Publicar automaticamente atualizações para CVEs

Se preferir, pode importar manualmente CVEs e publicar as atualizações associadas apenas uma vez, e não regularmente.

Visão geral

A Lista de Vulnerabilidades e Exposições Comuns (CVE) é uma referência pública das vulnerabilidades de cibersegurança conhecidas. Essa lista, mantida pela MITRE Corporation (mitre.org), muda continuamente à medida que novas vulnerabilidades são detectadas. Se a sua organização usa a lista de CVEs, pode ser difícil determinar exatamente quais atualizações você precisa publicar para proteger suas máquinas contra as ameaças identificadas na lista.

Felizmente, o Patch for Configuration Manager simplifica esse processo. Você pode criar uma tarefa agendada recorrente que irá automaticamente:

• Verificar uma pasta contendo um ou mais arquivos CVE
• Determinar quais atualizações estão relacionadas a cada CVE
• Publicar as atualizações que abordam os CVEs

É possível ter várias tarefas CVE agendadas para cada console. Ter várias tarefas agendadas pode ser útil, por exemplo, para definir cadências diferentes para diferentes conjuntos de CVEs. Ou você talvez você queira publicar atualizações diferentes para diferentes Grupos de Atualização de Software. Não há limite teórico para o número de tarefas agendadas recorrentes que você pode ter em um determinado momento, mas você pode definir um limite que seja conveniente para o seu site.

1. No espaço de trabalho Biblioteca de Software do Configuration Manager, expanda a pasta Atualizações de Software > Ivanti Patch e clique em Agendador de Automação.
   • É exibido um calendário que contém as tarefas agendadas de todos os consoles. Você pode:
   • Editar uma tarefa agendada clicando duas vezes nela, usando o menu do botão direito ou selecionando-a e depois clicando em Editar
   • Visualizar o histórico de uma tarefa usando o menu do botão direito ou selecionando-a e depois clicando em Histórico
   • Excluir uma tarefa usando o menu do botão direito ou selecionando-a e depois clicando em Excluir

   Dica: você também pode gerenciar as tarefas agendadas usando o Agendador de Tarefas Microsoft.

2. Na guia Início, clique em Publicar por CVE.
   O diálogo Publicar Atualizações por CVE é exibido.

   

3. Especifique um nome que identifique exclusivamente o propósito da tarefa.
   Esse nome também será exibido no calendário do Agendador de Automação.
4. Especifique o caminho da pasta de origem do CVE.
   Esta é a pasta que contém seu(s) arquivo(s) CVE. Todos os arquivos da pasta serão verificados para determinar se contêm CVEs. Os arquivos podem estar em qualquer formato aceitável, como .txt, xml ou .csv. CVEs duplicados serão ignorados.

   O nome completo do caminho inserido neste campo deve ser um caminho UNC.

   Exemplo: sua equipe de segurança pode usar mensalmente uma ferramenta de verificação de vulnerabilidades para criar uma lista atualizada de CVEs. A cada mês, basta mover o arquivo CVE recém-gerado para esta pasta e deixar o processo automatizado pegá-lo de lá.

5. Especifique quando a tarefa deve ser executada e quais ações devem ocorrer.
   • Agendar: especifique o dia e a hora em que a tarefa deve ser executada. Uma opção é agendar a tarefa juntamente com um evento mensal regular, como a Patch Tuesday da Microsoft. Por exemplo, para agendar a realização de uma publicação no dia seguinte à Patch Tuesday, especifique a segunda terça-feira e use a opção Adicionar atraso (dias) para adiar a tarefa em um dia.

     Uma tarefa agendada com a opção Adicionar atraso (dias) será executada por 12 meses antes de precisar ser reagendada. Quando a tarefa chegar aos três meses finais, um alerta será gerado, e você será solicitado a inserir suas credenciais para reagendá-la. Se você inserir suas credenciais, todas as tarefas que usem a opção Adicionar atraso (dias) serão reprogramadas por mais 12 meses.

