attività se si desidera che venga eseguita prima di quanto specificato nella pianificazione dell'attività.
9. Riavviare il servizio Administration Server.

Dopo aver configurato tutti gli Administration Server, è possibile spostare le patch e gli elenchi degli aggiornamenti necessari e correggere le vulnerabilità del software di terze parti nei dispositivi gestiti nella rete isolata.

Vedere anche: Scenario: Correzione delle vulnerabilità del software di terze parti in una rete isolata Informazioni sulla correzione delle vulnerabilità del software di terzi in una rete isolata

Inizio pagina