Действия конфигурации

Эта вкладка используется для конфигурации ряда различных параметров, связанных с развертыванием исправлений.

См. соответствующее видео (6:56)

Выберите Показать сводку для отображения сводки ваших особых параметров конфигурации исправлений с вкладками для каждой операционной системы. Эта сводка обновляется в режиме реального времени с добавлением, удалением или изменением параметров конфигурации исправления.

Действия развертывания

Действие развертывания: позволяет вам сконфигурировать время развертывания исправлений (расписание), какие исправления будут развернуты (параметры развертывания), а также будут ли и когда будут отправляться запросы на перезагрузку ваших целевых устройств в процессе развертывания (действие перезагрузки).

Вы можете сконфигурировать различные действия развертывания для разных операционных систем в одной конфигурации исправления. Действие развертывания для каждой операционной системы выполняет одну или несколько задач развертывания, которые можно включать или выключать:

  • Текущее обслуживание: обычно используется для стандартного ежемесячного обновления операционных систем и приложений, и часто требует перезагрузки конечных систем.
  • Приоритетные обновления (только для Windows): для приложений, для которых обновления становятся доступны чаще других - браузеры и телекоммуникационные приложения. Поскольку для них перезагрузка требуется редко, более частое планирование развертываний может снизить вашу уязвимость с минимальным влиянием на пользователей.
  • Реакция нулевого дня (только для Windows): для срочной реакции, например, на уязвимости с эксплойтами.

Эти задачи можно использовать для реализации стратегии исправления, основанной на оценке риска, и настройки различных типов исправлений для развертывания по разным расписаниям.

Для создания конфигурации исправления только для сканирования установите переключатель развертывания для всех задач для всех операционных систем. Механизм исправления сканирует конечную систему сразу после ее установки, а затем ежедневно с полуночи до 2 часов ночи по ее местному времени.

Для активации задачи исправления включите ее переключатель, затем нажмите Сконфигурировать эту задачу, чтобы отобразить панель конфигурации.

Расписание

Эта область используется для конфигурации развертываний, которые выполняются повторно.

Раздел Выберите расписание позволяет регулярно планировать операции развертывания на определенное время и с использованием указанного шаблона повторения. Например, операция развертывания может выполняться каждый день в полночь или каждую субботу в 9 часов вечера, в конце каждой рабочей недели в 11 часов вечера или в любое выбранное пользователем время и через заданный интервал.

  • Выполнить во время перезагрузки, если пропущено по расписанию: Если запланированное развертывание пропущено из-за отключения питания устройства, оно будет выполнено в течение часа после его включения.
  • Развернуть исправления: Вы можете запланировать развертывание исправлений, используя следующие параметры:
    • Ежедневно: Развертывания будут выполняться каждый день недели в выбранное время.
    • Еженедельно: Развертывания будут выполняться в указанном день недели в выбранное время.
    • Ежемесячно: Развертывания будут выполняться в указанный день или конкретный день месяца в выбранное время. Вы также можете использовать этот параметр планирования развертывания в сочетании с развертываниями исправлений Microsoft по вторникам. Например, вы можете запланировать ежемесячное развертывание исправлений на следующий день после исправлений по вторникам, установив параметр Также развертывать после исправлений по вторникам, а затем указав 1 в качестве количества дней после вторника, чтобы отложить установку.
      Параметр Добавить задержку обеспечивает гибкость планирования, позволяя добавить задержку на несколько дней в ежемесячное расписание. Например, если ваш консультативный совет по изменениям собирается в первую среду каждого месяца для согласования развертываемых в следующую субботу исправлений, вы можете выбрать развертывание в первую среду с задержкой на 3 дня. Это потому, что суббота, следующая за первой средой, может быть либо первой, либо второй субботой месяца.
    • Исправление по вторникам: Используется для планирования развертываний в день регулярного развертывания исправлений Microsoft по вторникам.
  • Обработка данных по этапам перед развертыванием (Windows и Mac): Дает указание программе исправления на конечной системе загружать исправления перед задачей развертывания. Это особенно полезно для конечных систем с периодами обслуживания, чтобы ни одна часть такого периода не использовалась для загрузки. Вы можете публиковать данные в любом местоположении от 1 до 23 часов до выполнения развертывания. Сканирование исправлений выполняется автоматически агентом в начале поэтапной обработки для повторной оценки состояния исправлений устройства перед развертыванием.

