建立自訂修補程式組態
若要建立您自己的自訂修補程式組態,請在「修補程式設定」頁面上按一下建立組態。
- 組態名稱: 要指派給至此組態的名稱。
- 註解: 提供描述此組態用途的註解。
Linux 上的無內容修補方法
用於 Linux 的 Ivanti 修補解決方案與用於 Windows 和 Mac 的修補解決方案不同。 瞭解 Linux 無內容修補方法的不同之處非常重要,因為它會導致修補程式資料顯示在 Ivanti 產品中的時間有所不同。
針對 Windows 與 Mac,修補程式內容資料在發佈到產品以供使用之前會由 Ivanti 精心規劃及測試。 有關此程序的完整詳細資訊,請參閱 Ivanti 社群 (會在新視窗中開啟)。 由於這些作業系統允許從各種來源安裝軟體,因此需要這種方法。
Linux 採用不同的方法,其使用連接到發佈特定存放庫的套件管理員來控制所安裝軟體的部署與維護。 Ivanti 的修補產品使用裝置的存放庫來源來填入修補程式掃描期間需要的修補程式內容。 這是無內容方法,可使產品更加靈活。 它可讓您使用第三方與內部存放庫,無需 Ivanti 更新自己的修補程式內容。 此外,存放庫中有可用的更新時,就可以安裝它們,而無需 Ivanti 進行修補程式內容更新。 一開始,在掃描裝置以及上傳和處理該裝置的資料之前,Neurons 中不會出現 Linux 修補程式資料。 隨著掃描更多的裝置,會合併任何額外資料以便全面掌握資訊。
「組態行為」索引標籤
此索引標籤可讓您設定與修補程式部署有關的多個不同選項。
提示: 選擇顯示摘要可查看自訂修補程式組態選項的摘要,其中針對每個作業系統提供相應的索引標籤。 此摘要將在您新增、刪除或修改修補程式組態選項時即時更新。
此區域可讓您設定要部署的修補程式 (部署選項),以及目標電腦在部署過程中是否要以及何時傳送重新開機要求 (重新開機行為)。 可以在同一修補程式組態中,針對不同作業系統設定相應的部署行為。
啟用作業系統的部署
可以單獨啟用和停用每個作業系統的修補程式部署。 在部署行為下方,選擇所需的作業系統,然後根據需要設定部署修補程式。
若要建立僅掃描修補程式組態,請關閉所有作業系統索引標籤的部署開關。
部署選項
視不同的作業系統而定,最多會有三個可設定的部署選項:
- Windows: 按照嚴重性部署、按照修補程式群組部署/排除以及選取的廠商/產品
- Mac: 按照嚴重性部署、按照修補程式群組部署
- Linux: 全部修補
依預設,僅會部署 Windows 的關鍵安全性修補程式。 如果您啟用及設定按照嚴重性部署,並在按照修補程式群組部署/排除中將一些修補程式群組設定為包含,則效果為累加,系統將部署每個已設定選項的所有修補程式。 若您啟用並設定了選取的廠商/產品,則此選項會從其他兩個選項中篩選掉修補程式。如果您在按照修補程式群組部署/排除中將修補程式群組設定為排除,則修補程式群組中設定為排除的修補程式一律會排除,即使其在其他位置設定為已包含也是如此。
範例 1: 若您僅想要部署包含在修補程式群組內的修補程式:
- 停用按照嚴重性部署和選取的廠商/產品選項
- 啟用按照修補程式群組部署/排除選項並將想要的修補程式群組設定為包含
範例 2: 假設您設定了下列內容:
- 按照嚴重性部署: 系統會選取「安全性關鍵」和「安全性重要」
- 按照修補程式群組部署/排除: 將一個修補程式群組設定為包含,以包含一個「安全性關鍵」修補程式、一個「安全性重要」修補程式,以及兩個「安全性中度」修補程式
- 選取的廠商/產品: 這個選項已停用
在此情況下,「安全性關鍵」和「安全性重要」修補程式將會針對所有廠商和產品進行部署。 此外,系統會部署修補程式群組中包含的所有四個修補程式,包括兩個「安全性中度」修補程式。
