修補程式設定
概觀
「修補程式設定」元件可用於設定雲端原生修補程式程序的設定。 此元件包含下列各項:
- 「組態」索引標籤: 可讓您檢視現有的修補程式組態,以及新增用於修補程式部署的新組態。 您可以使用預設組態快速開始使用,而且可以指定自己的自訂組態。 透過建立多個組態,您可以靈活地將不同的修補程式組態指派給不同的代理程式原則群組。
- 修補程式群組索引標籤: 可讓您新增新的修補程式群組,以及管理現有修補程式群組。 修補程式群組包含一組在部署作業中使用的特定修補程式。
組態
組態會定義代理程式部署的許多特性。 您可以指定要部署什麼修補程式、目標電腦是否要執行重新啟動、何時部署,等等。 您可以選擇使用預設組態行為,其會部署所有重大安全性修補程式,或者也可已建立您自己的唯一組態。
組態摘要
此表格含有一份所有可用修補程式組態的清單。 依預設,此表格包含下列欄,並按照部署日期欄排序。
- 組態: 顯示組態名稱。 按一下名稱,即可檢視組態詳細資訊。
- 目前版本: 顯示組態的目前版本。 此值可用來瞭解組態的編輯和儲存次數。
- 部署日期: 顯示上次部署組態的日期和時間。
- 上次儲存日期: 顯示上次儲存組態的日期和時間。
- 上次儲存人員: 顯示上次儲存組態之人員的姓名。
- 可用性: 顯示組態的目前狀態。 可能的值為:
- 新增: 該組態存在但未與代理程式原則群組相關聯。
- 擱置中: 已要求該組態與一個或多個原則群組相關聯,但該程序尚未完成。
- 作用中: 該組態已與一個或多個原則群組相關聯。
- 先前已啟用: 該組態版本已不再與原則群組相關聯。 它已被另一個版本替代或由不同組態所取代。
- 草稿: 該組態包含目前尚未進行的端點變更 (已指派至相關原則群組的端點)。
- 失敗: 該組態包含已失敗的端點變更 (已指派至相關原則群組的端點)。
您可對現有組態執行的動作
- 開啟組態: 可讓您檢視所選組態的設定。 若您想要在開啟組態之後編輯設定,請按一下編輯組態。
- 複製組態: 可讓您建立所選組態目前版本的副本。 新組態的預設名稱將是「{所選組態名稱}的複製」。若原始組態與一或多個代理程式原則群組相關聯,則複製的組態中將會移除那些關聯。
預設修補程式組態
您可以使用預設修補程式組態 (名稱為預設),快速運用 Ivanti Neurons 中的修補程式管理功能。 此組態將會修復環境中的所有重大安全性修補程式。 您可以依原狀使用預設組態,也可以用它當作範本加以編輯並儲存為自訂組態。 預設組態包含:
- 部署所有重大安全性修補程式
- 重新啟動行為
- 部署後重新啟動,在需要時,於安裝後立即進行
- 如果使用者已登入,會在 24 小時/1 天之後強制執行重新啟動動作。
- 為使用者顯示 1 小時逾時倒數
- 允許使用者延長逾時時間,最多超過排程動作時間 10 分鐘
- 正在排程
- 如果錯過了排程,則在重新啟動時執行
- 部署排程:
- 每週,當地時間每週日凌晨 00:01
建立自訂修補程式組態
若要建立您自己的自訂修補程式組態,請按一下建立組態。
- 組態名稱: 要指派給至此組態的名稱。
- 註解: 提供描述此組態用途的註解。

此索引標籤可讓您設定與修補程式部署有關的多個不同選項。
提示: 按一下顯示摘要,即可顯示您自訂修補程式組態選項的摘要。 此摘要將在您新增、刪除或修改修補程式組態選項時即時更新。
部署行為
此區域可讓您設定要部署哪些修補程式。
目前共有三個組態選項: 按照嚴重性部署、按照修補程式群組部署以及選取的廠商/產品。 若您並未修改任何選項,依預設將僅部署關鍵安全性修補程式。 若您同時啟用並設定了按照嚴重性部署以及按照修補程式群組部署選項,則效果為累加,系統將部署每個已設定選項的所有修補程式。 若您啟用並設定了選取的廠商/產品,則該選項將從其他兩個選項中篩選掉修補程式。
