创建自定义修补程序配置
要创建您自己的自定义修补程序配置,请在“修补程序设置”页面上点击创建配置。
- 配置名称:要分配给此配置的名称。
- 注释:提供注释,描述此配置的用途。
Linux 上的无内容修补方法
Ivanti 针对 Linux 的修补解决方案与针对 Windows 和 Mac 的修补解决方案不同。了解 Linux 修补的无内容方法的差异非常重要,因为它会导致修补程序数据出现在 Ivanti 产品中的时间差异。
对于 Windows 和 Mac,修补程序内容数据在发布到产品以供使用之前由 Ivanti 整理和测试。有关此过程的完整详细信息,请参阅 Ivanti 社区(在新窗口中打开)。我们需要这种方法,因为这些操作系统允许从各种来源安装软件。
Linux 采用不同的方法,使用连接到特定于分发的存储库的程序包管理器来控制已安装软件的部署和维护。Ivanti 的修补产品使用设备的存储库源来填充修补程序扫描期间所需的修补程序内容。这是无内容方法,并且使产品更加灵活。它让您能够使用第三方和内部存储库,而无需 Ivanti 更新其自己的修补程序内容。此外,一旦存储库中有可用更新,就可以安装它们,而无需 Ivanti 提供修补程序内容更新。最初,在扫描设备并且上传和处理该设备的数据之前,Neurons 中不会出现 Linux 修补程序数据。随着扫描更多设备,任何附加数据都会被合并以便掌握整体情况。
“配置行为”选项卡
此选项卡可用于配置与修补程序部署相关的各种不同选项。
提示:选择显示摘要可查看自定义修补程序配置选项的摘要,其中包含每个操作系统的选项卡。 随着添加、删除或修改修补程序配置选项,此摘要会实时更新。
此区域可用于配置要部署的修补程序(部署选项),以及在部署过程中是否以及何时发送重新启动目标计算机的请求(重新启动行为)。 可以在同一修补程序配置中为不同的操作系统配置相应的部署行为。
为操作系统启用部署
可以单独为每个操作系统启用和禁用修补程序部署。 在部署行为下,选择所需的操作系统,然后根据需要设置部署修补程序。
要创建仅扫描修补程序配置,请关闭所有操作系统选项卡的部署开关。
部署选项
根据操作系统的不同,最多有三个可配置的部署选项:
- Windows:按严重性部署、按修补程序组部署/排除和所选供应商/产品。
- Mac:按严重性部署、按修补程序组部署
- Linux:全部修补
默认情况下,仅部署 Windows 的关键安全修补程序。如果同时启用和配置按严重性部署并且在按修补程序组部署/排除中将某些修补程序组设置为包含,则效果会叠加,每个已启用配置选项的所有修补程序都会得到部署。如果启用和配置所选供应商/产品,则该选项会筛选掉其他两个选项中的修补程序。如果您在按修补程序组部署/排除中将修补程序组设置为排除,则修补程序组中设置为排除的修补程序始终被排除,即使它们被设置为包含在其他地方。
示例 1:如果只想部署某个修补程序组中包含的修补程序:
- 禁用按严重性部署和所选择供应商/产品选项
- 启用按修补程序组部署/排除选项,并将所需的修补程序组设置为包含
示例 2:假设进行以下配置:
- 按严重性部署:选择“安全关键”和“安全重要”
- 按修补程序组部署/排除:将一个修补程序组设定为包含,该修补程序组包含一个“安全性 - 关键”修补程序、一个“安全性 - 重要”修补程序和两个“安全性 - 中等”修补程序
- 所选供应商/产品:此选项已禁用
在这种情况下,将部署所有供应商和产品的“安全关键”和“安全重要”修补程序。 此外,将部署该修补程序组中包含的所有四个修补程序,包括两个“安全中等”修补程序。
示例 3:与“示例 2”相同,但还使用了所选供应商/产品选项来指定只部署 Adobe 修补程序。 在这种情况下,将只部署“Adobe 安全关键”修补程序、“Adobe 安全重要”修补程序以及该修补程序组中包含的任何 Adobe 修补程序。
示例 4:与示例 3 相同,但您还使用按修补程序组部署/排除选项来排除包含特定 Adobe Security Critical 修补程序的修补程序组。在这种情况下,将只部署“Adobe 安全关键”修补程序(不包括排除的修补程序组中的修补程序)、“Adobe 安全重要”修补程序以及该修补程序组中包含的任何 Adobe 修补程序。
如果将修补程序添加到设置为排除的修补程序组中,则不会部署该修补程序,即使其他设置明确建议应部署该修补程序。