範例 3: 與範例 2 相同,但您同時還使用了選取的廠商/產品選項,以指定僅應部署 Adobe 修補程式。 在此情況下,僅會部署的修補程式是 Adobe 安全性關鍵修補程式、Adobe 安全性重要修補程式,以及修補程式群組中包含的任何 Adobe 修補程式。
範例 4: 與範例 3 相同,但您同時還使用了按照修補程式群組部署/排除選項,以排除包含特定 Adobe 安全性關鍵修補程式的修補程式群組。 在此情況下,僅會部署的修補程式是 Adobe 安全性關鍵修補程式 (所排除修補程式群組中的修補程式除外)、Adobe 安全性重要修補程式,以及修補程式群組中包含的任何 Adobe 修補程式。
如果將修補程式新增至設定為排除的修補程式群組,則不會部署該修補程式,即使其他設定明確建議應該對其進行部署也是如此。
範例 5 (Windows Edge 案例): 假設您在設定按照嚴重性部署時僅選取「安全性關鍵」,且也設定按照修補程式群組部署以包含 Vantosi V3。
如果隨後 Vantosi V4 是作為「安全性關鍵」發布,且在部署另一個修補程式之前,Vantosi V5 作為「安全性重要」發布,則對於 Windows 而言,Vantosi V4 和 Vantosi V5 都不會部署。 這是因為最新版本 (Vantosi V5) 不滿足部署的嚴重性要求,且 Vantosi V4 和 Vantosi V5 均未包含在修補程式群組中。 請注意,如果您為 Mac 設定了相同的修補程式組態,則會部署 Vantosi V4。
建議您定期使用合規性報告組件檢查裝置的合規性狀態,並將任何新的「安全性關鍵」修補程式加入到修補程式群組中。 如需更多資訊,請參閱合規性報告和修補程式群組。
選擇部署選項
- 按照嚴重性部署 (Windows 與 Mac): 若啟用,則允許您指定應該包含在部署中的修補程式類型和嚴重性層級。 依預設,僅會選取關鍵安全性修補程式。
- 安全性修補程式: 安全佈告相關修補程式。 您可以選擇部署一或多個特定安全性層級。
- 重大: 可能遭到未經驗證的遠端攻擊者入侵的弱點,或是會破壞客體/主機作業系統獨立的弱點。 這種入侵會在沒有使用者互動的情況下,導致使用者資料或處理資源之機密性、完整性、可用性受損。 這種入侵可能遭到利用,用來傳播網際網路蠕蟲,或在虛擬機器與主機之間執行任意程式碼。
- 重要: 這些弱點若遭到入侵,會導致使用者資料和處理資源的機密性、完整性或可用性受損。 這類瑕疵會讓本機使用者取得權限,允許未經驗證的遠端使用者執行任意程式碼,或者允許本機或遠端使用者輕易造成拒絕服務。
- 中等: 可透過設定適當的組態或提高入侵難度大幅減輕這類弱點的遭入侵情況,但是在某些部署情況中,其仍可能造成使用者資料和處理資源的機密性、完整性或可用性受到一些損害。 有一些類型的弱點本來可以產生重大影響或重要影響,但是根據對瑕疵的技術評估,它們不太容易遭到入侵,或者不太可能對組態造成影響。
- 低: 所有其他具有安全性影響的問題。 這些弱點被認為極難遭到入侵,或者即使被成功入侵,造成的影響也很小。
- 未指派: 尚未指派嚴重性層級的安全性修補程式。
- 非安全性修補程式: 廠商修補程式,用於修正並不會產生安全性問題的已知軟體問題。 對於 Windows,您可以選擇針對一或多個特定廠商嚴重性層級進行部署。 請參閱安全性修補程式,瞭解可用安全性層級的說明。
- 安全性修補程式: 安全佈告相關修補程式。 您可以選擇部署一或多個特定安全性層級。
