Закрытие уязвимостей в изолированной сети

В этом разделе описаны действия, которые вы можете предпринять для закрытия уязвимостей в программах сторонних производителей на управляемых устройствах, подключенных к Серверам администрирования и не имеющих доступа в интернет.

Закрытие уязвимостей программ сторонних производителей в изолированной сети

Вы можете устанавливать обновления и закрывать уязвимости программ сторонних производителей, установленных на управляемых устройствах в изолированной сети. К таким сетям относятся Серверы администрирования и подключенные к ним управляемые устройства, не имеющие доступа в интернет. Для закрытия уязвимостей в такой сети необходим Сервер администрирования, подключенный к интернету. Также вы можете загружать патчи (требуемые обновления) с помощью Сервера администрирования с доступом в интернет и передавать исправления на изолированные Серверы администрирования.

Вы можете загружать обновления программ сторонних производителей, выпущенные производителями программного обеспечения, но не можете загружать обновления для программного обеспечения Microsoft на изолированных Серверах администрирования с помощью Kaspersky Security Center.

Чтобы узнать, как работает процесс закрытия уязвимостей в изолированной сети, ознакомьтесь с описанием и схемой этого процесса.

Предварительные требования

Перед началом сделайте следующее:

1. Выделите одно устройство для подключения к интернету и загрузки исправлений. Это устройство будет считаться Сервером администрирования с доступом в интернет.
2. Установите Kaspersky Security Center версии не ниже 14 на следующих устройствах:
   • Выделенное устройство, которое будет выступать в роли Сервера администрирования с доступом в интернет.
   • Изолированные устройства, которые будут выступать в роли изолированных от интернета Серверов администрирования (далее – изолированные Серверы администрирования).
3. Убедитесь, что на каждом Сервере администрирования достаточно места на диске для загрузки и хранения обновлений и исправлений.

Этапы

Установка обновлений и закрытие уязвимостей программ сторонних производителей на управляемых устройствах, относящихся к изолированным Серверам администрирования, состоит из следующих этапов:

1. Настройка Сервера администрирования с доступом в интернет

   Подготовьте Сервер администрирования с доступом в интернет для обработки запросов на необходимые обновления стороннего программного обеспечения и для загрузки.

2. Настройка изолированных Серверов администрирования

   Подготовьте изолированные Серверы администрирования, чтобы они могли регулярно формировать списки необходимых обновлений и обрабатывать патчи, загружаемые Сервером администрирования с доступом в интернет. После настройки изолированные Серверы администрирования больше не пытаются загружать патчи из интернета. Вместо этого они получают обновления через патчи.

3. Передача патчей и установка обновлений на изолированные Серверы администрирования

   После завершения настройки Серверов администрирования вы можете передавать необходимые списки обновлений и патчей между Сервером администрирования с доступом в интернет и изолированными Серверами администрирования. Далее обновления из исправлений будут установлены на управляемые устройства с помощью задачи Установка требуемых обновлений и закрытие уязвимостей.

Результаты

Таким образом обновления программ сторонних производителей передаются на изолированные Серверы администрирования и устанавливаются на подключенные управляемые устройства с помощью Kaspersky Security Center. Достаточно один раз настроить Серверы администрирования, чтобы получать обновления с нужной вам частотой, например, один или несколько раз в день.

О закрытии уязвимостей программ сторонних производителей в изолированной сети

Процесс закрытия уязвимостей в программах сторонних производителей в изолированной сети показан на рисунке и описан ниже. Вы можете периодически повторять этот процесс.

Процесс передачи патчей и списка необходимых обновлений между Сервером администрирования с доступом в интернет и изолированными Серверами администрирования

Каждый Сервер администрирования, изолированный от сети интернет (далее — изолированный Сервер администрирования), формирует список обновлений, которые необходимо установить на управляемые устройства, подключенные к данному Серверу администрирования. Список необходимых обновлений хранится в специальной папке и представляет собой набор бинарных файлов. Каждый файл имеет имя, которое содержит идентификатор патча с требуемым обновлением. В результате каждый файл в списке указывает на определенный патч.

