Creazione di una nuova attività di patch

Un'attività di patch viene utilizzata per definire come e quando verranno analizzati i computer di destinazione per rilevare le patch mancanti. Può anche essere utilizzata per distribuire in via opzionale qualsiasi patch identificata come mancante. Se non si crea un'attività di patch, non verrà eseguita alcuna analisi o distribuzione delle patch da parte degli agenti assegnati a tale criterio.

In base ai sistemi operativi supportati nella propria organizzazione, è possibile creare attività patch per i computer Windows, per i computer Linux o per entrambi. Esistono attività di patch separate per le patch Linux senza contenuto e basate sul contenuto. È possibile creare svariate attività di patch per un unico criterio agente. Ciascuna attività può essere espansa e compressa utilizzando l'icona () presente sulla barra dei titoli delle attività. Ciò consente di visualizzare solo l'attività a cui si sta lavorando in qualsiasi momento.

Pur non essendoci alcun limite teorico al numero di attività di patch creabili per un criterio agente, esiste un limite pratico. Ad esempio, può diventare difficile tracciare e gestire un criterio se contiene troppe attività patch. Inoltre, potrebbe risultare problematico in caso di attivazione di una distribuzione di patch su svariate attività di patch. Ciò avviene perché mentre l'analisi risulta relativamente trasparente all'utente, la distribuzione di patch non lo è, visto che spesso coinvolge il riavvio del computer dell'utente. Inoltre, si corre il rischio di innescare distribuzioni multiple e contemporanee eseguite su un unico computer.

La configurazione delle attività di patch degli agenti avviene all'interno della scheda Patch. È possibile modificare un'attività di patch esistente o creare una nuova attività facendo clic su Aggiungi un'attività di patch Windows o Aggiungi un'attività di patch Linux. Assicurarsi di fornire all'attività un nome descrittivo, dato che corrisponderà al nome visualizzato all'interno del programma client Windows.

Configurazione di un'attività di patch Windows

La pianificazione delle patch specifica quanto spesso l'attività verrà eseguita su un computer di destinazione. Consente di eseguire regolarmente l'attività a un orario specifico o utilizzando un determinato schema di ricorrenza. Per ciascun agente verrà fornita un'utilità di pianificazione integrata. L'unità di pianificazione cercherà nuovi dati delle patch immediatamente prima di avviare un'attività di patch pianificata.

L'utilità di pianificazione agenti imposterà esecuzioni in serie dello stesso motore agente. Ad esempio, se si definisce un criterio con due attività patch che iniziano entrambe all'1:00, non inizieranno entrambe all'1:00, ma saranno serializzate (eseguite una dopo l'altra).

Campo

Descrizione

Pianificazione d'uso

Se attivato, l'attività verrà eseguita sui computer degli agenti su base ricorrente in base alle impostazioni di pianificazione. Se disattivato, le impostazioni di pianificazione vengono ignorate e l'attività deve essere avviata manualmente dalla console o sul computer dell'agente.

Ogni ora

Consente di pianificare l'attività in modo da eseguirla ogni ora.

  • Esegui ogni N ore: è possibile specificare esattamente il numero di ore tra un'analisi e l'altra. I valori validi sono 1 - 100 ore.
  • Inizio a quest'ora: la prima analisi inizierà all'ora specificata. Le successive analisi verranno eseguite all'intervallo specificato in Esegui ogni N ore.

Ogni giorno

Indica che l'attività verrà eseguita in giorni specifici, al momento desiderato. Ad esempio, utilizzando questa opzione è possibile eseguire un'analisi ogni notte a mezzanotte, o ogni domenica alle 21:00 o all'1:00 di notte della prima domenica di ogni mese, ecc.

