Создание особой конфигурации исправлений

Эта область используется для конфигурации развертываемых исправлений (параметры развертывания) и того, когда запросы на перезагрузку ваших целевых устройств будут отправлены в процессе развертывания (действие перезагрузки). Вы можете сконфигурировать различные действия развертывания для разных операционных систем в одной конфигурации исправления.

Включение развертывания для операционной системы

Вы можете отдельно включать и выключать развертывание исправлений для каждой операционной системы. В разделе Действие развертывания выберите операционную систему, а затем установите нужные значения Развернуть исправления.

Для создания конфигурации исправления только для сканирования установите переключатель развертывания для всех вкладок операционных систем.

Параметры развертывания

Существует три конфигурируемых параметра развертывания, связанных с операционными системами:

• Windows: Развернуть по серьезности, Развернуть/исключить по группе исправлений и Выбранные поставщики/продукты.
• Mac: Развернуть по серьезности, Развернуть по группе исправлений
• Linux: Развернуть все отсутствующие исправления, Развернуть по группам исправлений

По умолчанию будут выбираться только критические исправления безопасности для Windows. Если вы:

• включите и сконфигурируете параметры Развернуть по серьезности и настроите некоторые группы исправлений для включения в Развернуть/исключить по группам исправлений, будут добавлены и развернуты все исправления для каждого сконфигурированного параметра.
• включите и сконфигурируете параметр Выбранные поставщики/продукты, исправления будут фильтроваться для двух других параметров.
• настроите группу исправлений для исключения из Развернуть/исключить по группам исправлений, тогда исправления в этой группе с настройкой Исключить будут всегда исключаться, даже если они настроены для включения в других местах.

Пример 1: Если нужно развернуть только исправления, содержащиеся в группе исправлений:

• Выключите параметры Развернуть по серьезности и Выбранные поставщики/продукты.
• Включите параметр Развернуть/исключить по группе исправлений и настройте нужную группу исправлений для ее включения

Пример 2: Предположим, что вы конфигурируете следующее:

• Развернуть по серьезности: Установлены параметры - "Безопасность - критические" и "Безопасность - важные".
• Развернуть/исключить по группам исправлений: Вы можете настроить для включения одну группу исправлений, содержащую одно критическое исправление, одно важное и два умеренных исправления безопасности.
• Выбранные поставщики/продукты: Этот параметр выключен.

В этом случае:

• Критические и важные исправления безопасности будут развернуты для всех поставщиков и продуктов
• Будут развернуты все четыре вида исправлений, содержащиеся в группе исправлений, включая два исправления умеренной безопасности

Пример 3: Как и в примере 2, но также:

• Можно использовать параметр Выбранные поставщики/продукты для указания того, что нужно развернуть только исправления Adobe.

В этом случае будут развернуты только следующие исправления:

• Критические исправления безопасности Adobe, важные исправления безопасности Adobe и любые исправления Adobe, находящиеся в группе исправлений

Пример 4: Как и в примере 3, но также:

• Используйте параметр Развернуть/исключить по группам исправлений для исключения группы исправлений, содержащей определенное и важное для безопасности исправление Adobe.

В этом случае будут развернуты только следующие исправления:

• Критические исправления безопасности Adobe (за исключением одного из группы исключенных исправлений).
• Важные исправления безопасности Adobe.
• Любые исправления Adobe, содержащихся в группе исправлений.

Если исправление добавлено в группу, настроенную как Исключить, тогда исправление не будет развернуто, даже если другие настройки прямо указывают на его необходимость.

Пример 5 (особый случай для Windows): Допустим, вы конфигурируете развертывание по серьезности только для критически важных исправлений безопасности, а также развертывание по группе исправлений для включения Vantosi версии 3.

Если затем будет выпущено ПО Vantosi версии 4 как критически важное для безопасности перед развертыванием другого исправления ПО Vantosi версии 5 в качестве важного для безопасности, то для Windows не будут установлены ни ПО Vantosi версии 4, ни Vantosi версии 5. Это связано с тем, что последняя версия (Vantosi 5) не соответствует требованиям серьезности для развертывания, и ни ПО Vantosi версии 4, ни ПО Vantosi версии 5 не были включены в группу исправлений. Имейте в виду - если вы сконфигурировали данную конфигурацию исправлений для Mac, будет развернуто ПО Vantosi V4.

