创建自定义修补程序配置

此区域可用于配置要部署的修补程序（部署选项），以及在部署过程中是否以及何时发送重新启动目标设备的请求（重新启动行为）。 可以在同一修补程序配置中为不同的操作系统配置相应的部署行为。

为操作系统启用部署

可以单独为每个操作系统启用和禁用修补程序部署。 在部署行为下，选择所需的操作系统，然后根据需要设置部署修补程序。

要创建仅扫描修补程序配置，请关闭所有操作系统选项卡的部署开关。

部署选项

根据操作系统的不同，最多有三个可配置的部署选项：

• Windows：按严重性部署、按修补程序组部署/排除和所选供应商/产品。
• Mac：按严重性部署、按修补程序组部署
• Linux：部署所有缺失的修补程序、按修补程序组部署

默认情况下，仅部署 Windows 的关键安全修补程序。 如果：

• 同时启用和配置按严重性部署并且在按修补程序组部署/排除中将某些修补程序组设置为包含，则效果会叠加，每个已启用配置选项的所有修补程序都会得到部署
• 启用和配置所选供应商/产品，则该选项会筛选掉其他两个选项中的修补程序
• 在按修补程序组部署/排除中将修补程序组设置为排除，则修补程序组中设置为排除的修补程序始终被排除，即使它们被设置为包含在其他地方

示例 1：如果只想部署某个修补程序组中包含的修补程序：

• 禁用按严重性部署和所选择供应商/产品选项
• 启用按修补程序组部署/排除选项，并将所需的修补程序组设置为包含

示例 2：假设进行以下配置：

• 按严重性部署：选择“安全关键”和“安全重要”
• 按修补程序组部署/排除：将一个修补程序组设定为包含，该修补程序组包含一个“安全性 - 关键”修补程序、一个“安全性 - 重要”修补程序和两个“安全性 - 中等”修补程序
• 所选供应商/产品：此选项已禁用

在这种情况下：

• 将部署所有供应商和产品的“安全性 - 关键”和“安全性 - 重要”修补程序
• 将部署该修补程序组中包含的所有四个修补程序，包括两个“安全性 - 中等”修补程序

示例 3：与示例 2 相同，但您还可以：

• 使用所选供应商/产品选项指定仅部署 Adobe 修补程序

在这种情况下，将仅部署以下修补程序：

• Adobe“安全性 - 关键”修补程序、Adobe“安全性 - 重要”修补程序以及修补程序组中包含的任何 Adobe 修补程序

示例 4：与示例 3 相同，但您还可以：

• 使用按修补程序组部署/排除选项来排除包含特定 Adobe“安全性 - 关键”修补程序的修补程序组

在这种情况下，将仅部署以下修补程序：

• Adobe“安全性 - 关键”修补程序（不包含排除修补程序组中的修补程序）
• Adobe“安全性 - 重要”修补程序
• 修补程序组中包含的任何 Adobe 修补程序

如果将修补程序添加到设置为排除的修补程序组中，则不会部署该修补程序，即使其他设置明确建议应部署该修补程序。

示例 5（Windows Edge 案例）：假设您配置了按严重性部署且仅选择了“安全性 - 关键”，并且还配置了按修补程序组部署以包括 Vantosi V3。

如果随后将 Vantosi V4 作为“安全性 - 关键”发布，并且在部署另一个修补程序之前将 Vantosi V5 作为“安全性 - 重要”发布，则对于 Windows，Vantosi V4 和 Vantosi V5 都不会部署。 这是因为最新版本（Vantosi V5）不满足部署的严重性要求，且 Vantosi V4 和 Vantosi V5 均未包含在修补程序组中。 请注意，如果您为 Mac 配置了相同的修补程序配置，将会部署 Vantosi V4。

我们建议您定期使用合规性报告组件检查设备的合规性状态，并将任何新的“安全性 - 关键”修补程序添加到修补程序组中。 有关详细信息，请参阅合规性报告和修补程序组。

选择部署选项

• 部署所有缺失的修补程序/部署已选择的修补程序（仅限 Linux）：对于 Linux，可以选择部署所有缺失的修补程序。 或者，选择部署已选择的修补程序实现进一步控制，限制部署的修补程序。

