Criando uma Nova Tarefa de Patch

Uma tarefa de patch é usada para definir como e quando as máquinas alvo serão verificadas para patches ausentes. Ele também pode ser usado para opcionalmente implantar quaisquer patches identificados como ausentes. Se você não criar uma tarefa de patch, então nenhuma análise de patch ou implantação de patch será executada por agentes que são atribuídos a esta política.

Dependendo dos sistemas operacionais suportados na sua organização, você pode criar tarefas de patch para máquinas Windows, Linux ou ambas. Existem tarefas de patch separadas para patches Linux sem conteúdo e baseados em conteúdo. Você pode criar várias tarefas de patch para uma política de agente. Cada tarefa pode ser expandida e recolhida usando-se o ícone () que reside na barra de título de tarefa. Isso permite que você exiba apenas a tarefa que você está trabalhando a qualquer momento.

Enquanto não existe nenhum limite teórico ao número de tarefas de patch que você pode criar para uma política de agente, existe um limite prático. Por exemplo, pode ser difícil acompanhar e gerir uma política se ela contiver muitas tarefas de patch. Também, pode ser problemático se você habilitar a implantação de patch em várias tarefas de patch diferentes. Isto é porque enquanto a análise é relativamente transparente para o usuário, implantação de patches não é, como muitas vezes envolve uma reinicialização da máquina do usuário. Além disso, você corre o risco de várias implantações ocorrendo em uma máquina ao mesmo tempo.

Você configura tarefas de patch de agente na guia Patch. Você pode editar uma tarefa de patch existente ou criar uma tarefa nova clicando em Adicionar uma Tarefa de Patch do Windows ou Adicionar uma Tarefa de Patch do Linux. Lembre-se de dar à tarefa um nome descritivo, pois esse nome aparecerá no programa cliente do Windows.

Configurar uma tarefa de patch do Windows

O agendamento de patch especifica quantas vezes a tarefa será executada em uma máquina alvo. Ele permite que você execute regularmente a tarefa em uma hora específica ou usando um padrão de recorrência especificada. Um agendador interno será fornecido para cada agente. O agendador verificará novos dados de patch imediatamente antes de iniciar uma tarefa de patch agendada.

O agendador de agente irá serializar as execuções do mesmo mecanismo de agente. Por exemplo, se você definir uma política com duas tarefas de patch que iniciem à 1h, elas não serão iniciadas simultaneamente à 1h; em vez disso, serão serializadas (executadas consecutivamente).

Campo

Descrição

Usar agenda

Se habilitada, a tarefa será executada nas máquinas do agente de forma recorrente, de acordo com as configurações de agendamento. Se desabilitado, as configurações de agendamento são ignoradas, e a tarefa deve ser iniciada manualmente no console ou na máquina do agente.

A cada hora

Permite que você agende a tarefa para ser executada de hora a hora.

  • Executar a cada hh horas: Você pode especificar exatamente quantas horas deve haver entre as análises. Os valores válidos são de 1 - 100 horas.
  • Iniciando neste momento: A primeira análise começará no horário especificado. Análises subsequentes serão executadas no intervalo especificado em Executar a cada hh horas.

Diário

Indica que a tarefa será executada nos dias especificados, na hora da sua escolha. Por exemplo, usando esta opção, uma análise poderia ser executada todas as noites à meia-noite, ou todos os sábados às 21h00, ou à 1h00 no primeiro domingo de cada mês, etc.

Você também pode usar a opção Diariamente para agendar uma tarefa em conjunto com um evento mensal regular como a Patch Tuesday da Microsoft. Por exemplo, é possível agendar uma análise de patch mensal para acontecer no dia depois da Patch Tuesday especificando A Segunda Terça e, em seguida, usando a opção Adicionar Atraso (dias) para atrasar a tarefa em um dia.

Tornar aleatório as horas agendadas (minutos)

Alternar a hora exata que a tarefa será executada para não sobrecarregar o console ou o servidor de distribuição designado com solicitações simultâneas para download os arquivos de patch, os mecanismos de análise, etc.