È inoltre possibile utilizzare l'opzione Giornaliero per pianificare un'attività in combinazione con un evento mensile ricorrente come il "Microsoft's Patch Tuesday". Ad esempio, è possibile pianificare un’analisi mensile delle patch in modo che avvenga il giorno dopo il Patch Tuesday specificando Il secondo martedì e utilizzando quindi l'opzione Aggiungi ritardo (giorni) per ritardare l'attività di un giorno.

Scegli in modo casuale l'ora pianificata (minuti)

Separa l'ora esatta di esecuzione di un'attività, in modo da non sovraccaricare la console o il server di distribuzione designato con richieste simultanee di download patch, motori di analisi, ecc.

Esegui all'avvio se saltata la pianificazione

Se un'attività di pianificazione non viene effettuata a causa dello spegnimento di un computer di destinazione, questa opzione consente di forzare l'esecuzione automatica dell'attività a ogni riavvio del computer. L'attività verrà eseguita immediatamente a meno che non venga spuntata la casella di controllo Ritardo dopo il riavvio (minuti), nel qual caso l'esecuzione verrà ritardata del numero specificato di minuti.

 

Campo Descrizione

Modello di analisi delle patch

È necessario specificare il modello da utilizzare quando un agente esegue un'analisi delle patch. Il modello di analisi delle patch indica esattamente cosa verrà analizzato e cosa verrà ignorato durante un'analisi. L'elenco dei modelli disponibili per la selezione includerà i due modelli predefiniti (analisi patch di sicurezza e tutte le patch) più eventuali modelli personalizzati già definiti. Sono disponibili anche le seguenti azioni:

  • Nuovo: consente di creare un nuovo modello di analisi delle patch da zero.
  • Modifica: consente di modificare un modello di analisi delle patch esistente e personalizzato. Non è possibile modificare i modelli predefiniti. Se si modifica e si salva un modello attualmente in uso da parte di un criterio agente, gli agenti che utilizzano tale criterio verranno aggiornati la prossima volta in cui effettueranno il check-in con la console.

Facendo clic su Nuovo o Modifica, verrà visualizzata la finestra di dialogo Modello di analisi delle patch. Consultare la sezione Creazione di un nuovo modello di analisi delle patch per i dettagli sulla configurazione del modello.

la funzione di distribuzione automatica e la funzione di invio automatico di e-mail sul modello di analisi delle patch non sono supportate da Security Controls Agent. Se queste funzioni vengono attivate verranno ignorate.

Modello di distribuzione

È necessario specificare il modello da utilizzare quando un agente esegue una distribuzione delle patch. L'elenco dei modelli disponibili per la selezione includerà i modelli di distribuzione predefiniti (Standard agente, Standard e Standard macchina virtuale) oltre a qualsiasi modello personalizzato già definito. Sono disponibili anche le seguenti azioni:

  • Nuovo: consente di creare un nuovo modello di distribuzione da zero.
  • Modifica: consente di modificare un modello di distribuzione esistente e personalizzato. Non è possibile modificare il modello di distribuzione predefinito. Se si modifica e si salva un modello attualmente in uso da parte di un criterio agente, gli agenti che utilizzano tale criterio verranno aggiornati la prossima volta in cui effettueranno il check-in con la console.

Facendo clic su Nuovo o Modifica, verrà visualizzata la finestra di dialogo Modello di distribuzione. Consultare la sezione Creazione di un modello di distribuzione per i dettagli sulla configurazione del modello.

le opzioni per le notifiche automatiche via e-mail, le azioni personalizzate e i server di distribuzione specificabili nel modello di distribuzione non si applicano a Security Controls Agent.

Distribuisci patch

Se si desidera che l'agente sia in grado di distribuire automaticamente le patch identificate come mancanti dall'analisi delle patch, spuntare questa casella di controllo.

Quando gli agenti eseguono una distribuzione delle patch distribuiranno solo le patch con le seguenti caratteristiche:

  • Patch analizzate dal modello di analisi delle patch,
  • Service pack segnalati come mancanti e
  • Definite come patch approvate.

