Pubblicazione automatica degli aggiornamenti per i CVE

Se si preferisce, è possibile importare manualmente i CVE e pubblicare gli aggiornamenti associati solo una volta e non su base regolare.

Panoramica

L'elenco Common Vulnerabilities and Exposures (CVE) è un riferimento pubblico delle vulnerabilità note di cybersicurezza. Questo elenco, gestito da MITRE Corporation (mitre.org), cambia costantemente mano a mano che vengono rilevate nuove vulnerabilità. Se la propria organizzazione utilizza l'elenco CVE, può essere difficile determinare esattamente quali aggiornamenti è necessario pubblicare per proteggere i propri computer dalle minacce identificate nell'elenco.

Fortunatamente, Patch per Configuration Manager semplifica questo processo. È possibile creare un'attività pianificata ricorrente che consentirà automaticamente di:

  • Analizzare una cartella contenente uno o più file CVE
  • Determinare quali aggiornamenti sono correlati a ciascun CVE
  • Pubblicare gli aggiornamenti rivolti ai CVE

È possibile avere più attività CVE pianificate per ciascuna console. Un motivo per il quale è possibile desiderare più attività pianificate è definire cadenze diverse per set diversi di CVE. Oppure, si potrebbe preferire pubblicare aggiornamenti diversi in vari Gruppi di aggiornamento software. Non esiste alcun limite teorico al numero di attività pianificate ricorrenti disponibili in un dato periodo, ma è possibile determinare l'esistenza di un limite pratico per il proprio sito.

  1. All'interno dell'area di lavoro Libreria software di Configuration Manager, espandere la cartella Aggiornamenti software > Ivanti Patch e fare clic su Utilità di pianificazione automazione.
    • Viene visualizzato un calendario contenente le attività pianificate per tutte le console. È possibile:
    • Modificare un'attività pianificata facendo doppio clic su di essa, usando il menu di scelta rapida o selezionandola e facendo clic su Modifica
    • Visualizzare la cronologia di un'attività usando il menu di scelta rapida o selezionandola e facendo clic su Cronologia
    • Eliminare un'attività usando il menu di scelta rapida o selezionandola e facendo clic su Elimina

    Suggerimento: è anche possibile gestire le attività pianificate usando l'Utilità di pianificazione attività di Microsoft.

  2. Sulla scheda Home, fare clic su Pubblica per CVE.
    Verrà visualizzata la finestra di dialogo Pubblica aggiornamenti per CVE.

  3. Specificare un nome che identifichi in modo univoco la finalità di questa attività.
    Questo nome verrà visualizzato anche nel calendario Utilità di pianificazione di automazione.
  4. Specificare il percorso alla propria cartella di origine CVE.
    Questa è la cartella contenente i propri file CVE. Tutti i file nella cartella verranno analizzati per determinare se contengono CVE. I file possono essere in qualsiasi formato accettabile, come .txt, xml o .csv. I CVE duplicati verranno ignorati.

    Il nome completo del percorso inserito in questo campo deve essere un percorso UNC.

    Esempio: il proprio team di sicurezza potrebbe utilizzare uno strumento di analisi delle vulnerabilità su base mensile per creare un elenco aggiornato di CVE. Ogni mese, è sufficiente spostare il file CVE di nuova generazione in questa cartella e lasciare che la procedura automatizzata parta da lì.

  5. Specificare quando debba essere eseguita l'attività e quali azioni debbano avvenire.
    • Pianificazione: specificare la data e l'ora in cui l'attività deve essere eseguita. Un'opzione consiste nel pianificare un'attività in combinazione con un evento mensile ricorrente, come il "Patch Tuesday" di Microsoft. Ad esempio, è possibile pianificare una pubblicazione in modo che avvenga il giorno dopo il Patch Tuesday specificando Il secondo martedì e utilizzando quindi l'opzione Aggiungi ritardo (giorni) per ritardare l'attività di un giorno.

      Un'attività pianificata usando l'opzione Aggiungi ritardo (giorni) verrà eseguita per 12 mesi prima di dover essere pianificata nuovamente. Quando un'attività giunge ai propri tre mesi finali, verrà generato un avviso e verrà richiesto di inserire le credenziali per una nuova pianificazione dell'attività. Se si inseriscono le proprie credenziali, tutte le attività che utilizzano l'opzione Aggiungi ritardo (giorni) verranno ripianificate per altri 12 mesi.

    • Utente registrato: se attivato, specifica che si utilizzeranno le credenziali dell'utente correntemente registrato per aggiungere l'attività pubblicata all'Utilità di pianificazione Microsoft. La casella Utente viene popolata automaticamente, pertanto basterà digitare la password dell'account.
    • Utente diverso: se attivato, specifica che si desidera utilizzare un account utente diverso quando si aggiunge l'attività di pubblicazione all'Utilità di pianificazione Microsoft. Ad esempio, è possibile specificare un account di servizio la cui password non scade.