Executar na inicialização se agenda perdida

Se uma tarefa agendada está ausente enquanto uma máquina alvo está desligada, esta opção permite que você force a tarefa para automaticamente executar sempre que a máquina for reiniciada. A tarefa será executada imediatamente a menos que você habilite a caixa de seleção Atraso após a inicialização (minutos), neste caso a execução será adiada pelo número especificado de minutos.

 

Campo Descrição

Modelos de Análise de Patch

Você deve especificar o modelo a usar quando um agente executa uma análise de patch. O modelo de análise de patch determina exatamente o que será analisado e o que será ignorado durante uma análise. A lista de modelos disponíveis para seleção incluirá os dois modelos predefinidos (Patch de Segurança e Todos os Patches) mais os modelos personalizados que você já definiu. Você pode também fazer o seguinte:

  • Novo: Permite que você crie um novo modelo de análise de patch a partir do zero.
  • Editar: Permite que você edite um modelo de análise de patch personalizado existente. Os modelos predefinidos não podem ser editados. Se você editar e salvar um modelo que estiver sendo usado atualmente por uma política de agente, os agentes usando essa política serão atualizados na próxima vez que eles se conectarem ao console.

Se você clicar em Novo ou Editar, o diálogo Modelo de Análise de Patch é exibido. Consulte Criando um Novo Modelo de Análise de Patch para obter detalhes sobre como configurar o modelo.

A função de implantação automática e a função de e-mail automático no modelo de análise de patch não é suportado pelo Security Controls Agent. Se essas funções estão habilitados eles serão ignorados.

Modelo de Implantação

Você deve especificar o modelo a usar quando um agente executa uma implantação de patch. A lista de modelos disponíveis para seleção incluirá os modelos de implantação predefinidos (Agente Padrão, Padrão e Máquina Virtual Padrão) mais quaisquer modelos personalizados que você já definiu. Você pode também fazer o seguinte:

  • Novo: Permite que você crie um novo modelo de implantação de patch a partir do zero.
  • Editar: Permite que você edite um modelo de implantação personalizado existente. Os modelos de implantação predefinidos não podem ser editados. Se você editar e salvar um modelo que estiver sendo usado atualmente por uma política de agente, os agentes usando essa política serão atualizados na próxima vez que eles se conectarem ao console.

Se você clicar em Novo ou Editar, o diálogo Modelo de Implantação é exibido. Consulte Criando um Modelo de Implantação para obter detalhes sobre como configurar o modelo.

Opções de notificações automáticas por e-mail, ações personalizadas e servidor de distribuição que podem ser especificados no modelo de implantação não se aplicam a um Security Controls Agent.

Implantar patches

Se você deseja que o agente seja capaz de automaticamente implementar os patches que são identificados como ausentes pela análise de patch, habilitar esta caixa de seleção.

Quando os agentes executam a implantação de patches eles irão implantar apenas os patches que são:

  • Analisados pelo modelo de análise de patch e
  • Relatado como ausente e
  • Definido como patches aprovados.

Os patches aprovados podem ser todos os patches detectados como ausentes por uma análise ou podem ser limitados para aqueles patches que você definir em um grupo de patch e/ou para aqueles patches considerados críticos pelo fornecedor do patch. A lista de patches aprovados definidos aqui está vinculada a esta tarefa de patch específica. A lista não vai ser usada por outras tarefas de patch dentro da política do agente.

  • Todos os patches detectados como ausentes: Especifica que qualquer patch identificado como ausente será elegível para a implantação.
  • Grupo de Patch: Apenas os patches contidos no grupo de patch especificado será implantado pelo agente. Se uma análise detecta patches ausentes não incluídos neste grupo, esses patches não serão implantados.

    • Além de todos os patches críticos do fornecedor: Especifica que, para além dos patches definidos no grupo de patch, a lista de patches aprovados para implantação também devem incluir quaisquer patches identificados como críticos pelo fornecedor de patch. Isso lhe dá a segurança de saber que se o seu grupo de patch está desatualizado você ainda será sempre capaz de implantar os novos patches críticos.

    Para implantar somente os patches críticos de fornecedor, habilite esta caixa de seleção e, em seguida, especifique um grupo de patches vazio na caixa Grupo de Patches.