Le patch approvate possono essere tutte le patch rilevate come mancanti mediante un'analisi o possono limitarsi alle patch definite in un gruppo di patch e/o alle patch ritenute critiche dal relativo fornitore. L'elenco di patch approvate qui definito è legato a questa particolare attività di patch. L'elenco non verrà utilizzato da altre attività di patch all'interno del criterio agente.

  • Tutte le patch rilevate come mancanti: Specifica che qualsiasi patch identificata come mancante sarà idonea alla distribuzione.
  • Gruppo di patch: Solo le patch contenute nel gruppo di patch specificato verranno distribuite dall'agente. Se un'analisi rileva patch mancanti non incluse in questo gruppo, tali patch non verranno distribuite.

    • Più le patch critiche di tutti i fornitori: specifica che in aggiunta alle patch definite nel gruppo di patch, l'elenco di patch approvate per la distribuzione dovrà includere qualsiasi patch identificata come critica dal relativo fornitore. Ciò consente di sapere che se il proprio gruppo di patch è obsoleto sarà comunque possibile distribuire qualsiasi nuova patch critica.

    Per distribuire solo patch critiche dei fornitori, spuntare questa casella di controllo, quindi specificare un gruppo di patch vuoto nella casella Gruppo di patch.

  • Nuovo: consente di creare un nuovo gruppo di patch. Per ulteriori informazioni, consultare la sezione Creazione e modifica di un gruppo di patch.
  • Modifica: consente di effettuare modifiche al gruppo di patch selezionato. Prestare attenzione, dato che qualsiasi modifica effettuata si estenderà agli altri modelli di analisi che utilizzano il gruppo di patch. Se si modifica e si salva un gruppo di patch attualmente in uso da parte di un criterio agente, gli agenti che utilizzano tale criterio verranno aggiornati la prossima volta in cui effettueranno il check-in con la console.

Se si sceglie anche di abilitare la distribuzione di livelli di prodotti (vedere l'opzione Distribuisci livelli di prodotti), su un computer agente che è privo sia di livelli di prodotti sia di patch, i livelli di prodotti vengono distribuiti per primi.

Processo di distribuzione delle patch

Una volta determinato l'elenco di patch approvate, le patch vengono scaricate e installate in base alla priorità. Le patch di sicurezza vengono scaricate per prime, seguite da tutti gli altri tipi di patch. I download avvengono in background utilizzando la larghezza di banda di inattività non utilizzata da altre applicazioni. Le attività in primo piano come la navigazione Web non vengono influenzate dal processo di download delle patch.

A ciascuna attività di patch viene assegnata una finestra di 60 minuti per il download delle patch mancanti. (Essa fa parte di una finestra di manutenzione totale di due ore assegnata per il download di livelli di prodotti e patch mancanti). Solo le patch scaricate correttamente durante la finestra di 60 minuti verranno installate dall'attività di patch attiva. Se l'attività di patch non riesce a concludere il download di tutte le patch mancanti nel corso della finestra di 60 minuti, le patch rimanenti verranno identificate, scaricate e installate alla successiva esecuzione dell'attività di patch.

Se un computer agente dovesse disconnettersi dalla rete durante un download di file, il processo verrà sospeso e riprenderà automaticamente da dove si era interrotto non appena la rete risulterà nuovamente disponibile. Questa tecnica viene definita punto di controllo/riavvio e risulta estremamente utile per i computer con frequenti disconnessioni.

Distribuisci livelli di prodotti

Se si desidera che l'agente sia in grado di distribuire automaticamente i livelli di prodotti identificati come mancanti dall'analisi delle patch, spuntare questa casella di controllo.

Quando gli agenti eseguono una distribuzione dei livelli di prodotti distribuiranno solo tali livelli di prodotti che sono:

  1. Patch analizzate dal modello di analisi delle patch,
  2. Service pack segnalati come mancanti e
  3. Service pack approvati per la distribuzione.