• 按严重性部署（Windows 和 Mac）：如果启用，则可以指定部署中应该包含的修补程序类型以及严重性级别。 默认只选择关键安全修补程序。
  • 安全修补程序：与安全公告相关的修补程序。 可以选择针对一个或多个特定的严重性级别进行部署。
    • 关键：可被未经身份验证的远程攻击者利用的漏洞，或者能够打破来宾/主机操作系统隔离的漏洞。 漏洞一旦被利用，将会在无用户交互的情况下导致用户数据或处理资源的机密性、完整性和可用性受到影响。 攻击者可利用漏洞传播互联网蠕虫病毒，或者在虚拟机与主机之间执行任意代码。
    • 重要：此类漏洞一旦被利用，将会导致用户数据和处理资源的机密性、完整性或可用性受到影响。 此类缺陷可导致本地用户获得权限，允许未经身份验证的远程用户执行任意代码，或者允许本地或远程用户轻易造成拒绝服务。
    • 中等：可通过设置相应的配置或提高利用难度，降低此类缺陷的攻击能力。但在某些部署场景中，其仍然可以导致用户数据和处理资源的机密性、完整性或可用性受到一定程度的影响。 这些类型的漏洞本来可以产生关键影响或重要影响，但根据对缺陷的技术评估，它们不太容易被利用，或者不太可能对配置造成影响。
    • 低：所有其他会产生安全影响的问题。 被认为非常难以利用的漏洞，或者成功利用后只会产生最低限度影响的漏洞。
    • 未分配：尚未分配严重性级别的安全修补程序。
  • 非安全修补程序：供应商修补程序，用于修补并不会产生安全影响的已知软件问题。 对于 Windows，可以选择针对一个或多个特定的供应商严重性级别进行部署。 有关可用的严重性级别的描述，请参阅安全修补程序。
• 按修补程序组部署/排除 (Windows) 或按修补程序组部署（Mac 和 Linux）：如果启用，允许您指定一个或多个包含修补程序的修补程序组，其中的修补程序是您想要包含在部署中的或（仅限 Windows）您想要从部署中排除的。 这是一种好方法，可确保仅部署获得批准的修补程序。 不会部署未包含在设定为包含的修补程序组中的缺失修补程序，除非这些修补程序符合在按严重性部署选项中指定的要求。 即使其他设置明确建议应该部署，但仍然不会部署修补程序组中设置为排除的修补程序。 要查看可用的修补程序组的详细信息，可使用修补程序设置页面中的修补程序组选项卡。在 Patch Intelligence 中管理修补程序组。

  即使将较早的版本添加到修补程序组，Linux 设备也将始终更新到存储库中可用的最新程序包。 此外，不仅会安装与修补程序组中的公告关联的程序包，还会安装与依赖公告关联的程序包。

  启用按修补程序组部署/排除后，将显示包含所有修补程序组的网格，其中显示每个操作系统的修补程序数量以及每个修补程序组中的修补程序总数。 选中修补程序组旁边的复选框，然后根据需要点击包含或排除。 点击清除可取消选择修补程序组。

  未配置的操作系统的修补程序计数旁边的 或 表示该配置已相应包含或排除这些修补程序。

  在选择一个组之前，您可能想快速了解该组中包含哪些修补程序。 为此，请点击网格中的数字链接，以在“修补程序组”网格下方显示相应的修补程序。 使用平台列确定操作系统，使用状态列确定每个修补程序的状态。

  显示的状态实际上是大致状态，取决于当前修补程序配置对此修补程序组的使用情况。 有许多因素会影响修补程序状态。 例如，将所选供应商/产品与修补程序组一起使用，就可能会从该组中筛选掉一个或多个修补程序。

  • 活动：此配置已使用此修补程序组，向最终用户设备提供修补程序。 这些设备属于与此修补程序配置相关联的策略。
  • 不活动：此修补程序状态可能有两种原因。 (1) 尚未使用此修补程序组以向任何设备提供修补程序。 (2) 尚未对设备激活分配了此修补程序的配置。
    有一种情况是列为不活动的修补程序实际上可能已激活。 如果修补程序位于多个修补程序组中，则可能已使用另外一个修补程序组来对设备激活此修补程序。
• 所选供应商/产品（仅限 Windows）：如果禁用，所有可用供应商和产品的修补程序都将包含在按严重性部署和按修补程序组部署选项定义的部署中。 新产品和修补程序变成可用状态后即会添加到部署中。

