Patch-Management für geschlossene Netzwerke
Hinweis: In diesem Dokument wird der Begriff geschlossenes Netzwerk verwendet, um jede Umgebung zu beschreiben, in der der Endpoint Central-Server keinen direkten Internetzugang hat. Dies umfasst gesicherte interne Netzwerke, DMZs und vollständig luftgetrennte Umgebungen. Der hier beschriebene Patch-Management-Workflow wird durch Einschränkungen der Internetverbindung bestimmt, nicht durch die Platzierung oder Topologie des Netzwerks.
Wenn der Endpoint Central-Server in einer Umgebung ohne direkten Internetzugang bereitgestellt wird, können zentrale Patch-Funktionen — wie die Synchronisierung der Schwachstellendatenbank, automatische Patch-Downloads und der Abruf von Hersteller-Updates — nicht online ausgeführt werden.
Diese Einschränkung gilt für geschlossene Netzwerke, in denen ausgehende Internetverbindungen absichtlich blockiert sind, unabhängig davon, wo der Server platziert ist. Eine demilitarisierte Zone (DMZ) ist ein solches Platzierungsszenario. Eine DMZ ist eine segmentierte Netzwerkzone zwischen einem internen Netzwerk und externen oder nicht vertrauenswürdigen Netzwerken, die dafür ausgelegt ist, Systeme mit strenger Zugriffskontrolle und Isolation zu hosten. Während DMZs einen streng kontrollierten Internetzugang erlauben können, werden sie in Hochsicherheitsumgebungen häufig ohne ausgehende Konnektivität konfiguriert und arbeiten damit effektiv als geschlossene Netzwerke.
In noch restriktiveren Setups, wie z. B. luftgetrennten Netzwerken, ist der Endpoint Central-Server vollständig isoliert, ohne physische oder logische Verbindung zu externen Netzwerken.
Obwohl sich diese Umgebungen in Netzwerktopologie und Isolationsgrad unterscheiden, haben sie eine gemeinsame Einschränkung: Der Endpoint Central-Server kann nicht direkt mit externen Update-Quellen kommunizieren. Daher müssen Patchen und Schwachstellenbehebung über Offline- oder manuelle Workflows durchgeführt werden. Die folgenden Schritte erklären, wie Sie Schwachstellendaten manuell synchronisieren, erforderliche Patches über ein System mit Internetverbindung herunterladen und sie auf den Zielcomputern innerhalb der eingeschränkten Umgebung bereitstellen.
- Proxy-Einstellungen konfigurieren
- Einstellungen der Patch-Datenbank konfigurieren
- Closed-Network-Tool herunterladen und einrichten
- Schwachstellendatenbank aktualisieren
- Erforderliche Patches herunterladen
Proxy-Einstellungen konfigurieren
Die unten aufgeführten Schritte helfen Ihnen beim Konfigurieren der Proxy-Einstellungen:
- Öffnen Sie die Endpoint Central-Konsole und navigieren Sie zu Admin -> Proxy-Server unter Servereinstellungen.
- Klicken Sie unter dem Symbol für den Proxy-Server auf „Bearbeiten“.
- Wählen Sie Keine Verbindung zum Internet.
- Klicken Sie auf OK, um die Änderungen zu speichern.
Einstellungen der Patch-Datenbank konfigurieren
Führen Sie die folgenden Schritte aus, um die Einstellungen der Patch-Datenbank zu konfigurieren:
- Öffnen Sie die Endpoint Central-Konsole und navigieren Sie zu Admin -> Patch-Datenbankeinstellungen unter Patch-Einstellungen.
- Deaktivieren Sie unter „Planmäßige Aktualisierung der Schwachstellendatenbank“ die Option Zeitplan.
Dadurch wird verhindert, dass die DB-Synchronisierung ohne die erforderlichen Daten im Verzeichnis <installdirectory>/conf/CRSData gestartet wird, da der Ordner updatedb im oben genannten Verzeichnis nach einer erfolgreichen Synchronisierung gelöscht wird. Daher schlägt die nächste DB-Synchronisierung fehl, wenn der erforderliche Ordner entfernt wurde.