  • Novo: Permite que você faça um novo grupo de patch. Para obter mais informações consulte Criando e Editando um Grupo de Patch.
  • Editar: Permite que você faça modificações no grupo de patch selecionado. Tenha cuidado aqui, porque quaisquer modificações você faz afetará quaisquer outros modelos de análise que estão usando o grupo de patch. Se você editar e salvar um grupo de patch que está sendo usado atualmente por uma política de agente, os agentes usando essa política serão atualizados na próxima vez que eles verificam com o console.

Se você também escolher habilitar a implantação de níveis de produto (consulte a opção Implantar níveis de produto) numa máquina de agente que esteja carente de tanto de patches como de níveis de produto, os níveis de produto serão implantados primeiro.

Processo de Implantação de Patch

Uma vez que a lista de patches aprovados é determinado, os patches são baixados e instalados de acordo com a sua prioridade. Patches de segurança são baixados primeiro, seguido por todos os outros tipos de patch. Os downloads ocorrem em segundo plano usando a largura de banda ociosa que não está sendo usada por outros aplicativos. As tarefas de primeiro plano tais como navegação na Web não são afetados pelo processo de download de patch.

Cada tarefa de patch está alocada uma janela de 60 minutos para fazer o download dos patches ausentes. (Ela é parte de uma janela de manutenção com duração total de duas horas, alocada para baixar patches e níveis de produto ausentes). Somente os patches que forem baixados com sucesso durante essa janela de 60 minutos serão instalados pela tarefa de patch ativa. Se a tarefa de patch não pode terminar de baixar todos os patches ausentes durante a janela de 60 minutos, os patches restantes serão identificados, baixados e instalados na próxima vez que a tarefa de patch é executada.

Se uma máquina de agente fica desconectada da rede durante um download de arquivo, o processo será suspenso e automaticamente será retomada de onde parou quando a rede estiver disponível novamente. Esta técnica é chamada de ponto de verificação/reinicialização e é extremamente útil para máquinas que são frequentemente desconectadas.

Implantar níveis de produto

Se você quiser que o agente seja capaz de implementar automaticamente os níveis de produtos identificados como ausentes pela análise de patch, marque essa caixa de seleção.

Quando os agentes executarem uma implantação de níveis de produto, eles implantarão apenas os níveis de produto que forem:

  1. Analisados pelo modelo de análise de patch; e
  2. Relatados como ausentes; e
  3. Aprovados para implantação.

Os níveis de produto aprovados podem ser todos os níveis detectados como ausentes pela análise ou limitar-se àqueles definidos por você em um grupo de níveis de produto. A lista de níveis de produto aprovados definida aqui está vinculada a esta tarefa de patch específica. A lista não vai ser usada por outras tarefas de patch dentro da política do agente.

  • Mais informações: um link para o tópico de ajuda Sobre os Grupo de Níveis de Produto que explica como tais grupos são usados pelo programa.
  • Todos os níveis de produto detectados como ausentes: especifica que todo nível de produto identificado como ausente será elegível para implantação.
  • Grupo de níveis de produto: apenas os níveis de produto contidos no grupo de níveis de produto especificado serão implantados pelo agente. Se uma análise detectar a ausência de níveis de produto que não estejam incluídos nesse grupo, tais níveis de produto não serão implantados.
  • Limitar implantações (por dia): especifica o número máximo de níveis de produto que podem ser implantados na máquina em um dia. Os níveis de produto podem levar muito tempo para serem implantados e quase sempre exigem reinicialização da máquina, de modo que normalmente é preferível manter esse número baixo. Se você não limitar o número de implantações por dia, correrá o risco de sobrecarregar a máquina caso muitos níveis de produto estejam faltando nela. Se a quantidade de níveis de produto ausentes na máquina exceder o limite especificado, os níveis adicionais serão implantados na próxima vez que a tarefa de patch for executada.

    • DICA: note que um "dia" neste caso é considerado como sendo uma data do calendário, e não um período de 24 horas. Isto significa que o dia é redefinido à meia-noite. Se você agendasse a tarefa de patch para ser executada em base horária (não recomendado), isso permitiria maximizar uma janela de manutenção noturna ao implantar o número máximo de níveis de produto antes da meia-noite e, em seguida, imediatamente após a meia-noite.

