Startseite » Patch-Management für geschlossene Netzwerke

Patch-Management für geschlossene Netzwerke

Hinweis: In diesem Dokument wird der Begriff geschlossenes Netzwerk verwendet, um jede Umgebung zu beschreiben, in der der Endpoint Central Server keinen direkten Internetzugang hat. Dazu gehören gesicherte interne Netzwerke, DMZs und vollständig luftabgeschottete Umgebungen. Der hier beschriebene Patch-Management-Workflow wird durch Einschränkungen der Internetverbindung bestimmt, nicht durch die Netzwerkplatzierung oder -topologie.

Wenn der Endpoint Central Server in einer Umgebung ohne direkten Internetzugang bereitgestellt wird, können zentrale Patch-Funktionen — wie die Synchronisierung der Schwachstellendatenbank, automatische Patch-Downloads und das Abrufen von Hersteller-Updates — nicht online ausgeführt werden.

Diese Einschränkung gilt für geschlossene Netzwerke, in denen ausgehende Internetverbindungen absichtlich blockiert werden, unabhängig davon, wo der Server platziert ist. Eine demilitarisierte Zone (DMZ) ist ein solches Platzierungsszenario. Eine DMZ ist ein segmentierter Netzwerkbereich zwischen einem internen Netzwerk und externen oder nicht vertrauenswürdigen Netzwerken, der dafür ausgelegt ist, Systeme mit strenger Zugriffskontrolle und Isolation zu hosten. Während DMZs einen streng kontrollierten Internetzugang erlauben können, sind sie in Hochsicherheitsumgebungen häufig ohne ausgehende Konnektivität konfiguriert und arbeiten damit effektiv als geschlossene Netzwerke.

In restriktiveren Setups, wie z. B. luftabgeschotteten Netzwerken, ist der Endpoint Central Server vollständig isoliert, ohne physische oder logische Verbindung zu externen Netzwerken.

Obwohl sich diese Umgebungen hinsichtlich Netzwerktopologie und Isolationsgrad unterscheiden, haben sie eine gemeinsame Einschränkung: Der Endpoint Central Server kann nicht direkt mit externen Update-Quellen kommunizieren. Daher müssen Patchen und Schwachstellenbehebung mit Offline- oder manuellen Workflows durchgeführt werden. Die folgenden Schritte erläutern, wie Schwachstellendaten manuell synchronisiert, erforderliche Patches über ein System mit Internetverbindung heruntergeladen und auf die Zielcomputer innerhalb der eingeschränkten Umgebung verteilt werden.

Endpoint Central — Patchen in geschlossenen Netzwerken

Proxy-Einstellungen konfigurieren

Die folgenden Schritte helfen Ihnen beim Konfigurieren der Proxy-Einstellungen:

  1. Öffnen Sie die Endpoint Central-Konsole und navigieren Sie zu Admin -> Proxy-Server unter Server-Einstellungen.
  2. Klicken Sie unter dem Symbol Proxy-Server auf Bearbeiten.
  3. Wählen Sie Keine Internetverbindung.

  4. Klicken Sie auf OK, um die Änderungen zu speichern.
     

    Proxy-Server-Einstellungen

Einstellungen der Patch-Datenbank konfigurieren

Um die Einstellungen der Patch-Datenbank zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Endpoint Central-Konsole und navigieren Sie zu Admin -> Einstellungen der Patch-Datenbank unter „Patch-Einstellungen“.

  2. Deaktivieren Sie unter „Zeitplan für die Aktualisierung der Schwachstellendatenbank“ die Option Zeitplan.

    Zeitplan für Patch-DB deaktivieren

Dadurch wird verhindert, dass die DB-Synchronisierung ohne die erforderlichen Daten im Verzeichnis <installdirectory>/conf/CRSData gestartet wird, da der Ordner updatedb im oben genannten Verzeichnis nach einer erfolgreichen Synchronisierung gelöscht wird. Daher schlägt die nächste DB-Synchronisierung fehl, wenn der erforderliche Ordner entfernt wurde.

