配置行为

此选项卡可用于配置与修补程序部署相关的各种不同选项。

观看相关视频 (6:56)

选择显示摘要可查看自定义修补程序配置选项的摘要，其中包含每个操作系统的选项卡。随着添加、删除或修改修补程序配置选项，此摘要会实时更新。

部署行为

部署行为可用于配置修补程序的部署时间（计划）、要部署的修补程序（部署选项），以及在部署过程中是否以及何时发送重新启动目标设备的请求（重新启动行为）。

可以在同一修补程序配置中为不同的操作系统配置相应的部署行为。每个操作系统的部署行为包括一个或多个可以打开或关闭的部署任务：

例行维护：通常用于操作系统和应用程序的月度标准修补，一般需要重新启动端点。
优先更新（仅限 Windows）：适用于更频繁发布更新的应用程序，例如浏览器和电信应用程序。由于这些更新很少需要重新启动，因此更频繁地安排这些部署不仅可以减少漏洞，而且对用户的影响也很小。
零日响应（仅限 Windows）：用于紧急响应，例如漏洞受到攻击。

可以使用这些任务来实施基于风险的修补策略，即通过配置按不同的计划部署不同类型的修补程序。

要创建仅扫描修补程序配置，请关闭所有操作系统上所有任务的部署开关。修补程式引擎会在安装后立即扫描端点，之后会每天在端点当地时间的午夜至凌晨 2 点之间进行扫描。

要启用修补程序任务，请将其切换为打开，然后点击配置此任务以显示任务的配置面板。

计划

此区域可用于配置按定期计划执行的部署。

选择计划部分可使用指定的重复模式，定期安排在特定时间执行的部署操作。例如，部署可在每天午夜运行、在每周六晚上 9 点运行、在每个工作日晚上 11 点运行，或者按用户选择的任何其他时间和间隔运行。

如果错过计划则在重新启动时运行：如果由于设备关闭而错过计划的部署，它将在设备重新启动后的一个小时内运行。
部署修补程序：可以使用以下选项来计划修补程序部署：
- 每天：部署将按所选择的时间，在一周中的每一天运行。
- 每周：部署将按所选择的时间，在一周中指定的某一天运行。
- 每月：部署将按所选择的时间，在每月指定的日期或某一天运行。还可以使用此选项来计划与 Microsoft 周二补丁日相结合的部署。例如，可以将每月修补程序部署安排在周二补丁日的后一天进行，方法是启用也在周二补丁日之后部署复选框，然后将周二补丁日之后延迟部署的天数指定为 1。
  添加延迟选项允许您在每月计划中添加指定天数的延迟，从而进一步提升计划的灵活性。例如，如果更改咨询委员会在每月的第一个星期三举行会议，以商定在下个星期六部署哪些修补程序，那么您可以选择在第一个星期三部署并延迟 3 天。这适用于第一个星期三之后的星期六可能是该月的第一个或第二个星期六的情况。
- 周二补丁日：将部署安排在 Microsoft 的每月定期修补事件当天运行，这一天称为“周二补丁日”。

部署前暂存内容（Windows 和 Mac）：指示端点上的修补程序引擎在部署任务前下载修补程序。这对于具有维护窗口的端点特别有用，这样维护窗口的时间就不会浪费在下载上。可以在执行部署之前 1-23 小时的任何时间暂存内容。在暂存流程开始时，代理自动执行修补程序扫描，以便在部署之前重新评估设备的修补程序状态。
修补程序部署有一个例外情况，将在当月的第一天发生。为避免闰年问题和日历中其他类似的怪事，界面将禁止在当月第一天的前一天暂存内容。例如，如果将部署安排在当月的第一天上午 8:00 进行，则只能在部署之前 1-8 小时暂存内容。

部署者

可用的部署选项取决于操作系统：

Windows：按严重性部署、按修补程序组部署/排除和所选供应商/产品。
Mac：按严重性部署、按修补程序组部署
Linux：部署所有缺失的修补程序、按修补程序组部署

默认情况下，仅部署 Windows 的关键安全修补程序。如果：

同时启用和配置按严重性部署并且在按修补程序组部署/排除中将某些修补程序组设置为包含，则效果会叠加，每个已启用配置选项的所有修补程序都会得到部署
启用和配置所选供应商/产品，则该选项会筛选掉其他两个选项中的修补程序
在按修补程序组部署/排除中将修补程序组设置为排除，则修补程序组中设置为排除的修补程序始终被排除，即使它们被设置为包含在其他地方

示例 1：如果只想部署某个修补程序组中包含的修补程序：

禁用按严重性部署和所选择供应商/产品选项
启用按修补程序组部署/排除选项，并将所需的修补程序组设置为包含

示例 2：假设进行以下配置：

按严重性部署：选择“安全关键”和“安全重要”
按修补程序组部署/排除：将一个修补程序组设定为包含，该修补程序组包含一个“安全性 - 关键”修补程序、一个“安全性 - 重要”修补程序和两个“安全性 - 中等”修补程序
所选供应商/产品：此选项已禁用