I livelli di prodotti approvati possono essere tutti i livelli di prodotti rilevati come mancanti da un'analisi, oppure possono essere limitati ai livelli di prodotti definiti in un gruppo di livelli di prodotti. L'elenco di livelli di prodotti approvati qui definito è legato a questa particolare attività di patch. L'elenco non verrà utilizzato da altre attività di patch all'interno del criterio agente.

  • Ulteriori informazioni: un collegamento all'argomento della guida Informazioni sui gruppi di livelli di prodotti che spiega in che modo i gruppi di livelli di prodotti vengano utilizzati dal programma.
  • Tutte i livelli di prodotti rilevati come mancanti: specifica che qualsiasi livello di prodotto identificato come mancante sarà idoneo alla distribuzione.
  • Gruppo livelli di prodotti: solo questi livelli di prodotti contenuti nel gruppo livelli di prodotti specificato verranno distribuiti dall'agente. Se un'analisi rileva patch livelli di prodotti mancanti non inclusi in questo gruppo, tali livelli di prodotti non verranno distribuiti.
  • Limita distribuzioni (al giorno): specifica il numero massimo di livelli di prodotti distribuibili a un computer in un dato giorno. La distribuzione di livelli di prodotti può richiedere molto tempo e quasi sempre richiede un riavvio del computer, pertanto è preferibile mantenere basso questo valore. Se non si limita il numero di distribuzioni di livelli di prodotti in un dato giorno, si corre il rischio di sovraccaricare un computer nel caso risultino mancanti svariati livelli di prodotti. Se il numero di livelli di prodotti mancanti in un computer è superiore al limite specificato, i livelli di prodotti aggiuntivi verranno distribuiti alla successiva esecuzione dell'attività di patch.

    • Suggerimento: notare che in questo caso un "giorno" rappresenta una data di calendario e non un periodo di 24 ore. Ciò significa che ogni giorno riparte a mezzanotte. Se si sceglie di pianificare l'esecuzione di un'attività di patch su base oraria (scelta non raccomandata), ciò consentirebbe di massimizzare la finestra di manutenzione notturna distribuendo il numero massimo di livelli di prodotti prima di mezzanotte e subito dopo mezzanotte.

  • Nuovo: consente di creare un nuovo gruppo di livelli di prodotti. Per ulteriori informazioni, consultare la sezione Creazione e modifica di un gruppo di livelli di prodotti.
  • Modifica: consente di effettuare modifiche al gruppo di livelli di prodotti selezionati. Prestare attenzione, in quanto qualsiasi modifica effettuata avrà ripercussioni sulle attività di patch che fanno riferimento al gruppo di livelli di prodotti. Inoltre, se si modifica e si salva un gruppo di livelli di prodotti attualmente in uso da parte di un criterio agente, gli agenti che utilizzano tale criterio verranno aggiornati la prossima volta in cui effettueranno il check-in con la console.

Procedura di distribuzione livello di prodotti

Se un computer agente risulta privo di più livelli di prodotti, potrà essere installato un solo livello di prodotti alla volta. L'attività di patch inizierà inizializzando il download di tutti i livelli di prodotti mancanti. I livelli di prodotti del sistema operativo vengono scaricati con una priorità maggiore, tuttavia il primo livello di prodotti scaricato sarà quello che verrà installato per primo. Una volta installato correttamente il livello di prodotti, il computer viene riavviato e sottoposto a una nuova analisi, tale processo viene ripetuto fino all'avvenuta distribuzione di tutti i livelli di prodotti o fino al raggiungimento del limite giornaliero [consultare l'opzione Limita distribuzioni (al giorno)].