  • Novo: permite criar um novo grupo de níveis de serviço. Para mais informações, consulte Criar e Editar um Grupo de Níveis de Produto.
  • Editar: permite fazer modificações no grupo de níveis de produto selecionado. Tome cuidado, pois as modificações feitas afetarão todas as tarefas de patch que referenciem o grupo de níveis de produto. Além disso, se você editar e salvar um grupo de níveis de produto que esteja sendo usado atualmente por uma política de agente, os agentes que usam essa política serão atualizados na próxima vez que fizerem check-in no console.

Processo de implantação dos níveis de produto

Se estiverem faltando vários níveis de produto na máquina do agente, apenas um nível de produto será instalado de cada vez. A tarefa de patch começará fazendo o download de todos os níveis de produto ausentes. Níveis de produto do sistema operacional são baixados com prioridade mais alta, mas o nível de produto que for baixado primeiro será instalado antes. Depois que o nível de produto é instalado com êxito, a máquina e reiniciada, verificada novamente e o processo é repetido até que todos os níveis de produto estejam implantados ou que o limite diário seja atingido – consulte a opção Limitar implantações (por dia).

Além disso, cada tarefa de patch é atribuída a uma janela de 60 minutos para concluir o processo de download > instalar > reiniciar > reanalisar. (Ela é parte de uma janela de manutenção com duração total de duas horas, alocada para baixar patches e níveis de produto ausentes). Somente os níveis de produto que forem baixados com sucesso durante essa janela de 60 minutos serão instalados pela tarefa de patch ativa. Se a tarefa de patch não puder terminar de baixar todos os níveis de produto ausentes durante a janela de 60 minutos, os níveis de produto restantes serão identificados, baixados e instalados na próxima vez que a tarefa de patch for executada.

Os downloads ocorrem em segundo plano usando a largura de banda ociosa que não está sendo usada por outros aplicativos. Tarefas em primeiro plano, como a navegação na Web, não são afetadas pelo processo de download dos níveis de produto.

Se uma máquina de agente fica desconectada da rede durante um download de arquivo, o processo será suspenso e automaticamente será retomada de onde parou quando a rede estiver disponível novamente. Esta técnica é chamada de ponto de verificação/reinicialização e é extremamente útil para máquinas que são frequentemente desconectadas.

Configurar uma tarefa de patch do Linux

Para o método de aplicação de patches Linux sem conteúdo, não há configuração de análise de patches separada. Sempre que uma tarefa de patch do Linux é executada, ela verifica todos os pacotes e avisos ausentes. Você pode então especificar separadamente Opções de implantação como parte da tarefa de patch do Linux. Para o método anterior de aplicação de patches no Linux, baseado em conteúdo, você precisa especificar Opções de análise e implantação.

O agendamento de patch especifica quantas vezes a tarefa será executada em uma máquina alvo. Ele permite que você execute regularmente a tarefa em uma hora específica ou usando um padrão de recorrência determinado.

Campo

Descrição

Usar agenda

Se habilitada, a tarefa será executada nas máquinas do agente de forma recorrente, de acordo com as configurações de agendamento. Se desabilitado, as configurações de agendamento são ignoradas, e a tarefa deve ser iniciada manualmente na máquina do agente ou usando-se um utilitário de linha de comando.

A cada hora

Permite que você agende a tarefa para ser executada de hora a hora.

  • Executar a cada (horas): você pode especificar exatamente quantas horas deve haver entre as análises. Os valores válidos são de 1 - 100 horas.
  • Iniciando neste momento: A primeira análise começará no horário especificado. Análises subsequentes serão executadas no intervalo especificado em Executar a cada hh horas.

Diário

Indica que a tarefa será executada nos dias especificados, na hora da sua escolha. Por exemplo, usando esta opção, uma análise poderia ser executada todas as noites à meia-noite, ou todos os sábados às 21h00, ou à 1h00 no primeiro domingo de cada mês, etc.

Você também pode usar a opção Diariamente para agendar uma tarefa em conjunto com um evento mensal regular como a Patch Tuesday da Microsoft. Por exemplo, é possível agendar uma análise de patch mensal para acontecer no dia depois da Patch Tuesday especificando A Segunda Terça e, em seguida, usando a opção Adicionar Atraso (dias) para atrasar a tarefa em um dia.

