Автоматическая публикация обновлений для CVE
Если необходимо, вы можете вручную импортировать CVE и опубликовать соответствующие им обновления (только один раз и не на регулярной основе).
Обзор
Список CVE (Common Vulnerabilities and Exposures) является общедоступным перечнем известных уязвимостей кибербезопасности. Этот список обслуживается MITRE Corporation (mitre.org) и постоянно изменяется по мере обнаружения новых уязвимостей. Если ваша организация использует список CVE, может оказаться трудно определить, какие обновления нужно опубликовать для защиты ваших компьютеров от указанных в списке угроз.
К счастью, Patch for Configuration Manager упрощает этот процесс. Вы можете создать повторяющуюся запланированную задачу, которая будет автоматически:
- Сканировать папку, содержащую один или несколько файлов CVE
- Определять, какие обновления связаны с каждым CVE
- Публиковать обновления, связанные с CVE
Вы можете иметь несколько запланированных задач CVE для каждой консоли. Одной из причин, почему вам может потребоваться несколько запланированных задач, является определение разных режимов для различных наборов CVE. Или вы можете публиковать разные обновления для разных групп обновлений ПО. Теоретически нет ограничений на количество повторяющихся запланированных задач, которые вы можете иметь в данный момент времени, однако вы можете определить их практический лимит для вашего сайта.
- В рабочей зоне Диспетчера конфигураций Библиотека ПО разверните папку Обновления ПО > Ivanti Patch, а затем нажмите Планировщик автоматизации.
- Отобразится календарь, содержащий запланированные задачи для всех консолей. Возможные действия:
- Отредактируйте запланированную задачу, дважды нажав ее, используя контекстное меню или выбрав ее, а затем нажав Правка.
- Просмотрите историю задачи, используя контекстное меню (нажатие правой кнопкой мыши) или выбрав ее и нажав История.
- Удалите задачу, используя контекстное меню или выбрав ее, а затем нажав Удалить.
Совет: Вы также можете управлять запланированными задачами, используя Планировщик задач Microsoft.
- На вкладке Главная страница нажмите Публиковать с помощью CVE.
Отобразится диалог Публиковать обновления по данным CVE. - Укажите уникальное имя, определяющее назначение этой задачи.
Это имя также будет отображаться в календаре Планировщика автоматизации. - Укажите путь к вашей папке источника CVE.
В этой папке содержатся все ваши файлы CVE. Все файлы в папке будут просканированы для определения наличия CVE. Файлы могут иметь любой приемлемый формат, например, .txt, .xml или .csv. Дубликаты CVE будут игнорированы.Полное имя пути в этом поле должно быть в формате UNC.
Пример: Ваша группа безопасности может ежемесячно использовать средство сканирования уязвимостей для создания обновленного списка CVE. Каждый месяц нужно просто помещать созданный файл CVE в эту папку и использовать автоматизированный процесс для его выборки.
- Укажите, когда задача должна быть запущена и какие действия необходимо выполнить.
- Расписание: Укажите день и время выполнения задачи. Один параметр предназначен для планирования задачи в сочетании с ежемесячным событием, таким как установка исправлений Microsoft по вторникам. Например, вы можете запланировать публикацию на среду после установки исправлений, указав Второй вторник, и затем воспользоваться параметром Добавить задержку (дни) для задержки выполнения задачи на один день.
Запланированная задача будет использовать параметр Добавить задержку (дни) и выполняться 12 месяцев до следующего планирования. Когда срок выполнения задачи приблизится к последним трем месяцам, будет создано предупреждение, и вам будет предложено ввести свои учетные данные для перепланирования задачи. Если вы введете свои учетные данные, все задачи, использующие параметр Добавить задержку (дни), будут перепланированы для следующих 12 месяцев.
- Пользователь в системе: Если этот параметр установлен, это указывает на то, что вы будете использовать учетные данные текущего, вошедшего в систему пользователя, для добавления задачи публикации в планировщике Microsoft. Поле Пользователь будет заполнено автоматически, и вам нужно будет только ввести пароль для учетной записи.