Рекомендуется регулярно использовать компонент Отчетность о соответствии для проверки статуса соответствия ваших устройств и добавления в группу исправлений всех новых исправлений, которые критичны для безопасности. Для получения дополнительной информации см. разделы Отчетность о соответствии и Группы исправлений.

Выбор параметров развертывания

• Развернуть все отсутствующие исправления / Развернуть выбранные исправления (только Linux): Для систем Linux можно выбрать Развернуть все отсутствующие исправления. Иначе, выбор Развернуть выбранные исправления активирует дополнительные параметры, позволяющие ограничить количество развертываемых исправлений.

• Развернуть по серьезности (Mac и Windows): Если этот параметр включен, вы можете указать типы исправлений и уровни их серьезности, которые должны быть включены в развертывание. По умолчанию будут выбираться только критические исправления безопасности.
  • Исправления безопасности: Исправления, связанные с бюллетенем безопасности. Вы можете выбрать для развертывания один или более конкретных уровней серьезности.
    • Критическое: Уязвимости, которые могут быть использованы неавторизованными удаленными злоумышленниками, или уязвимости, нарушающие изоляцию операционной системы виртуальной машины или сервера, содержащего виртуальные машины. Использование уязвимости приводит к нарушению конфиденциальности, целостности, доступности данных пользователя или процесса обработки ресурсов без вмешательства пользователя. Использование уязвимости может заключаться в распространении через Интернет вирусов-червей или в произвольном запуске программы взаимодействия между виртуальными машинами и сервером, содержащим виртуальные машины.
    • Важное! Уязвимости, использование которых приводит к нарушению конфиденциальности, целостности или доступности данных пользователя и обработки ресурсов. Слабые места в защите могут позволить локальным пользователям получать привилегии, а несанкционированным удаленным пользователям запускать произвольный код или позволить локальными или удаленным пользователям легко отменять работу служб.
    • Умеренное: Слабые места в защите, при которых вероятность использования уязвимости значительно уменьшается благодаря настройкам или из-за трудности реализации, но которые при определенных сценариях развертывания по-прежнему могут приводить к нарушению конфиденциальности, целостности или доступности данных пользователя и обработки ресурсов. Такие типы уязвимостей могут оказывать критическое или важное влияние, но ими труднее воспользоваться, исходя из технической оценки слабого места в защите или из-за настроек, менее подверженных негативному воздействию.
    • Низкое: Все другие проблемы, оказывающие влияние на безопасность. Уязвимые места в защите, воспользоваться которыми крайне сложно, и успешное использование которых имело бы минимальный эффект.
    • Не назначено: Исправления безопасности, которые не были назначены для уровня серьезности.
  • Исправления, не относящиеся к безопасности: Исправления поставщиков, решающие известные проблемы программного обеспечения, не связанные с безопасностью. Вы можете выбрать для развертывания в среде Windows один или более конкретных уровней серьезности поставщиков. См. раздел Исправления безопасности для получения информации о доступных уровнях безопасности.
• Развернуть/исключить по группам исправлений (Windows) или Развернуть по группам исправлений (Mac и Linux): Если этот параметр включен, вы можете указать одну или несколько групп исправлений, содержащих исправления, которые нужно включить в развертывание или исключить из него (только Windows). Это хороший способ убедиться в том, что будут развернуты только утвержденные исправления. Отсутствующие исправления, не содержащиеся в группах исправлений, настроенные для включения, не будут развернуты, пока не будут указаны в параметре Развернуть по серьезности. Исправления в группах исправлений, настроенных как Исключить, не будут развернуты даже если другие настройки прямо указывают на необходимость установки. Информацию о доступных группах исправлений можно увидеть на вкладке Группы исправлений на странице Настройки исправления. Группы исправлений управляются с помощью приложения Patch Intelligence.

  Устройства Linux всегда обновляются до последней, доступной в хранилище, версии пакета, даже если в группу исправлений была добавлена его более ранняя версия. Кроме того, устанавливаются не только пакеты, ассоциированные с рекомендациями в группах исправлений, но также пакеты, связанные с зависимыми рекомендациями.

