Создание особой конфигурации исправлений
Для создания вашей особой конфигурация исправлений нажмите Создать конфигурацию на странице настроек исправлений.
- Имя конфигурации: Имя, которое будет назначено этой конфигурации.
- Комментарий: Укажите комментарий, описывающий назначение этой конфигурации.
Метод установки исправлений в ОС Linux без использования особых данных
Решение компании Ivanti для исправления ОС Linux отличается от решения для ОС Windows и Mac. Важно понимать отличия подхода без использования особых данных для исправления ОС Linux, так как он зависит от того, когда данные исправлений появляются в продуктах Ivanti.
Для ОС Windows и Mac данные исправлений обрабатываются и тестируются Ivanti перед их выпуском и использованием в продуктах. Для получения информации об этом процессе перейдите в Сообщество пользователей Ivanti (будет открыто в новом окне). Данный подход необходим, так как эти операционные системы позволяют устанавливать программное обеспечение из различных источников.
В ОС Linux используется другой метод - развертывание и обслуживание установленного ПО управляется с помощью Диспетчера пакетов, подключенного к хранилищам конкретных дистрибутивов. Продукты установки исправлений Ivanti используют источники хранилищ устройств для размещения данных исправлений, необходимых во время сканирования. Это подход без использования особых данных является более гибким. Он допускает использование сторонних и внутренних хранилищ без необходимости для Ivanti обновлять собственное содержимое исправлений. Кроме того, как только обновления станут доступны в хранилище, они будут доступны для установки без необходимости обновления содержимого исправлений, получаемых из Ivanti. Данные исправлений Linux не отображаются в Neurons, пока устройство не будет просканировано, а данные для этого устройства не будут загружены и обработаны. Во время сканирования большего количества устройств любые дополнительные данные объединяются для представления полной картины.
Вкладка 'Действия конфигурации'
Эта вкладка используется для конфигурации ряда различных параметров, связанных с развертыванием исправлений.
Совет: Выберите Показать сводку для отображения сводки ваших особых параметров конфигурации исправлений с вкладками для каждой операционной системы. Эта сводка обновляется в режиме реального времени с добавлением, удалением или изменением параметров конфигурации исправления.
Эта область используется для конфигурации развертываемых исправлений (параметры развертывания) и когда запросы на перезагрузку ваших целевых компьютеров будут отправлены в процессе развертывания (действие перезагрузки). Вы можете сконфигурировать различные действия развертывания для разных операционных систем в одной конфигурации исправления.
Включение развертывания для операционной системы
Вы можете отдельно включать и выключать развертывание исправлений для каждой операционной системы. В разделе Действие развертывания выберите операционную систему, а затем установите нужные значения Развернуть исправления.
Для создания конфигурации исправления только для сканирования установите переключатель развертывания для всех вкладок операционных систем.
Параметры развертывания
Существует три конфигурируемых параметра развертывания, связанных с операционными системами:
- Windows: Развернуть по серьезности, Развернуть/исключить по группе исправлений и Выбранные поставщики/продукты.
- Mac: Развернуть по серьезности, Развернуть по группе исправлений
- Linux: Исправить все
По умолчанию будут выбираться только критические исправления безопасности для Windows. Если вы включите и сконфигурируете параметры Развернуть по серьезности и настроите некоторые группы исправлений для включения в Развернуть/исключить по группам исправлений, будут добавлены и развернуты все исправления для каждого сконфигурированного параметра. Если вы включите и сконфигурируете параметр Выбранные поставщики/продукты, исправления будут фильтроваться для двух других параметров. Если вы настроите группу исправлений для исключения из Развернуть/исключить по группам исправлений, тогда исправления в этой группе с настройкой Исключить будут всегда исключаться, даже если они настроены для включения в других местах.
Пример 1: Если нужно развернуть только исправления, содержащиеся в группе исправлений:
- Выключите параметры Развернуть по серьезности и Выбранные поставщики/продукты.
