組態行為
此索引標籤可讓您設定與修補程式部署有關的多個不同選項。
選取顯示摘要可瀏覽自訂修補程式組態選項的摘要,其中針對每個作業系統提供相應的索引標籤。 此摘要將在您新增、刪除或修改修補程式組態選項時即時更新。
部署行為
部署行為可讓您設定何時部署修補程式 (排程)、要部署哪些修補程式 (部署選項),以及在部署過程中是否要傳送重新啟動目標裝置的要求及何時傳送 (重新啟動行為)。
可以在同一修補程式組態中,針對不同作業系統設定相應的部署行為。 每個作業系統的部署行為都包含一或多個可以開啟或關閉的部署工作:
- 例行維護: 通常用於作業系統和應用程式的每月標準修補,往往需要重新啟動端點。
- 優先順序更新 (僅限 Windows): 適用於發行更新較頻繁的應用程式,例如瀏覽器和電信應用程式。 由於這些更新很少需要重新啟動,因此更頻繁地排程這些部署可以減少弱點,對使用者的影響也很小。
- 零時差回應 (僅限 Windows): 用於緊急回應,例如針對遭到惡意探索的弱點。
您可以使用這些工作,透過設定根據不同排程部署不同的修補程式類型,實作以風險為基礎的修補程式策略。
若要建立僅掃描修補程式組態,請關閉所有作業系統上所有工作的部署開關。 修補程式引擎會在安裝後立即掃描端點,之後會每天在本機端點時間午夜到凌晨 2 點之間掃描端點。
若要啟用修補程式工作,請將其切換為啟用,然後按一下設定此工作以顯示工作的組態面板。
排程
此區域可讓您設定週期性排程執行的部署。
選擇排程區段可讓您使用指定的週期性模式,定期排程在特定時間執行的部署作業。 例如,可在每晚午夜、或每週六晚上 9 點、每個工作日晚上 11 點,或者使用者選取的任何其他時間和間隔執行部署。
- 如果錯過排程,則在重新開機時執行: 如果由於裝置關閉電源而錯過排程的部署,則會在重新開啟裝置電源後的一小時內執行部署。
- 部署修補程式: 您可以使用下列選項來排程修補程式部署:
- 每日: 部署將在每週每一天,於您選擇的時間執行。
- 每週: 部署將在一週中的指定日子,於您選擇的時間執行。
- 每月: 部署將在每月的指定日期或固定星期幾,於您選擇的時間執行。 您也可以使用此選項,搭配 Microsoft 的週二修補程式日來排程部署。 例如,您可以將每月修補程式部署排程在週二修補程式日隔天執行,方法是勾選也在週二修補程式日後部署核取方塊,然後將週二修補程式日後延遲部署的天數指定為 1。
新增延遲選項可讓您在每月排程中新增數天的延遲,以進一步提升排程的靈活度。例如,如果您的變更諮詢委員會固定在每個月的第一個星期三開會決定,要在接下來的星期六部署哪些修補程式,您可以選擇在第一個星期三部署並延遲 3 天。 這樣就能處理第一個星期三之後的星期六可能是當月的第一個或第二個星期六的情況。 - 週二修補程式日: 將部署排程為與 Microsoft 每月定期修補活動 (稱為週二修補程式日) 同一天執行。
- 部署前暫存內容 (Windows 和 Mac): 指示端點上的修補程式引擎在部署工作開始前下載修補程式。 這對於有維護時段的端點來說尤其實用,如此就不會將維護時段的任何時間浪費在下載上面。 您可以在部署執行前 1 - 23 小時的任何時間暫存內容。 在暫存程序開始時,代理程式會自動執行修補程式掃描,以便在部署前再次評估裝置的修補程式狀態。
修補程式部署有一個例外,將在每月的第一天發生。 為了避免閏年問題和日曆中其他類似的例外情況,該介面會防止您在每月第一天的前一天暫存內容。 例如,如果排程在每月第一天上午 8:00 部署,則只能在部署前 1 到 8 小時暫存內容。
部署者
可用的部署選項取決於作業系統:
- Windows: 依風險分數部署、依嚴重性部署、依修補程式群組部署/排除、包含啟用套件和選取的廠商/產品
- Mac: 按照嚴重性部署、按照修補程式群組部署
- Linux: 部署所有缺少的修補程式、依嚴重性部署、依修補程式群組部署
依預設,僅會部署 Windows 的關鍵安全性修補程式。 若您:
- 啟用及設定按照嚴重性部署,並在按照修補程式群組部署/排除中將一些修補程式群組設定為包含,則效果為累加,系統將部署每個已設定選項的所有修補程式
