Configuração de Servidores de Administração isolados para corrigir vulnerabilidades em uma rede isolada
Depois de configurar o Servidor de Administração com acesso à internet, prepare cada Servidor de Administração isolado dentro de sua rede para correção de vulnerabilidades e instalação de atualizações em dispositivos gerenciados conectados a esses Servidores de Administração isolados.
Para configurar Servidores de Administração isolados, siga as etapas abaixo para cada Servidor de Administração:
- Ative uma chave de licença para o recurso Gerenciamento de patches e vulnerabilidades (VAPM).
- Crie duas pastas no disco onde o Servidor de Administração estiver instalado:
- Pasta para a lista de atualizações necessárias
- Pasta para patches
Você pode nomear essas pastas como desejar.
- Conceda a permissão Modificar ao grupo KLAdmins nas pastas criadas por meio das ferramentas administrativas padrão do sistema operacional.
- Use o utilitário klscflag para especificar os caminhos para as pastas nas propriedades do Servidor de Administração.
Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.
- Execute os seguintes comandos na linha de comando:
- Para definir o caminho para a pasta de patches:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<
caminho da pasta
>" - Para definir o caminho para a pasta para a lista de atualizações necessárias:
klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<
caminho para a pasta
>"
Exemplo:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"
- Para definir o caminho para a pasta de patches:
- Se necessário, use o utilitário klscflag para especificar com que frequência o Servidor de Administração isolado deve verificar novos patches:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <
valor em segundos
>O valor padrão é de 120 segundos.
Exemplo:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120
- Se necessário, use o utilitário klscflag para calcular os hashes SHA256 dos patches:
klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1
Ao executar este comando, você pode garantir que os patches não foram modificados durante sua transferência para o Servidor de Administração isolado e que recebeu os patches corretos contendo as atualizações necessárias.
Por padrão, o Kaspersky Security Center Linux não calcula os hashes SHA256 dos patches. Caso queira habilitar essa opção, depois que o Servidor de Administração isolado receber os patches, o Kaspersky Security Center Linux calculará os hashes e comparará os valores adquiridos com os hashes armazenados no banco de dados do Servidor de Administração. Caso o hash calculado não corresponda ao hash no banco de dados, ocorrerá um erro e será necessário substituir os patches incorretos.
- Criar e agendar a tarefa Encontrar as vulnerabilidades e as atualizações necessárias. Execute a tarefa manualmente caso desejar que ela seja executada antes do especificado no agendamento da tarefa.
- Reinicie o serviço do Servidor de Administração.
Após configurar todos os Servidores de Administração, será possível transmitir os patches e listas de atualizações necessárias e corrigir as vulnerabilidades de software de terceiros em dispositivos gerenciados dentro da rede isolada.