- 按照修補程式群組部署/排除 (Windows) 或按照修補程式群組部署 (Mac): 若啟用,則允許您指定含有您要包含在部署中或 (僅限 Windows) 您要從部署中排除之修補程式的一個或多個修補程式群組。 這是一個確保只部署獲核准修補程式的好方法。 除非符合在按照嚴重性部署選項中指定的需求,否則不會部署未包含在設定為包含之修補程式群組中缺少的修補程式。 不會部署設定為排除之修補程式群組中的修補程式,即使其他設定明確建議應該對其進行部署也是如此。 您可以使用修補程式設定頁面內的修補程式群組索引標籤來檢視關於可用修補程式群組的詳細資訊。修補程式群組的管理是從 Patch Intelligence 內進行。
在啟用按照修補程式群組部署/排除後,會顯示包含所有修補程式群組的網格,其中顯示每個作業系統的修補程式數量,以及每個修補程式群組中的修補程式總數。 選取修補程式群組旁的核取方塊,然後視適當情況按一下包含或排除。 按一下清除,取消選取修補程式群組。
未設定之作業系統的修補程式計數旁的 或 ,分別表示此組態已包含或排除這些修補程式。
您可能會想要快速提醒自己哪個修補程式包含在群組中,然後再予以選取。 若要這麼做,請按一下網格中的數值連結,以在「修補程式群組」網格下方顯示相應的修補程式。 使用平台欄可確定作業系統,使用狀態欄可確定個別修補程式的狀態。
顯示的狀態實際上是約略的狀態,此狀態根據的是此修補程式群組搭配目前修補程式組態的使用情況。 有多項因素可能會影響修補程式狀態。 例如,若您使用選取的廠商/產品搭配修補程式群組,則可能會從群組中篩選掉一或多個修補程式。
- 作用中: 此修補程式群組已由此組態用來將修補程式提供給一般使用者裝置。 裝置是與此修補程式組態相關聯的原則群組的一部分。
- 非作用中: 變成此修補程式狀態的可能原因有兩種。 (1) 此修補程式群組並未用來將修補程式提供給任何裝置。 (2) 指派至此修補程式群組的修補程式組態並未針對裝置設為作用中。
可能發生的情況是,列出為非作用中的修補程式可能實際上為作用中。 若修補程式位於一個以上的修補程式群組,則其他修補程式群組中的一個群組可能已用來將此修補程式提供給裝置。
- 選取的廠商/產品 (僅 Windows): 若停用,則會依照按照嚴重性部署和按照修補程式群組部署選項所定義,部署中將會包含所有可用廠商和產品的修補程式。 當有新產品及修補程式變為可用時,它們會新增至部署。
- 全選: 勾選此核取方塊會選取清單中所有廠商和產品的所有目前可用修補程式。 日後才變成可用的新廠商及產品修補程式將會新增至部署中。
- 選取個別廠商和產品: 僅會部署所選廠商、產品系列和/或產品版本的修補程式。 部署中會篩選掉未選取的廠商和產品。
若啟用,則會允許您指定可部署至端點的廠商、產品系列和產品版本。 未選取的廠商和產品將會從部署中排除。 這些項目存在於階層清單中。 如果勾選其中一個層級的核取方塊,則較低層級的所有核取方塊也會勾選。
提示: 如果要排除少數項目,可以勾選全選,然後清除您要排除之項目的核取方塊。
重新啟動行為
此區域可讓您設定是否以及何時在部署過程中要求重新開機目標電腦。 Ivanti Neurons 平台會集中處理重新開機要求,以防不同的 Ivanti Neurons 功能發生衝突。 這表示,可能不會在提出重新開機要求時立即執行。
macOS 在提示使用者部署作業系統更新後,會一律在作業系統修補程式部署後重新開機。 也可以為 Mac 組態選擇一律在更新後重新開機 (即使沒有套用作業系統修補程式)。
- 部署前重新開機 (僅限 Windows): 如果啟用,則會指定目標電腦在部署修補程式之前重新開機。 在安裝重要的新軟體之前重新啟動電腦是公認的最佳做法,尤其對於如作業系統產品級別等大型軟體變更來說更是如此。如果選取重新啟動電腦,則可以指定登入使用者將收到的警告數量,而且可以選擇使用者對重新啟動程序的控制程度。 您可以:
- 選擇在數分鐘後強制重新啟動
- 警示使用者在他們登出後將會重新啟動
- 選擇當起始關機順序時,顯示倒數訊息的持續時間。 若要預覽使用者會看到的對話方塊,請按一下倒數範例。
- 允許使用者將逾時倒數延長至指定的上限值。
- 允許使用者取消逾時。 如果取消逾時,將不會部署修補程式,直到使用者登出或手動重新啟動電腦為止。
- 允許使用者取消重新啟動。 重新啟動電腦之後,才會安裝修補程式。
- 部署後重新開機 (Windows 與 Linux): 如果啟用,則會指定在部署修補程式之後,是否要求目標電腦重新開機。 有兩個選項:
- 一律: 指定每一部電腦都要在部署修補程式之後重新開機。 這是部署修補程式時的最安全選項,因為大多數修補程式都需要重新啟動才能完成,但是有時可能會非必要地重新啟動電腦。
- 必要時: 指定將由 Ivanti Neurons 代理程式根據部署中包含的修補程式決定每一部電腦是否要重新開機。
如果您選擇將電腦重新開機,則可以指定更多其他選項,例如登入的使用者將收到的警告數量,以及使用者使用相關聯的原則群組對重新開機程序進行控制的程度。 如需詳細資訊,請參閱原則群組詳細資料。
此區域可讓您設定週期性排程執行的部署。
設定週期性索引標籤可讓您使用指定的週期性模式,定期排程在特定時間執行的部署作業。例如,可在每晚午夜、或每週六晚上 9 點、每個工作日晚上 11 點,或者使用者選取的任何其他時間和間隔執行部署。
- 如果錯過排程,則在重新開機時執行: 如果由於關閉電腦電源而錯過排程的部署,則會在重新開啟電腦電源後的一小時內執行。
- 部署修補程式: 您可以使用下列選項來排程修補程式部署:
- 每日: 部署將在每週每一天,於您選擇的時間執行。
- 每週: 部署將在一週中的指定日子,於您選擇的時間執行。
- 每月: 部署將在每月的指定日期或固定星期幾,於您選擇的時間執行。 您也可以使用此選項,搭配 Microsoft 的週二修補程式日來排程部署。 例如,您可以將每月修補程式部署排程在週二修補程式日隔天執行,方法是勾選也在週二修補程式日後部署核取方塊,然後將週二修補程式日後延遲部署的天數指定為 1。
新增延遲選項可讓您在每月排程中新增數天的延遲,以進一步提升排程的靈活度。例如,如果您的變更諮詢委員會固定在每個月的第一個星期三開會決定,要在接下來的星期六部署哪些修補程式,您可以選擇在第一個星期三部署並延遲 3 天。 這樣就能處理第一個星期三之後的星期六可能是當月的第一個或第二個星期六的情況。 - 週二修補程式日: 將部署排程為與 Microsoft 每月定期修補活動 (稱為週二修補程式日) 同一天執行。
- 部署前暫存內容: 指定是否要在實際部署之前,先建立部署套件,並將部署套件複製到目標電腦。 您可以在部署執行前 1 - 23 小時的任何時間暫存內容。 在暫存程序開始時,代理程式會自動執行修補程式掃描,以便在部署前再次評估電腦的修補程式狀態。
修補程式部署有一個例外,將在每月的第一天發生。 為了避免閏年問題和日曆中其他類似的例外情況,該介面會防止您在每月第一天的前一天暫存內容。 例如,如果排程在每月第一天上午 8:00 部署,則只能在部署前 1 到 8 小時暫存內容。
- 即將來臨的工作: 此表格顯示即將來臨的工作的清單。 它可讓您檢視預計在接下來 60 天內使用目前所選組態進行的所有事件。 請注意,此表中所提供的資訊只是預計將要發生的事件,有許多意外情況會使其中一或多個事件無法進行。
「關聯」索引標籤
