策略组详细信息
要访问“策略组详细信息”页面,请点击“策略组”页面上列出的组。 将列出属于该策略组的所有设备和设备详细信息。
可用操作:
- 编辑操作和代理设置:选择以打开“策略组详细信息”面板,可从该面板更新名称、描述、对等下载控件、带宽利用率、功能、重新启动设置和设备凭据。 编辑后,点击部署更改。
- 添加设备:选择此项可在设备列表中显示复选框。 选择要安装代理策略的设备。 如果需要设备的凭据,则会显示“策略组详细信息”面板以供您输入凭据。 选择添加设备开始部署。
此选项不适用于部署代表或连接器服务器设备。
Linux 和 macOS 设备您可以将 SSH 指纹安全应用于设备。 支持 SHA256 散列指纹。 当您选中一个复选框时,您会注意到一个打开的挂锁图标 出现,点击该图标以显示 SSH 指纹选项对话框。您有以下选项可用:
- 在不使用 SSH 指纹的情况下进行部署:选择继续部署而不使用 SSH 指纹验证。
- 检索 SSH 指纹:选择此项可发送请求以从设备检索 SSH 指纹。
- 如果选择此选项,一旦收到设备的指纹,SSH 指纹检索图标 将显示在策略组详细信息页面的部署状态列中。
- 点击图标 以显示“SSH 指纹选项”对话框 - 此对话框将提供 使用检索到的指纹选项。
- 选择使用检索到的指纹选项以在指纹文本框中显示指纹。 验证 SSH 指纹后部署选项也成为选中状态。
- 选择确定关闭对话框。
- 现在您拥有正确的指纹并选择了在验证 SSH 指纹后部署,您可以尝试部署。 为此,请在“策略组详细信息”页面上选择重试失败的部署。
- 在“重试失败的部署”对话框中,根据需要选择凭据和部署代表。
- 选择确定开始部署。
- 验证 SSH 指纹后部署:选择此项可使用指定的 SSH 指纹继续部署。 在“指纹”文本框中输入指纹。 如果您不知道指纹或想检查它是否正确,您应该首先选择检索 SSH 指纹选项,然后您可以选择通过使用检索到的指纹选项填充指纹文本框。 请参阅上文了解详细信息。
提示:要手动获取设备上的 SHA256 SSH 指纹,请打开终端并输入:
sudo ssh-keyscan localhost | ssh-keygen -l -E sha256 -f -
故障排除:如果您在使用 SSH 指纹和部署代表部署时遇到错误,DeploymentEngine.log 文件报告以下错误:
sudo:抱歉,您必须有 tty 才能运行 sudo
查看 Shell 提示以解决问题。进行更改后,您需要重试部署。使用 SSH 指纹安全的设备显示闭合的挂锁图标 。
- 删除设备:选择此项可在设备列表中显示复选框,您可选择想要从中卸载代理策略的每个设备的复选框。 选中后,点击删除并卸载代理。 将从所有选定设备中卸载代理,同时部署状态将从“当前”更改为“已卸载”。 页面刷新后,设备将不再显示在列表中。
代理必须签入才能成功执行此操作。如果设备上没有代理,并且部署状态停留在正在卸载,请再次选择删除设备以从列表中删除该设备。
无法删除部署代表设备。 要了解详细信息,请转到部署代表。
- 重试已失败的部署:选择以重试失败的 Ivanti Neurons 代理安装,该代理正在通过策略组进行部署。 失败的可能原因为:设备已关闭、设备处于离线状态或部署凭据无效。 请参阅如何解决部署问题获得进一步的帮助。
策略组详细信息
当您选择创建新的策略组或者针对现有策略组编辑操作和代理设置时,会显示“策略组详细信息”面板。
策略组名称:策略组的名称。
描述:策略组的描述。
对等下载控件
这允许网络上的设备相互之间共享代理、引擎和配置安装。 一台设备可以直接与另一台设备连接,无需经过中介服务器。 您拥有的设备越多,对等网络相较于客户端-服务器网络的执行效率就越高,这是因为文件传输负载分布在各个设备之间。 对等网络也比客户端-服务器网络更可靠,因为即使出现服务器连接问题,它也能保持正常运行。
对等功能支持数字签名的旁加载修补程序。 对等功能不支持自动从无数字签名服务器下载的修补程序,如 7-Zip 和 Core FTP。 服务器对等端只会向对等客户端共享适用于操作系统的修补程序,例如,Server 2019 只会与 Windows 11 客户端共享 2019 修补程序。
从以下选项中选择:
- 已禁用:不会与对等点共享文件,也不会从对等点下载文件。
