Настройка изолированных Серверов администрирования для закрытия уязвимостей в изолированной сети

После настройки Сервера администрирования с доступом в интернет, подготовьте каждый изолированный Сервер администрирования в вашей сети, чтобы закрывать уязвимости и устанавливать обновления на управляемых устройствах, подключенных к этим изолированным Серверам администрирования.

Чтобы настроить изолированные Серверы администрирования, выполните следующие действия для каждого Сервера администрирования:

1. Активируйте лицензионный ключ для Системного администрирования.
2. Создайте две папки на диске, где установлен Сервер администрирования:
   • папку для списка необходимых обновлений;
   • папку для патчей.

   Вы можете назвать эти папки по своему желанию.

3. Предоставьте группе KLAdmins право Изменение на созданные папки, используя стандартные средства администрирования операционной системы.
4. С помощью утилиты klscflag укажите пути к папкам в свойствах Сервера администрирования.

   Запустите командную строку и измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag находится в директории, в которой установлен Сервер администрирования. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.

5. Выполните следующие команды в командной строке:
   • Чтобы указать путь к папке для исправлений:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<путь к папке>"

   • Чтобы задать путь к папке для списка необходимых обновлений:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<path to the folder>"

   Пример: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"

6. При необходимости с помощью утилиты klscflag укажите, как часто изолированный Сервер администрирования должен проверять наличие новых патчей:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <value in seconds>

   По умолчанию указано значение 120 секунд.

   Пример: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120

7. При необходимости с используйте утилиту klscflag для вычисления хешей SHA256 патчей:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Выполнив эту команду, вы можете убедиться, что патчи не были изменены при их переносе на изолированный Сервер администрирования и что вы получили корректные патчи, содержащие необходимые обновления.

   По умолчанию Kaspersky Security Center Linux не вычисляет хеши SHA256 патчей. Если включить этот параметр, после получения патчей изолированным Сервером администрирования Kaspersky Security Center Linux вычисляет их хеши и сравнивает полученные значения с хешами, хранящимися в базе данных Сервера администрирования. Если вычисленный хеш не совпадает с хешем в базе данных, возникает ошибка и вам необходимо заменить неверные патчи.

8. Создайте задачу Поиск уязвимостей и требуемых обновлений и настройте расписание запуска задачи. Запустите задачу вручную, если вы хотите, чтобы она выполнялась раньше, чем указано в расписании задачи.
9. Перезапустите службу Сервера администрирования.

После настройки всех Серверов администрирования вы можете переместить исправления и списки необходимых обновлений и закрыть уязвимости приложений сторонних производителей на управляемых устройствах в изолированной сети.