      L'account deve:

      • disporre dei diritti Accedi come processo batch
      • essere membro del gruppo di amministratori WSUS sul server WSUS
      • essere membro del gruppo di amministratori locali sul server WSUS se il server WSUS è remoto

      Quando si specifica un utente diverso, è necessario indicare se siano richieste le credenziali per autenticarsi a un server proxy.

      • Autenticazione proxy richiesta – utilizzare tali credenziali: se attivato, indica la necessità di immettere le credenziali del server proxy quando si utilizza l'account utente. Se si sceglie Come sopra, le credenziali account utente verranno utilizzate come credenziali proxy. Se si sceglie Credenziali sotto, è possibile fornire un set separato di credenziali proxy.
      • Nome utente: digitare il nome utente per un account sul server proxy. Può essere necessario specificare un dominio come parte del nome utente (ad esempio: miodominio\mio.nome).
      • Password: digitare la password per l'account server proxy.
    • Esegui l'attività pianificata offline: Se attivato, l'attività di pubblicazione pianificata verrà eseguita in modalità offline. Ciò significa che la console non cercherà di scaricare i file di aggiornamento selezionati. Affinché la pubblicazione avvenga correttamente, gli aggiornamenti devono già risiedere nella Cartella sorgente locale.

      Questa casella di controllo si attiva automaticamente se viene attivato Esegui in modalità disconnessa nella scheda Opzioni offline.

    • Accetta tutti gli aggiornamenti ai metadati nel catalogo: se si desidera aggiornare automaticamente WSUS a qualsiasi revisione di metadati disponibile per gli aggiornamenti precedentemente pubblicati, attivare questa casella di controllo.
    • Sincronizza aggiornamenti: se si desidera che Configuration Manager si sincronizzi automaticamente con il database WSUS all'interno di questa attività, attivare questa casella di controllo. Ciò causerà l'esecuzione di una sincronizzazione incrementale. Se non si attiva questa casella di controllo, gli aggiornamenti pubblicati non saranno disponibili per la distribuzione fino all'esecuzione del processo di sincronizzazione regolarmente pianificato. La sincronizzazione può anche essere avviata selezionando la scheda Home e facendo clic su Sincronizza aggiornamenti software.
    • Pubblica solo metadati: se attivata, questa opzione pubblicherà la logica di rilevamento per l'aggiornamento ma non gli effettivi file binari di aggiornamento software. Può essere utile per rilevare se un aggiornamento sia richiesto dai propri client e per assicurarsi allo stesso tempo che non possa essere installato. La sua utilità è provata solo in scenari molto specifici, con configurazioni particolari dei server.

      Se si modifica un aggiornamento pubblicato solo come metadati, l'aggiornamento originale verrà eliminato e l'aggiornamento rivisto verrà ripubblicato solo come metadati. Ciò significa che il numero di revisioni per tali aggiornamenti sarà sempre 1. Un aggiornamento pubblicato solo come metadati non può essere firmato nuovamente, dato che non vi è alcun contenuto da firmare. Un nuovo tentativo di firma comporterà la registrazione di un messaggio di avviso nel file di registro.

    • Opzioni del gruppo di aggiornamento software: Configuration Manager fornisce l'uso di gruppi di aggiornamento software che aiutano a organizzare e distribuire i propri aggiornamenti software. Gli aggiornamenti pubblicati usando Patch per Configuration Manager possono essere aggiunti automaticamente a un gruppo di aggiornamenti software nuovo o esistente.

      È possibile scegliere una delle seguenti opzioni:

      • Non aggiungere aggiornamenti a un gruppo di aggiornamento software: nessuno degli aggiornamenti nell'attività pianificata verrà aggiunto a un gruppo di aggiornamento software.
      • Aggiungi tutti gli aggiornamenti a un gruppo di aggiornamento software: tutti gli aggiornamenti specificati nell'attività pianificata verranno aggiunti a un gruppo di aggiornamento software.
      • Aggiungi solo gli aggiornamenti pubblicati di recente a un gruppo di aggiornamento software: solo gli aggiornamenti pubblicati di recente specificati nell'attività pianificata verranno aggiunti a un gruppo di aggiornamento software.

      Le opzioni seguenti si applicano solo se si sceglie di aggiungere aggiornamenti a un gruppo di aggiornamento software:

      • Nome: se si desidera aggiungere gli aggiornamenti pubblicati a un gruppo di aggiornamenti software esistente, selezionare il nome del gruppo dall'elenco a discesa. È inoltre possibile digitare le prime lettere del nome fino a visualizzare il gruppo corrente. Se si desidera specificare un nuovo gruppo, selezionare Nuovo dall'elenco a discesa e fornire un nome gruppo univoco e una descrizione.
      • Descrizione: questo campo descrive la funzionalità del gruppo di aggiornamenti software specificato. La descrizione viene definita quando il gruppo viene creato e non può essere modificata qui.