- 仅限客户端:不会与对等点共享文件。 会从对等点下载文件。
- 仅限服务器:会与对等点共享文件。 不会从对等点下载文件。
- 客户端和服务器:会与对等点共享文件,也会从对等点下载文件。
对等客户端保留文件 2 天,对等服务器保留文件 2 周。 但是,如果选择了客户端和服务器,那么这也会有缓存 2 周的效果。
使用对等下载时,请确保防火墙允许端口 33121 和 33122 上的 UDP 和 TCP 流量。
带宽利用率
选择带宽利用百分比。 此设置将限制可用于 Ivanti Neurons 代理下载的网络带宽。 这可用于防止代理在使用有限或计量带宽连接时消耗所有带宽,从而让其他资源可以同时使用网络。
- LAN 利用率 (%):设置允许的最大百分比,范围在 10 - 100。 这会将分配给 Ivanti Neurons 代理和功能下载的网络带宽限制为局域网 (LAN) 的设定百分比。 对于多播对等点,则只是本地子网。
LAN 范围确定为:- 10.0.0.0 - 10.255.255.255(10/8 前缀)
- 172.16.0.0 - 172.31.255.255(172.16/12 前缀)
- 192.168.0.0 - 192.168.255.255(192.168/16 前缀)
-
Internet/WAN 利用率 (%):设置允许的最大百分比,范围在 10 - 100。 这会将分配给 Ivanti Neurons 代理和功能下载的网络带宽限制为广域网的设定百分比。
功能
可用的功能取决于许可证,请参阅 Ivanti Neurons 程序包,了解所包含的产品功能。 要了解关于以上选项的详细信息,请参阅相关的帮助主题。
选择要为策略组启用的代理功能:
- 远程控制:使 IT 分析人员能够安全地对端点进行远程控制,以便排除各类故障。
- Edge Intelligence:提供关于环境的实时洞察,以及针对环境的修复和警报功能。 随时应您所需,即时检索设备信息。
如果已禁用 Edge Intelligence,故障排除数据将不会出现在设备中。 人员中的某些功能也将受到影响;最新位置、Active Directory 状态。Edge Intelligence 和 Neurons 将不会针对策略的目标设备返回数据。 - 自动化:使 Neurons 平台能够与自身平台以外的各种系统通信。 它也可以用于检索信息或执行任务。 用户体验以下面三个概念为中心:“什么”、“谁”和“何时”。
如果已禁用自动化,将无法通过 Ivanti Neurons 平台 > 设备/Edge Intelligence/Neurons 在策略的目标设备上运行操作,包括在 ISM 和 ServiceNow 中创建和查看支持票证。 - 修补程序管理:提供零信任安全功能和持续的漏洞管理体验,在从检测直到修复的过程中,帮助组织管理各种漏洞以及确定漏洞的优先级。
- 修补程序配置:选择要应用到策略组的修补程序配置。 修补程序配置可控制修补程序部署;包括的修补程序类型、部署计划以及端点的重新启动行为。 下拉列表显示所有可用的修补程序配置。 在 Ivanti Neurons > 修补程序管理 > 修补程序设置中设置各种配置。
要使用 Ivanti Neurons 代理将修补程序成功部署到 Windows 设备,请不要禁用 Windows 更新服务,而是将其设置为手动或自动。 此外,将每台目标计算机上的 Windows 更新设置(控制面板 > 系统和安全 > Windows 更新 > 更改设置)设置为从不检查更新。 有关详细信息,请参阅 Ivanti 社区中的此篇文章。
- 应用程序分发:部署通过 .exe 或 .msi 文件安装的第三方企业应用程序。
- (SYSTEM) 默认值:自动选择且不可配置。
- Application Control:提供应用程序控制和权限与策略管理。 在 Application Control 帮助中了解详情。
- 配置:选择要应用到策略组的 Application Control 配置。 该配置控制将哪些 Application Control 设置部署到端点。 了解有关 Ivanti Neurons 和 Application Control 集成的详细信息。