此索引標籤可讓您將修補程式組態與一或多個代理程式原則群組相關聯。 修補程式組態與原則群組的關聯,會定義組態將要部署到的端點。 使用某個特定原則的所有裝置,是由與該原則相關聯的修補程式組態所控管的。
重要! 代理程式原則群組必須啟用修補程式管理功能才能使用修補程式組態。
您可以將修補程式組態與多個代理程式原則群組相關聯。
- 您可以為組織內 IT 支援團隊使用的所有廠商和產品建立修補程式組態。 然後,您可將此組態與涵蓋地區團隊的代理程式原則群組相關聯,例如 AMER IT 支援、EMEA IT 支援和 APAC IT 支援。
- 您可為週二修補程式日發佈的修補程式建立修補程式組態。 然後,您可將此組態與要用來測試修補程式部署的試驗代理程式原則群組相關聯。 如果部署成功,您可將該組態與主要代理程式原則群組相關聯,以便實現更廣泛的分發。
- 您可為筆記型電腦和工作站建立一個修補程式組態,並為伺服器裝置建立一個獨立的修補程式組態。 然後,您可將適當的修補程式組態與控管各個裝置類型的代理程式原則群組相關聯。
若要將目前的修補程式組態與一或多個代理程式原則群組相關聯:
- 按一下選取原則群組。
- 選擇所需的代理程式原則群組。
為協助您選擇,提供有關可用原則群組的下列資訊:- 原則群組: 代理程式原則群組的名稱。
- 端點: 顯示目前使用該代理程式原則群組的端點的數量。
- 目前修補程式組態: 顯示目前與代理程式原則群組相關聯的修補程式組態的名稱。
- 按一下確認。
「關聯」頁面會顯示目前與修補程式組態相關聯的所有代理程式原則群組的清單。
「歷史記錄」索引標籤
此索引標籤可讓您追蹤對修補程式組態進行的變更。
該表格會顯示所有版本的組態。 依預設,此表格包含下列欄,並按照版本欄排序。
- 版本: 版本的數字值。 第一次儲存的組態將會是版本 1。 每次編輯並儲存組態時,版本值將會遞增 1。 按下版本值將會開啟該特定版本的組態詳細資訊。
- 組態名稱: 修補程式組態的名稱。
- 儲存日期: 儲存組態編輯的日期與時間。
- 上次儲存人員: 上次編輯此版本組態的團隊成員的姓名。 若您修改與修補程式組態相關聯的修補程式群組,便會將之視為修訂組態。
-
可用性: 顯示組態的目前狀態。 可能的值包括新增、擱置中、作用中、先前已啟用、草稿和失敗
- 說明: 儲存組態編輯時所提供的註解。
- 還原至所選版本: 可讓您將修補程式組態還原至較舊版本。 請確保更新組態說明,然後在執行動作之後按一下儲存。 修補程式群組未包含在還原動作中。 目前修補程式組態內包含的任何修補程式群組都將包含在已還原的修補程式組態中。
可讓您將表格內容匯出至 CSV 檔案。 您可以選擇匯出表格中的所有項目,或僅匯出選取的項目。
CSV 檔案是使用 ISO 標準建立的,且儲存在本機「下載」資料夾中。 如果使用 Excel 檢視該檔案,可以將資料轉換成電腦的地區設定,以便以更易於閱讀的格式檢視。
任何套用至組態的排序或篩選均會保留在匯出的輸出中。 無論在「欄選擇器」中選取了哪些項目,所有欄均會包括在內。
選取您要匯出之組態的第一欄核取方塊。 或者,選取標頭儲存格內的核取方塊來選取所有組態。
按一下匯出即可建立 CSV 檔案。
儲存及啟動自訂修補程式組態
使用三個修補程式組態索引標籤中的任何一個時,有下列按鈕可用。
- 儲存並設為作用中: 儲存修補程式組態,並針對指派給相關聯原則群組的裝置將其設為作用中。 裝置的代理程式下次簽入 Ivanti Neurons 時,每個裝置將會收到新組態。
- 儲存: 儲存修補程式組態,但不關閉頁面,以便繼續工作。
- 復原變更: 復原任何變更,將修補程式組態回復至其先前儲存的狀態。
- 關閉: 關閉頁面,但不儲存修補程式組態的最新變更。