    Существует исключение для развертываний исправлений, которые будут происходить в первый день месяца. Во избежание проблем с високосными годами и другими подобными особенностями календаря, интерфейс предотвращает указание данных до первого дня месяца. Например, если вы запланировали развертывание на 8:00 утра первого дня месяца, вам будет разрешено указать данные только за 1 – 8 часов до развертывания.

Установщик

Доступные варианты развертывания зависят от операционной системы:

  • Windows: Развернуть по показателю риска, Развернуть по серьезности, Развернуть/исключить по группам исправлений, Включая пакеты поддержки и Выбранные поставщики/продукты
  • Mac: Развернуть по серьезности, Развернуть по группе исправлений
  • Linux: Развернуть все отсутствующие исправления, Развернуть по серьезности, Развернуть по группам исправлений

По умолчанию будут выбираться только критические исправления безопасности для Windows. Если вы:

  • включите и сконфигурируете параметры Развернуть по серьезности и настроите некоторые группы исправлений для включения в Развернуть/исключить по группам исправлений, будут добавлены и развернуты все исправления для каждого сконфигурированного параметра.
  • включите и сконфигурируете параметр Выбранные поставщики/продукты, исправления будут фильтроваться для двух других параметров.
  • настроите группу исправлений для исключения из Развернуть/исключить по группам исправлений, тогда исправления в этой группе с настройкой Исключить будут всегда исключаться, даже если они настроены для включения в других местах.

Пример 1: Если нужно развернуть только исправления, содержащиеся в группе исправлений:

  • Выключите параметры Развернуть по серьезности и Выбранные поставщики/продукты.
  • Включите параметр Развернуть/исключить по группе исправлений и настройте нужную группу исправлений для ее включения

Пример 2: Предположим, что вы конфигурируете следующее:

  • Развернуть по серьезности: Установлены параметры - "Безопасность - критические" и "Безопасность - важные".
  • Развернуть/исключить по группам исправлений: Вы можете настроить для включения одну группу исправлений, содержащую одно критическое исправление, одно важное и два умеренных исправления безопасности.
  • Выбранные поставщики/продукты: Этот параметр выключен.

В этом случае:

  • Критические и важные исправления безопасности будут развернуты для всех поставщиков и продуктов
  • Будут развернуты все четыре вида исправлений, содержащиеся в группе исправлений, включая два исправления умеренной безопасности

Пример 3: Как и в примере 2, но также:

  • Можно использовать параметр Выбранные поставщики/продукты для указания того, что нужно развернуть только исправления Adobe.

В этом случае будут развернуты только следующие исправления:

  • Критические исправления безопасности Adobe, важные исправления безопасности Adobe и любые исправления Adobe, находящиеся в группе исправлений

Пример 4: Как и в примере 3, но также:

  • Используйте параметр Развернуть/исключить по группам исправлений для исключения группы исправлений, содержащей определенное и важное для безопасности исправление Adobe.

В этом случае будут развернуты только следующие исправления:

  • Критические исправления безопасности Adobe (за исключением одного из группы исключенных исправлений).
  • Важные исправления безопасности Adobe.
  • Любые исправления Adobe, содержащихся в группе исправлений.

Если исправление добавлено в группу, настроенную как Исключить, тогда исправление не будет развернуто, даже если другие настройки прямо указывают на его необходимость.

Пример 5 (особый случай для Windows): Допустим, вы конфигурируете развертывание по серьезности только для критически важных исправлений безопасности, а также развертывание по группе исправлений для включения Vantosi версии 3.

Если затем будет выпущено ПО Vantosi версии 4 как критически важное для безопасности перед развертыванием другого исправления ПО Vantosi версии 5 в качестве важного для безопасности, то для Windows не будут установлены ни ПО Vantosi версии 4, ни Vantosi версии 5. Это связано с тем, что последняя версия (Vantosi 5) не соответствует требованиям серьезности для развертывания, и ни ПО Vantosi версии 4, ни ПО Vantosi версии 5 не были включены в группу исправлений. Имейте в виду - если вы сконфигурировали данную конфигурацию исправлений для Mac, будет развернуто ПО Vantosi V4.