  После включения развертывания/исключения по группам исправлений отображается таблица всех групп исправлений, в которой представлено количество исправлений для каждой операционной системы, а также общее количество исправлений в каждой группе исправлений. Установите параметр рядом с группой исправлений, нажмите Включить или Исключить. Нажмите Очистить для отмены выбора группы исправлений.

  Значок или рядом с количеством исправлений для конфигурируемой операционной системы указывает на наличие в конфигурации включения или исключения этих исправлений соответственно.

  Вы можете быстро определить, какие исправления присутствуют в группе перед ее выбором. Для этого нажмите числовую ссылку в таблице для отображения соответствующих исправлений под таблицей групп исправлений. Используйте столбец Платформа для определения операционной системы, а столбец Статус для определения статуса каждого исправления.

  Отображаемый статус является приблизительным, и его данные основаны на информации использования этой группы исправлений с текущей конфигурацией исправлений. Есть факторы, влияющие на статус исправления. Например, если вы используете параметр Выбранные поставщики/продукты вместе с группой исправлений, это может привести к фильтрации одного или нескольких исправлений в группе.

  • Активно: Эта группа исправлений использовалась данной конфигурацией для обеспечения доступности исправления для устройств конечных пользователей. Устройства являются частью политик, связанных с данной конфигурацией исправления.
  • Неактивно: Две возможные причины такого статуса исправления. (1) Эта группа исправлений не использовалась для обеспечения доступности исправления для устройств. (2) Конфигурация исправления, которой назначена эта группа исправлений, не была активирована для устройств.
    Есть сценарий, для которого исправление, указанное как Неактивно, может на самом деле оказаться активным. Если исправление присутствует в более чем в одной группе, возможно, одна из других групп исправлений использовалась для обеспечения доступности этого исправления для устройств.
• Выбранные поставщики/продукты (тотько Windows): Если этот параметр выключен, исправления всех доступных поставщиков и продуктов будут включены в развертывание, указанное в параметрах Развернуть по серьезности и Развернуть по группе исправлений. С появлением новых продуктов и исправлений они будут добавляться в развертывание.

Если этот параметр включен, вы сможете указать поставщиков, семейства и версии продуктов для развертывания на конечных системах. Поставщики и продукты, которые не были выбраны, не будут включены в развертывание. Все элементы представляются в виде иерархического списка. Если вы установите параметр на одном уровне, также будут установлены все параметры на более низких уровнях.

• Выбрать все: После установки этого параметра будут выбираться все доступные в настоящее время исправления всех поставщиков и продуктов в списке. Новые исправления поставщиков и продуктов, которые станут доступны позже, будут добавлены в развертывание.

Если вы хотите исключить небольшое количество элементов, вы можете установить параметр Выбрать все, а затем отменить установку параметров для элементов, которые нужно исключить.

• Выбор отдельных поставщиков и продуктов: Будут развернуты только исправления для выбранных поставщиков, семейств и/или версий продуктов. Поставщики и продукты, которые не были выбраны, не будут включены в процесс развертывания.
  

Действия перезагрузки

Эта область используется для конфигурации перезагрузки ваших целевых устройств в процессе развертывания. Платформа Ivanti Neurons централизованно обрабатывает запросы перезагрузки для предотвращения конфликтов между различными функциями Ivanti Neurons. Это означает, что перезагрузка может быть выполнена по запросу не сразу.

macOS всегда перезагружается после развертывания исправлений ОС после запроса у пользователя развертывания обновлений ОС. Вы также можете выбрать Всегда перезагружать после обновления (даже без установки исправлений ОС) для конфигураций Mac.