範例 1: 若您僅想要部署包含在修補程式群組內的修補程式:
- 停用按照嚴重性部署和選取的廠商/產品選項
- 啟用按照修補程式群組部署選項並選取想要的修補程式群組
範例 2: 假設您設定了下列內容:
- 按照嚴重性部署: 系統會選取「安全性關鍵」和「安全性重要」
- 按照修補程式群組部署: 您選取包含一個「安全性關鍵」修補程式、一個「安全性重要」修補程式,以及兩個「安全性中度」修補程式的修補程式群組
- 選取的廠商/產品: 這個選項已停用
在此情況下,「安全性關鍵」和「安全性重要」修補程式將會針對所有廠商和產品進行部署。 此外,系統會部署修補程式群組中包含的所有四個修補程式,包括兩個「安全性中度」修補程式。
範例 3: 與範例 2 相同,但您同時還使用了選取的廠商/產品選項,以指定僅應部署 Adobe 修補程式。 在此情況下,僅會部署的修補程式是 Adobe 安全性關鍵修補程式、Adobe 安全性重要修補程式,以及修補程式群組中包含的任何 Adobe 修補程式。
部署行為選項
- 按照嚴重性部署: 若啟用,則允許您指定應該包含在部署中的修補程式類型和嚴重性層級。 依預設,僅會選取關鍵安全性修補程式。
- 安全性修補程式: 安全佈告相關修補程式。 您可以選擇部署一或多個特定安全性層級。
- 重大: 可能遭到未經驗證的遠端攻擊者入侵的弱點,或是會破壞客體/主機作業系統獨立的弱點。 這種入侵會在沒有使用者互動的情況下,導致使用者資料或處理資源之機密性、完整性、可用性受損。 這種入侵可能遭到利用,用來傳播網際網路蠕蟲,或在虛擬機器與主機之間執行任意程式碼。
- 重要: 這些弱點若遭到入侵,會導致使用者資料和處理資源的機密性、完整性或可用性受損。 這類瑕疵會讓本機使用者取得權限,允許未經驗證的遠端使用者執行任意程式碼,或者允許本機或遠端使用者輕易造成拒絕服務。
- 中等: 可透過設定適當的組態或提高入侵難度大幅減輕這類瑕疵的入侵能力,但是在某些部署情況中,其仍可能造成使用者資料和處理資源的機密性、完整性或可用性受到一些損害。 有一些類型的弱點本來可以產生重大影響或重要影響,但是根據對瑕疵的技術評估,它們不太容易遭到入侵,或者不太可能對組態造成影響。
- 低: 所有其他具有安全性影響的問題。 這些弱點被認為極難遭到入侵,或者即使被成功入侵,造成的影響也很小。
- 未分類: 尚未指派安全性層級的安全性修補程式。
- 非安全性修補程式: 廠商修補程式,用於修正並不會產生安全性問題的已知軟體問題。 您可以針對一或多個特定廠商安全性層級來選擇進行部署。 請參閱安全性修補程式,瞭解可用安全性層級的說明。
- 安全性修補程式: 安全佈告相關修補程式。 您可以選擇部署一或多個特定安全性層級。
- 按照修補程式群組部署: 若啟用,則允許您指定含有您要部署之修補程式的一個或多個修補程式群組。 這是一個確保只部署獲核准修補程式的好方法。 除非在按照嚴重性部署篩選器中指定,否則不會部署未包含在指定修補程式群組中的缺少的修補程式。 您可以使用修補程式設定頁面內的修補程式群組索引標籤來檢視關於可用修補程式群組的詳細資訊。修補程式群組的管理是從 Patch Intelligence 內進行。
您可能會想要快速提醒自己哪個修補程式包含在群組中,然後再予以選取。 若要這麼做,請按一下修補程式欄中的數值連結。 包含在群組中的修補程式會顯示在頁面底部。 使用狀態欄可判斷每個個別修補程式的狀態。顯示的狀態實際上是約略的狀態,此狀態根據的是此修補程式群組搭配目前修補程式組態的使用情況。 有多項因素可能會影響修補程式狀態。 例如,若您使用選取的廠商/產品搭配修補程式群組,則可能會從群組中篩選掉一或多個修補程式。
- 作用中: 此修補程式群組已由此組態用來將修補程式提供給一般使用者裝置。 裝置是與此修補程式組態相關聯的原則群組的一部分。