С помощью внешнего устройства вы переносите список необходимых обновлений с изолированного Сервера администрирования на выделенный Сервер администрирования с доступом в интернет. После этого выделенный Сервер администрирования загружает патчи из интернета и помещает их в отдельную папку.

Когда все патчи загружены и размещены в специальной для них папке, вы перемещаете патчи на каждый изолированный Сервер администрирования, с которого вы взяли список необходимых обновлений. Вы сохраняете патчи в специально созданную для них папку на изолированном Сервере администрирования. В результате задача Установка требуемых обновлений и закрытие уязвимостей запускает патчи и устанавливает обновления на управляемые устройства изолированных Серверов администрирования.

Настройка Сервера администрирования с доступом в интернет для закрытия уязвимостей в изолированной сети

Чтобы подготовиться к закрытию уязвимостей и передаче патчей в изолированной сети, сначала настройте Сервер администрирования с доступом в интернет, а затем настройте изолированные Серверы администрирования.

Чтобы настроить Сервер администрирования с доступом в интернет:

1. Создайте две папки на диске, где установлен Сервер администрирования:
   • папку для списка необходимых обновлений;
   • папку для патчей.

   Названия папок могут быть любыми.

2. Предоставьте группе KLAdmins право Изменение на созданные папки, используя стандартные средства администрирования операционной системы.
3. С помощью утилиты klscflag укажите пути к папкам в свойствах Сервера администрирования.

   Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

4. Введите следующие команды в командной строке Windows:
   • Чтобы указать путь к папке для исправлений:

     klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PATH -t s -v "<path to the folder>"

   • Чтобы задать путь к папке для списка необходимых обновлений:

     klscflag -fset -pv klserver -n VAPM_REQ_IMPORT_PATH -t s -v "<path to the folder>"

   Пример: klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PATH -t s -v "C:\Папка_для_патчей"

5. При необходимости с помощью утилиты klscflag укажите, как часто Сервер администрирования должен проверять наличие новых запросов на исправления:

   klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PERIOD_SEC -t d -v <значение в секундах>

   По умолчанию указано значение 120 секунд.

   Пример: klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PERIOD_SEC -t d -v 150

6. Создайте задачу Поиск уязвимостей и требуемых обновлений, чтобы получить информацию о патчах для программ сторонних производителей, установленных на управляемых устройствах, и настройте расписание выполнения задачи.
7. Создайте задачу Закрытие уязвимостей, чтобы указать патчи для программ сторонних производителей, используемых для закрытия уязвимостей, и настройте расписание задачи.

   Запустите задачи вручную, если вы хотите, чтобы они выполнялись раньше, чем указано в расписании задачи. Порядок запуска задач важен. Задачу Закрытие уязвимостей необходимо запустить после завершения задачи Поиск уязвимостей и требуемых обновлений.

8. Перезапустите службу Сервера администрирования.

Теперь Сервер администрирования с доступом в интернет готов к загрузке и передаче обновлений на изолированные Серверы администрирования. Прежде чем приступить к закрытию уязвимостей, настройте изолированные Серверы администрирования.

Настройка изолированных Серверов администрирования для закрытия уязвимостей в изолированной сети

После того, как настройка Сервера администрирования с доступом в интернет закончена, подготовьте каждый изолированный Сервер администрирования в вашей сети, чтобы вы могли закрывать уязвимости и устанавливать обновления на управляемых устройствах, подключенных к изолированным Серверам администрирования.

Чтобы настроить изолированные Серверы администрирования, выполните следующие действия на каждом из них:

1. Активируйте лицензионный ключ для Системного администрирования.
2. Создайте две папки на диске, где установлен Сервер администрирования:
   • папку, в которой появится список необходимых обновлений;
   • папку для патчей.

   Названия папок могут быть любыми.

3. Предоставьте группе KLAdmins право Изменение на созданные папки, используя стандартные средства администрирования операционной системы.
4. С помощью утилиты klscflag укажите пути к папкам в свойствах Сервера администрирования.

   Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

5. Введите следующие команды в командной строке Windows:
   • Чтобы указать путь к папке для исправлений:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<путь к папке>"

   • Чтобы задать путь к папке для списка необходимых обновлений:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<path to the folder>"

   Пример: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "C:\FolderForPatches"

6. При необходимости с помощью утилиты klscflag укажите, как часто изолированный Сервер администрирования должен проверять наличие новых патчей:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <value in seconds>

   По умолчанию указано значение 120 секунд.

   Пример: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 150

7. При необходимости с используйте утилиту klscflag для вычисления хешей SHA256 патчей:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Введя эту команду, вы можете убедиться, что патчи не были изменены при их переносе на изолированный Сервер администрирования и что вы получили корректные патчи, содержащие необходимые обновления.

   По умолчанию Kaspersky Security Center не вычисляет хеши SHA256 патчей. Если включить этот параметр, после получения патчей изолированным Сервером администрирования Kaspersky Security Center вычисляет их хеши и сравнивает полученные значения с хешами, хранящимися в базе данных Сервера администрирования. Если вычисленный хеш не совпадает с хешем в базе данных, возникает ошибка и вам необходимо заменить неверные патчи.

8. Создайте задачу Поиск уязвимостей и требуемых обновлений, чтобы получить информацию о патчах для стороннего программного обеспечения, установленного на управляемых устройствах, и настройте расписание выполнения задачи.
9. Создайте задачу Закрытие уязвимостей, чтобы указать патчи для программ сторонних производителей, используемых для закрытия уязвимостей, и настройте расписание задачи.

   Запустите задачи вручную, если вы хотите, чтобы они выполнялись раньше, чем указано в расписании задачи. Порядок запуска задач важен. Задачу Закрытие уязвимостей необходимо запустить после завершения задачи Поиск уязвимостей и требуемых обновлений.

10. Перезапустите службу Сервера администрирования.

После настройки всех Серверов администрирования вы можете переместить исправления и списки необходимых обновлений и закрыть уязвимости программ сторонних производителей на управляемых устройствах в изолированной сети.

Передача исправлений и установка обновлений в изолированной сети

После того, как настройка Серверов администрирования закончена, вы можете переносить патчи с необходимыми обновлениями с Сервера администрирования, имеющего доступ интернет, на изолированные Серверы администрирования. Вы можете передавать и устанавливать обновления с нужной вам частотой, например, один или несколько раз в день.

Съемный диск, например, внешний диск, необходим, для переноса патчей и списка необходимых обновлений между Серверами администрирования. Убедитесь, что внешний диск имеет достаточно места для загрузки и хранения патчей.

Процесс передачи патчей и списка необходимых обновлений показан на рисунке и описан ниже:

Процесс передачи патчей и списка необходимых обновлений между Сервером администрирования с доступом в интернет и изолированными Серверами администрирования

Чтобы установить обновления и закрыть уязвимости на управляемых устройствах, подключенных к изолированным Серверам администрирования:

1. Запустите задачу Установка требуемых обновлений и закрытие уязвимостей, если она еще не запущена.
2. Подключите внешний диск к любому изолированному Серверу администрирования.
3. Создайте на внешнем диске две папки: одну для списка необходимых обновлений и одну для патчей. Названия папок могут быть любыми.

   Если вы создали эти папки ранее, очистите их.

4. Скопируйте список необходимых обновлений с каждого изолированного Сервера администрирования и вставьте этот список в папку для списка необходимых обновлений на внешнем диске.

   В результате вы объединяете все списки, полученные со всех изолированных Серверов администрирования, в одну папку. В этой папке должны находиться бинарные файлы с идентификаторами патчей, необходимых для всех изолированных Серверов администрирования.

5. Подключите внешний диск к Серверу администрирования с доступом в интернет.
6. Скопируйте список необходимых обновлений с внешнего диска и вставьте этот список в папку для списка необходимых обновлений на Сервере администрирования с доступом в интернет.