- Environment Manager:提供按需个性化和上下文相关的策略控制。 在 Environment Manager 帮助中了解详情。
- 配置:选择要应用到策略组的 Environment Manager 配置。 该配置控制将哪些 Environment Manager 设置部署到端点。 了解有关 Ivanti Neurons 和 Environment Manager 集成的详细信息。
- Performance Manager:帮助 IT 团队最大限度提高用户密度和提供最佳的用户体验。 在 Performance Manager 帮助中了解详情。
- 配置:选择要应用到策略组的 Performance Manager 配置。 该配置控制将哪些 Performance Manager 设置部署到端点。 了解有关 Ivanti Neurons 和 Performance Manager 集成的详细信息。
重新启动请求
更新 Ivanti Neurons 代理组件可能需要重新启动,您可以配置是否以及何时请求重新启动。 可以配置其他 Ivanti Neurons 代理功能以请求重新启动。 前往相关功能以配置设置。
建议将服务器设备和最终用户设备置于不同的策略组中,以便您可以为没有活动最终用户的设备相应地设置重新启动设置。
重新启动请求后的操作
Ivanti Neurons 代理和功能重新启动请求设置。 这适用于此策略组在 Ivanti Neurons 平台中所有请求的重新启动。
- 用户注销时重新启动:选择此选项可在用户下次注销时重新启动。
- 在间隔后重新启动:选择此选项可在以下配置的时间后重新启动:
- 倒数计时器:输入值和单位(分钟、小时、天)。 最大值为 31 天。 倒数计时器值不能高于最大推迟值。
- 显示关机消息的持续时间:输入显示关机消息的持续时间的值和单位(秒、分钟)。 最大值为 999 秒或 16 分钟。
- 用户可以推迟重新启动:选择此项可为用户提供推迟重新启动的选项。
- 推迟:输入用户可以选择推迟重新启动的时间段的值和单位(分钟、小时、天)。 最大值为 14 天。
- 最大推迟值:输入用户可以选择推迟重新启动的最长时间段的值和单位(分钟、小时、天)。 最大值为 31 天。 此值必须大于倒数计时器值。设置天数时请注意,任何待处理更新在重新启动之前都不会生效。
- 用户可以推迟重新启动到注销:选择此项可允许用户推迟重新启动直到下次注销。
- 用户可以取消重新启动:选择此项可允许用户取消重新启动。
代理自动更新
Ivanti Neurons 代理会自动更新以修复漏洞并进行增强。 有时更新需要重新启动。
- 需要时请求重新启动:选择此项可在需要时请求重新启动。
- 不请求重新启动:选择此项可不请求重新启动。 如果不请求重新启动,某些代理组件可能无法完全正常工作。 需要手动重新启动。
代理安装
创建新策略组时可用。
- 将 Ivanti Neurons Agent 安装到此策略组中的设备:选择是否要将 Ivanti Neurons Agent 安装到此策略组中的设备。
选择是,则会启用选择设备凭据选项,并且必须选择设备访问凭据。
- 部署代表 A 和 C 在子网 1 上
- 部署代表 B 在子网 2 上
- 在子网 3 上没有部署代表
- 部署代表 A 或 C 将尝试部署到子网 1,具体取决于先找到哪个。
- 部署代表 B 将尝试部署到子网 2。
- 部署将在子网 3 上失败,因为没有部署代表。
- 部署代表 A 将尝试部署到子网 1、2 和 3。
- 部署代表 A 将尝试部署到子网 1 和 3。
- 部署代表 B 将尝试部署到子网 2
您有三个子网;1、2、3 和三个部署代表 A、B、C。
场景 1:将部署代表保留为默认值使用本地部署代表:
场景 2:选择部署代表 A 并保持首选本地部署代表复选框未选中:
场景 3:选择部署代表 A 并选择首选本地部署代表复选框:
选择否,即选择不提供凭据,则在创建组时,如果组中存在未安装任何代理的设备,系统会显示一条警告消息。
下一步 - 选择设备:仅当创建新的策略组时,此选项才可用。 显示设备列表。 选择要将此组策略分配到的设备,然后点击部署代理。
部署更改:仅当编辑现有策略组时,此选项才可用。 选择以将更改部署到策略组中的所有设备。