      Gli aggiornamenti verranno aggiunti al gruppo di aggiornamenti software dopo il completamento del processo di pubblicazione e l'esecuzione di una sincronizzazione.

      • Crea un nuovo gruppo di aggiornamento software ogni volta in cui questa attività pubblica aggiornamenti: per ciascuna pubblicazione verrà creato un Gruppo di aggiornamento software univoco. Il gruppo verrà denominato in base al nome dell'attività e alla data e all'ora in cui è avvenuta la pubblicazione.
    • Opzioni di distribuzione: quest'area fornisce l'opzione per distribuire rapidamente a Patch per Configuration Manager gli aggiornamenti pubblicati sui propri endpoint. Gli aggiornamenti verranno resi disponibili ai propri endpoint contestualmente con la distribuzione. Per informazioni aggiuntive sulle distribuzioni, vedere Distribuzione semplificata di aggiornamenti di terze parti.
      • Distribuisci aggiornamenti dopo la pubblicazione: se si desidera specificare le opzioni di distribuzione, abilitare questa casella di controllo. Al fine di rendere disponibile questa casella di controllo per la selezione, nella sezione Opzioni di pubblicazione è necessario abilitare l'opzione Sincronizza aggiornamenti e scegliere di aggiungere aggiornamenti a un gruppo di aggiornamenti software.
      • Profilo distribuzione: il profilo di distribuzione che verrà utilizzato al momento di distribuire gli aggiornamenti selezionati.
      • Pacchetto di implementazione: specifica dove avverrà lo staging delle implementazioni per la distribuzione. Configuration Manager utilizza un pacchetto di implementazione per spostare il contenuto in un punto di distribuzione, di cui viene quindi eseguito il push agli endpoint.
      • Scadenza distribuzione dopo la pubblicazione: consente di indicare una data e un'ora specifiche in cui è necessario avviare la procedura di distribuzione.
      • Ritarda imposizione della scadenza in base alla preferenza dell'utente: se abilitata, questa opzione rispetterà qualsiasi orario lavorativo impostato da un utente e la procedura di distribuzione non inizierà fino a che tale periodo di tempo sarà compreso in tale orario prestabilito.
      • Esegui ciclo di valutazione distribuzione aggiornamenti dopo che un aggiornamento richiede un riavvio di sistema: se abilitato, dopo la distribuzione di un aggiornamento che richiede un riavvio, il client eseguirà un'altra valutazione per gli aggiornamenti mancanti dopo il completamento del riavvio.
    • Pubblica solo gli aggiornamenti che: consente di specificare quali aggiornamenti associati al CVE si desidera pubblicare su base ricorrente. È possibile scegliere se utilizzare entrambe le opzioni seguenti o solo una:
      • Applica ai prodotti installati sugli endpoint personali: se abilitata, verranno pubblicati solo gli aggiornamenti che si applicano ai prodotti attualmente installati sui propri computer client.
      • Abbina a questo filtro: È possibile scegliere il filtro predefinito denominato *Il più recente non pubblicato o uno qualsiasi dei propri filtri personalizzati.

      Esempio 1: per pubblicare tutti gli aggiornamenti non precedentemente pubblicati e non sostituiti, selezionare il filtro *Ultimi non pubblicati. Si tratta di un modo semplice per pubblicare automaticamente i nuovi aggiornamenti su base ricorrente.

      Esempio 2: ipotizziamo di aver precedentemente creato un filtro personalizzato in grado di identificare tutti gli aggiornamenti critici non pubblicati per i prodotti utilizzati nella propria organizzazione. È sufficiente selezionare il filtro qui contenuto per pubblicare solo tali aggiornamenti su base regolare.

      Se un aggiornamento contiene svariati pacchetti per varie lingue, verranno pubblicate solo le versioni in lingua specificate sulla scheda Lingue.

  6. Fare clic su Aggiungi attività.
  7. Esaminare il calendario Utilità di pianificazione di automazione per verificare che l'attività sia stata pianificata per la data e l'ora corrette.
  8. (Opzionale) utilizzare lo strumento Log di traccia di Configuration Manager per aprire il file AutoPublish.log e monitorare il processo di pubblicazione.

    Il file AutoPublish.log viene scritto da qualsiasi processo pianificato singolo o ricorrente che effettua pubblicazioni su WSUS. Il registro si trova nella directory \Utenti\<user name>\Ivanti\Patch.