- 非作用中: 變成此修補程式狀態的可能原因有兩種。 (1) 此修補程式群組並未用來將修補程式提供給任何裝置。 (2) 指派至此修補程式群組的修補程式組態並未針對裝置設為作用中。
可能發生的情況是,列出為非作用中的修補程式可能實際上為作用中。 若修補程式位於一個以上的修補程式群組,則其他修補程式群組中的一個群組可能已用來將此修補程式提供給裝置。
- 選取的廠商/產品: 若停用,則會依照按照嚴重性部署和按照修補程式群組部署選項所定義,部署中將會包含所有可用廠商和產品的修補程式。 當有新產品及修補程式變為可用時,它們會新增至部署。
- 全選: 勾選此核取方塊會選取清單中所有廠商和產品的所有目前可用修補程式。 之後才變為可用的新廠商及產品修補程式將不會新增至部署中。
- 選取個別廠商和產品: 僅會部署所選廠商、產品系列和/或產品版本的修補程式。 部署中會篩選掉未選取的廠商和產品。
若啟用,則會允許您指定可部署至端點的廠商、產品系列和產品版本。 未選取的廠商和產品將會從部署中排除。 這些項目存在於階層清單中。 如果勾選其中一個層級的核取方塊,則較低層級的所有核取方塊也會勾選。
提示: 如果要排除少數項目,可以勾選全選,然後清除您要排除之項目的核取方塊。
重新啟動行為
此區域可讓您設定目標電腦在部署過程中是否要重新啟動,以及何時重新啟動。
- 部署前重新啟動: 指定在部署修補程式之前,目標電腦是否應該執行重新啟動。 有兩個選項:
- 絕不: 指定在部署修補程式之前,不必重新啟動每部電腦。
- 一律: 指定在部署修補程式之前,應該重新啟動每部電腦。 在安裝重要的新軟體之前重新啟動電腦是公認的最佳做法,尤其對於如作業系統產品級別等大型軟體變更來說更是如此。
如果選取重新啟動電腦,則可以指定登入使用者將收到的警告數量,而且可以選擇使用者對重新啟動程序的控制程度。 您可以:- 選擇在數分鐘後強制重新啟動
- 警示使用者在他們登出後將會重新啟動
- 選擇當起始關機順序時,顯示倒數訊息的持續時間。 若要預覽使用者會看到的對話方塊,請按一下倒數範例。
- 允許使用者將逾時倒數延長至指定的上限值。
- 允許使用者取消逾時。 如果取消逾時,將不會部署修補程式,直到使用者登出或手動重新啟動電腦為止。
- 允許使用者取消重新啟動。 重新啟動電腦之後,才會安裝修補程式。
- 部署後重新啟動: 指定在部署修補程式之後,目標電腦是否應該執行重新啟動。 有三個選項:
- 絕不: 指定在部署修補程式之後,不必重新啟動每部電腦。
- 一律: 指定在部署修補程式之後,應該重新啟動每部電腦。 這是部署修補程式時的最安全選項,因為大多數修補程式都需要重新啟動才能完成,但是有時可能會非必要地重新啟動電腦。
- 必要時: 指定將由 Ivanti Neurons Agent 來決定是否需要重新啟動每部電腦。
如果選取重新啟動電腦,則可以指定登入使用者將收到的警告數量,而且可以選擇使用者對重新啟動程序的控制程度。 您可以:- 將重新啟動排程在安裝修補程式之後立即執行,或在數天後的指定時間執行。
如果目標電腦在排程的重新啟動之前就重新啟動,則排程的重新啟動將不再必要,而且會取消。
- 選擇在數分鐘、數小時或數天之後強制重新啟動
- 警示使用者在他們登出後將會重新啟動
- 選擇當起始關機順序時,顯示倒數訊息的持續時間。
- 允許使用者將逾時倒數延長至指定的上限值。
- 允許使用者取消逾時。 如果取消逾時,將不會部署修補程式,直到使用者登出或手動重新啟動電腦為止。
- 允許使用者取消重新啟動。 重新啟動電腦之後,才會安裝修補程式。
- 將重新啟動排程在安裝修補程式之後立即執行,或在數天後的指定時間執行。
正在排程
此區域可讓您設定週期性排程執行的部署。