- Включите параметр Развернуть/исключить по группе исправлений и настройте нужную группу исправлений для ее включения
Пример 2: Предположим, что вы конфигурируете следующее:
- Развернуть по серьезности: Установлены параметры - "Безопасность - критические" и "Безопасность - важные".
- Развернуть/исключить по группам исправлений Вы можете настроить для включения одну группу исправлений, содержащую одно критическое исправление, одно важное исправление и два умеренных исправления безопасности.
- Выбранные поставщики/продукты: Этот параметр выключен.
В этом случае критические и важные исправления безопасности будут развернуты для всех поставщиков и продуктов. Кроме того, будут развернуты все четыре вида исправлений, содержащиеся в группе исправлений, включая два исправления умеренной безопасности.
Пример 3: Аналогично примеру 2, вы также можете использовать параметр Выбранные поставщики/продукты для указания того, что нужно развернуть только исправления Adobe. В этом случае будут развернуты только критические исправления безопасности Adobe, важные исправления безопасности Adobe и любые исправления Adobe, содержащиеся в группе исправлений.
Пример 4: Подобно примеру 3, но с использованием параметра Развернуть/исключить по группе исправлений для исключения группы исправлений, содержащей определенное и важное для безопасности исправление Adobe. В этом случае будут развернуты только критические исправления безопасности Adobe (кроме одного из группы исключенных исправлений), важные исправления безопасности Adobe и любые исправления Adobe, содержащиеся в группе исправлений.
Если исправление добавлено в группу, настроенную как Исключить, тогда исправление не будет развернуто, даже если другие настройки прямо указывают на его необходимость.
Пример 5 (особый случай для Windows): Допустим, вы конфигурируете развертывание по серьезности только для критически важных исправлений безопасности, а также развертывание по группе исправлений для включения Vantosi версии 3.
Если затем будет выпущено ПО Vantosi версии 4 как критически важное для безопасности перед развертыванием другого исправления ПО Vantosi версии 5 в качестве важного для безопасности, то для Windows не будут установлены ни ПО Vantosi версии 4, ни Vantosi версии 5. Это связано с тем, что последняя версия (Vantosi 5) не соответствует требованиям серьезности для развертывания, и ни ПО Vantosi версии 4, ни ПО Vantosi версии 5 не были включены в группу исправлений. Имейте в виду - если вы сконфигурировали данную конфигурацию исправлений для Mac, будет развернуто ПО Vantosi V4.
Рекомендуется регулярно использовать компонент Отчетность о соответствии для проверки статуса соответствия ваших устройств и добавления в группу исправлений всех новых исправлений, которые критичны для безопасности. Для получения дополнительной информации см. разделы Отчетность о соответствии и Группы исправлений.
Выбор параметров развертывания
- Развернуть по серьезности (Mac и Windows): Если этот параметр включен, вы можете указать типы исправлений и уровни их серьезности, которые должны быть включены в развертывание. По умолчанию будут выбираться только критические исправления безопасности.
- Исправления безопасности: Исправления, связанные с бюллетенем безопасности. Вы можете выбрать для развертывания один или более конкретных уровней серьезности.
- Критическое: Уязвимости, которые могут быть использованы неавторизованными удаленными злоумышленниками, или уязвимости, нарушающие изоляцию операционной системы виртуальной машины или сервера, содержащего виртуальные машины. Использование уязвимости приводит к нарушению конфиденциальности, целостности, доступности данных пользователя или процесса обработки ресурсов без вмешательства пользователя. Использование уязвимости может заключаться в распространении через Интернет вирусов-червей или в произвольном запуске программы взаимодействия между виртуальными машинами и сервером, содержащим виртуальные машины.
- Важное! Уязвимости, использование которых приводит к нарушению конфиденциальности, целостности или доступности данных пользователя и обработки ресурсов. Слабые места в защите могут позволить локальным пользователям получать привилегии, а несанкционированным удаленным пользователям запускать произвольный код или позволить локальными или удаленным пользователям легко отменять работу служб.