示例 5(Windows Edge 案例):假设您配置了按严重性部署且仅选择了“安全性 - 关键”,并且还配置了按修补程序组部署以包括 Vantosi V3。
如果随后将 Vantosi V4 作为“安全性 - 关键”发布,并且在部署另一个修补程序之前将 Vantosi V5 作为“安全性 - 重要”发布,则对于 Windows,Vantosi V4 和 Vantosi V5 都不会部署。 这是因为最新版本(Vantosi V5)不满足部署的严重性要求,且 Vantosi V4 和 Vantosi V5 均未包含在修补程序组中。 请注意,如果您为 Mac 配置了相同的修补程序配置,将会部署 Vantosi V4。
我们建议您定期使用合规性报告组件检查设备的合规性状态,并将任何新的“安全性 - 关键”修补程序添加到修补程序组中。 有关详细信息,请参阅合规性报告和修补程序组。
选择部署选项
- 按严重性部署(Windows 和 Mac):如果启用,则可以指定部署中应该包含的修补程序类型以及严重性级别。默认只选择关键安全修补程序。
- 安全修补程序:与安全公告相关的修补程序。 可以选择针对一个或多个特定的严重性级别进行部署。
- 关键:可被未经身份验证的远程攻击者利用的漏洞,或者能够打破来宾/主机操作系统隔离的漏洞。 漏洞一旦被利用,将会在无用户交互的情况下导致用户数据或处理资源的机密性、完整性和可用性受到影响。 攻击者可利用漏洞传播互联网蠕虫病毒,或者在虚拟机与主机之间执行任意代码。
- 重要:此类漏洞一旦被利用,将会导致用户数据和处理资源的机密性、完整性或可用性受到影响。 此类缺陷可导致本地用户获得权限,允许未经身份验证的远程用户执行任意代码,或者允许本地或远程用户轻易造成拒绝服务。
- 中等:可通过设置相应的配置或提高利用难度,降低此类缺陷的攻击能力。但在某些部署场景中,其仍然可以导致用户数据和处理资源的机密性、完整性或可用性受到一定程度的影响。 这些类型的漏洞本来可以产生关键影响或重要影响,但根据对缺陷的技术评估,它们不太容易被利用,或者不太可能对配置造成影响。
- 低:所有其他会产生安全影响的问题。 被认为非常难以利用的漏洞,或者成功利用后只会产生最低限度影响的漏洞。
- 未分配:尚未分配严重性级别的安全修补程序。
- 非安全修补程序:供应商修补程序,用于修补并不会产生安全影响的已知软件问题。 对于 Windows,可以选择针对一个或多个特定的供应商严重性级别进行部署。 有关可用的严重性级别的描述,请参阅安全修补程序。
- 安全修补程序:与安全公告相关的修补程序。 可以选择针对一个或多个特定的严重性级别进行部署。
- 按修补程序组部署/排除 (Windows) 或 按修补程序组部署 (Mac):如果启用,允许您指定一个或多个包含修补程序的修补程序组,其中的修补程序是您想要包含在部署中的或(仅限 Windows)您想要从部署中排除的。这是一种好方法,可确保仅部署获得批准的修补程序。 不会部署未包含在设定为包含的修补程序组中的缺失修补程序,除非这些修补程序符合在按严重性部署选项中指定的要求。即使其他设置明确建议应该部署,但仍然不会部署修补程序组中设置为排除的修补程序。要查看可用的修补程序组的详细信息,可使用修补程序设置页面中的修补程序组选项卡。在 Patch Intelligence 中管理修补程序组。
启用按修补程序组部署/排除后,将显示包含所有修补程序组的网格,其中显示每个操作系统的修补程序数量以及每个修补程序组中的修补程序总数。选中修补程序组旁边的复选框,然后根据需要点击包含或排除。点击清除可取消选择修补程序组。
未配置的操作系统的修补程序计数旁边的 或 表示该配置已相应包含或排除这些修补程序。
在选择一个组之前,您可能想快速了解该组中包含哪些修补程序。 为此,请点击网格中的数字链接,以在“修补程序组”网格下方显示相应的修补程序。 使用平台列确定操作系统,使用状态列确定每个修补程序的状态。
显示的状态实际上是大致状态,取决于当前修补程序配置对此修补程序组的使用情况。 有许多因素会影响修补程序状态。 例如,将所选供应商/产品与修补程序组一起使用,就可能会从该组中筛选掉一个或多个修补程序。
- 活动:此配置已使用此修补程序组,向最终用户设备提供修补程序。 这些设备属于与此修补程序配置相关联的策略组。
- 不活动:此修补程序状态可能有两种原因。 (1) 尚未使用此修补程序组以向任何设备提供修补程序。 (2) 尚未对设备激活分配了此修补程序的配置。