Рекомендуется регулярно использовать компонент Отчетность о соответствии для проверки статуса соответствия ваших устройств и добавления в группу исправлений всех новых исправлений, которые критичны для безопасности. Для получения дополнительной информации см. разделы Отчетность о соответствии и Группы исправлений.

Выбор параметров развертывания

  • Развернуть все отсутствующие исправления / Развернуть выбранные исправления (только Linux): Для систем Linux можно выбрать Развернуть все отсутствующие исправления. Иначе выбор Развернуть выбранные исправления активирует дополнительные параметры, позволяющие выбрать количество развертываемых исправлений.
  • Развернуть по оценке риска (только Windows): Если этот параметр включен, вы можете указать оценки риска, связанные с исправлениями, которые должны быть включены в развертывание.
    • Оценка VRR: Устанавливает исправления с показателем VRR, большим или равным сконфигурированному значению. Рейтинг риска уязвимостей, VRR (Vulnerability Risk Rating), указывает на риск, связанный с данной уязвимостью, и выражается в виде числовой оценки от 0 до 10.
    • Оценка CVSS: Устанавливает исправления, где последняя версия оценки CVSS (Common Vulnerability Scoring System), полученная из всех CVE, связанных с исправлением, больше или равна сконфигурированному значению. Диапазон оценок: 0,1 - 10.

      • Для получения дополнительной информации о VRR и CVSS см. раздел Угрозы и риски.

    • Развернуть исправления для уязвимостей с эксплойтами: Если этот параметр установлен, будут развернуты исправления для уязвимостей, зарегистрированных с эксплойтами.
  • Развернуть по серьезности: Если этот параметр установлен, вы можете указать типы исправлений и уровни их серьезности, которые должны быть включены в развертывание. По умолчанию будут выбираться только критические исправления безопасности. Для каждой операционной системы и дистрибутива Linux доступны различные уровни. Значки указывают на поддерживающие каждый уровень дистрибутивы Linux.
    • Безопасность: Исправления, связанные с бюллетенем безопасности. Вы можете выбрать для развертывания один или более конкретных уровней серьезности.
      • Критическое: Уязвимости, которые могут быть использованы неавторизованными удаленными злоумышленниками, или уязвимости, нарушающие изоляцию операционной системы виртуальной машины или сервера, содержащего виртуальные машины. Использование уязвимости приводит к нарушению конфиденциальности, целостности, доступности данных пользователя или процесса обработки ресурсов без вмешательства пользователя. Использование уязвимости может заключаться в распространении через Интернет вирусов-червей или в произвольном запуске программы взаимодействия между виртуальными машинами и сервером, содержащим виртуальные машины.
      • Важное! Уязвимости, использование которых приводит к нарушению конфиденциальности, целостности или доступности данных пользователя и обработки ресурсов. Слабые места в защите могут позволить локальным пользователям получать привилегии, а несанкционированным удаленным пользователям запускать произвольный код или позволить локальными или удаленным пользователям легко отменять работу служб.
      • Умеренное: Слабые места в защите, при которых вероятность использования уязвимости значительно уменьшается благодаря настройкам или из-за трудности реализации, но которые при определенных сценариях развертывания по-прежнему могут приводить к нарушению конфиденциальности, целостности или доступности данных пользователя и обработки ресурсов. Такие типы уязвимостей могут оказывать критическое или важное влияние, но ими труднее воспользоваться, исходя из технической оценки слабого места в защите или из-за настроек, менее подверженных негативному воздействию.
      • Низкое: Все другие проблемы, оказывающие влияние на безопасность. Уязвимые места в защите, воспользоваться которыми крайне сложно, и успешное использование которых имело бы минимальный эффект.
      • Не назначено (Windows и Mac): Исправления безопасности, которые не были назначены для уровня серьезности.
    • Нет функций безопасности (Windows и Mac): Исправления поставщиков, решающие известные проблемы программного обеспечения, не связанные с безопасностью. Вы можете выбрать для развертывания в среде Windows один или более конкретных уровней серьезности поставщиков. См. раздел Исправления безопасности для получения информации о доступных уровнях безопасности.
    • Исправление ошибки (только Linux): Исправления ошибок от поставщиков.
    • Улучшения (только Linux): Исправления для улучшения функций от поставщиков.

