Création d'une nouvelle tâche de correctif

Vous utilisez une tâche de correctif pour définir quand et comment les machines cible sont analysées à la recherche des correctifs manquants. Vous pouvez aussi (facultatif) l'utiliser pour déployer tous les correctifs identifiés comme manquants. Si vous ne créez pas de tâche de correctif, les agents auxquels cette stratégie est affectée ne réalisent aucune analyse des correctifs ni aucun déploiement de correctifs.

Selon les systèmes d'exploitation pris en charge dans votre entreprise, vous pouvez créer des tâches de correctif pour les machines Windows, les machines Linux ou les deux. Il existe des tâches de correctif distinctes pour les correctifs Linux sans contenu et basés sur le contenu. Vous pouvez créer plusieurs tâches de correctif pour une même stratégie d'agent. Vous pouvez développer ou réduire chaque tâche à l'aide de l'icône () figurant dans la barre de titre de la tâche. Cela vous permet, à tout moment, d'afficher uniquement la tâche sur laquelle vous travaillez.

Bien qu'il n'existe aucune limite théorique concernant le nombre de tâches de correctif que vous pouvez créer pour une stratégie d'agent, il existe une limite pratique. Par exemple, il devient difficile de suivre et de gérer une stratégie si elle contient trop de tâches de correctif. De plus, cela peut s'avérer problématique si vous activez le déploiement de correctifs pour plusieurs tâches de correctif différentes. En effet, même si l'analyse est relativement transparente pour l'utilisateur, le déploiement de correctifs ne l'est pas car il implique souvent un redémarrage de la machine de l'utilisateur. En outre, vous risquez d'exécuter plusieurs déploiements sur la même machine au même moment.

Vous configurez les tâches de correctif d'agent dans l'onglet Correctif. Vous pouvez modifier une tâche de correctif existante ou en créer une nouvelle en cliquant sur Ajouter une tâche de correctif Windows ou Ajouter une tâche de correctif Linux. Veillez à attribuer à la tâche un nom descriptif, car c'est le nom que les utilisateurs verront dans le programme client Windows.

Configuration d'une tâche de correctif Windows

La planification des correctifs spécifie la fréquence d'exécution de la tâche sur une machine cible. Cela vous permet d'exécuter régulièrement la tâche à une heure précise ou selon un motif de récurrence particulier. Un planificateur intégré est fourni pour chaque agent. Le planificateur recherche les nouvelles données de correctif immédiatement avant de lancer une tâche de correctif planifiée.

Le planificateur d'agent sérialise les exécutions du même moteur d'agent. Par exemple, si vous définissez une stratégie contenant deux tâches de correctif qui démarrent toutes les deux à 1 heure du matin, elles ne sont pas réellement exécutées toutes les deux à 1 heure : elles sont sérialisées (exécutées l'une derrière l'autre).

Champ

Description

Utiliser la planification :

Si vous activez cette option, la tâche s'exécute sur les machines d'agent à intervalle régulier en fonction des paramètres de planification définis. Si cette option n'est pas activée, les paramètres de planification sont ignorés et vous devez lancer la tâche manuellement sur la console ou sur la machine d'agent.

Toutes les heures

Permet de planifier la tâche pour qu'elle soit exécutée toutes les heures.

  • Exécuter toutes les N heures : Vous pouvez spécifier précisément le nombre d'heures qui doit séparer deux analyses. Les valeurs valides sont comprises entre 1 et 100 heures.
  • Démarrage à l'heure suivante : La première analyse commence à l'heure indiquée. Les analyses suivantes sont effectuées selon l'intervalle indiqué dans Exécuter toutes les N heures.

Quotidien

Indique que la tâche doit être exécutée les jours indiqués, à l'heure de votre choix. Par exemple, avec cette option, vous pouvez exécuter une analyse toutes les nuits à minuit, tous les samedis à 21h00, à 1h00 du matin le premier dimanche de chaque mois, etc.