如果启用，则可以指定能够部署到端点的供应商、产品系列和产品版本。 未选中的供应商和产品将从部署中排除。 项目显示在层次结构列表中。 如果启用某个级别的复选框，则会同时启用所有更低级别的复选框。

• 全选：启用此复选框会选择列表中所有供应商和产品的所有当前可用的修补程序。 之后可用的新供应商和产品修补程序将添加到部署中。

如果要排除一小部分项目，可以启用全选，然后清除要排除的项目的复选框。

• 选择个别供应商和产品：只部署选定供应商、产品系列和/或产品版本的修补程序。 部署中会筛选掉未选定的供应商和产品。
  

重新启动行为

此区域可用于配置是否以及何时在部署过程中请求重新启动目标设备。 Ivanti Neurons 平台集中处理重新启动请求，以防止不同 Ivanti Neurons 功能之间发生冲突。 这意味着不会在请求后立即重新启动。

在提示用户部署操作系统更新后，macOS 始终会在操作系统修补程序部署后重新启动。 对于 Mac 配置，也可以选择始终在更新后重新启动（即使没有应用操作系统修补程序）。

• 部署前重新启动（仅限 Windows）：如果启用，指定是否在部署修补程序之前重新启动目标设备。 在安装重要的新软件之前，最佳做法是重新启动设备，特别是对于大型软件更改（如操作系统产品等级）。 如果选择重新启动设备，则可以指定登录用户将收到的警告数量，还可以选择用户对重新启动过程的控制程度。 您可以：
  • 选择在经过几分钟之后强制重新启动
  • 提醒用户，重新启动将在其注销之后进行
  • 选择在开始关机步骤后显示倒计时消息的持续时间。 若要预览用户将看到的对话框，请点击倒计时示例。
  • 允许用户将超时倒计时延长到指定的最大值。
  • 允许用户取消超时。 如果取消了超时，则在用户注销或手动重新启动设备之后，才会部署修补程序。
  • 允许用户取消重新启动。 重新启动设备之后，才会安装修补程序。
• 部署后重新启动（Windows 和 Linux）：如果启用，指定是否在部署修补程序之后请求重新启动目标设备。 有两个选项：
  • 始终：指定在部署修补程序之后重新启动每台设备。 部署修补程序时，这是最安全的选项，因为大多数修补程序需要重新启动才能完成部署，但是有时候可能会不必要地重新启动设备。
  • 在必要时：指定 Ivanti Neurons 代理将根据部署中包含的修补程序，确定是否需要重新启动每台设备。

  对于 Linux，如果选择部署选项部署已选择的修补程序，则不仅会安装与已选择的修补程序组中公告关联的程序包，还会安装与依赖公告关联的程序包。 如果将重新启动选项设置为需要时，这些依赖项可能还会导致重新启动。

如果选择重新启动设备，则之后可以指定更多选项，比如登录用户将收到的警告数量，以及用户使用关联策略对重新启动过程的控制程度。 有关详细信息，请参阅代理策略重新启动体验。

此区域可用于配置按定期计划执行的部署。

设置重复选项卡允许您使用指定的重复模式，定期安排在特定时间执行的部署操作。例如，部署可在每天午夜运行、在每周六晚上 9 点运行、在每个工作日晚上 11 点运行，或者按用户选择的任何其他时间和间隔运行。

• 如果错过计划则在重新启动时运行：如果由于设备关闭而错过计划的部署，它将在设备重新启动后的一个小时内运行。
• 部署修补程序：可以使用以下选项来计划修补程序部署：
  • 每天：部署将按所选择的时间，在一周中的每一天运行。
  • 每周：部署将按所选择的时间，在一周中指定的某一天运行。
  • 每月：部署将按所选择的时间，在每月指定的日期或某一天运行。 还可以使用此选项来计划与 Microsoft 周二补丁日相结合的部署。 例如，可以将每月修补程序部署安排在周二补丁日的后一天进行，方法是启用也在周二补丁日之后部署复选框，然后将周二补丁日之后延迟部署的天数指定为 1。
    添加延迟选项允许您在每月计划中添加指定天数的延迟，从而进一步提升计划的灵活性。例如，如果更改咨询委员会在每月的第一个星期三举行会议，以商定在下个星期六部署哪些修补程序，那么您可以选择在第一个星期三部署并延迟 3 天。 这适用于第一个星期三之后的星期六可能是该月的第一个或第二个星期六的情况。
  • 周二补丁日：将部署安排在 Microsoft 的每月定期修补事件当天运行，这一天称为“周二补丁日”。