- Умеренное: Слабые места в защите, при которых вероятность использования уязвимости значительно уменьшается благодаря настройкам или из-за трудности реализации, но которые при определенных сценариях развертывания по-прежнему могут приводить к нарушению конфиденциальности, целостности или доступности данных пользователя и обработки ресурсов. Такие типы уязвимостей могут оказывать критическое или важное влияние, но ими труднее воспользоваться, исходя из технической оценки слабого места в защите или из-за настроек, менее подверженных негативному воздействию.
- Низкое: Все другие проблемы, оказывающие влияние на безопасность. Уязвимые места в защите, воспользоваться которыми крайне сложно, и успешное использование которых имело бы минимальный эффект.
- Не назначено: Исправления безопасности, которые не были назначены для уровня серьезности.
- Исправления, не относящиеся к безопасности: Исправления поставщиков, решающие известные проблемы программного обеспечения, не связанные с безопасностью. Вы можете выбрать для развертывания в среде Windows один или более конкретных уровней серьезности поставщиков. См. раздел Исправления безопасности для получения информации о доступных уровнях безопасности.
- Исправления безопасности: Исправления, связанные с бюллетенем безопасности. Вы можете выбрать для развертывания один или более конкретных уровней серьезности.
- Развернуть/исключить по группе исправлений (Windows) или Развернуть по группе исправлений (Mac): Если этот параметр включен, вы можете указать одну или несколько групп исправлений, содержащих исправления, которые нужно включить в развертывание или исключить из него (только Windows). Это хороший способ убедиться в том, что будут развернуты только утвержденные исправления. Отсутствующие исправления, не содержащиеся в группах исправлений, настроенные для включения, не будут развернуты, пока не будут указаны в параметре Развернуть по серьезности. Исправления в группах исправлений, настроенных как Исключить, не будут развернуты даже если другие настройки прямо указывают на необходимость установки. Информацию о доступных группах исправлений можно увидеть на вкладке Группы исправлений на странице Настройки исправления. Группы исправлений управляются с помощью приложения Patch Intelligence.
После включения развертывания/исключения по группам исправлений отображается таблица всех групп исправлений, в которой представлено количество исправлений для каждой операционной системы, а также общее количество исправлений в каждой группе исправлений. Установите параметр рядом с группой исправлений, нажмите Включить или Исключить. Нажмите Очистить для отмены выбора группы исправлений.
Значок или рядом с количеством исправлений для конфигурируемой операционной системы указывает на наличие в конфигурации включения или исключения этих исправлений соответственно.
Вы можете быстро определить, какие исправления присутствуют в группе перед ее выбором. Для этого нажмите числовую ссылку в таблице для отображения соответствующих исправлений под таблицей групп исправлений. Используйте столбец Платформа для определения операционной системы, а столбец Статус для определения статуса каждого исправления.
Отображаемый статус является приблизительным, и его данные основаны на информации использования этой группы исправлений с текущей конфигурацией исправлений. Есть факторы, влияющие на статус исправления. Например, если вы используете параметр Выбранные поставщики/продукты вместе с группой исправлений, это может привести к фильтрации одного или нескольких исправлений в группе.
- Активно: Эта группа исправлений использовалась данной конфигурацией для обеспечения доступности исправления для устройств конечных пользователей. Устройства являются частью групп политик, связанных с данной конфигурацией исправления.
- Неактивно: Две возможные причины такого статуса исправления. (1) Эта группа исправлений не использовалась для обеспечения доступности исправления для устройств. (2) Конфигурация исправления, которой назначена эта группа исправлений, не была активирована для устройств.
Есть сценарий, для которого исправление, указанное как Неактивно, может на самом деле оказаться активным. Если исправление присутствует в более чем в одной группе, возможно, одна из других групп исправлений использовалась для обеспечения доступности этого исправления для устройств.
- Выбранные поставщики/продукты (тотько Windows): Если этот параметр выключен, исправления всех доступных поставщиков и продуктов будут включены в развертывание, указанное в параметрах Развернуть по серьезности и Развернуть по группе исправлений. С появлением новых продуктов и исправлений они будут добавляться в развертывание.