   Все необходимые патчи автоматически загружаются из интернета в папку патчей на Сервере администрирования. Это может занять несколько часов.

7. Убедитесь, что все необходимые патчей загружены. Для этого можно выполнить одно из следующих действий:
   • Проверьте папку на наличие патчей на Сервере администрирования с доступом в интернет. Все исправления, которые были указаны в списке необходимых обновлений, должны быть загружены в нужную папку. Это удобнее, если требуется небольшое количество исправлений.
   • Подготовьте специальный скрипт, например, shell-скрипт. Если вы получите большое количество патчи, то будет сложно самостоятельно проверить, что все исправления загружены. В таких случаях лучше автоматизировать проверку.
8. Скопируйте патчи с Сервера администрирования с доступом в интернет и вставьте их в соответствующую папку на внешнем диске.
9. Перенесите исправления на каждый изолированный Сервер администрирования. Поместите патчи в специальную папку для них.

В результате каждый изолированный Сервер администрирования формирует актуальный список обновлений, необходимых для управляемых устройств, подключенных к текущему Серверу администрирования. После получения списка необходимых обновлений Сервер администрирования загружает из интернета патчи. При появлении этих патчей на изолированных Серверах администрирования задача Установка требуемых обновлений и закрытие уязвимостей обрабатывает патчи. Таким образом, на управляемые устройства устанавливаются обновления и закрываются уязвимости в программах сторонних производителей.

При выполнении задачи Установка требуемых обновлений и закрытие уязвимостей не перезагружайте устройство Сервера администрирования и не запускайте задачу Резервное копирование данных Сервера администрирования (это также вызовет перезагрузку). В результате задача Установка требуемых обновлений и закрытие уязвимостей прерывается, а обновления не устанавливаются. В этом случае вам необходимо перезапустить эту задачу вручную или дождаться запуска задачи по настроенному расписанию.

Выключение возможности передачи исправлений и установки обновлений в изолированной сети

Вы можете выключить передачу исправлений на изолированные Сервера администрирования, например, если вы решили вывести один или несколько Серверов администрирования из изолированной сети. Таким образом вы сможете уменьшить количество исправлений и время на их загрузку.

Чтобы отключить возможность передачи патчей на изолированные Серверы администрирования:

1. Если вы хотите вывести из изоляции все Серверы администрирования, в свойствах Сервера администрирования с доступом в интернет удалите пути к папкам для патчей и список необходимых обновлений. Если вы хотите, чтобы некоторые Серверы администрирования находились в изолированной сети, пропустите этот шаг.

   Запустите командную строку Windows с правами администратора, а затем измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

   Введите следующие команды в командной строке:

   • Чтобы удалить путь к папке с патчами:

     klscflag -fset -pv klserver -n VAPM_DATA_EXPORT_PATH -t s -v ""

   • Чтобы удалить путь к папке со списком необходимых обновлений:

     klscflag -fset -pv klserver -n VAPM_REQ_IMPORT_PATH -t s -v ""

2. Перезапустите службу Сервера администрирования, если вы удалили пути к папкам на этом Сервере администрирования.
3. В свойствах каждого Сервера администрирования, который вы хотите вывести из изоляции, удалите пути к папкам для патчей и список необходимых обновлений.

   Введите следующие команды в командной строке Windows с правами администратора:

   • Чтобы удалить путь к папке с патчами:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v ""

   • Чтобы удалить путь к папке со списком необходимых обновлений:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v ""

4. Перезапустите службу каждого Сервера администрирования, на котором вы удалили пути к папкам.

Если вы перенастроили Сервер администрирования с доступом в интернет, вы больше не будете получать патчи через Kaspersky Security Center. Если вы перенастроили только некоторые изолированные Серверы администрирования, например, вынеся некоторые из них из изолированной сети, вы получите патчи только для остальных изолированных Серверов администрирования.

Если вы хотите в будущем приступить к закрытию уязвимостей на отключенных изолированных Серверах администрирования, вам необходимо настроить эти Серверы администрирования и Сервер администрирования с доступом в интернет еще раз.