Closed-Network-Tool herunterladen und einrichten
Führen Sie die folgenden Schritte aus, um das Closed-Network-Tool herunterzuladen und einzurichten:
- Laden Sie diese ZIP-Datei herunter und extrahieren Sie sie auf einem Computer mit Internetverbindung.
Falls der Computer keine direkte Internetverbindung hat, öffnen Sie die Datei downloadMgr.prop, die sich im extrahierten Speicherort befindet, und geben Sie die Details des Proxy-Servers, den Port und die Authentifizierungsdaten an.
- Sie haben das Tool erfolgreich konfiguriert und es ist nun einsatzbereit. Das Konfigurieren des Proxys und das Einrichten des Tools sind einmalige Vorgänge, während die Aktualisierung der Schwachstellendatenbank und das Herunterladen der erforderlichen Patches jedes Mal durchgeführt werden müssen, wenn Sie nach Schwachstellen scannen und die neuesten fehlenden Patches bereitstellen möchten.
Hinweis: Wenn Sie einen TAA-konformen Endpoint-Central-Server verwenden, laden Sie das Closed-Network-Tool über diesen Link herunter.
Schwachstellendatenbank aktualisieren
Führen Sie die folgenden Schritte aus, um die Schwachstellendatenbank zu aktualisieren:
- Wechseln Sie zu dem Rechner, auf dem Sie die Datei downloadMgr.prop extrahiert haben, öffnen Sie eine Eingabeaufforderung und navigieren Sie zum extrahierten Verzeichnis.
- Führen Sie je nach Betriebssystem der von Ihnen verwalteten Rechner den folgenden Befehl aus:
- Wenn Sie nur Windows & Mac verwalten:
patchsync.bat -c updatedb -b <BUILD_NUMBER> - Wenn Sie alle drei Systeme verwalten, also Windows, Mac und Linux:
patchsync.bat -c updatedb -i linux -b <BUILD_NUMBER> - Vergewissern Sie sich, dass Sie die Build-Nummer des installierten Endpoint Central-Servers eingegeben haben und dass sie im korrekten Format vorliegt. Zum Beispiel 11.3.2400.1 oder 113240001.
Sie finden die Build-Nummer, indem Sie auf Ihr Profil in der oberen rechten Ecke der Endpoint Central-Konsole klicken.
- Wenn Sie nur Windows & Mac verwalten:
- Dadurch werden die neuesten Schwachstelleninformationen aus der zentralen Schwachstellendatenbank auf den lokalen Computer heruntergeladen. Dieser Download dauert некоторое Zeit, und nach Abschluss werden die erforderlichen Informationen im Verzeichnis updatedb aktualisiert.
- Kopieren Sie das Verzeichnis updatedb auf den Endpoint Central-Server in das Verzeichnis <Installation Directory>/conf/CRSData.
Hinweis : Bevor Sie kopieren: Falls der Ordner updatedb bereits im Verzeichnis <Installation Directory>/conf/CRSData vorhanden ist, löschen Sie ihn und ersetzen Sie ihn anschließend durch die neueste Version.
Der Ordner CRSData muss intakt bleiben. Das Löschen seines Inhalts kann das Patch-Management in geschlossenen Netzwerken beeinträchtigen.
- Navigieren Sie in der Web-Konsole zu Bedrohungen & Patches -> Jetzt aktualisieren und klicken Sie unter Schwachstellen-DB aktualisieren auf die Schaltfläche Jetzt aktualisieren. Dadurch werden die erforderlichen Informationen aus dem Verzeichnis updatedb in die lokale, auf dem Server vorhandene Datenbank kopiert. Danach enthält die lokale Datenbank die neuesten Patch-Informationen.
- Scannen Sie nun die Computer im Netzwerk, um die fehlenden Patches zu identifizieren.