- 設定週期性: 可讓您使用指定的週期性模式,定期排程在特定時間執行的部署作業。 例如,可在每晚午夜、或每週六晚上 9 點、每個工作日晚上 11 點,或者使用者選取的任何其他時間和間隔執行部署。
- 如果錯過排程,則在重新啟動時執行: 如果錯過排程的部署,則會在電腦下次重新啟動時執行。
- 部署修補程式: 您可以使用下列選項來排程修補程式部署:
- 每日: 部署將在每週每一天,於您選擇的時間執行。
- 每週: 部署將在一週中的指定日子,於您選擇的時間執行。
- 每月: 部署將在每月的指定日期,於您選擇的時間執行。 您也可以使用此選項,搭配 Microsoft 的週二修補程式日來排程部署。 例如,您可以將每月修補程式部署排程在週二修補程式日隔天執行,方法是勾選也在週二修補程式日後部署核取方塊,然後將週二修補程式日後延遲部署的天數指定為 1。
- 週二修補程式日: 將部署排程為與 Microsoft 每月定期修補活動 (稱為週二修補程式日) 同一天執行。
- 部署前暫存內容: 指定是否要在實際部署之前,先建立部署套件,並將部署套件複製到目標電腦。 您可以在部署執行前 1 - 23 小時的任何時間暫存內容。 在暫存程序開始時,代理程式會自動執行修補程式掃描,以便在部署前再次評估電腦的修補程式狀態。
修補程式部署有一個例外,將在每月的第一天發生。 為了避免閏年問題和日曆中其他類似的怪異之處,該介面會防止您在每月第一天的前一天暫存內容。 例如,如果排程在每月第一天上午 8:00 部署,則只允許在部署前 1 - 8 小時暫存內容。
- 即將來臨的工作: 此表格顯示即將來臨的工作清單。 它可讓您檢視預計在接下來 60 天內使用目前所選組態進行的所有事件。 請注意,此表中所提供的資訊只是預計將要發生的事件,有許多意外情況會使其中一或多個事件無法進行。

此索引標籤可讓您將修補程式組態與一或多個代理程式原則群組相關聯。 修補程式組態與原則群組的關聯,會定義組態將要部署到的端點。 使用某個特定原則的所有裝置,是由與該原則相關聯的修補程式組態所控管的。
重要! 代理程式原則群組必須啟用修補程式管理功能才能使用修補程式組態。
您可以將修補程式組態與多個代理程式原則群組相關聯。
範例
- 您可以為組織內 IT 支援團隊使用的所有廠商和產品建立修補程式組態。 然後,您可將此組態與涵蓋地區團隊的代理程式原則群組相關聯,例如 AMER IT 支援、EMEA IT 支援和 APAC IT 支援。
- 您可為週二修補程式日發佈的修補程式建立修補程式組態。 然後,您可將此組態與要用來測試修補程式部署的試驗代理程式原則群組相關聯。 如果部署成功,您可將該組態與主要代理程式原則群組相關聯,以便實現更廣泛的分發。
- 您可為筆記型電腦和工作站建立一個修補程式組態,並為伺服器裝置建立一個獨立的修補程式組態。 然後,您可將適當的修補程式組態與控管各個裝置類型的代理程式原則群組相關聯。
若要將目前的修補程式組態與一或多個代理程式原則群組相關聯:
- 按一下選取原則群組。
- 選擇所需的代理程式原則群組。
為協助您選擇,提供有關可用原則群組的下列資訊:- 原則群組: 代理程式原則群組的名稱。
- 端點: 顯示目前使用該代理程式原則群組的端點的數量。
- 目前修補程式組態: 顯示目前與代理程式原則群組相關聯的修補程式組態的名稱。
- 按一下確認。
「關聯」頁面會顯示目前與修補程式組態相關聯的所有代理程式原則群組的清單。

此索引標籤可讓您追蹤對修補程式組態進行的變更。 該表格會顯示所有版本的組態。 依預設,此表格包含下列欄,並按照版本欄排序。
- 版本: 版本的數字值。 第一次儲存的組態將會是版本 1。 每次編輯並儲存組態時,版本值將會遞增 1。 按下版本值將會開啟該特定版本的組態詳細資訊。
- 組態名稱: 修補程式組態的名稱。
- 儲存日期: 組態編輯的儲存日期與時間。