Tool für geschlossene Netzwerke herunterladen und einrichten

Führen Sie die folgenden Schritte aus, um das Tool für geschlossene Netzwerke herunterzuladen und einzurichten:

  1. Laden Sie diese ZIP-Datei herunter und extrahieren Sie sie auf einem Computer mit Internetverbindung.
     

    Wenn der Computer keine direkte Internetverbindung hat, öffnen Sie die Datei downloadMgr.prop, die sich im extrahierten Speicherort befindet, und geben Sie die Details des Proxy-Server, den Port und die Authentifizierungsdetails an.

  2. Sie haben das Tool erfolgreich konfiguriert und es ist nun einsatzbereit. Die Konfiguration des Proxys und das Einrichten des Tools sind einmalige Vorgänge, während die Aktualisierung der Schwachstellendatenbank und das Herunterladen der erforderlichen Patches jedes Mal durchgeführt werden müssen, wenn Sie nach Schwachstellen scannen und die neuesten fehlenden Patches bereitstellen möchten.

Hinweis: Wenn Sie einen TAA-konformen Endpoint Central Server ausführen, laden Sie das Tool für geschlossene Netzwerke über diesen Link herunter.

Schwachstellendatenbank aktualisieren

Führen Sie die folgenden Schritte aus, um die Schwachstellendatenbank zu aktualisieren:

  1. Gehen Sie zu dem Rechner, auf dem Sie die Datei downloadMgr.prop extrahiert haben, öffnen Sie eine Eingabeaufforderung und navigieren Sie zum extrahierten Verzeichnis.

  2. Führen Sie je nach Betriebssystem der von Ihnen verwalteten Rechner den folgenden Befehl aus:
     

    • Wenn Sie nur Windows & Mac verwalten: 
      patchsync.bat -c updatedb -b <BUILD_NUMBER>
    • Wenn Sie alle drei Systeme — Windows, Mac und Linux — verwalten: 
      patchsync.bat -c updatedb -i linux -b <BUILD_NUMBER>
    • Stellen Sie sicher, dass Sie die Build-Nummer des installierten Endpoint Central Server eingegeben haben und dass sie das richtige Format hat. Zum Beispiel 11.3.2400.1 oder 113240001.

    Sie finden die Build-Nummer, indem Sie in der oberen rechten Ecke der Endpoint Central-Konsole auf Ihr Profil klicken.

Build-Speicherort in der Konsole

  • Dadurch werden die neuesten Schwachstelleninformationen aus der zentralen Schwachstellendatenbank auf den lokalen Computer heruntergeladen. Dieser Download nimmt einige Zeit in Anspruch, und nach Abschluss werden die erforderlichen Informationen im Verzeichnis updatedb aktualisiert.
  • Kopieren Sie das Verzeichnis updatedb auf den Endpoint Central Server in das Verzeichnis <Installation Directory>/conf/CRSData.

Hinweis : Bevor Sie den Ordner kopieren, löschen Sie ihn, falls der Ordner „updatedb“ bereits im Verzeichnis <Installation Directory>/conf/CRSData vorhanden ist, und ersetzen Sie ihn dann durch die neueste Version.

Der Ordner CRSData muss unverändert erhalten bleiben. Das Löschen seines Inhalts kann das Patch-Management in geschlossenen Netzwerken beeinträchtigen.

  • Navigieren Sie in der Webkonsole zu Bedrohungen & Patches -> Jetzt aktualisieren und klicken Sie unter Schwachstellen-DB aktualisieren auf die Schaltfläche Jetzt aktualisieren. Dadurch werden die erforderlichen Informationen aus dem Verzeichnis updatedb in die lokale Datenbank auf dem Server kopiert. Die lokale Datenbank enthält nun die neuesten Patch-Informationen.

  • Scannen Sie nun die Computer im Netzwerk, um die fehlenden Patches zu ermitteln.
     

    Sie können nicht alle fehlenden Patches anzeigen, solange der Scan nicht für alle Computer abgeschlossen ist. Stellen Sie sicher, dass alle Computer gescannt wurden, bevor Sie die fehlenden Patches manuell herunterladen.