- Другой пользователь: Если этот параметр установлен, вы должны будете использовать учетную запись другого пользователя при добавлении задачи публикации в планировщике Microsoft. Например, вы можете указать учетную запись службы, пароль которой не имеет завершения срока действия.
Учетная запись должна:
- Иметь права Вход в качестве пакетного задания.
- Быть членом группы администраторов WSUS на сервере WSUS.
- Быть членом локальной группы администраторов на сервере WSUS, если сервер WSUS является удаленным.
При выборе другого пользователя, вы должны указать, если для аутентификации в прокси-сервере требуются учетные данные.
- Требуется аутентификация в сервере прокси – Используйте следующие учетные данные: Если этот параметр установлен, то при использовании учетной записи пользователя необходимо указать учетные данные прокси-сервера. Если вы выберите Аналогичны указанным выше, учетные данные пользователя будут использоваться в качестве учетных данных прокси-сервера. Если вы выберите Учетные данные, указанные ниже, вы можете предоставить отдельный набор учетных данных прокси-сервера.
- Имя пользователя: Введите имя пользователя для учетной записи в прокси-сервере. Возможно, потребуется указать домен, как часть имени пользователя (например: mydomain\my.name).
- Пароль: Введите пароль для учетной записи в прокси-сервере.
- Выполнить запланированную задачу в автономном режиме: Если он включен, запланированная задача публикации будет выполняться в автономном режиме. Это означает, что консоль не будет пытаться загрузить выбранные файлы обновлений. В выполнения успешной публикации обновления уже должны находиться в папке Локальный источник.
Этот параметр устанавливается автоматически, если параметр Выполнять в автономном режиме включен на вкладке Параметры автономного режима.
- Принять все обновления метаданных в каталоге: Установите этот параметр, если вы хотите автоматически обновлять WSUS с помощью любых версий метаданных, доступных для обновлений, которые были ранее опубликованы.
- Синхронизировать обновления: Установите этот флажок, если вы хотите, чтобы Диспетчер конфигураций автоматически синхронизировался с базой данных WSUS как часть данной задачи. Это приведет к выполнению дополнительных синхронизаций. Если вы не установите этот флажок, публикуемые обновления не будут доступны для развертывания, пока не произойдет процедура обычной синхронизации. Синхронизацию можно также запустить, выбрав вкладку Главная страница и нажав Синхронизировать обновления ПО.
- Публиковать только метаданные: Если этот параметр включен, данная функция будет публиковать логику обнаружения для обновления, но не сам двоичный программный код обновления. Это может быть необходимо, если вы хотите определить, нужно ли обновление вашим клиентам, и одновременно знать, что оно не будет установлено. Это полезно только в особых конфигурациях и с использованием конкретных сценариев.
Если вы решили пересмотреть обновление, которое публикуется только в виде метаданных, оригинальное обновление будет удалено, и для измененного обновления будут опубликованы также только метаданные. Это означает, что номер версии для этих обновлений всегда будет равен 1. Обновление, которое публикуется только в виде метаданных, не может быть подписано повторно, поскольку для него нет содержимого для повторного подписания. Попытка выполнить повторную подпись завершится с ошибкой в файле журнала.
- Параметры группы обновлений ПО: В Диспетчере конфигураций представлено использование групп обновления ПО в помощь по организации и развертыванию ваших обновлений программного обеспечения. Обновления, которые публикуются с помощью Patch for Configuration Manager, можно автоматически добавить в новую или существующую группу обновлений ПО.
Вы можете выбрать один из следующих вариантов:
- Не добавлять обновления в группу обновлений ПО: Ни одно из обновлений в запланированной задаче, не будет добавлено в группу обновлений программного обеспечения.
- Добавить все обновления в группу обновлений ПО: Все обновления, указанные в запланированной задаче, будут добавлены в группу обновлений программного обеспечения.
- Добавить только опубликованные обновления в группу обновлений ПО: Только новые опубликованные обновления, указанные в запланированной задаче, будут добавлены в группу обновлений программного обеспечения.
Следующие параметры применяются только в случае, если вы решите добавить обновления в группу обновлений программного обеспечения:
- Имя: Если вы хотите, чтобы опубликованные обновления были добавлены в существующую группу обновлений ПО, выберите имя группы из раскрывающегося списка. Можно также ввести несколько первых букв имени для отображения нужной группы. Если вы хотите указать новую группу, выберите Создать в раскрывающемся списке и укажите уникальное имя и описание группы.