   • Usuário logado: se habilitado, especifica que você usará as credenciais do usuário atualmente logado para adicionar a tarefa de publicação ao Microsoft Scheduler. A caixa Usuário é preenchida automaticamente, você só precisa digitar a senha da conta.
   • Usuário diferente: Se habilitado, especifica que você deseja usar uma conta de usuário diferente ao adicionar a tarefa de publicação para Microsoft Agendador. Por exemplo, você pode especificar uma conta de serviço cuja senha não expira.

     A conta deve:

     • Deve ter direitos de Fazer logon como um trabalho em lotes
     • Ser um membro do grupo de Administradores do WSUS no servidor WSUS
     • Ser um membro do grupo de administradores locais no servidor WSUS se o servidor WSUS é remoto

     Ao especificar um usuário diferente, você deve indicar se as credenciais são necessárias para autenticar para um servidor proxy.

     • Autenticação de proxy é necessária – usar essas credenciais: se habilitado, indica que as credenciais do servidor proxy são necessárias ao usar a conta de usuário. Se você, em seguida, escolher Igual ao anterior, as credenciais da conta do usuário serão usadas como as credenciais de proxy. Se você escolher Credenciais abaixo, você pode fornecer um conjunto separado de credenciais de proxy.
     • Nome de usuário: Digite o nome de usuário para uma conta no servidor proxy. Pode ser necessário especificar um domínio como parte do seu nome de usuário (por exemplo: mydomain\my.name).
     • Senha: Digite a senha para a conta do servidor proxy.
   • Executar a tarefa agendada offline: se habilitada, a tarefa de publicação agendada será executada no modo offline. Isso significa que o console não tentará baixar os arquivos de atualização selecionados. Para que a publicação seja bem-sucedida, a(s) atualização(ões) já devem residir na pasta Fonte Local.

     Essa caixa de seleção é ativada automaticamente se Execução desconectada estiver habilitada na guia Opções offline.

   • Aceite todas as atualizações de metadados no catálogo: Se você deseja atualizar automaticamente o WSUS com quaisquer revisões de metadados que estão disponíveis para atualizações que foram publicadas anteriormente, habilitar esta caixa de seleção.
   • Sincronizar atualizações: se você deseja que o Configuration Manager sincronize-se automaticamente com o banco de dados do WSUS como parte desta tarefa, habilite esta caixa de seleção. Isso fará com que uma sincronização incremental seja executada. Se você não habilitar esta caixa de seleção, as atualizações publicadas não estarão disponíveis para implantação até que ocorra o processo de sincronização agendada regularmente. Sincronização também pode ser iniciada selecionando a guia Inicial e, em seguida, clicando em Sincronizar Atualizações de Software.
   • Publicar somente metadados: se habilitada, esta opção publicará a lógica de detecção da atualização, mas não os binários atuais de atualização do software. Você pode fazer isso caso queira detectar se seus clientes precisam de uma atualização, mas também garantir que a atualização não possa ser instalada. Isto é útil apenas em cenários e configurações de servidor muito específicos.

     Se você editar uma atualização que está publicada como somente-metadados, a atualização original será excluída, e a atualização editada será republicada como somente-metadados. Assim, o número de revisão dessas atualizações será sempre 1. Uma atualização que está publicada como somente-metadados não pode ser reassinada, pois não há conteúdo para assinar. A tentativa de reassiná-la resultará em uma mensagem de aviso no arquivo de log.

   • Opções dos grupos de atualização de software: o Configuration Manager permite usar grupos de atualização para ajudar a organizar e implantar as atualizações de software. As atualizações publicadas usando-se o Patch for Configuration Manager podem ser automaticamente adicionadas a um grupo novo ou existente de atualizações de software.

     Você pode escolher uma das seguintes opções:

     • Não adicionar atualizações a um grupo de atualização de software: nenhuma das atualizações na tarefa agendada será adicionada a um grupo de atualização de software.
     • Adicionar todas as atualizações a um grupo de atualização de software: todas as atualizações especificadas na tarefa agendada serão adicionadas a um grupo de atualização de software.
     • Adicionar apenas atualizações recém-publicadas a um grupo de atualização de software: somente as atualizações recém-publicadas especificadas na tarefa agendada serão adicionadas a um grupo de atualização de software.

