配置隔離管理伺服器以修復隔離網路中的弱點
完成設定具有網際網路存取權限的管理伺服器後,準備好網路中的每個隔離管理伺服器,這樣您就可以在連線到隔離管理伺服器的受管理裝置上修復弱點並安裝更新。
若要設定隔離管理伺服器,請針對每個管理伺服器執行下列步驟:
- 啟動一個用於弱點和修補程式管理 (VAPM) 功能的產品授權金鑰。
- 在安裝管理伺服器的磁碟上建立兩個資料夾:
- 所需更新清單的資料夾
- 修補程式資料夾
您可以根據需要重新命名這些資料夾。
- 使用作業系統的標準管理工具,在建立的資料夾中將修改權限授予 KLAdmins 群組。
- 使用 klscflag 實用程式將路徑寫入管理伺服器內容中的資料夾。
執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。
- 在命令行中執行以下命令:
- 若要設定修補程式資料夾的路徑:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v “<
資料夾路徑
>" - 若要為所需更新清單設定資料夾的路徑:
klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<
資料夾路徑
>"
範例:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"
- 若要設定修補程式資料夾的路徑:
- 如果必要,使用 klscflag 實用程式指定隔離管理伺服器檢查新修補程式的頻率:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <
以秒為單位的值
>預設值是 120 秒。
示例:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120
- 如果必要,使用 klscflag 實用程式計算修補程式的 SHA256 雜湊:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1
如果輸入此命令,您可以確保修補程式在傳輸到隔離管理伺服器期間未被修改,並且您已收到包含所需更新的正確修補程式。
預設情況下,卡巴斯基安全管理中心 Linux 不計算修補程式的 SHA256 雜湊。如果啟用此選項,則在隔離管理伺服器收到修補程式後,卡巴斯基安全管理中心 Linux 會計算其雜湊並將獲取的值與儲存在管理伺服器資料庫中的雜湊進行比較。如果計算出的雜湊與資料庫中的雜湊不符合,則會發生錯誤,您必須替代不正確的修補程式。
- 建立和排程弱點掃描和所需更新工作。如果您希望它在工作排程中指定的時間之前執行,請手動執行該工作。
- 重新啟動管理伺服器服務。
設定完所有管理伺服器後,您可以傳輸修補程式和所需更新清單,並修復隔離網路中受管理裝置上的協力廠商軟體弱點。