- 啟用及設定選取的廠商/產品,則此選項會篩選掉來自其他兩個選項的修補程式
- 在按照修補程式群組部署/排除中將修補程式群組設定為排除,則修補程式群組中設定為排除的修補程式一律會排除,即使其在其他位置設定為包含也是如此
範例 1: 若您僅想要部署包含在修補程式群組內的修補程式:
- 停用按照嚴重性部署和選取的廠商/產品選項
- 啟用按照修補程式群組部署/排除選項並將想要的修補程式群組設定為包含
範例 2: 假設您設定了下列內容:
- 按照嚴重性部署: 系統會選取「安全性關鍵」和「安全性重要」
- 按照修補程式群組部署/排除: 將一個修補程式群組設定為包含,以包含一個「安全性關鍵」修補程式、一個「安全性重要」修補程式,以及兩個「安全性中度」修補程式
- 選取的廠商/產品: 這個選項已停用
在這種情況下:
- 「安全性關鍵」和「安全性重要」修補程式將會針對所有廠商和產品進行部署
- 系統會部署修補程式群組中包含的所有四個修補程式,包括兩個「安全性中度」修補程式
範例 3: 與範例 2 相同,但您也可以:
- 使用所選廠商/產品選項指定僅部署 Adobe 修補程式
在這種情況下,僅會部署的修補程式是:
- 修補程式群組中包含的 Adobe 安全性關鍵修補程式、Adobe 安全重要修補程式以及任何 Adobe 修補程式
範例 4: 與範例 3 相同,但您也可以:
- 使用按照修補程式群組部署/排除選項,以排除包含特定 Adobe 安全性關鍵修補程式的修補程式群組
在這種情況下,僅會部署的修補程式是:
- Adobe 重大安全性修補程式 (排除之修補程式群組中的修補程式除外)
- Adobe 重要安全性修補程式
- 修補程式群組中包含的任何 Adobe 修補程式
如果將修補程式新增至設定為排除的修補程式群組,則不會部署該修補程式,即使其他設定明確建議應該對其進行部署也是如此。
範例 5 (Windows Edge 案例): 假設您在設定按照嚴重性部署時僅選取「安全性關鍵」,且也設定按照修補程式群組部署以包含 Vantosi V3。
如果隨後 Vantosi V4 是作為「安全性關鍵」發布,且在部署另一個修補程式之前,Vantosi V5 作為「安全性重要」發布,則對於 Windows 而言,Vantosi V4 和 Vantosi V5 都不會部署。 這是因為最新版本 (Vantosi V5) 不滿足部署的嚴重性要求,且 Vantosi V4 和 Vantosi V5 均未包含在修補程式群組中。 請注意,如果您為 Mac 設定了相同的修補程式組態,則會部署 Vantosi V4。
建議您定期使用合規性報告元件檢查裝置的合規性狀態,並將任何新的「安全性關鍵」修補程式加入到修補程式群組中。 如需更多資訊,請參閱合規性報告和修補程式群組。
選擇部署選項
- 部署所有缺少的修補程式 / 部署選取的修補程式 (僅限 Linux): 對於 Linux,您可以選擇部署所有缺少的修補程式。 或者,選取部署選取的修補程式來啟用進一步的控制功能,讓您可以選取要部署的修補程式。
- 按風險分數部署 (僅限 Windows): 啟用後,您可以指定要包含在部署中的修補程式所關聯的風險分數。
- VRR 分數: 部署 VRR 分數大於或等於所設定值的修補程式。 弱點風險評分 (VRR) 表示指定弱點所帶來的風險,以 0 到 10 之間的數值分數形式提供。
- CVSS 分數: 部署修補程式,其中從修補程式相關聯所有 CVE 中獲取的最新版本 CVSS (常見弱點分數系統) 分數大於或等於所設定的值。 分數範圍從 0.1 到 10。
- 針對遭到惡意探索的弱點部署修補程式: 啟用後,則會針對已報告為遭到惡意探索的弱點部署修補程式。
如需有關 VRR 與 CVSS 的詳細資訊,請參閱威脅與風險。
- 依嚴重性部署: 若啟用,則允許您指定想要包含在部署中的修補程式類型和嚴重性層級。 依預設,僅會選取關鍵安全性修補程式。 每個作業系統和 Linux 發行版本都有不同的可用層級。 圖示顯示每個層級支援哪些 Linux 發行版本。