在这种情况下：

将部署所有供应商和产品的“安全性 - 关键”和“安全性 - 重要”修补程序
将部署该修补程序组中包含的所有四个修补程序，包括两个“安全性 - 中等”修补程序

示例 3：与示例 2 相同，但您还可以：

使用所选供应商/产品选项指定仅部署 Adobe 修补程序

在这种情况下，将仅部署以下修补程序：

Adobe“安全性 - 关键”修补程序、Adobe“安全性 - 重要”修补程序以及修补程序组中包含的任何 Adobe 修补程序

示例 4：与示例 3 相同，但您还可以：

使用按修补程序组部署/排除选项来排除包含特定 Adobe“安全性 - 关键”修补程序的修补程序组

在这种情况下，将仅部署以下修补程序：

Adobe“安全性 - 关键”修补程序（不包含排除修补程序组中的修补程序）
Adobe“安全性 - 重要”修补程序
修补程序组中包含的任何 Adobe 修补程序

如果将修补程序添加到设置为排除的修补程序组中，则不会部署该修补程序，即使其他设置明确建议应部署该修补程序。

示例 5（Windows Edge 案例）：假设您配置了按严重性部署且仅选择了“安全性 - 关键”，并且还配置了按修补程序组部署以包括 Vantosi V3。

如果随后将 Vantosi V4 作为“安全性 - 关键”发布，并且在部署另一个修补程序之前将 Vantosi V5 作为“安全性 - 重要”发布，则对于 Windows，Vantosi V4 和 Vantosi V5 都不会部署。这是因为最新版本（Vantosi V5）不满足部署的严重性要求，且 Vantosi V4 和 Vantosi V5 均未包含在修补程序组中。请注意，如果您为 Mac 配置了相同的修补程序配置，将会部署 Vantosi V4。

我们建议您定期使用合规性报告组件检查设备的合规性状态，并将任何新的“安全性 - 关键”修补程序添加到修补程序组中。有关详细信息，请参阅合规性报告和修补程序组。

选择部署选项

部署所有缺失的修补程序/部署已选择的修补程序（仅限 Linux）：对于 Linux，可以选择部署所有缺失的修补程序。或者，选择部署指定修补程序实现进一步控制，以便选择要部署的修补程序。

按严重性部署（Windows 和 Mac）：如果启用，则可以指定部署中应该包含的修补程序类型以及严重性级别。默认只选择关键安全修补程序。
- 安全修补程序：与安全公告相关的修补程序。可以选择针对一个或多个特定的严重性级别进行部署。
  - 关键：可被未经身份验证的远程攻击者利用的漏洞，或者能够打破来宾/主机操作系统隔离的漏洞。漏洞一旦被利用，将会在无用户交互的情况下导致用户数据或处理资源的机密性、完整性和可用性受到影响。攻击者可利用漏洞传播互联网蠕虫病毒，或者在虚拟机与主机之间执行任意代码。
  - 重要：此类漏洞一旦被利用，将会导致用户数据和处理资源的机密性、完整性或可用性受到影响。此类缺陷可导致本地用户获得权限，允许未经身份验证的远程用户执行任意代码，或者允许本地或远程用户轻易造成拒绝服务。
  - 中等：可通过设置相应的配置或提高利用难度，降低此类缺陷的攻击能力。但在某些部署场景中，其仍然可以导致用户数据和处理资源的机密性、完整性或可用性受到一定程度的影响。这些类型的漏洞本来可以产生关键影响或重要影响，但根据对缺陷的技术评估，它们不太容易被利用，或者不太可能对配置造成影响。
  - 低：所有其他会产生安全影响的问题。被认为非常难以利用的漏洞，或者成功利用后只会产生最低限度影响的漏洞。
  - 未分配：尚未分配严重性级别的安全修补程序。
- 非安全修补程序：供应商修补程序，用于修补并不会产生安全影响的已知软件问题。对于 Windows，可以选择针对一个或多个特定的供应商严重性级别进行部署。有关可用的严重性级别的描述，请参阅安全修补程序。
按修补程序组部署/排除 (Windows) 或按修补程序组部署（Mac 和 Linux）：如果启用，允许您指定一个或多个包含修补程序的修补程序组，其中的修补程序是您想要包含在部署中的或（仅限 Windows）您想要从部署中排除的。这是一种好方法，可确保仅部署获得批准的修补程序。不会部署未包含在设定为包含的修补程序组中的缺失修补程序，除非这些修补程序符合在按严重性部署选项中指定的要求。即使其他设置明确建议应该部署，但仍然不会部署修补程序组中设置为排除的修补程序。要查看可用的修补程序组的详细信息，可使用修补程序设置页面中的修补程序组选项卡。在 Patch Intelligence 中管理修补程序组。
即使将较早的版本添加到修补程序组，Linux 设备也将始终更新到存储库中可用的最新程序包。此外，不仅会安装与修补程序组中的公告关联的程序包，还会安装与依赖公告关联的程序包。
启用按修补程序组部署/排除后，将显示包含所有修补程序组的网格，其中显示每个操作系统的修补程序数量以及每个修补程序组中的修补程序总数。选中修补程序组旁边的复选框，然后根据需要点击包含或排除。点击清除可取消选择修补程序组。
未配置的操作系统的修补程序计数旁边的或表示该配置已相应包含或排除这些修补程序。
在选择一个组之前，您可能想快速了解该组中包含哪些修补程序。为此，请点击网格中的数字链接，以在“修补程序组”网格下方显示相应的修补程序。使用平台列确定操作系统，使用状态列确定每个修补程序的状态。
显示的状态实际上是大致状态，取决于当前修补程序配置对此修补程序组的使用情况。有许多因素会影响修补程序状态。例如，将所选供应商/产品与修补程序组一起使用，就可能会从该组中筛选掉一个或多个修补程序。
- 活动：此配置已使用此修补程序组，向最终用户设备提供修补程序。这些设备属于与此修补程序配置相关联的策略。
- 不活动：此修补程序状态可能有两种原因。 (1) 尚未使用此修补程序组以向任何设备提供修补程序。 (2) 尚未对设备激活分配了此修补程序的配置。
  有一种情况是列为不活动的修补程序实际上可能已激活。如果修补程序位于多个修补程序组中，则可能已使用另外一个修补程序组来对设备激活此修补程序。
所选供应商/产品（仅限 Windows）：如果禁用，所有可用供应商和产品的修补程序都将包含在按严重性部署和按修补程序组部署选项定义的部署中。新产品和修补程序变成可用状态后即会添加到部署中。