• Перезагрузить до развертывания (только Windows): Если этот параметр установлен, он используется для указания того, что перезагрузка целевых устройств выполняется до развертывания исправлений. Наиболее оптимальным методом является перезагрузка устройств перед установкой нового значимого программного обеспечения, особенно в случае крупных изменений в ПО, например, уровней продукта операционной системы. Если вы выберете перезагрузку устройств, можно указать предупреждения, которые будет получать вошедший в систему пользователь, и выбрать степень контроля пользователем процесса перезагрузки. Возможные действия:
  • Выполнение перезагрузки через нескольких минут
  • Предупреждение пользователя, что перезагрузка произойдет во время его выхода.
  • Выбор продолжительности отображения стандартного сообщения Windows о завершении работы после запуска процесса завершения работы. Для предварительного просмотра диалога, который увидит пользователь, нажмите Пример отсчета.
  • Разрешить пользователю продлить тайм-аут, для которого выполняется обратный отсчет, до заданного максимума.
  • Разрешение пользователю отменить тайм-аут. В случае отмены тайм-аута исправления не будут развернуты, пока пользователь не выйдет или вручную не перезагрузит устройство.
  • Разрешение пользователю отменить перезагрузку. Исправления не будут установлены, пока устройство не будет перезагружено.
• Перезагрузить после развертывания (Windows и Linux): Если этот параметр установлен, он используется для указания того, что перезагрузка целевых устройств выполняется после развертывания исправлений. Существует два варианта:
  • Всегда: Указывает, что перезагрузка каждого устройства выполняется после развертывания исправлений. Это наиболее безопасная функция при развертывании исправлений, поскольку для окончательной установки большинства исправлений требуется перезагрузка, однако иногда устройства перезагружать не нужно.
  • Когда необходимо: Используется для указания, что будет определять агент Ivanti Neurons, а именно, требуется ли перезагружать каждое устройство с учетом включенных в развертывание исправлений.

  Если вы выбрали для систем Linux вариант Развернуть выбранные исправления, будут установлены не только пакеты, ассоциированные с рекомендациями в выбранных группах исправлений, но также пакеты, связанные с зависимыми рекомендациями. Если затем будет выбран параметр перезагрузки Когда необходимо, эти зависимости могут также вызвать перезагрузку.

Если вы решите перезагрузить устройства, затем можно указать дополнительные параметры, например, количество предупреждений, которые получит выполнивший вход пользователь, и степень контроля, который пользователь будет иметь над процессом перезагрузки с использованием связанных политик. Для получения дополнительной информации см. раздел Действия перезагрузки политики агента.

Эта область используется для конфигурации развертываний, которые выполняются повторно.

Вкладка Установить повторение используется для планирования регулярных развертываний в заданное время и использования указанного шаблона повторов. Например, операция развертывания может выполняться каждый день в полночь или каждую субботу в 9 часов вечера, в конце каждой рабочей недели в 11 часов вечера или в любое выбранное пользователем время и через заданный интервал.

• Выполнить во время перезагрузки, если пропущено по расписанию: Если запланированное развертывание пропущено из-за отключения питания устройства, оно будет выполнено в течение часа после его включения.
• Развернуть исправления: Вы можете запланировать развертывание исправлений, используя следующие параметры:
  • Ежедневно: Развертывания будут выполняться каждый день недели в выбранное время.
  • Еженедельно: Развертывания будут выполняться в указанном день недели в выбранное время.
  • Ежемесячно: Развертывания будут выполняться в указанный день или конкретный день месяца в выбранное время. Вы также можете использовать этот параметр планирования развертывания в сочетании с развертываниями исправлений Microsoft по вторникам. Например, вы можете запланировать ежемесячное развертывание исправлений на следующий день после исправлений по вторникам, установив параметр Также развертывать после исправлений по вторникам, а затем указав 1 в качестве количества дней после вторника, чтобы отложить установку.
    Параметр Добавить задержку обеспечивает гибкость планирования, позволяя добавить задержку на несколько дней в ежемесячное расписание. Например, если ваш консультативный совет по изменениям собирается в первую среду каждого месяца для согласования развертываемых в следующую субботу исправлений, вы можете выбрать развертывание в первую среду с задержкой на 3 дня. Это потому, что суббота, следующая за первой средой, может быть либо первой, либо второй субботой месяца.
  • Исправление по вторникам: Используется для планирования развертываний в день регулярного развертывания исправлений Microsoft по вторникам.

• Обработка данных по этапам перед развертыванием: Используется для указания, нужно ли создавать и копировать пакет развертывания на целевые устройства до фактического развертывания. Вы можете публиковать данные в любом местоположении от 1 до 23 часов до выполнения развертывания. Сканирование исправлений выполняется автоматически агентом в начале поэтапной обработки для повторной оценки состояния исправлений устройства перед развертыванием.