- 上次儲存人員: 上次編輯此版本組態的團隊成員的姓名。 若您修改與修補程式組態相關聯的修補程式群組,便會將之視為修訂組態。
-
可用性: 顯示組態的目前狀態。 可能的值包括新增、擱置中、作用中、先前已啟用、草稿和失敗
- 說明: 儲存組態編輯時所提供的註解。
動作
- 還原至所選版本: 可讓您將修補程式組態還原至較舊版本。 請確保更新組態說明,然後在執行動作之後按一下儲存。 修補程式群組未包含在還原動作中。 目前修補程式組態內包含的任何修補程式群組都將包含在已還原的修補程式組態中。
匯出
可讓您將表格內容匯出至 CSV 檔案。 您可以選擇匯出表格中的所有項目,或僅匯出選取的項目。
CSV 檔案是使用 ISO 標準建立的,且儲存在本機「下載」資料夾中。 如果使用 Excel 檢視該檔案,可以將資料轉換成電腦的地區設定,以便以更易於閱讀的格式檢視。
任何套用至組態的排序或篩選均會保留在匯出的輸出中。 無論在「欄選擇器」中選取了哪些項目,所有欄均會包括在內。
選取您要匯出之組態的第一欄核取方塊。 或者,選取標頭儲存格內的核取方塊來選取所有組態。
按一下匯出即可建立 CSV 檔案。

使用三個修補程式組態索引標籤中的任何一個時,有下列按鈕可用。
- 儲存並設為作用中: 儲存修補程式組態,並針對指派給相關聯原則群組的裝置將其設為作用中。 裝置的代理程式下次簽入 Ivanti Neurons 時,每個裝置將會收到新組態。
- 儲存: 儲存修補程式組態,但不關閉頁面,以便繼續工作。
- 復原變更: 復原任何變更,將修補程式組態回復至其先前儲存的狀態。
- 關閉: 關閉頁面,但不儲存修補程式組態的最新變更。
修補程式群組
修補程式群組是一個或多個修補程式的集合。 修補程式群組是用來部署特定的修補程式集。
例如: 假設您組織有修補程式核准程序,用來認證組織必要的四個修補程式。 透過建立只包含那四個修補程式的修補程式群組,您可確保指定修補程式獲得部署。
修補程式群組摘要
此表格含有一份目前所有修補程式群組的清單。 依預設,此表格包含下列欄,並按照上次修改日期欄排序。
- 名稱: 修補程式群組的名稱。
- 修補程式計數: 修補程式群組內所含的修補程式的數量。
- 上次修改日期: 上次修改及儲存修補程式群組的日期與時間。
- 上次編輯人員: 上次編輯及儲存修補程式群組之人員的姓名。
- 狀態: 修補程式群組的目前狀態。
新增修補程式群組
若要建立新的修補程式群組,按一下新增修補程式群組,然後提供群組的描述性名稱。 名稱必須是唯一的且不區分大小寫。
修補程式群組一開始是空的。 若要將修補程式新增至群組,請參閱下一節中開啟修補程式群組動作的說明。
可對現有修補程式群組執行的動作
- 重新命名修補程式群組: 可讓您指定現有群組的新名稱。
- 開啟修補程式群組: 可讓您新增和管理所選群組中的修補程式。 這些動作會在 Patch Intelligence 內執行。
- 封存修補程式群組: 可讓您將所選群組的狀態設定為已封存。 已封存的修補程式群組無法在修補程式組態內的按照修補程式群組部署選項中進行選取。 若群組目前與修補程式組態相關聯,則修補程式組態的新版本會在沒有修補程式群組的情況下建立。 您有兩個選項:
- 僅封存: 將修補程式群組的狀態設定為已封存。 若群組與修補程式組態相關聯,則修補程式組態的新版本不會針對端點設為作用中。
- 封存並啟動修補程式組態: 將修補程式群組的狀態設定為已封存。 若群組與修補程式組態相關聯,則修補程式組態的新版本會在下一次代理程式簽入 Ivanti Neurons 時,針對端點設為作用中。
- 還原修補程式群組: 可讓您將所選群組的狀態從已封存變更為作用中。
使用修補程式群組
若要在部署中使用修補程式群組,請移至修補程式管理 > 修補程式設定 > 組態,編輯新的或現有的組態,然後在按照修補程式群組部署選項上選擇所需的修補程式群組。