      • Улучшение недоступно для Oracle 7 и Red Hat 7.

  • Развернуть/исключить по группам исправлений (Windows) или Развернуть по группам исправлений (Mac и Linux): Если этот параметр включен, вы можете указать одну или несколько групп исправлений, содержащих исправления, которые нужно включить в развертывание или исключить из него (только Windows). Это хороший способ убедиться в том, что будут развернуты только утвержденные исправления. Отсутствующие исправления, не содержащиеся в группах исправлений, настроенные для включения, не будут развернуты, пока не будут указаны в параметре Развернуть по серьезности. Исправления в группах исправлений, настроенных как Исключить, не будут развернуты даже если другие настройки прямо указывают на необходимость установки. Информацию о доступных группах исправлений можно увидеть на вкладке Группы исправлений на странице Настройки исправления. Группы исправлений управляются с помощью приложения Patch Intelligence.

    Устройства Linux всегда обновляются до последней, доступной в хранилище, версии пакета, даже если в группу исправлений была добавлена его более ранняя версия. Кроме того, устанавливаются не только пакеты, ассоциированные с рекомендациями в группах исправлений, но также пакеты, связанные с зависимыми рекомендациями.

    После включения развертывания/исключения по группам исправлений отображается таблица всех групп исправлений, в которой представлено количество исправлений для каждой операционной системы, а также общее количество исправлений в каждой группе исправлений. Установите параметр рядом с группой исправлений, нажмите Включить или Исключить. Нажмите Очистить для отмены выбора группы исправлений.

    Значок параметр или значок x рядом с количеством исправлений для конфигурируемой операционной системы указывает на наличие в конфигурации включения или исключения этих исправлений соответственно.

    Вы можете быстро определить, какие исправления присутствуют в группе перед ее выбором. Для этого нажмите числовую ссылку в таблице для отображения соответствующих исправлений под таблицей групп исправлений. Используйте столбец Платформа для определения операционной системы, а столбец Статус для определения статуса каждого исправления.

    Отображаемый статус является приблизительным, и его данные основаны на информации использования этой группы исправлений с текущей конфигурацией исправлений. Есть факторы, влияющие на статус исправления. Например, если вы используете параметр Выбранные поставщики/продукты вместе с группой исправлений, это может привести к фильтрации одного или нескольких исправлений в группе.

    • Активно: Эта группа исправлений использовалась данной конфигурацией для обеспечения доступности исправления для устройств конечных пользователей. Устройства являются частью политик, связанных с данной конфигурацией исправления.
    • Неактивно: Две возможные причины такого статуса исправления. (1) Эта группа исправлений не использовалась для обеспечения доступности исправления для устройств. (2) Конфигурация исправления, которой назначена эта группа исправлений, не была активирована для устройств.
      Есть сценарий, для которого исправление, указанное как Неактивно, может на самом деле оказаться активным. Если исправление присутствует в более чем в одной группе, возможно, одна из других групп исправлений использовалась для обеспечения доступности этого исправления для устройств.
  • Включая пакеты поддержки (только Windows, только Текущее обслуживание): Если параметр установлен, будут развернуты выбранные пакеты поддержки. Пакеты поддержки - это ограниченный набор накопительных обновлений, которые позволяют выполнить обновление с одной версии Windows на другую. Используйте Показать замененные пакеты для отображения или скрытия замененных элементов.
  • Выбранные поставщики/продукты (тотько Windows): Если этот параметр выключен, исправления всех доступных поставщиков и продуктов будут включены в развертывание, указанное в параметрах Развернуть по серьезности и Развернуть по группе исправлений. С появлением новых продуктов и исправлений они будут добавляться в развертывание.

    • Если этот параметр включен, вы сможете указать поставщиков, семейства и версии продуктов для развертывания на конечных системах. Поставщики и продукты, которые не были выбраны, не будут включены в развертывание. Все элементы представляются в виде иерархического списка. Если вы установите параметр на одном уровне, также будут установлены все параметры на более низких уровнях.

    • Выбрать все: После установки этого параметра будут выбираться все доступные в настоящее время исправления всех поставщиков и продуктов в списке. Новые исправления поставщиков и продуктов, которые станут доступны позже, будут добавлены в развертывание.