• 在部署之前暂存内容：指定是否要在实际部署之前创建部署包并将部署包复制到目标设备。 可以在执行部署之前 1-23 小时的任何时间暂存内容。 在暂存流程开始时，代理自动执行修补程序扫描，以便在部署之前重新评估设备的修补程序状态。

  修补程序部署有一个例外情况，将在当月的第一天发生。 为避免闰年问题和日历中其他类似的怪事，界面将禁止在当月第一天的前一天暂存内容。 例如，如果将部署安排在当月的第一天上午 8:00 进行，则只能在部署之前 1-8 小时暂存内容。

• 即将开始的任务：此表格示出即将开始的任务列表。 可用于查看预计在未来 60 天内使用当前所选配置发生的所有事件。 请注意，此表格中提供的是预计将要发生的事件；有许多意外情况会阻止其中一个或多个事件发生。

• 可以为组织中的 IT 支持团队使用的所有供应商和产品创建修补程序配置。 然后，可以将此配置与涵盖地区团队的代理策略相关联，例如 AMER IT 支持、EMEA IT 支持和 APAC IT 支持。
• 可以为在周二补丁日发布的修补程序创建修补程序配置。 然后，可以将此配置与要用于测试修补程序部署的试点代理策略相关联。 如果部署成功，则可以将该配置与主要代理策略相关联，以实现更广泛的分发。
• 可以为笔记本电脑和工作站设备创建一个修补程序配置，并为服务器设备创建另一个修补程序配置。 然后，可以将适当的修补程序配置与监管每个设备类型的代理策略相关联。
  

将当前修补程序配置与一个或多个代理策略相关联：

1. 点击选择策略。
2. 选择所需的代理策略。
   以下与可用的策略有关的信息将帮助您选择适当的策略：
   • 策略：代理策略的名称。
   • 端点：显示当前正在使用该代理策略的端点的数量。
   • 当前修补程序配置：显示当前与该代理策略关联的修补程序配置的名称。
3. 点击确认。

关联页面上显示了当前与该修补程序配置关联的所有代理策略的列表。

该表格显示配置的所有版本。 该表格默认包含以下各列，按版本列排序。

• 版本：版本的数字值。 首次保存的配置为版本 1。 每次编辑和保存版本时，版本值都会增加 1。 点击版本值将打开该特定版本的配置详细信息。
• 配置名称：修补程序配置的名称。
• 保存日期：保存配置编辑的日期和时间。
• 上次保存者：上次编辑此配置版本的团队成员的姓名。 如果修改与修补程序配置相关联的修补程序组，则视为配置的修订。

• 可用性：显示当前配置状态。 可能的值为“新”、“待处理”、“活动”、“之前活动”、“草稿”和“失败”

• 描述：在保存配置编辑时提供的注释。

• 恢复为所选版本：可用于将修补程序配置恢复为早期版本。 在执行操作之后，请务必更新配置描述并点击保存。 与恢复后的配置关联的策略是最新策略。 还原操作不包含修补程序组。 当前修补程序配置中包含的任何修补程序组都将包含在已还原的修补程序配置中。 无法恢复到存档版本。

可用于将表格的内容导出为 CSV 文件。 可以选择导出表格中的所有项目，也可以只导出选定的项目。

CSV 文件使用 ISO 标准来创建，存储在本地的“下载”文件夹中。 如果使用 Excel 查看该文件，则可将数据转换为当前设备的区域设置，让其能够以用户可读的格式供查看。

应用到配置的任何排序或筛选将保留在导出的输出中。 无论列选择器中选择哪些项目，所有列都将包含在内。

选中要导出的配置的第一列复选框。 或者，选中标题单元格中的复选框以选择所有配置。

点击导出以创建 CSV 文件。