Vous pouvez également utiliser l'option Quotidien pour planifier une tâche associée à un événement mensuel récurrent, comme la Foire aux correctifs de Microsoft. Par exemple, vous pouvez planifier une analyse de correctifs mensuelle afin qu'elle s'exécute le jour qui suit la Foire aux correctifs, en spécifiant Deuxième Mardi, puis en utilisant l'option Ajouter un délai (jours) pour retarder la tâche d'une journée.

Heure planifiée aléatoire (minutes)

Décale l'heure exacte d'exécution de la tâche afin de ne pas surcharger la console ou le serveur de distribution concerné par un trop grand nombre de demandes de téléchargement de fichiers de correctifs, de moteurs d'analyse, etc.

Exécuter au démarrage si planification manquée

S'il manque une tâche planifiée lorsqu'une machine cible est éteinte, cette option vous permet de forcer la tâche à s'exécuter automatiquement au redémarrage de la machine. La tâche s'exécute immédiatement, sauf si vous cochez la case Retard après amorçage (minutes). Dans ce cas, l'exécution est retardée du nombre de minutes spécifié.

 

Champ Description

Modèle d'analyse des correctifs

Vous devez spécifier le modèle à appliquer lorsque l'agent effectue une analyse des correctifs. Le modèle d'analyse des correctifs indique précisément les éléments à analyser et ceux à ignorer lors de l'analyse. La liste des modèles disponibles pour sélection inclut les deux modèles prédéfinis (Analyse des correctifs de sécurité et Tous les correctifs), plus tous les modèles personnalisés que vous avez déjà définis. Vous pouvez également réaliser les opérations suivantes :

  • Nouveau : Permet de créer un nouveau modèle d'analyse des correctifs à partir de zéro.
  • Modifier : Permet de modifier un modèle d'analyse des correctifs personnalisé existant. Vous ne pouvez pas modifier les modèles prédéfinis. Si vous modifiez et enregistrez un modèle actuellement utilisé dans une stratégie d'agent, les agents qui exploitent cette stratégie sont mis à jour lors du prochain contact avec la console.

Si vous cliquez sur Nouveau ou Modifier, la boîte de dialogue Modèle d'analyse des correctifs s'affiche. Pour en savoir plus sur la configuration du modèle, reportez-vous à « Création d'un nouveau modèle d'analyse des correctifs ».

La fonction de déploiement automatique et la fonction d'envoi automatique d'un e-mail figurant dans le modèle d'analyse des correctifs ne sont pas prises en charge par Security Controls Agent. Si ces fonctions sont activées, elles sont ignorées.

Modèle de déploiement

Vous devez spécifier le modèle à appliquer lorsque l'agent effectue un déploiement de correctifs. La liste des modèles disponibles pour sélection inclut les modèles de déploiement prédéfinis (Agent standard, Standard et Machine virtuelle standard) plus tous les modèles personnalisés que vous avez déjà définis. Vous pouvez également réaliser les opérations suivantes :

  • Nouveau : Permet de créer un nouveau modèle de déploiement à partir de zéro.
  • Modifier : Permet de modifier un modèle de déploiement personnalisé existant. Vous ne pouvez pas modifier les modèles de déploiement prédéfinis. Si vous modifiez et enregistrez un modèle actuellement utilisé dans une stratégie d'agent, les agents qui exploitent cette stratégie sont mis à jour lors du prochain contact avec la console.

Si vous cliquez sur Nouveau ou Modifier, la boîte de dialogue Modèle de déploiement s'affiche. Pour en savoir plus sur la configuration du modèle, reportez-vous à « Création d'un modèle de déploiement ».

Les options de notification automatique par e-mail, d'action personnalisée et de serveur de distribution que vous pouvez spécifier dans le modèle de déploiement ne s'appliquent pas au service Security Controls Agent.

Déployer les correctifs

Pour que l'agent puisse déployer automatiquement les correctifs identifiés comme manquants par l'analyse des correctifs, cochez cette case.