      • Если вы хотите исключить небольшое количество элементов, вы можете установить параметр Выбрать все, а затем отменить установку параметров для элементов, которые нужно исключить.

    • Выбор отдельных поставщиков и продуктов: Будут развернуты только исправления для выбранных поставщиков, семейств и/или версий продуктов. Поставщики и продукты, которые не были выбраны, не будут включены в процесс развертывания.

Действия перезагрузки

Эта область используется для конфигурации перезагрузки ваших целевых устройств в процессе развертывания. Платформа Ivanti Neurons централизованно обрабатывает запросы перезагрузки для предотвращения конфликтов между различными функциями Ivanti Neurons. Это означает, что перезагрузка может быть выполнена по запросу не сразу.

macOS всегда перезагружается после развертывания исправлений ОС после запроса у пользователя развертывания обновлений ОС. Вы также можете выбрать Всегда перезагружать после обновления (даже без установки исправлений ОС) для конфигураций Mac.

  • Перезагрузить до развертывания (только Windows): Если этот параметр установлен, он используется для указания того, что перезагрузка целевых устройств выполняется до развертывания исправлений. Наиболее оптимальным методом является перезагрузка устройств перед установкой нового значимого программного обеспечения, особенно в случае крупных изменений в ПО, например, уровней продукта операционной системы. Если вы выберете перезагрузку устройств, можно указать предупреждения, которые будет получать вошедший в систему пользователь, и выбрать степень контроля пользователем процесса перезагрузки. Возможные действия:
    • Выполнение перезагрузки через нескольких минут
    • Предупреждение пользователя, что перезагрузка произойдет во время его выхода.
    • Выбор продолжительности отображения стандартного сообщения Windows о завершении работы после запуска процесса завершения работы. Для предварительного просмотра диалога, который увидит пользователь, нажмите Пример отсчета.
    • Разрешить пользователю продлить тайм-аут, для которого выполняется обратный отсчет, до заданного максимума.
    • Разрешение пользователю отменить тайм-аут. В случае отмены тайм-аута исправления не будут развернуты, пока пользователь не выйдет или вручную не перезагрузит устройство.
    • Разрешение пользователю отменить перезагрузку. Исправления не будут установлены, пока устройство не будет перезагружено.
  • Перезагрузить после развертывания (Windows) или Перезагрузить после развертывания, если необходимо (Linux): Если этот параметр установлен, он используется для указания того, что перезагрузка целевых устройств выполняется после развертывания исправлений. Linux перезагружается только при необходимости, а для Windows есть два варианта:
    • Всегда: Указывает, что перезагрузка каждого устройства выполняется после развертывания исправлений. Это наиболее безопасная функция при развертывании исправлений, поскольку для окончательной установки большинства исправлений требуется перезагрузка, однако иногда устройства перезагружать не нужно.
    • Когда необходимо: Используется для указания, что будет определять агент Ivanti Neurons, а именно, требуется ли перезагружать каждое устройство с учетом включенных в развертывание исправлений.

      • Если вы выбрали для систем Linux вариант Развернуть выбранные исправления, будут установлены не только пакеты, ассоциированные с рекомендациями в выбранных группах исправлений, но также пакеты, связанные с зависимыми рекомендациями. Если затем будет выбран параметр Перезагрузить после развертывания, если необходимо, эти зависимости могут также вызвать перезагрузку.

    • Если вы решите перезагрузить устройства, затем можно указать дополнительные параметры, например, количество предупреждений, которые получит выполнивший вход пользователь, и степень контроля, который пользователь будет иметь над процессом перезагрузки с использованием связанных политик. Для получения дополнительной информации см. раздел Действия перезагрузки политики агента.

Настройки - Предварительные исправления Microsoft

В целях тестирования компания Microsoft предоставляет набор предварительных исправлений для Windows перед официальным выпуском исправлений по вторникам. Эти исправления не содержат обновления безопасности, поэтому вы, как правило, не будете развертывать их на всех своих устройствах - в этом случае сканирование этих исправлений по умолчанию выключено. Для активации сканирования предварительных исправлений включите Сканировать предварительные исправления Microsoft.

Если вы решите развернуть предварительные исправления, мы рекомендуем вам развернуть их только на ограниченной тестовой группе организации.