Konfigurieren von isolierten Administrationsservern, Schwachstellen in einem isolierten Netzwerk zu schließen

Bereiten Sie nach der Konfiguration des Administrationsservers mit Internetzugang alle isolierten Administrationsserver in Ihrem Netzwerk vor, um auf den verwalteten Geräten, die mit isolierten Administrationsservern verbunden sind, Schwachstellen zu schließen und Updates zu installieren.

Um isolierte Administrationsserver zu konfigurieren, führen Sie für jeden Administrationsserver die folgenden Schritte aus:

1. Aktivieren Sie einen Lizenzschlüssel für die Funktion "Schwachstellen- und Patch-Management" (VAPM).
2. Erstellen Sie zwei Ordner auf der Festplatte, auf welcher der Administrationsserver installiert ist:
   • Ordner für die Liste mit erforderlichen Updates
   • Ordner für Patches

   Sie können diesen Ordnern beliebige Namen geben.

3. Weisen Sie der Gruppe "KLAdmins" für die erstellten Ordner die Berechtigung Ändern zu. Verwenden Sie dazu die Standardverwaltungstools des Betriebssystems.
4. Verwenden Sie das Dienstprogramm "klscflag", um die Pfade zu diesen Ordnern in den Eigenschaften des Administrationsservers anzugeben.

   Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

5. Führen Sie in der Befehlszeile die folgenden Befehle aus:
   • Um den Pfad zum Patch-Ordner festzulegen:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<Pfad zum Ordner>"

   • So legen Sie den Pfad zum Ordner für die Liste mit erforderlichen Updates fest:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<Pfad zum Ordner>"

   Beispiel: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"

6. Verwenden Sie bei Bedarf das Tool "klscflag", um anzugeben, wie oft der isolierte Administrationsserver nach neuen Patches suchen soll:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <Wert in Sekunden>

   Standardmäßig ist der Wert auf 120 Sekunden eingestellt.

   Beispiel: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120

7. Verwenden Sie bei Bedarf das Tool "klscflag", um die SHA256-Hashes der Patches zu berechnen:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Durch Ausführen dieses Befehls stellen Sie sicher, dass die Patches während der Übertragung auf den isolierten Administrationsserver nicht verändert wurden und dass Sie die richtigen Patches mit den erforderlichen Updates erhalten haben.

   Standardmäßig berechnet Kaspersky Security Center Linux keine SHA256-Hashes für Patches. Nachdem der isolierte Administrationsserver die Patches erhalten hat, berechnet Kaspersky Security Center Linux bei aktivierter Option die Hashes und vergleicht die berechneten Werte mit den Hashes, die in der Administrationsserver-Datenbank gespeichert sind. Wenn der berechnete Hash nicht mit dem Hash in der Datenbank übereinstimmt, wird ein Fehler gemeldet und Sie müssen den inkorrekten Patch ersetzen.

8. Erstellen Sie die Aufgabe Suche nach Schwachstellen und erforderlichen Updates, um Informationen über Patches für Drittanbieter-Programme abzurufen, die auf den verwalteten Geräten installiert sind, und legen Sie anschließend den Aufgabenzeitplan fest.
9. Erstellen Sie die Aufgabe Schwachstellen schließen, um Patches anzugeben, die zum Schließen von Schwachstellen in Drittanbieter-Programmen verwendet werden, und legen Sie anschließend den Aufgabenzeitplan fest.

   Starten Sie die Aufgaben manuell, wenn Sie diese früher ausführen möchten, als im Zeitplan angegeben. Die Ausführungsreihenfolge der Aufgaben ist wichtig. Die Aufgabe Schwachstellen schließen muss nach der Aufgabe Suche nach Schwachstellen und erforderlichen Updates ausgeführt werden.

10. Starten Sie den Administrationsserver-Dienst neu.

Nachdem Sie alle Administrationsserver konfiguriert haben, können Sie die Patches und die Liste mit erforderlichen Updates übertragen und die Schwachstellen in Drittanbieter-Programmen auf den verwalteten Geräten innerhalb des isolierten Netzwerks beheben.

Siehe auch: Szenario: Beheben von Schwachstellen in Programmen von Drittanbietern in einem isolierten Netzwerk Über das Beheben von Schwachstellen in Drittanbieter-Programmen in einem isolierten Netzwerk

Nach oben