Sie können nicht alle fehlenden Patches anzeigen, solange der Scan nicht für alle Computer abgeschlossen ist. Stellen Sie sicher, dass alle Computer gescannt wurden, bevor Sie die fehlenden Patches manuell herunterladen.
Der nächste Schritt besteht darin, die fehlenden Patches auf dem Computer mit Internetverbindung herunterzuladen und sie zurück auf diesen Computer zu kopieren.
Erforderliche Patches herunterladen
- Sie können die erforderlichen Patches manuell von den Herstellerseiten herunterladen und sie über die Option „Patches hochladen“ in die Konsole hochladen.
- Zum Herunterladen der Patches benötigen Sie zunächst die Details der fehlenden Patches. Gehen Sie dazu zur Ansicht „Fehlende Patches“, wählen Sie die zu exportierenden Patches aus und klicken Sie auf die Schaltfläche Fehlende Patches exportieren. Dadurch werden die Details der fehlenden, noch nicht heruntergeladenen Patches sowie der abhängigen Patches, die heruntergeladen werden müssen, als downloadUrlJson.txt exportiert.
- Kopieren Sie diese Datei in das Verzeichnis auf dem Computer, in dem Sie die Datei UpdateManager.zip extrahiert haben.
- Öffnen Sie eine Eingabeaufforderung und führen Sie den folgenden Befehl aus:
patchsync.bat -c dwnpatch -f downloadUrlJson.txt - Dadurch werden alle fehlenden Patches in das Verzeichnis store heruntergeladen. Sobald alle Dateien heruntergeladen wurden, kopieren Sie den Inhalt des Verzeichnisses store und kopieren Sie ihn auf den Endpoint Central-Server in das Verzeichnis <Installation_Dir>/webapps/DesktopCentral/Store (dies ist der Standardspeicherort; falls dieser geändert wurde, kopieren Sie ihn an den entsprechenden Speicherort).
- Sie sollten diese Informationen dann in die Datenbank des Endpoint Central-Servers übernehmen, damit alle diese Patches in der Ansicht „Heruntergeladene Patches“ angezeigt werden. Öffnen Sie dazu die Ansicht „Heruntergeladene Patches“ und klicken Sie auf die Schaltfläche Heruntergeladene Patches aktualisieren.
- Alle manuell heruntergeladenen Patches werden in der Ansicht angezeigt, von der aus Sie sie auf den erforderlichen Computern bereitstellen können.
Sie können nun Schwachstellen erfolgreich verwalten und den Patch-Management-Prozess in einem geschlossenen Netzwerk konfiguriert haben.
So führen Sie das Tool in einer Linux-Umgebung aus:
- Für DB-Aktualisierung ohne Linux:
./patchsync.sh -c updatedb -b <BUILD_NUMBER> - Für DB-Aktualisierung einschließlich Linux:
./patchsync.sh -c updatedb -i linux -b <BUILD_NUMBER> - Verwenden Sie für die Verwaltung von Linux-Systemen den folgenden Befehl: ./patchsync.sh -c dwnpatch -f downloadUrlJson.txt
Führen Sie die folgenden vorbereitenden Schritte aus:
1. Die korrekte Java-Version festlegen
- Für Java-8-Builds:
Stellen Sie sicher, dass jre_1_8_0_192 installiert ist.
Setzen Sie JAVA_HOME wie folgt:JAVA_HOME="/usr/lib/jvm/jre_1_8_0_192"
- Für Java-11-Builds:
Installieren Sie java-11-openjdk-amd64.
Setzen Sie JAVA_HOME wie folgt:JAVA_HOME="/usr/lib/jvm/java-11-openjdk-amd64"
Für die weiteren Schritte zum Ausführen des Tools in einer Linux-Umgebung folgen Sie ab Closed-Network-Tool herunterladen und einrichten.
Wenn Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt Häufig gestellte Fragen für weitere Informationen.