Lorsque les agents effectuent un déploiement de correctifs, ils déploient uniquement les correctifs répondant aux caractéristiques suivantes :

  • Recherchés par le modèle d'analyse des correctifs
  • Signalés comme manquants
  • Définis comme correctifs approuvés.

La liste des correctifs approuvés peut inclure tous les correctifs détectés comme manquants par l'analyse, ou être limitée aux correctifs que vous définissez dans un groupe de correctifs et/ou à ceux marqués comme critiques par le fournisseur de correctifs. La liste de correctifs approuvés définie ici est liée à une tâche de correctif particulière. Cette liste n'est pas utilisée par les autres tâches de correctif de la stratégie d'agent.

  • Tous les correctifs détectés comme manquants : Spécifie que tous les correctifs identifiés comme manquants sont éligibles pour le déploiement.
  • Groupe de correctifs : L'agent déploie uniquement les correctifs stockés dans le groupe de correctifs spécifié. Si une analyse détecte des correctifs manquants qui ne figurent pas dans ce groupe, ces correctifs ne sont pas déployés.

    • Plus tous les correctifs critiques des fournisseurs : Spécifie que la liste des correctifs approuvés pour déploiement doit, en plus des correctifs définis dans le groupe de correctifs, inclure les correctifs que le fournisseur a identifiés comme critiques. Vous avez ainsi la certitude que, même si votre groupe de correctifs est obsolète, vous pourrez toujours déployer les nouveaux correctifs critiques éventuels.

    Pour déployer uniquement les correctifs critiques du fournisseur, cochez cette case, puis spécifiez un groupe de correctifs vide dans la zone Groupe de correctifs.

  • Nouveau : Permet de créer un nouveau groupe de correctifs. Pour en savoir plus, reportez-vous à « Création et modification d'un groupe de correctifs ».
  • Modifier : Permet d'apporter des modifications au groupe de correctifs sélectionné. Soyez prudent, car les modifications que vous apportez affectent tous les autres modèles d'analyse qui utilisent ce groupe de correctifs. Si vous modifiez et enregistrez un groupe de correctifs actuellement utilisé dans une stratégie d'agent, les agents qui exploitent cette stratégie sont mis à jour lors du prochain contact avec la console.

Si vous choisissez également d'activer le déploiement des niveaux de produit (reportez-vous à l'option Déployer les niveaux de produit) sur une machine d'agent où il manque à la fois des niveaux de produit et des correctifs, le programme déploie en premier les niveaux de produit.

Processus de déploiement de correctifs

Une fois la liste des correctifs approuvés déterminée, les correctifs sont téléchargés et installés en fonction de leur priorité. Les correctifs de sécurité sont téléchargés en premier, suivis des autres types de correctif. Les téléchargements sont effectués à l'arrière-plan à l'aide de la bande passante inoccupée (utilisée par aucune autre application). Les tâches de premier plan, comme la navigation Internet, ne sont pas affectées par le processus de téléchargement des correctifs.

Chaque tâche de correctif a une fenêtre de 60 minutes pour télécharger les correctifs manquants. (Cette période fait partie de la fenêtre de maintenance totale de deux heures allouée pour le téléchargement des niveaux de produit et correctifs manquants.) Seuls les correctifs téléchargés avec succès au cours de ces 60 minutes sont installés par la tâche de correctif active. Si la tâche de correctif ne parvient pas à télécharger tous les correctifs manquants au cours des 60 minutes allouées, les correctifs restants sont identifiés, téléchargés et installés à la prochaine exécution de la tâche de correctif.

Si une machine d'agent se déconnecte du réseau pendant le téléchargement des fichiers, le processus est suspendu et reprend automatiquement là où il s'était arrêté lorsque le réseau redevient disponible. Cette technique est appelée redémarrage au point de contrôle. Elle est particulièrement utile pour les machines fréquemment déconnectées.

Déployer les niveaux de produit

Pour que l'agent puisse déployer automatiquement les niveaux de produit identifiés comme manquants par l'analyse des correctifs, cochez cette case.

