Configuração de Servidores de Administração isolados para corrigir vulnerabilidades em uma rede isolada

Depois de configurar o Servidor de Administração com acesso à internet, prepare cada Servidor de Administração isolado dentro de sua rede para correção de vulnerabilidades e instalação de atualizações em dispositivos gerenciados conectados a esses Servidores de Administração isolados.

Para configurar Servidores de Administração isolados, siga as etapas abaixo para cada Servidor de Administração:

1. Ative uma chave de licença para o recurso Gerenciamento de patches e vulnerabilidades (VAPM).
2. Crie duas pastas no disco onde o Servidor de Administração estiver instalado:
   • Pasta para a lista de atualizações necessárias
   • Pasta para patches

   Você pode nomear essas pastas como desejar.

3. Conceda a permissão Modificar ao grupo KLAdmins nas pastas criadas por meio das ferramentas administrativas padrão do sistema operacional.
4. Use o utilitário klscflag para especificar os caminhos para as pastas nas propriedades do Servidor de Administração.

   Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.

5. Execute os seguintes comandos na linha de comando:
   • Para definir o caminho para a pasta de patches:

     klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "<caminho da pasta>"

   • Para definir o caminho para a pasta para a lista de atualizações necessárias:

     klscflag -fset -pv klserver -n VAPM_REQ_EXPORT_PATH -t s -v "<caminho para a pasta>"

   Exemplo: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PATH -t s -v "/FolderForPatches"

6. Se necessário, use o utilitário klscflag para especificar com que frequência o Servidor de Administração isolado deve verificar novos patches:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v <valor em segundos>

   O valor padrão é de 120 segundos.

   Exemplo: klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_PERIOD_SEC -t d -v 120

7. Se necessário, use o utilitário klscflag para calcular os hashes SHA256 dos patches:

   klscflag -fset -pv klserver -n VAPM_DATA_IMPORT_VERIFY_HASH -t d -v 1

   Ao executar este comando, você pode garantir que os patches não foram modificados durante sua transferência para o Servidor de Administração isolado e que recebeu os patches corretos contendo as atualizações necessárias.

   Por padrão, o Kaspersky Security Center Linux não calcula os hashes SHA256 dos patches. Caso queira habilitar essa opção, depois que o Servidor de Administração isolado receber os patches, o Kaspersky Security Center Linux calculará os hashes e comparará os valores adquiridos com os hashes armazenados no banco de dados do Servidor de Administração. Caso o hash calculado não corresponda ao hash no banco de dados, ocorrerá um erro e será necessário substituir os patches incorretos.

8. Criar e agendar a tarefa Encontrar as vulnerabilidades e as atualizações necessárias. Execute a tarefa manualmente caso desejar que ela seja executada antes do especificado no agendamento da tarefa.
9. Reinicie o serviço do Servidor de Administração.

Após configurar todos os Servidores de Administração, será possível transmitir os patches e listas de atualizações necessárias e corrigir as vulnerabilidades de software de terceiros em dispositivos gerenciados dentro da rede isolada.