- Выбрать все: После установки этого параметра будут выбираться все доступные в настоящее время исправления всех поставщиков и продуктов в списке. Новые исправления поставщиков и продуктов, которые станут доступны позже, будут добавлены в развертывание.
- Выбор отдельных поставщиков и продуктов: Будут развернуты только исправления для выбранных поставщиков, семейств и/или версий продуктов. Поставщики и продукты, которые не были выбраны, не будут включены в процесс развертывания.
Если этот параметр включен, вы сможете указать поставщиков, семейства и версии продуктов для развертывания на конечных системах. Поставщики и продукты, которые не были выбраны, не будут включены в развертывание. Все элементы представляются в виде иерархического списка. Если вы установите параметр на одном уровне, также будут установлены все параметры на более низких уровнях.
СОВЕТ: Если вы хотите исключить небольшое количество элементов, вы можете установить параметр Выбрать все, а затем отменить установку параметров для элементов, которые нужно исключить.
Действия перезагрузки
Эта область используется для конфигурации перезагрузки ваших целевых компьютеров в процессе развертывания. Платформа Ivanti Neurons централизованно обрабатывает запросы перезагрузки для предотвращения конфликтов между различными функциями Ivanti Neurons. Это означает, что перезагрузка может быть выполнена по запросу не сразу.
macOS всегда перезагружается после развертывания исправлений ОС после запроса у пользователя развертывания обновлений ОС. Вы также можете выбрать Всегда перезагружать после обновления (даже без установки исправлений ОС) для конфигураций Mac.
- Перезагрузить до развертывания (только Windows): Если этот параметр установлен, он используется для указания того, что перезагрузка целевых компьютеров выполняется до развертывания исправлений. Наиболее оптимальным методом является перезагрузка компьютеров перед установкой нового значимого программного обеспечения, особенно в случае крупных изменений в ПО, например, уровней продукта операционной системы. Если вы выберете перезагрузку компьютера, можно указать предупреждения, которые будет получать вошедший в систему пользователь, и выбрать степень контроля пользователем процесса перезагрузки. Возможные действия:
- Выполнение перезагрузки через нескольких минут
- Предупреждение пользователя, что перезагрузка произойдет во время его выхода.
- Выбор продолжительности отображения стандартного сообщения Windows о завершении работы после запуска процесса завершения работы. Для предварительного просмотра диалога, который увидит пользователь, нажмите Пример отсчета.
- Разрешить пользователю продлить тайм-аут, для которого выполняется обратный отсчет, до заданного максимума.
- Разрешение пользователю отменить тайм-аут. В случае отмены тайм-аута исправления не будут развернуты, пока пользователь не выйдет или не выполнит выход или вручную не перезагрузит компьютер.
- Разрешение пользователю отменить перезагрузку. Исправления не будут установлены, пока компьютер не будет перезагружен.
- Перезагрузить после развертывания (Windows и Linux): Если этот параметр установлен, он используется для указания того, что перезагрузка целевых компьютеров выполняется после развертывания исправлений. Существует два варианта:
- Всегда: Указывает, что перезагрузка каждого компьютера выполняется после развертывания исправлений. Это наиболее безопасная функция при развертывании исправлений, поскольку для окончательной установки большинства исправлений требуется перезагрузка, однако иногда компьютеры перезагружать не нужно.
- Когда необходимо: Используется для указания, что будет определять агент Ivanti Neurons, а именно, требуется ли перезагружать каждый компьютер с учетом включенных в развертывание исправлений.
Если вы решите перезагрузить компьютеры, используя соответствующие группы политик затем можно указать дополнительные параметры, например, количество предупреждений, которые получит выполнивший вход пользователь, и степень контроля, который пользователь будет иметь над процессом перезагрузки. Для получения дополнительной информации см. раздел Информация группы политик.