Lorsque les agents effectuent un déploiement de niveaux de produit, ils déploient uniquement les niveaux de produit répondant aux caractéristiques suivantes :

  1. Recherchés par le modèle d'analyse des correctifs
  2. Signalés comme manquants
  3. Approuvés pour le déploiement

Les niveaux de produit approuvés peuvent soit inclure tous les niveaux de produit détectés comme manquants par l'analyse, soit se limiter aux niveaux de produit que vous définissez dans un groupe de niveaux de produit. La liste de niveaux de produit approuvés définie ici est liée à cette tâche de correctif particulière. Cette liste n'est pas utilisée par les autres tâches de correctif de la stratégie d'agent.

  • Plus d'infos : Lien vers la rubrique d'aide « À propos des groupes de niveaux de produit », qui explique comment le programme utilise les groupes de niveaux de produit.
  • Tous les niveaux de produit signalés comme manquants : Spécifie que tous les niveaux de produits identifiés comme manquants peuvent être déployés.
  • Groupe de niveaux de produit : L'agent déploie uniquement les niveaux de produit stockés dans le groupe de niveaux de produit spécifié. Si une analyse détecte des niveaux de produit manquants qui ne figurent pas dans ce groupe, ces niveaux de produit ne sont pas déployés.
  • Limiter les déploiements (par jour) : Spécifie le nombre maximal de niveaux de produit pouvant être déployés sur une machine au cours d'une journée. Le déploiement des niveaux de produit peut être assez long et il nécessite presque toujours un redémarrage de la machine, c'est pourquoi les utilisateurs préfèrent généralement fixer un nombre assez faible pour cette option. Si vous ne limitez pas le nombre de déploiements de niveaux de produit autorisés chaque jour, vous risquez de surcharger la machine, s'il lui manque un grand nombre de niveaux de produit. S'il manque sur une machine un nombre de niveaux de produit supérieur à la limite fixée, les niveaux de produit supplémentaires sont déployés à la prochaine exécution de la tâche de correctif.

    • ASTUCE : Notez que, pour cette option, un « jour » est une date spécifique du calendrier, et non une période de 24 heures. Cela signifie que le jour change à minuit. Si vous planifiez la tâche de correctif pour qu'elle s'exécute toutes les heures (déconseillé), cela vous permet d'optimiser la fenêtre de maintenance nocturne en déployant le nombre maximal de niveaux de produit avant minuit, puis le même nombre immédiatement après minuit.

  • Nouveau : Permet de créer un nouveau groupe de niveaux de produit. Pour en savoir plus, reportez-vous à « Création et modification d'un groupe de niveaux de produit ».
  • Modifier : Permet d'apporter des modifications au groupe de niveaux de produit sélectionné. Soyez prudent, car les modifications que vous apportez affectent toutes les tâches de correctif qui référencent ce groupe de niveaux de produit. En outre, si vous modifiez et enregistrez un groupe de niveaux de produit actuellement utilisé dans une stratégie d'agent, les agents qui exploitent cette stratégie sont mis à jour lors du prochain contact avec la console.

Processus de déploiement des niveaux de produit

S'il manque plusieurs niveaux de produit sur une machine d'agent, le système n'installe qu'un seul niveau de produit à la fois. La tâche de correctif commence par lancer le téléchargement de tous les niveaux de produit manquants. Les niveaux de produit de système d'exploitation sont téléchargés avec une priorité plus élevée, mais le niveau de produit téléchargé en premier est celui qui est installé en premier. Une fois l'installation du niveau de produit réussie, la machine est redémarrée, réanalysée, puis le processus se répète jusqu'à ce que tous les niveaux de produit soient déployés ou jusqu'à ce que la limite quotidienne soit atteinte (reportez-vous à l'option Limiter les déploiements (par jour)).