Der nächste Schritt besteht darin, die fehlenden Patches auf dem Computer mit Internetverbindung herunterzuladen und sie anschließend auf diesen Computer zurückzukopieren.

Erforderliche Patches herunterladen

  1. Sie können die erforderlichen Patches manuell von den Herstellerseiten herunterladen und über die Option „Patches hochladen“ in die Konsole hochladen.
  2. Zum Herunterladen der Patches benötigen Sie zunächst die Details der fehlenden Patches. Gehen Sie dazu zur Ansicht „Fehlende Patches“, wählen Sie die zu exportierenden Patches aus und klicken Sie auf die Schaltfläche Fehlende Patches exportieren. Dadurch werden die Details der fehlenden, noch nicht heruntergeladenen Patches sowie der abhängigen Patches, die heruntergeladen werden müssen, als downloadUrlJson.txt exportiert.

Fehlende Patches exportieren

  • Kopieren Sie diese Datei in das Verzeichnis auf dem Computer, auf dem Sie die Datei UpdateManager.zip extrahiert haben.
  • Öffnen Sie eine Eingabeaufforderung und führen Sie den folgenden Befehl aus:
    patchsync.bat -c dwnpatch -f downloadUrlJson.txt
  • Dadurch werden alle fehlenden Patches in das Verzeichnis „store“ heruntergeladen. Sobald alle Dateien heruntergeladen wurden, kopieren Sie den Inhalt des Verzeichnisses „store“ und fügen Sie ihn auf dem Endpoint Central Server in das Verzeichnis <Installation_Dir>/webapps/DesktopCentral/Store ein (dies ist der Standardpfad; wenn dieser geändert wurde, kopieren Sie die Dateien an den entsprechenden Speicherort).
  • Sie sollten diese Informationen anschließend in die Datenbank des Endpoint Central Server übernehmen, damit all diese Patches in der Ansicht „Heruntergeladene Patches“ angezeigt werden. Öffnen Sie dazu die Ansicht „Heruntergeladene Patches“ und klicken Sie auf die Schaltfläche Heruntergeladene Patches aktualisieren.

Heruntergeladene Patches aktualisieren

  • Alle manuell heruntergeladenen Patches werden in der Ansicht angezeigt, von der aus Sie sie auf die gewünschten Computer bereitstellen können.

Sie können nun Schwachstellen erfolgreich verwalten und haben den Patch-Management-Prozess in einem geschlossenen Netzwerk konfiguriert.

So führen Sie das Tool in einer Linux-Umgebung aus:

  • Für DB-Update ohne Linux:
    ./patchsync.sh -c updatedb -b <BUILD_NUMBER>
  • Für DB-Update mit Linux: 
    ./patchsync.sh -c updatedb -i linux -b <BUILD_NUMBER>
  • Für die Verwaltung von Linux-Systemen verwenden Sie den folgenden Befehl: ./patchsync.sh -c dwnpatch -f downloadUrlJson.txt

Führen Sie die folgenden vorbereitenden Schritte aus:

1. Die richtige Java-Version festlegen

  • Für Java-8-Builds:
    Stellen Sie sicher, dass jre_1_8_0_192 installiert ist.
    Setzen Sie JAVA_HOME wie folgt:
     

    JAVA_HOME="/usr/lib/jvm/jre_1_8_0_192"

  • Für Java-11-Builds:
    Installieren Sie java-11-openjdk-amd64.
    Setzen Sie JAVA_HOME wie folgt:
     

    JAVA_HOME="/usr/lib/jvm/java-11-openjdk-amd64"

Hinweis: Office-Patches werden unter Linux nicht heruntergeladen.

Für die weiteren Schritte zum Ausführen des Tools in einer Linux-Umgebung folgen Sie dem Abschnitt Tool für geschlossene Netzwerke herunterladen und einrichten.

 

Wenn Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt mit den häufig gestellten Fragen für weitere Informationen.

Vertraut von