有一种情况是列为不活动的修补程序实际上可能已激活。 如果修补程序位于多个修补程序组中,则可能已使用另外一个修补程序组来对设备激活此修补程序。
- 所选供应商/产品(仅限 Windows):如果禁用,所有可用供应商和产品的修补程序都将包含在按严重性部署和按修补程序组部署选项定义的部署中。 新产品和修补程序变成可用状态后即会添加到部署中。
- 全选:启用此复选框会选择列表中所有供应商和产品的所有当前可用的修补程序。 之后可用的新供应商和产品修补程序将添加到部署中。
- 选择个别供应商和产品:只部署选定供应商、产品系列和/或产品版本的修补程序。 部署中会筛选掉未选定的供应商和产品。
如果启用,则可以指定能够部署到端点的供应商、产品系列和产品版本。 未选中的供应商和产品将从部署中排除。 项目显示在层次结构列表中。 如果启用某个级别的复选框,则会同时启用所有更低级别的复选框。
提示:如果要排除一小部分项目,可以启用全选,然后清除要排除的项目的复选框。
重新启动行为
此区域可用于配置是否以及何时在部署过程中请求重新启动目标计算机。 Ivanti Neurons 平台集中处理重新启动请求,以防止不同 Ivanti Neurons 功能之间发生冲突。 这意味着不会在请求后立即重新启动。
在提示用户部署操作系统更新后,macOS 始终会在操作系统修补程序部署后重新启动。 对于 Mac 配置,也可以选择始终在更新后重新启动(即使没有应用操作系统修补程序)。
- 部署前重新启动(仅限 Windows):如果启用,指定是否在部署修补程序之前重新启动目标计算机。在安装重要的新软件之前,最佳做法是重新启动计算机,特别是对于大型软件更改(如操作系统产品等级)。如果选择重新启动计算机,则可以指定登录用户将收到的警告数量,还可以选择用户对重新启动过程的控制程度。 您可以:
- 选择在经过几分钟之后强制重新启动
- 提醒用户,重新启动将在其注销之后进行
- 选择在开始关机步骤后显示倒计时消息的持续时间。 若要预览用户将看到的对话框,请点击倒计时示例。
- 允许用户将超时倒计时延长到指定的最大值。
- 允许用户取消超时。 如果取消了超时,则在用户注销或手动重新启动计算机之后,才会部署修补程序。
- 允许用户取消重新启动。 重新启动计算机之后,才会安装修补程序。
- 部署后重新启动(Windows 和 Linux):如果启用,指定是否在部署修补程序之后请求重新启动目标计算机。有两个选项:
- 始终:指定在部署修补程序之后重新启动每台计算机。 部署修补程序时,这是最安全的选项,因为大多数修补程序需要重新启动才能完成部署,但是有时候可能会不必要地重新启动计算机。
- 在必要时:指定 Ivanti Neurons 代理将根据部署中包含的修补程序,确定是否需要重新启动每台计算机。
如果选择重新启动计算机,则之后可以指定更多选项,比如登录用户将收到的警告数量,以及用户使用关联策略组对重新启动过程的控制程度。 有关详细信息,请参阅策略组详细信息。
此区域可用于配置按定期计划执行的部署。
设置重复选项卡允许您使用指定的重复模式,定期安排在特定时间执行的部署操作。例如,部署可在每天午夜运行、在每周六晚上 9 点运行、在每个工作日晚上 11 点运行,或者按用户选择的任何其他时间和间隔运行。
- 如果错过计划则在重新启动时运行:如果由于计算机关闭而错过计划的部署,它将在计算机重新启动后的一个小时内运行。
- 部署修补程序:可以使用以下选项来计划修补程序部署:
- 每天:部署将按所选择的时间,在一周中的每一天运行。
- 每周:部署将按所选择的时间,在一周中指定的某一天运行。
- 每月:部署将按所选择的时间,在每月指定的日期或某一天运行。 还可以使用此选项来计划与 Microsoft 周二补丁日相结合的部署。 例如,可以将每月修补程序部署安排在周二补丁日的后一天进行,方法是启用也在周二补丁日之后部署复选框,然后将周二补丁日之后延迟部署的天数指定为 1。
添加延迟选项允许您在每月计划中添加指定天数的延迟,从而进一步提升计划的灵活性。例如,如果更改咨询委员会在每月的第一个星期三举行会议,以商定在下个星期六部署哪些修补程序,那么您可以选择在第一个星期三部署并延迟 3 天。 这适用于第一个星期三之后的星期六可能是该月的第一个或第二个星期六的情况。 - 周二补丁日:将部署安排在 Microsoft 的每月定期修补事件当天运行,这一天称为“周二补丁日”。