  Существует исключение для развертываний исправлений, которые будут происходить в первый день месяца. Во избежание проблем с високосными годами и другими подобными особенностями календаря, интерфейс предотвращает указание данных до первого дня месяца. Например, если вы запланировали развертывание на 8:00 утра первого дня месяца, вам будет разрешено указать данные только за 1 – 8 часов до развертывания.

• Предстоящие задачи: В этой таблице представлен список предстоящих задач. Он позволяет вам, используя текущую выбранную конфигурацию, просматривать все события, которые должны произойти в течение следующих 60 дней. Имейте в виду, что информация, представленная в этой таблице, является прогнозируемой; так как может произойти многое, что предотвратит одно или несколько событий.

• Вы можете создать конфигурацию исправлений с данными всех поставщиков и продуктов, используемых командами ИТ-поддержки в вашей организации. Затем вы можете ассоциировать эту конфигурацию с политиками агентов, которые используются вашими региональными группами, такими как ИТ-поддержка AMER, ИТ-поддержка EMEA и ИТ-поддержка APAC.
• Вы можете создать конфигурацию для исправлений, которые устанавливаются по вторникам. Затем вы можете связать эту конфигурацию с политикой тестового агента, который будет использоваться для тестирования развертываний исправлений. Если развертывание пройдет успешно, вы можете связать конфигурацию с политикой основного агента для более широкого применения.
• Вы можете создать одну конфигурацию исправлений для своего ноутбука и рабочих станций, и отдельную конфигурацию для серверных устройств. Затем вы можете ассоциировать нужную конфигурацию исправлений с политикой агента, которая управляет каждым типом устройств.
  

Для ассоциации текущей конфигурации исправлений с одной или несколькими политиками агентов:

1. Нажмите Выбор политик.
2. Выберите нужные политики агента.
   Чтобы помочь вам выбрать группы, здесь предоставляется следующая информация о доступных политиках:
   • Политика: Имя политики агента.
   • Конечные системы: Отображает количество конечных систем, использующих сейчас политику агента.
   • Текущая конфигурация исправления: Отображает имя конфигурации исправления, связанной в данный момент с политикой агента.
3. Нажмите Подтвердить.

Список всех политик агентов, ассоциированных сейчас с конфигурацией исправления, отображается на странице Связи.

В таблице отображаются все версии конфигураций. По умолчанию таблица содержит следующие столбцы и сортируется по столбцу Версия.

• Версия: Числовое значение версии. После первого сохранения конфигурация будет иметь версию - 1. После каждого редактирования конфигурация сохраняется, и значение версии должно увеличиваться на единицу. После нажатия значения версии будет отображена информация конфигурации для данной конкретной версии.
• Имя конфигурации: Имя конфигурации исправления.
• Дата сохранения: Дата и время сохранения редактируемой конфигурации.
• Кем сохранено: Имя члена команды, который последним редактировал данную версию конфигурации. Если вы изменяете группу исправлений, связанную с конфигурацией исправления, это означает изменение конфигурации.

• Доступность: Отображает текущий статус конфигурации. Возможные значения: Новое, Не завершено, Активно, Ранее было активно, Черновик и Ошибка.

• Описание: Комментарий, добавленный и сохраненный во время редактирования конфигурации.

• Вернуться к выбранной версии: Используется для восстановления более ранней версии конфигурации исправления. После выполнения действия обязательно обновите описание конфигурации и нажмите Сохранить. Политики, ассоциированные с конфигурацией после восстановления, являются последними политиками. Группы исправлений не включаются в действие возврата. Любые группы исправлений, включенные в текущую конфигурацию исправлений, будут включены в конфигурацию исправлений возврата. Вы не можете восстановить архивированную версию.

Используется для экспорта данных таблицы в файл CSV. Вы можете экспортировать все или только выбранные элементы таблицы.

Файл CSV создается с использованием стандартов ISO и хранится в вашей локальной папке загрузок. Если вы используете Excel для просмотра файла, данные можно преобразовать в языковой формат устройства, чтобы их можно было открыть в удобном для отображения виде.

Любая сортировка или фильтрация конфигураций будет сохранена в экспортированном файле. Все столбцы будут добавлены независимо от того, что было выбрано в средстве выборщика столбцов.

Установите параметр в первом столбце для экспортируемых конфигураций. Или установите параметр в ячейке заголовка для выбора всех конфигураций.

Нажмите Экспорт для создания файла CSV.