     As opções a seguir se aplicam apenas se você optar por adicionar atualizações a um grupo de atualização de software:

     • Nome: se você deseja que as atualizações publicadas sejam adicionadas a um grupo existente de atualização de software, selecione o nome do grupo na lista suspensa. Também é possível digitar as primeiras letras do nome até que o grupo correto seja exibido. Se quiser especificar um novo grupo, selecione Novo na lista suspensa e forneça ao grupo um nome exclusivo e uma descrição.
     • Descrição: este campo descreve a finalidade do grupo especificado de atualizações de software. A descrição é definida quando o grupo é criado e não pode ser modificada aqui.

     As atualizações serão adicionadas ao grupo de atualizações de software depois que o processo de publicação estiver concluído e uma sincronização tiver sido realizada.

     • Criar um novo Grupo de Atualização de Software cada vez que esta tarefa publicar atualizações: um Grupo de Atualização de Software exclusivo será criado para cada publicação. O grupo será nomeado com base no nome da tarefa e na data e hora em que a publicação ocorrer.
   • Opções de implantação: esta área oferece opções para que o Patch for Configuration Manager implante rapidamente as atualizações publicadas nos seus pontos de extremidade. As atualizações serão disponibilizadas para seus pontos de extremidade imediatamente após a implantação. Para informações adicionais sobre implantações, consulte Implantação Simplificada de Atualizações de Terceiros.
     • Implantar atualizações após publicação: se quiser especificar opções de implantação, marque esta caixa de seleção. Para que esta caixa de seleção esteja disponível para seleção, na seção Opções de Publicações, você deve habilitar a opção Sincronizar atualizações e optar por adicionar atualizações a um grupo de atualização de software.
     • Perfil de implantação: o perfil de implantação que será usado ao implantar as atualizações selecionadas.
     • Pacote de implantação: especifica onde as implantações serão preparadas para distribuição. O Configuration Manager usa um pacote de implantação para mover o conteúdo para um ponto de distribuição, para posterior envio aos pontos de extremidade.
     • Prazo de implantação após a publicação: permite especificar a data e a hora em que o processo de implantação deverá começar.
     • Atrasar a imposição do prazo de acordo com as preferências do usuário: se habilitada, esta opção respeitará o horário de expediente definido pelo usuário, e o processo de implantação não começará até que chegue o período fora desse horário definido.
     • Executar ciclo de avaliação da implantação de atualizações após a atualização exigir reinicialização do sistema: se habilitada, após a implantação de uma atualização que exija reinicialização, o cliente realizará outra avaliação para verificar se há atualizações ausentes após a reinicialização ser concluída.
   • Publicar somente as atualizações que: permite especificar quais atualizações relativas ao CVE você quer publicar de forma recorrente. Você pode escolher uma das ou ambas as opções a seguir:
     • Aplicar a produtos instalados em meus pontos de extremidade: se habilitado, apenas as atualizações que se apliquem aos produtos atualmente instalados em suas máquinas clientes serão publicadas.
     • Corresponder a este filtro: você pode escolher o filtro predefinido chamado *Último não publicado ou qualquer um dos seus filtros personalizados.

     Exemplo 1: Para publicar todas as atualizações que não foram publicadas anteriormente e que não são substituídas, selecione o filtro *Último não publicado. Esta é uma maneira fácil de publicar automaticamente as novas atualizações de forma recorrente.

     Exemplo 2: Suponha que você criou anteriormente um filtro personalizado que identifica todas as atualizações críticas não publicadas para os produtos que você usa em sua organização. Simplesmente selecione este filtro aqui para publicar apenas as atualizações de forma recorrente.

     Se uma atualização contiver pacotes diferentes para idiomas diferentes, apenas as versões de idioma especificadas na guia Idiomas serão publicadas.

6. Clique em Adicionar tarefa.
7. Revise o calendário do Agendador de Automação para verificar se a tarefa está agendada na data e hora corretas.
8. (Opcional) Use a ferramenta de Log de Rastreamento do Configuration Manager para abrir o arquivo AutoPublish.log e monitorar o processo de publicação.

   O arquivo AutoPublish.log é gravado por qualquer trabalho agendado avulso ou recorrente publicado no WSUS. O log está localizado no diretório \Users\<user name>\Ivanti\Patch.