Inoltre, a ciascuna attività di patch viene assegnata una finestra di 60 minuti entro cui completare il processo di download > installazione > riavvio > nuova analisi. (Essa fa parte di una finestra di manutenzione totale di due ore assegnata per il download di livelli di prodotti e patch mancanti). Solo tali livelli di prodotti scaricati correttamente durante la finestra di 60 minuti verranno installati dall'attività di patch attiva. Se l'attività di patch non riesce a concludere il download di tutti i livelli di prodotti mancanti nel corso della finestra di 60 minuti, i livelli di prodotti rimanenti verranno identificati, scaricati e installati alla successiva esecuzione dell'attività di patch.

I download avvengono in background utilizzando la larghezza di banda di inattività non utilizzata da altre applicazioni. Le attività in primo piano come la navigazione Web non vengono influenzate dal processo di download dei livelli di prodotti.

Se un computer agente dovesse disconnettersi dalla rete durante un download di file, il processo verrà sospeso e riprenderà automaticamente da dove si era interrotto non appena la rete risulterà nuovamente disponibile. Questa tecnica viene definita punto di controllo/riavvio e risulta estremamente utile per i computer con frequenti disconnessioni.

Configurazione di un'attività di patch Linux

Per il metodo di applicazione patch Linux senza contenuto, non esiste una configurazione separata per l'analisi delle patch. Ogni volta che viene eseguita un'attività di applicazione patch Linux, viene eseguita un'analisi di tutti i pacchetti e gli avvisi mancanti. È quindi possibile specificare separatamente le opzioni Distribuisci come parte dell'attività Patch Linux. Per il precedente metodo di applicazione patch Linux basato sul contenuto, è necessario specificare le opzioni Analizza e distribuisci.

La pianificazione delle patch specifica quanto spesso l'attività verrà eseguita su un computer di destinazione. Consente di eseguire regolarmente l'attività a un orario specifico o utilizzando un determinato schema di ricorrenza.

Campo

Descrizione

Pianificazione d'uso

Se attivato, l'attività verrà eseguita sui computer degli agenti su base ricorrente in base alle impostazioni di pianificazione. Se disattivato, le impostazioni di pianificazione vengono ignorate e l'attività deve essere avviata manualmente sul computer dell'agente usando un'utilità a righe di comando.

Ogni ora

Consente di pianificare l'attività in modo da eseguirla ogni ora.

  • Esegui ogni (ore): è possibile specificare esattamente il numero di ore tra un'analisi e l'altra. I valori validi sono 1 - 100 ore.
  • Inizio a quest'ora: la prima analisi inizierà all'ora specificata. Le successive analisi verranno eseguite all'intervallo specificato in Esegui ogni N ore.

Ogni giorno

Indica che l'attività verrà eseguita in giorni specifici, al momento desiderato. Ad esempio, utilizzando questa opzione è possibile eseguire un'analisi ogni notte a mezzanotte, o ogni domenica alle 21:00 o all'1:00 di notte della prima domenica di ogni mese, ecc.

È inoltre possibile utilizzare l'opzione Giornaliero per pianificare un'attività in combinazione con un evento mensile ricorrente come il "Microsoft's Patch Tuesday". Ad esempio, è possibile pianificare un’analisi mensile delle patch in modo che avvenga il giorno dopo il Patch Tuesday specificando Il secondo martedì e utilizzando quindi l'opzione Aggiungi ritardo (giorni) per ritardare l'attività di un giorno.

Scegli in modo casuale l'ora pianificata (minuti)

Separa l'ora esatta di esecuzione di un'attività, in modo da non sovraccaricare la console o il server di distribuzione designato con richieste simultanee di download patch, motori di analisi, ecc.

Esegui all'avvio se saltata la pianificazione

Se un'attività di pianificazione non viene effettuata a causa dello spegnimento di un computer di destinazione, questa opzione consente di forzare l'esecuzione automatica dell'attività a ogni riavvio del computer. L'attività verrà eseguita immediatamente a meno che non venga spuntata la casella di controllo Ritardo dopo il riavvio (minuti), nel qual caso l'esecuzione verrà ritardata del numero specificato di minuti.