- 安全性: 安全佈告相關的修補程式。 您可以選擇部署一或多個特定安全性層級。
- 重大: 可能遭到未經驗證的遠端攻擊者入侵的弱點,或是會破壞客體/主機作業系統獨立的弱點。 這種入侵會在沒有使用者互動的情況下,導致使用者資料或處理資源之機密性、完整性、可用性受損。 這種入侵可能遭到利用,用來傳播網際網路蠕蟲,或在虛擬機器與主機之間執行任意程式碼。
- 重要: 這些弱點若遭到入侵,會導致使用者資料和處理資源的機密性、完整性或可用性受損。 這類瑕疵會讓本機使用者取得權限,允許未經驗證的遠端使用者執行任意程式碼,或者允許本機或遠端使用者輕易造成拒絕服務。
- 中等: 可透過設定適當的組態或提高入侵難度大幅減輕這類弱點的遭入侵情況,但是在某些部署情況中,其仍可能造成使用者資料和處理資源的機密性、完整性或可用性受到一些損害。 有一些類型的弱點本來可以產生重大影響或重要影響,但是根據對瑕疵的技術評估,它們不太容易遭到入侵,或者不太可能對組態造成影響。
- 低: 所有其他具有安全性影響的問題。 這些弱點被認為極難遭到入侵,或者即使被成功入侵,造成的影響也很小。
- 未指派 (Windows 和 Mac): 尚未獲指派嚴重性層級的安全性修補程式。
- 非安全性 (Windows 和 Mac): 廠商修補程式,用於修正非安全性問題的已知軟體問題。 對於 Windows,您可以選擇針對一或多個特定廠商嚴重性層級進行部署。 請參閱安全性修補程式,瞭解可用安全性層級的說明。
- 錯誤修正 (僅限 Linux): 修正錯誤的廠商修補程式。
- 增強功能 (僅限 Linux): 提供功能增強的廠商修補程式。
Oracle v7 與 Red Hat v7 不提供增強功能。
- 安全性: 安全佈告相關的修補程式。 您可以選擇部署一或多個特定安全性層級。
- 按照修補程式群組部署/排除 (Windows) 或按照修補程式群組部署 (Mac 與 Linux): 若啟用,則允許您指定含有想要包含在部署中或 (僅限 Windows) 想要從部署中排除之修補程式的一或多個修補程式群組。 這是一個確保只部署獲核准修補程式的好方法。 除非符合在按照嚴重性部署選項中指定的需求,否則不會部署未包含在設定為包含之修補程式群組中缺少的修補程式。 不會部署設定為排除之修補程式群組中的修補程式,即使其他設定明確建議應該對其進行部署也是如此。 您可以使用修補程式設定頁面內的修補程式群組索引標籤來檢視關於可用修補程式群組的詳細資訊。修補程式群組的管理是從 Patch Intelligence 內進行。
Linux 裝置的慣例是始終更新到存放庫中可用的最新套件,即使將舊版新增到修補程式群組時也是如此。 此外,不僅會安裝與修補程式群組中諮詢關聯的套件,也會安裝與相依諮詢關聯的套件。
在啟用按照修補程式群組部署/排除後,會顯示包含所有修補程式群組的網格,其中顯示每個作業系統的修補程式數量,以及每個修補程式群組中的修補程式總數。 選取修補程式群組旁的核取方塊,然後視適當情況按一下包含或排除。 按一下清除,取消選取修補程式群組。
未設定之作業系統的修補程式計數旁的 或 ,分別表示此組態已包含或排除這些修補程式。
您可能會想要快速提醒自己哪個修補程式包含在群組中,然後再予以選取。 若要這麼做,請按一下網格中的數值連結,以在「修補程式群組」網格下方顯示相應的修補程式。 使用平台欄可確定作業系統,使用狀態欄可確定個別修補程式的狀態。
顯示的狀態實際上是約略的狀態,此狀態根據的是此修補程式群組搭配目前修補程式組態的使用情況。 有多項因素可能會影響修補程式狀態。 例如,若您使用選取的廠商/產品搭配修補程式群組,則可能會從群組中篩選掉一或多個修補程式。
- 作用中: 此修補程式群組已由此組態用來將修補程式提供給一般使用者裝置。 裝置是此修補程式組態相關聯原則的一部分。
- 非作用中: 變成此修補程式狀態的可能原因有兩種。 (1) 此修補程式群組並未用來將修補程式提供給任何裝置。 (2) 指派至此修補程式群組的修補程式組態並未針對裝置設為作用中。
可能發生的情況是,列出為非作用中的修補程式可能實際上為作用中。 若修補程式位於一個以上的修補程式群組,則其他修補程式群組中的一個群組可能已用來將此修補程式提供給裝置。