En outre, chaque tâche de correctif a une fenêtre de 60 minutes pour achever le processus téléchargement > installation > redémarrage > réanalyse. (Cette période fait partie de la fenêtre de maintenance totale de deux heures allouée pour le téléchargement des niveaux de produit et correctifs manquants.) Seuls les niveaux de produit téléchargés avec succès au cours de ces 60 minutes sont installés par la tâche de correctif active. Si la tâche de correctif ne parvient pas à télécharger tous les niveaux de produit manquants au cours des 60 minutes allouées, les niveaux de produit restants sont identifiés, téléchargés et installés à la prochaine exécution de la tâche de correctif.

Les téléchargements sont effectués à l'arrière-plan à l'aide de la bande passante inoccupée (utilisée par aucune autre application). Les tâches de premier plan, comme la navigation Internet, ne sont pas affectées par le processus de téléchargement des niveaux de produit.

Si une machine d'agent se déconnecte du réseau pendant le téléchargement des fichiers, le processus est suspendu et reprend automatiquement là où il s'était arrêté lorsque le réseau redevient disponible. Cette technique est appelée redémarrage au point de contrôle. Elle est particulièrement utile pour les machines fréquemment déconnectées.

Configuration d'une tâche de correctif Linux

Pour la méthode de gestion des correctifs Linux sans contenu, il n'existe pas de configuration d'analyse des correctifs distincte. Chaque fois qu'une tâche de correctif Linux s'exécute, elle lance une analyse pour rechercher tous les paquets et conseils manquants. Vous pouvez ensuite spécifier séparément des options de déploiement dans la tâche de correctif Linux. Pour l'ancienne méthode de gestion des correctifs Linux basés sur le contenu, vous devez spécifier des options d'analyse et de déploiement.

La planification des correctifs spécifie la fréquence d'exécution de la tâche sur une machine cible. Cela vous permet d'exécuter régulièrement la tâche à une heure précise ou selon un motif de récurrence particulier.

Champ

Description

Utiliser la planification :

Si vous activez cette option, la tâche s'exécute sur les machines d'agent à intervalle régulier en fonction des paramètres de planification définis. Si cette option n'est pas activée, les paramètres de planification sont ignorés et vous devez lancer la tâche manuellement sur la machine d'agent à l'aide d'un utilitaire de ligne de commande.

Toutes les heures

Permet de planifier la tâche pour qu'elle soit exécutée toutes les heures.

  • Exécuter toutes les (heures) : Vous pouvez spécifier précisément le nombre d'heures qui doit séparer deux analyses. Les valeurs valides sont comprises entre 1 et 100 heures.
  • Démarrage à l'heure suivante : La première analyse commence à l'heure indiquée. Les analyses suivantes sont effectuées selon l'intervalle indiqué dans Exécuter toutes les N heures.

Quotidien

Indique que la tâche doit être exécutée les jours indiqués, à l'heure de votre choix. Par exemple, avec cette option, vous pouvez exécuter une analyse toutes les nuits à minuit, tous les samedis à 21h00, à 1h00 du matin le premier dimanche de chaque mois, etc.

Vous pouvez également utiliser l'option Quotidien pour planifier une tâche associée à un événement mensuel récurrent, comme la Foire aux correctifs de Microsoft. Par exemple, vous pouvez planifier une analyse de correctifs mensuelle afin qu'elle s'exécute le jour qui suit la Foire aux correctifs, en spécifiant Deuxième Mardi, puis en utilisant l'option Ajouter un délai (jours) pour retarder la tâche d'une journée.

Heure planifiée aléatoire (minutes)

Décale l'heure exacte d'exécution de la tâche afin de ne pas surcharger la console ou le serveur de distribution concerné par un trop grand nombre de demandes de téléchargement de fichiers de correctifs, de moteurs d'analyse, etc.

Exécuter au démarrage si planification manquée

S'il manque une tâche planifiée lorsqu'une machine cible est éteinte, cette option vous permet de forcer la tâche à s'exécuter automatiquement au redémarrage de la machine. La tâche s'exécute immédiatement, sauf si vous cochez la case Retard après amorçage (minutes). Dans ce cas, l'exécution est retardée du nombre de minutes spécifié.