Campo

Descrizione

Configurazione di analisi patch Linux (basata solo sul contenuto)

Per l'applicazione di patch Linux basate sul contenuto, è necessario specificare la configurazione da utilizzare quando un agente esegue un'analisi delle patch Linux. La configurazione di analisi delle patch indica esattamente cosa verrà analizzato e cosa verrà ignorato durante un'analisi. L'elenco di configurazioni disponibili per la selezione includerà le due configurazioni predefinite (Analisi delle patch di sicurezza e Analisi di tutte le patch) oltre a qualsiasi configurazione personalizzata già definita. Sono disponibili anche le seguenti azioni:

  • Nuovo: consente di creare una nuova configurazione di analisi delle patch da zero.
  • Modifica: consente di modificare una configurazione di analisi delle patch esistente e personalizzata. Non è possibile modificare le configurazioni predefinite. Se si modifica e si salva una configurazione attualmente in uso da parte di un criterio agente, gli agenti che utilizzano tale criterio verranno aggiornati la prossima volta in cui effettueranno il check-in con la console.

Facendo clic su Nuovo o Modifica, verrà visualizzata la finestra di dialogo Configurazione di analisi patch Linux. Vedere Creazione e modifica di una configurazione di analisi patch Linux per i dettagli.

Configurazione di distribuzione patch Linux

È necessario specificare la configurazione da utilizzare quando un agente esegue una distribuzione delle patch. L'elenco di configurazioni disponibili per la selezione includerà la configurazione di distribuzione predefinita (Distribuzione patch Linux) oltre a qualsiasi configurazione personalizzata già definita. Sono disponibili anche le seguenti azioni:

  • Nuovo: consente di creare una nuova configurazione di distribuzione da zero.
  • Modifica: consente di modificare una configurazione di distribuzione esistente e personalizzata. Non è possibile modificare la configurazione di distribuzione predefinita. Se si modifica e si salva un modello attualmente in uso da parte di un criterio agente, gli agenti che utilizzano tale criterio verranno aggiornati la prossima volta in cui effettueranno il check-in con la console.

Facendo clic su Nuovo o Modifica, verrà visualizzata la finestra di dialogo Configurazione di distribuzione patch Linux. Vedere Creazione e modifica di una configurazione di distribuzione patch Linux per i dettagli.

Salvataggio di un criterio agente

Campo

Descrizione

Salva e aggiorna agenti

Salva tutte le modifiche al file del criterio e le archivia sulla console. Aggiorna inoltre qualsiasi computer di un agente attualmente assegnato a tale criterio nel modo seguente:

  • Se un computer di un agente è online ed è configurato per l'ascolto degli aggiornamenti al criterio, verrà eseguito immediatamente il push del criterio aggiornato a tale computer.
  • Se un computer di un agente è online ma non è configurato per l'ascolto degli aggiornamenti al criterio, il push del criterio aggiornato verrà eseguito la prossima volta in cui l'agente effettuerà il check-in con la console.
  • Se un computer di un agente non è attualmente online, il push del criterio aggiornato verrà eseguito la prossima volta in cui l'agente effettuerà il check-in con la console.

L'Editor dei criteri dell'agente verrà chiuso.

Salva

Salva tutte le modifiche al file del criterio, dopodiché chiude l'Editor criteri agenti. Le modifiche non sono sottoposte a push agli agenti in ascolto.

Annulla

Indica la volontà di uscire dall'Editor dei criteri dell'agente senza salvare le modifiche più recenti. Apparirà il messaggio "Salvare le modifiche?" che darà un'altra possibilità di salvare le modifiche. Facendo clic su il criterio verrà salvato e gli agenti associati verranno aggiornati (così come avviene con Salva e aggiorna agenti). Se si fa clic su No, l'Editor criteri agente verrà chiuso senza salvare le modifiche.