如果启用，则可以指定能够部署到端点的供应商、产品系列和产品版本。未选中的供应商和产品将从部署中排除。项目显示在层次结构列表中。如果启用某个级别的复选框，则会同时启用所有更低级别的复选框。

全选：启用此复选框会选择列表中所有供应商和产品的所有当前可用的修补程序。之后可用的新供应商和产品修补程序将添加到部署中。

如果要排除一小部分项目，可以启用全选，然后清除要排除的项目的复选框。

选择个别供应商和产品：只部署选定供应商、产品系列和/或产品版本的修补程序。部署中会筛选掉未选定的供应商和产品。

重新启动行为

此区域可用于配置是否以及何时在部署过程中请求重新启动目标设备。 Ivanti Neurons 平台集中处理重新启动请求，以防止不同 Ivanti Neurons 功能之间发生冲突。这意味着不会在请求后立即重新启动。

在提示用户部署操作系统更新后，macOS 始终会在操作系统修补程序部署后重新启动。对于 Mac 配置，也可以选择始终在更新后重新启动（即使没有应用操作系统修补程序）。

部署前重新启动（仅限 Windows）：如果启用，指定是否在部署修补程序之前重新启动目标设备。在安装重要的新软件之前，最佳做法是重新启动设备，特别是对于大型软件更改（如操作系统产品等级）。如果选择重新启动设备，则可以指定登录用户将收到的警告数量，还可以选择用户对重新启动过程的控制程度。您可以：
- 选择在经过几分钟之后强制重新启动
- 提醒用户，重新启动将在其注销之后进行
- 选择在开始关机步骤后显示倒计时消息的持续时间。若要预览用户将看到的对话框，请点击倒计时示例。
- 允许用户将超时倒计时延长到指定的最大值。
- 允许用户取消超时。如果取消了超时，则在用户注销或手动重新启动设备之后，才会部署修补程序。
- 允许用户取消重新启动。重新启动设备之后，才会安装修补程序。
部署后重新启动（Windows 和 Linux）：如果启用，指定是否在部署修补程序之后请求重新启动目标设备。有两个选项：
- 始终：指定在部署修补程序之后重新启动每台设备。部署修补程序时，这是最安全的选项，因为大多数修补程序需要重新启动才能完成部署，但是有时候可能会不必要地重新启动设备。
- 在必要时：指定 Ivanti Neurons 代理将根据部署中包含的修补程序，确定是否需要重新启动每台设备。

如果选择重新启动设备，则之后可以指定更多选项，比如登录用户将收到的警告数量，以及用户使用关联策略对重新启动过程的控制程度。有关详细信息，请参阅代理策略重新启动体验。

设置 - Microsoft 预览修补程序

为了测试目的，Microsoft 在发布正式的“周二补丁日”版本之前，会先为 Windows 提供一组预览修补程式。这些修补程式不包括安全更新，通常不需要将其部署到所有设备，因此默认情况下会禁用对这些修补程式的扫描。要启用预览修补程式扫描，请启用扫描 Microsoft 预览修补程式。

如果选择部署预览修补程式，建议仅将其部署到组织中的部门测试组。