Tornar aleatório as horas agendadas (minutos)

Alternar a hora exata que a tarefa será executada para não sobrecarregar o console ou o servidor de distribuição designado com solicitações simultâneas para download os arquivos de patch, os mecanismos de análise, etc.

Executar na inicialização se agenda perdida

Se uma tarefa agendada está ausente enquanto uma máquina alvo está desligada, esta opção permite que você force a tarefa para automaticamente executar sempre que a máquina for reiniciada. A tarefa será executada imediatamente a menos que você habilite a caixa de seleção Atraso após a inicialização (minutos), neste caso a execução será adiada pelo número especificado de minutos.

Campo

Descrição

Configuração de Análise de Patches do Linux (somente Baseado em Conteúdo)

Em aplicações de patch Linux baseado em conteúdo, você deve especificar a configuração a ser usada quando o agente executar uma análise de patch do Linux. A configuração da análise de patch determina exatamente o que será verificado e o que será ignorado durante a análise. A lista de configurações selecionáveis incluirá as duas configurações predefinidas (Análise de Patches de Segurança e Analise de Todos os Patches) e todas as configurações personalizadas que você já tenha definido. Você pode também fazer o seguinte:

  • Nova: permite criar uma nova configuração de análise de patch a partir do zero.
  • Editar: permite editar uma configuração de análise de patch personalizada existente. As configurações predefinidas não podem ser editadas. Se você editar e salvar uma configuração atualmente utilizada por uma política de agente, os agentes que estiverem usando essa política serão atualizados na próxima vez que se conectarem ao console.

Se você clicar em Novo ou Editar, o diálogo Configuração de Análise de Patch do Linux será exibido. Consulte Criar e Editar uma Configuração de Análise de Patches do Linux para obter detalhes.

Configuração de Implantação de Patch do Linux

Você deve especificar a configuração a ser usada quando um agente executar uma implantação de patches. A lista de configurações selecionáveis incluirá a configuração de implantação predefinida (Implantação de Patch do Linux) e todas as configurações personalizadas que você já tenha definido. Você pode também fazer o seguinte:

  • Nova: permite criar uma nova configuração de implantação a partir do zero.
  • Editar: permite editar uma configuração de implantação personalizada existente. A configuração de implantação predefinida não pode ser editada. Se você editar e salvar um modelo que estiver sendo usado atualmente por uma política de agente, os agentes usando essa política serão atualizados na próxima vez que eles se conectarem ao console.

Se você clicar em Novo ou Editar, o diálogo Configuração de Implantação de Patch do Linux será exibido. Consulte Criar e Editar uma Configuração de Implantação de Patches do Linux para obter detalhes.

Salvar uma política de agente

Campo

Descrição

Salvar e atualizar Agentes

Salva todas as alterações no arquivo de política e o armazena no console. Também atualiza todas as máquinas de agente que estejam atualmente atribuídas a essa política, da seguinte maneira:

  • Se uma máquina de agente estiver on-line e configurada para escutar as atualizações de política, a política atualizada será enviada para essa máquina imediatamente.
  • Se uma máquina de agente estiver on-line, mas não estiver configurada para escutar as atualizações de política, a política atualizada será enviada na próxima vez que o agente fizer check-in no console.
  • Se a máquina do agente não estiver atualmente on-line, a política atualizada será envida na próxima vez que o agente fizer check-in no console.

O Editor da Política de Agente será fechado.

Salvar

Salva todas as alterações no arquivo da política e fecha o Editor da Política de Agente. As alterações não são enviadas aos agentes ouvintes.

Cancelar

Indica que deseja sair do Editor da Política de Agente sem salvar as alterações mais recentes. Um aviso "Você deseja salvar as suas alterações?" aparecerá isto oferece uma segunda chance para salvar suas alterações. Se você clicar em Sim, a política será salva e os agentes associados serão atualizados (o mesmo que Salvar e Atualizar Agentes). Se você clicar em Não, o Editor da Política de Agente será fechado sem que suas alterações sejam salvas.