- 在部署之前暂存内容:指定是否要在实际部署之前创建部署包并将部署包复制到目标计算机。 可以在执行部署之前 1-23 小时的任何时间暂存内容。 在暂存流程开始时,代理自动执行修补程序扫描,以便在部署之前重新评估计算机的修补程序状态。
修补程序部署有一个例外情况,将在当月的第一天发生。 为避免闰年问题和日历中其他类似的怪事,界面将禁止在当月第一天的前一天暂存内容。 例如,如果将部署安排在当月的第一天上午 8:00 进行,则只能在部署之前 1-8 小时暂存内容。
- 即将开始的任务:此表格示出即将开始的任务列表。 可用于查看预计在未来 60 天内使用当前所选配置发生的所有事件。 请注意,此表格中提供的是预计将要发生的事件;有许多意外情况会阻止其中一个或多个事件发生。
“关联”选项卡
此选项卡可用于将修补程序配置与一个或多个代理策略组相关联。 修补程序配置与策略组的关联用于定义将配置部署到的端点。 使用某个特定策略的所有设备将由与该策略关联的修补程序配置进行监管。
重要事项! 必须启用代理策略组的修补程序管理功能,才能利用修补程序配置。
可以将一个修补程序配置与多个代理策略组相关联。
- 可以为组织中的 IT 支持团队使用的所有供应商和产品创建修补程序配置。 然后,可以将此配置与涵盖地区团队的代理策略组相关联,例如 AMER IT 支持、EMEA IT 支持和 APAC IT 支持。
- 可以为在周二补丁日发布的修补程序创建修补程序配置。 然后,可以将此配置与要用于测试修补程序部署的试点代理策略组相关联。 如果部署成功,则可以将该配置与主要代理策略组相关联,以实现更广泛的分发。
- 可以为笔记本电脑和工作站设备创建一个修补程序配置,并为服务器设备创建另一个修补程序配置。 然后,可以将适当的修补程序配置与监管每个设备类型的代理策略组相关联。
将当前修补程序配置与一个或多个代理策略组相关联:
- 点击选择策略组。
- 选择所需的代理策略组。
以下与可用的策略组有关的信息将帮助您选择适当的策略组:- 策略组:代理策略组的名称。
- 端点:显示当前正在使用该代理策略组的端点的数量。
- 当前修补程序配置:显示当前与该代理策略组关联的修补程序配置的名称。
- 点击确认。
“关联”页面上显示了当前与该修补程序配置关联的所有代理策略组的列表。
“历史记录”选项卡
此选项卡可用于跟踪已对修补程序配置进行的更改。
该表格显示配置的所有版本。 该表格默认包含以下各列,按版本列排序。
- 版本:版本的数字值。 首次保存的配置为版本 1。 每次编辑和保存版本时,版本值都会增加 1。 点击版本值将打开该特定版本的配置详细信息。
- 配置名称:修补程序配置的名称。
- 保存日期:保存配置编辑的日期和时间。
- 上次保存者:上次编辑此配置版本的团队成员的姓名。 如果修改与修补程序配置相关联的修补程序组,则视为配置的修订。
-
可用性:显示当前配置状态。 可能的值为“新”、“待处理”、“活动”、“之前活动”、“草稿”和“失败”
- 描述:在保存配置编辑时提供的注释。
- 恢复为所选版本:可用于将修补程序配置恢复为早期版本。 在执行操作之后,请务必更新配置描述并点击保存。 还原操作不包含修补程序组。 当前修补程序配置中包含的任何修补程序组都将包含在已还原的修补程序配置中。
可用于将表格的内容导出为 CSV 文件。 可以选择导出表格中的所有项目,也可以只导出选定的项目。
CSV 文件使用 ISO 标准来创建,存储在本地的“下载”文件夹中。 如果使用 Excel 查看该文件,则可将数据转换为当前计算机的区域设置,使其能够以用户可读的格式进行查看。
应用到配置的任何排序或筛选将保留在导出的输出中。 无论列选择器中选择哪些项目,所有列都将包含在内。
选中要导出的配置的第一列复选框。 或者,选中标题单元格中的复选框以选择所有配置。
点击导出以创建 CSV 文件。
保存并激活自定义修补程序配置
使用三个修补程序配置选项卡中的任何一个时,可以使用以下按钮。
- 保存并激活:保存修补程序配置并为分配到相关策略组的设备激活该配置。 在每台设备的代理下一次签入 Ivanti Neurons 时,设备将收到新的配置。
- 保存:保存修补程序配置,而不关闭页面,以便继续操作。
- 撤消更改:撤消任何更改,将修补程序配置恢复为上一个已保存的状态。
- 关闭:关闭页面,而不保存对修补程序配置的最新更改。