Примечания для шаблонов виртуальных машин

Общие замечания

  • Для получения информации об использовании шаблонов виртуальных машин при сканировании исправлений, сканировании активов и развертывании исправлений см. раздел Планирование задач.
  • Security Controls поддерживает все типы шаблонов виртуальных машин (шаблон сервера, шаблон рабочей станции и т.д.).
  • Security Controls поддерживает только шаблоны виртуальных машин, содержащиеся на сервере VMware. Шаблоны добавляются в группу компьютеров с помощью вкладки Виртуальные машины в системе. Шаблоны виртуальных машин, содержащиеся на отдельных рабочих станциях, не поддерживаются.
  • Для обозначения шаблонов виртуальных машин используется уникальный значок (). Этот значок можно увидеть при добавлении шаблона в группу компьютеров и при просмотре результатов сканирования в режимах просмотра вид Сканирование и вид Компьютер.
  • Так же, как при любом процессе, включающем сетевые компоненты, ошибки могут возникать в случае сбоя связи, выключения серверов, изменения шаблона во время доступа к нему приложения Security Controls и т. д. В общем случае шаблоны не должны затрагиваться в течение всего процесса сканирования или развертывания исправлений.
  • При запуске развертывания исправлений или сканирования активов шаблона виртуальной машины приложение Shavlik ProtectSecurity Controls будет сканировать шаблон в его текущем состоянии и сообщать результаты так же, как для виртуальных машин и физических компьютеров.
  • Во время сканирования доступ к шаблону будет осуществляться с использованием учетных данных сервера VMware. Отдельные учетные данные, предоставленные для шаблона, игнорируются.
  • Вы должны предоставить активные учетные данные всех шаблонов виртуальных машин, которые будут включены в процесс развертывания исправлений. Во время процесса развертывания исправлений шаблон преобразуется в виртуальную машину, и питание включается, поскольку приложению Security Controls потребуется предоставленные учетные данные для получения доступа к активной виртуальной машине.
  • Во время сканирования или развертывания для шаблона виртуальной машины, порт TCP 902 должен быть доступен для монтирования виртуального диска.

Развертывание исправлений

  • В случае развертывания исправлений на шаблоне виртуальной машины для управления снимками и выполнения развертывания требуются следующие разрешения для сервера VMware:
    • VirtualMachine.State.CreateSnapshot
    • VirtualMachine.State.RemoveSnapshot
    • VirtualMachine.Provisioning.MarkAsTemplate
    • VirtualMachine.Provisioning.MarkAsVM
  • В случае запуска развертывания исправлений на шаблоне виртуальной машины приложение Security Controls выполнит следующие действия:
  1. Преобразование шаблона виртуальной машины в неактивную виртуальную машину.
  2. (Необязательно) Выполнение снимка, если в настройках шаблона развертывания исправлений задано создание снимка перед развертыванием.
  3. (Необязательно) Удаление старых снимков, если превышен один из пределов для снимков, определенный в шаблоне развертывания исправлений.
  4. Принудительная отправка исправлений на неактивную виртуальную машину.
  5. Внесение следующих изменений в конфигурацию неактивной виртуальной машины:
    • Отмените выбор параметра сетевого адаптера, Подключать при включении. Это делается для того, чтобы компьютер был изолирован от сети во время процесса развертывания исправлений.
    • Если запланирован запуск утилиты Sysprep, он отменяется, чтобы предотвратить автоматическую настройку операционной системы компьютера при первом включении питания компьютера.
  6. Включение виртуальной машины.
  7. Установка исправлений.
  8. Выключение виртуальной машины.
  9. Восстановление исходного состояния конфигурации компьютера с подключением к сети и настройками Sysprep.
  10. (Необязательно) Выполнение снимка, если в настройках шаблона развертывания исправлений задано создание снимка перед развертыванием.
  11. (Необязательно) Удаление старых снимков, если превышен один из пределов для снимков, определенный в шаблоне развертывания исправлений.
  12. Преобразование неактивной виртуальной машины обратно в шаблон виртуальной машины.
    • Используемый вами шаблон развертывания исправлений не должен указывать на использование сервера распространения. Неактивная виртуальная машина будет отсоединена от сети и не сможет выгрузить исправления с сервера распространения.
    • Используемый вами шаблон развертывания исправлений не должен указывать на перезагрузку перед развертыванием (программа не сможет начать перезагрузку, поскольку компьютер будет неактивен) и должен всегда выполнять перезагрузку после развертывания (это оптимальный метод развертывания исправлений). Для развертываний на шаблонах виртуальных машин рекомендуется использовать шаблон развертывания стандартной виртуальной машины.
    • Во время развертывания исправлений шаблон виртуальной машины, который обычно доступен только администратору, становится виден для других пользователей. Это происходит потому, что во время процесса развертывания исправлений шаблон временно преобразуется в виртуальную машину и включается.