- 包含啟用套件 (僅限 Windows、僅限例行維護): 啟用後,則部署選取的啟用套件。 啟用套件是一組有限的累積更新,可讓您從一個版本的 Windows 升級到另一個版本。 使用顯示被取代的套件顯示或隱藏已被取代的項目。
- 選取的廠商/產品 (僅 Windows): 若停用,則會依照按照嚴重性部署和按照修補程式群組部署選項所定義,部署中將會包含所有可用廠商和產品的修補程式。 當有新產品及修補程式變為可用時,它們會新增至部署。
- 全選: 勾選此核取方塊會選取清單中所有廠商和產品的所有目前可用修補程式。 日後才變成可用的新廠商及產品修補程式將會新增至部署中。
- 選取個別廠商和產品: 僅會部署所選廠商、產品系列和/或產品版本的修補程式。 部署中會篩選掉未選取的廠商和產品。
若啟用,則會允許您指定可部署至端點的廠商、產品系列和產品版本。 未選取的廠商和產品將會從部署中排除。 這些項目存在於階層清單中。 如果勾選其中一個層級的核取方塊,則較低層級的所有核取方塊也會勾選。
如果要排除少數項目,可以啟用全選,然後清除您要排除之項目的核取方塊。
重新開機行為
此區域可讓您設定是否可以在部署過程中要求重新開機目標裝置以及何時重新開機。 Ivanti Neurons 平台會集中處理重新開機要求,以防不同的 Ivanti Neurons 功能發生衝突。 這表示,可能不會在提出重新開機要求時立即執行。
macOS 在提示使用者部署作業系統更新後,會一律在作業系統修補程式部署後重新開機。 也可以為 Mac 組態選擇一律在更新後重新開機 (即使沒有套用作業系統修補程式)。
- 部署前重新開機 (僅限 Windows): 如果啟用,則會指定目標裝置在部署修補程式之前重新開機。 在安裝重要的新軟體之前讓裝置重新開機,是公認的最佳做法,尤其對於作業系統產品級別等大型軟體變更來說更是如此。 如果選取裝置重新開機,則可以指定登入使用者將收到的警告數量,而且可以選擇使用者對重新開機程序的控制程度。 您可以:
- 選擇在數分鐘後強制重新開機
- 警示使用者在他們登出後將會重新開機
- 選擇當起始關機順序時,顯示倒數訊息的持續時間。 若要預覽使用者會看到的對話方塊,請按一下倒數範例。
- 允許使用者將逾時倒數延長至指定的上限值。
- 允許使用者取消逾時。 如果取消逾時,則在使用者登出或手動執行裝置重新開機之前,不會部署修補程式。
- 允許使用者取消重新開機。 重新開機裝置之後,才會安裝修補程式。
- 部署後重新開機 (Windows) 或部署後根據需要重新開機 (Linux): 如果啟用,則會指定在部署修補程式之後是否要求目標裝置重新開機。 Linux 僅在需要時重新開機,但對於 Windows,則有兩個選項:
- 一律: 指定每一部裝置都要在部署修補程式之後重新開機。 這是部署修補程式時最安全的選項,因為大多數修補程式都需要重新開機才能完成,但有時可能會沒有執行裝置重新開機的必要。
- 必要時: 指定將由 Ivanti Neurons 代理程式根據部署中包含的修補程式決定每一部裝置是否要重新開機。
對於 Linux,如果您選取了部署選項部署選取的修補程式,則不僅會安裝與所選修補程式群組中諮詢關聯的套件,也會安裝與相依諮詢關聯的套件。 如果您之後啟用部署後根據需要重新開機,這些相依性也可能會導致重新開機。
如果您選取將裝置重新開機,則可以指定更多其他選項,例如登入使用者將收到的警告數量,以及使用者使用相關聯的原則對重新開機程序進行控制的程度。 如需詳細資訊,請參閱代理程式原則重新開機體驗。
設定 - Microsoft 預覽修補程式
基於測試目的,Microsoft 在發行正式的「週二修補程式日」版本之前,會提供一組 Windows 預覽修補程式。 這些修補程式並不包括安全性更新,通常不需要將其部署到所有裝置,因此預設會停用對於這些修補程式的掃描。 若要啟用預覽修補程式的掃描,請啟用掃描 Microsoft 預覽修補程式。
如果選擇部署預覽修補程式,我們建議您僅將其部署到組織中受限的測試群組。