Champ

Description

Configuration d'analyse des correctifs Linux (basés sur le contenu uniquement)

Pour la gestion de correctifs basés sur le contenu Linux, vous devez spécifier la configuration à utiliser lorsque l'agent effectue une analyse des correctifs Linux. La configuration d'analyse des correctifs indique précisément les éléments à analyser et ceux à ignorer lors de l'analyse. La liste des configurations disponibles pour sélection inclut les deux configurations prédéfinies (Analyse des correctifs de sécurité et Analyse de tous les correctifs), plus toutes les configurations personnalisées que vous avez déjà définies. Vous pouvez également réaliser les opérations suivantes :

  • Nouveau : Permet de créer une nouvelle configuration d'analyse des correctifs à partir de zéro.
  • Modifier : Permet de modifier une configuration d'analyse des correctifs personnalisée existante. Vous ne pouvez pas modifier les configurations prédéfinies. Si vous modifiez et enregistrez une configuration actuellement utilisée dans une stratégie d'agent, les agents qui exploitent cette stratégie sont mis à jour lors du prochain contact avec la console.

Si vous cliquez sur Nouveau ou Modifier, la boîte de dialogue Configuration d'analyse des correctifs Linux s'affiche. Pour en savoir plus, reportez-vous à « Création et modification d'une configuration d'analyse des correctifs Linux ».

Configuration de déploiement de correctifs Linux

Vous devez spécifier la configuration à appliquer lorsque l'agent effectue un déploiement de correctifs. La liste des configurations disponibles pour sélection inclut la configuration de déploiement prédéfinie (Déploiement de correctifs Linux), plus toutes les configurations personnalisées que vous avez déjà définies. Vous pouvez également réaliser les opérations suivantes :

  • Nouveau : Permet de créer une nouvelle configuration de déploiement de correctifs à partir de zéro.
  • Modifier : Permet de modifier une configuration de déploiement de correctifs personnalisée existante. Vous ne pouvez pas modifier la configuration de déploiement prédéfinie. Si vous modifiez et enregistrez un modèle actuellement utilisé dans une stratégie d'agent, les agents qui exploitent cette stratégie sont mis à jour lors du prochain contact avec la console.

Si vous cliquez sur Nouveau ou Modifier, la boîte de dialogue Configuration de déploiement de correctifs Linux s'affiche. Pour en savoir plus, reportez-vous à « Création et modification d'une configuration de déploiement de correctifs Linux ».

Enregistrement d'une stratégie d'agent

Champ

Description

Enregistrer et mettre à jour les agents

Enregistre tous les changements apportés au fichier de stratégie et stocke ce dernier dans la console. Met également à jour toutes les machines d'agent auxquelles cette stratégie est actuellement affectée, comme suit :

  • Si une machine d'agent est en ligne et configurée pour écouter les mises à jour de stratégie, la stratégie mise à jour est immédiatement transmise en mode Push à cette machine.
  • Si une machine d'agent est en ligne mais n'est pas configurée pour écouter les mises à jour de stratégie, la stratégie mise à jour est transmise en mode Push la prochaine fois que l'agent prend contact avec la console.
  • Si une machine d'agent n'est pas en ligne, la stratégie mise à jour est transmise en mode Push la prochaine fois que l'agent prend contact avec la console.

L'éditeur de stratégie d'agent se ferme.

Enregistrer

Enregistre tous les changements apportés au fichier de stratégie et ferme l'éditeur de stratégie d'agent. Les changements ne sont pas distribués en mode Push aux agents qui écoutent.

Annuler

Indique que vous souhaitez quitter l'éditeur de stratégie d'agent sans enregistrer vos derniers changements. L'invite « Voulez-vous enregistrer les changements ? » s'affiche et vous donne une seconde chance d'enregistrer vos changements. Si vous cliquez sur Oui, la stratégie est enregistrée et les agents associés sont mis à jour (comme avec l'option Enregistrer et mettre à jour les agents). Si vous cliquez sur Non, l'éditeur de stratégie d'agent se ferme sans que vos changements soient enregistrés.