- Описание: Это поле используется для описания назначения указанной группы обновлений ПО. Описание определяется во время создания группы и не может быть изменено здесь.
Обновления будут добавлены в группу обновлений ПО после завершения публикации и синхронизации.
- Создавать новую группу обновлений ПО каждый раз после публикации обновлений этой задачей: Для каждой публикации будет создана уникальная группа обновления ПО. Группа будет названа на основании имени задачи, а также даты и времени публикации.
- Параметры развертывания: Эта область используется для быстрого развертывания Patch for Configuration Manager опубликованных обновлений на ваших конечных системах. Обновления будут доступны для ваших конечных систем сразу после развертывания. Для получения дополнительной информации о развертывании см. раздел Упрощенное развертывание обновлений сторонних компаний.
- Развернуть обновления после публикации: Установите этот параметр, если необходимо использовать параметры развертывания. Чтобы этот параметр был доступен для установки, необходимо в разделе Параметры публикации установить параметр Синхронизировать обновления и выбрать возможность добавления обновлений в группу обновлений ПО.
- Профиль развертывания: Это профиль развертывания, который будет использоваться во время установки выбранных обновлений.
- Пакет развертывания: Указывает, где будут храниться развертывания для распространения. В Диспетчере конфигураций используется пакет развертывания для перемещения содержимого в точку распространения, которое затем пересылается на конечные системы.
- Срок завершения развертывания после публикации: Позволяет вам указать конкретную дату и время, в которые должен начаться процесс развертывания.
- Отложить соблюдение последнего срока в соответствии с предпочтениями пользователя: Если этот параметр установлен, будут учитываться любые рабочие часы, которые были указаны пользователем, и процесс развертывания не начнется, пока не наступит время, выходящее за рамки этих установленных часов.
- Запустить цикл оценки развертывания обновления после запроса обновлением перезапуска системы: Если этот параметр установлен, после развертывания обновления, требующего перезапуска после завершения перезапуска, клиентом будет выполнена еще одна оценка отсутствующих обновлений.
- Публиковать только обновления, которые: Используется для указания соответствующих CVE обновлений, которые должны быть периодически опубликованы. Вы можете выбрать один или оба следующих параметра:
- Применить для продуктов, установленных на моих конечных системах: Если этот параметр установлен, будут публиковаться только относящиеся к продуктам обновления, которые в настоящее время установлены на ваших клиентских компьютерах.
- Соответствовать фильтру: Вы можете выбрать предварительно определенный фильтр с именем *Последнее не опубликованное или любой из ваших особых фильтров.
Пример 1: Для публикации всех обновлений, которые еще не были опубликованы и которые не были заменены, выберите фильтр *Последний не опубликованный. Это простой способ автоматической периодической публикации новых обновлений.
Пример 2: Предположим, что ранее вы создали пользовательский фильтр, который используется для выбора всех еще неопубликованных обновлений для продуктов, используемых в вашей организации. Просто выберите здесь фильтр для периодической публикации только этих обновлений.
Если обновление содержит различные пакеты для различных языков, будут опубликованы только языковые версии, указанные на вкладке Языки.
- Расписание: Укажите день и время выполнения задачи. Один параметр предназначен для планирования задачи в сочетании с ежемесячным событием, таким как установка исправлений Microsoft по вторникам. Например, вы можете запланировать публикацию на среду после установки исправлений, указав Второй вторник, и затем воспользоваться параметром Добавить задержку (дни) для задержки выполнения задачи на один день.
- Нажмите Добавить задачу.
- Откройте календарь Планировщика автоматизации для проверки того, что задача запланирована на нужную дату и время.
- (Необязательно) Используйте средство журнала трассировки Диспетчера конфигураций для открытия файла AutoPublish.log и мониторинга процесса публикации.
Запись в файл AutoPublish.log выполняется любыми запланированными одноразовыми и периодическими заданиями, которые делают публикации на сервере WSUS. Журнал находится в каталоге \Users\<user name>\Ivanti\Patch.