Эта область используется для конфигурации развертываний, которые выполняются повторно.
Вкладка Установить повторение используется для планирования регулярных развертываний в заданное время и использования указанного шаблона повторов. Например, операция развертывания может выполняться каждый день в полночь или каждую субботу в 9 часов вечера, в конце каждой рабочей недели в 11 часов вечера или в любое выбранное пользователем время и через заданный интервал.
- Выполнить во время перезагрузки, если пропущено по расписанию: Если запланированное развертывание пропущено из-за отключения питания компьютера, оно будет выполнено в течение часа после включения компьютера.
- Развернуть исправления: Вы можете запланировать развертывание исправлений, используя следующие параметры:
- Ежедневно: Развертывания будут выполняться каждый день недели в выбранное время.
- Еженедельно: Развертывания будут выполняться в указанном день недели в выбранное время.
- Ежемесячно: Развертывания будут выполняться в указанный день или конкретный день месяца в выбранное время. Вы также можете использовать этот параметр планирования развертывания в сочетании с развертываниями исправлений Microsoft по вторникам. Например, вы можете запланировать ежемесячное развертывание исправлений на следующий день после исправлений по вторникам, установив параметр Также развертывать после исправлений по вторникам, а затем указав 1 в качестве количества дней после вторника, чтобы отложить установку.
Параметр Добавить задержку обеспечивает гибкость планирования, позволяя добавить задержку на несколько дней в ежемесячное расписание. Например, если ваш консультативный совет по изменениям собирается в первую среду каждого месяца для согласования развертываемых в следующую субботу исправлений, вы можете выбрать развертывание в первую среду с задержкой на 3 дня. Это потому, что суббота, следующая за первой средой, может быть либо первой, либо второй субботой месяца. - Исправление по вторникам: Используется для планирования развертываний в день регулярного развертывания исправлений Microsoft по вторникам.
- Обработка данных по этапам перед развертыванием: Используется для указания, нужно ли создавать и копировать пакет развертывания на целевые компьютеры до фактического развертывания. Вы можете публиковать данные в любом местоположении от 1 до 23 часов до выполнения развертывания. Сканирование исправлений выполняется автоматически агентом в начале поэтапной обработки для повторной оценки состояния исправлений компьютера перед развертыванием.
Существует исключение для развертываний исправлений, которые будут происходить в первый день месяца. Во избежание проблем с високосными годами и другими подобными особенностями календаря, интерфейс предотвращает указание данных до первого дня месяца. Например, если вы запланировали развертывание на 8:00 утра первого дня месяца, вам будет разрешено указать данные только за 1 – 8 часов до развертывания.
- Предстоящие задачи: В этой таблице представлен список предстоящих задач. Он позволяет вам, используя текущую выбранную конфигурацию, просматривать все события, которые должны произойти в течение следующих 60 дней. Имейте в виду, что информация, представленная в этой таблице, является прогнозируемой; так как может произойти многое, что предотвратит одно или несколько событий.
Вкладка 'Связи'
Эта вкладка используется для создания связей конфигурации исправлений с одной или несколькими группами политик агента. Ассоциация конфигурации исправлений с группой политик определяет конечные системы, на которых будет развернута конфигурация. Все устройства, использующие определенную политику, будут управляться с помощью конфигурации исправлений, которая будет связана с этой политикой.
Важно! Группа политик агента должна иметь активную функцию управления исправлениями для использования конфигурации исправления.
Вы можете связать конфигурацию исправлений с несколькими группами политик агента.
- Вы можете создать конфигурацию исправлений с данными всех поставщиков и продуктов, используемых командами ИТ-поддержки в вашей организации. Затем вы можете ассоциировать эту конфигурацию с группами политик агентов, которые используются вашими региональными группами, такими как ИТ-поддержка AMER, ИТ-поддержка EMEA и ИТ-поддержка APAC.
- Вы можете создать конфигурацию для исправлений, которые устанавливаются по вторникам. Затем вы можете связать эту конфигурацию с группой политик тестового агента, который будет использоваться для тестирования развертываний исправлений. Если развертывание пройдет успешно, вы можете связать конфигурацию с группой политик основного агента для более широкого применения.
- Вы можете создать одну конфигурацию исправлений для своего ноутбука и рабочих станций, и отдельную конфигурацию для серверных устройств. Затем вы можете ассоциировать нужную конфигурацию исправлений с группой политик агента, которая управляет каждым типом устройств.
Для ассоциации текущей конфигурации исправлений с одной или несколькими группами политик агента:
- Нажмите Выберите группы политик.
- Выберите нужные группы политик агента.
Чтобы помочь вам выбрать группы, здесь предоставляется следующая информация о доступных группах политик:- Группа политик: Имя группы политик агента.
- Конечные системы: Отображает количество конечных систем, использующих сейчас группу политик агента.
- Текущая конфигурация исправления: Отображает имя конфигурации исправления, связанной в данный момент с группой политик агента.
- Нажмите Подтвердить.
Список всех групп политик агентов, ассоциированных сейчас с конфигурацией исправления, отображается на странице 'Связи'.
Вкладка 'История'
Эта вкладка используется для отслеживания изменений конфигурации исправлений.
В таблице отображаются все версии конфигураций. По умолчанию таблица содержит следующие столбцы и сортируется по столбцу Версия.
- Версия: Числовое значение версии. После первого сохранения конфигурация будет иметь версию - 1. После каждого редактирования конфигурация сохраняется, и значение версии должно увеличиваться на единицу. После нажатия значения версии будет отображена информация конфигурации для данной конкретной версии.
- Имя конфигурации: Имя конфигурации исправления.
- Дата сохранения: Дата и время сохранения редактируемой конфигурации.
- Кем сохранено: Имя члена команды, который последним редактировал данную версию конфигурации. Если вы изменяете группу исправлений, связанную с конфигурацией исправления, это означает изменение конфигурации.
-
Доступность: Отображает текущий статус конфигурации. Возможные значения: Новое, Не завершено, Активно, Ранее было активно, Черновик и Ошибка.
- Описание: Комментарий, добавленный и сохраненный во время редактирования конфигурации.
- Вернуться к выбранной версии: Используется для восстановления более ранней версии конфигурации исправления. После выполнения действия обязательно обновите описание конфигурации и нажмите Сохранить. Группы исправлений не включаются в действие возврата. Любые группы исправлений, включенные в текущую конфигурацию исправлений, будут включены в конфигурацию исправлений возврата.
Используется для экспорта данных таблицы в файл CSV. Вы можете экспортировать все или только выбранные элементы таблицы.
Файл CSV создается с использованием стандартов ISO и хранится в вашей локальной папке загрузок. Если вы используете Excel для просмотра файла, данные можно преобразовать в языковой формат компьютера, чтобы их можно было открыть в удобном для отображения виде.
Любая сортировка или фильтрация конфигураций будет сохранена в экспортированном файле. Все столбцы будут добавлены независимо от того, что было выбрано в средстве выборщика столбцов.
Установите параметр в первом столбце для экспортируемых конфигураций. Или установите параметр в ячейке заголовка для выбора всех конфигураций.
Нажмите Экспорт для создания файла CSV.
Сохранение и активация особой конфигурации исправления
Следующие кнопки доступны во время использования любой из трех вкладок конфигурации исправлений.
- Сохранить и сделать активной: Сохраните конфигурацию исправления и сделайте ее активной для устройств, назначенных соответствующим группам политик. Каждое устройство получит новую конфигурацию во время следующей регистрации агента устройства в ПО Ivanti Neurons.
- Сохранить: Используется для сохранения конфигурации исправлений без закрытия страницы, что позволит вам продолжить работу.
- Отменить изменения: Используется для отмены любых изменений с возвратом для конфигурации исправления предыдущего сохраненного состояния.
- Закрыть: Используется для закрытия страницы без сохранения последних изменений конфигурации исправлений.