Автоматизация управления исправлениями в среде без агентов

Целью любой ИТ-службы является централизация и автоматизация процессов для сокращения объема работы, необходимой для поддержки вашей компьютерной среды. Цель Ivanti заключается в предоставлении средств и решений достижения этого уровня автоматизации. В этом разделе будут обсуждаться способы автоматизации процесса управления исправлениями.

Автоматизированное обнаружение компьютеров

Первая цель автоматизации процесса заключается в создании наиболее динамичной группы компьютеров. Самым простым способом достижения этого может стать использование Active Directory. Если вы группируете компьютеры в вашей среде так же, как вы будете управлять исправлениями компьютеров, вы можете использовать область организационного подразделения группы компьютеров. Каждый раз во время использования группы компьютеров, последняя будет взаимодействовать с Active Directory и получать текущий список компьютеров из организационных подразделений. То же самое можно сказать об использовании области домена, хотя это может сформировать нечто большее, чем просто автоматизированный процесс. Другой простой способ создать динамические группы - это использование диапазонов IP-адресов. Данные любых новых компьютеров в этих диапазонах будут записываться при каждом новом сканировании.

Шаблон сканирования

Когда мы начинаем думать об автоматизации, необходимо учитывать, что придется отправлять на компьютеры. В большинстве компаний процессы утверждения исправлений, практически, не используются. В зависимости от ваших нужд вам может потребоваться решить, что лучше всего подходит для вашей ситуации. Если вас интересуют все исправления безопасности независимо от продукта, вы можете использовать встроенный в этот продукт предопределенный шаблон Сканирования исправлений безопасности. Любые новые редакции XML-файлов данных будут автоматически включать исправления безопасности в этот шаблон сканирования во время следующего использования.

Этого может быть достаточно для вашей среды конечных пользователей, но для автоматизации исправлений серверов вы можете рассмотреть возможность использования группы исправлений. Группа исправлений или список утвержденных исправлений позволяет вам определить список конкретных исправлений для дальнейшего сканирования. Это можно привязать к шаблону сканирования, а затем запланировать сканирование с автоматическим развертыванием для автоматизации процесса исправления от начала до конца. После выпуска новых исправлений вы можете оценить и определить, какие исправления утверждены для развертывания в вашей среде, и обновить вашу группу исправлений или список утвержденных исправлений новыми исправлениями. В запланированном сканировании будут учитываться данные изменения учетной записи посредством сканирования и развертывания отсутствующих исправлений в списке исправлений.

На следующем снимке экрана вы можете увидеть вкладку Фильтрация шаблона сканирования. Вы можете использовать фильтр Основное или Исключения для указания списка утвержденных исправлений или одной, или нескольких групп исправлений, которые совместно представляют основной набор исправлений. В следующем разделе объясняется создание группы или списка исправлений.

Группы исправлений

Когда Security Controls использует группу исправлений для сканирования выбранных исправлений, во время сканирования всегда создается отчет о статусе всех уровней продукта. Это также запретит замену исправлений, и будет отображать ранее отсутствующие исправления, которые были заменены более новыми.

Для создания новой группы исправлений нажмите Создать > Исправление Windows > Группа исправлений. Здесь представлен диалог вида исправлений. Любые существующие группы исправлений отображаются на нижней панели. Используйте фильтры вида исправлений для сокращения списка исправлений на верхней панели. Затем вы можете нажать правой кнопкой мыши нужное исправление или исправления, выбрать Добавить в группу исправлений, а затем выбрать имя группы исправлений. Группа исправлений будет сохранена автоматически.

Вы можете создать фильтр Smart, который будет идентифицировать все важные исправления безопасности текущего поставщика. С этого момента для каждой редакции исправления вы можете просто использовать фильтр Smart и в отфильтрованном списке выбрать все, и добавить в существующую группу исправлений, создав простой повторяемый процесс, который займет всего несколько минут.

В вашем шаблоне сканирования исправлений в области Основное или Исключения нажмите кнопку обзора и выберите нужные группы исправлений. После этого шаблон сканирования будет сконфигурирован для проверки конкретного списка исправлений.

Если вы решите использовать список утвержденных исправлений, все, что вам нужно сделать, это создать текстовый файл и указать исправления по номерам статей знаний - по одному исправлению на строку. В области Основное или Исключения вашего шаблона сканирования нажмите кнопку обзора Файл и выберите ваш текстовый файл. Этот файл можно легко распространить на несколько консолей, для упрощения использования и утверждения исправлений на нескольких консолях.

Пример списка утвержденных исправлений

Q123456

Q234567

Q345678

Шаблон развертывания

В вашем шаблоне развертывания вы должны будете сконфигурировать параметры перезагрузки для соответствия нуждам вашей группы, работу которой вы будете автоматизировать. Если вы работаете в среде конечных пользователей, вы можете установить параметры более гибко, чтобы не помещать людям, которые могут задержаться на работе. Например, на вкладке Перезагрузка после развертывания в области Запланировать перезагрузку укажите Следующий раз в указанное время. Возможно, вам потребуется установить параметр Продлить тайм-аут.

В серверных средах рекомендуемая перезагрузка не всегда очевидна.

  • Возможно, вам потребуется сконфигурировать перезагрузка сразу после завершения установки. Почему? Поскольку вы будете обычно выполнять сканирование и развертывание в период обслуживания, это обычно будет сопровождаться немедленной перезагрузкой. Вы также можете сократить время тайм-аута при перезагрузке для ускорения процесса, чтобы пользователи компьютеров заранее знали о периодах обслуживания.
  • Иначе вы можете установить параметр Никогда не перезагружать после развертывания, даже для случаев когда перезагрузка обязательна. Это необходимо в тех случаях, когда доступность серверов чрезвычайно важна для вашего бизнеса. Возможно, вам потребуется вручную перезагрузить ваши серверы, если возникнут проблемы во время процесса перезагрузки.

Планирование автоматизированных операций

Это последнее действие из всех необходимых. После того, как вы сконфигурируете группы и шаблоны, вы должны будете запланировать ваши задания для регулярного выполнения. Для планирования автоматического выполнения задания вы должны начать с главной страницы или из группы компьютеров. Во время запуска из группы компьютеров нажмите Выполнить операцию. Вы увидите диалог, подобный следующему:

В этом диалоге вы можете немедленно выполнять задания, планировать их выполнение в определенную дату и время или планировать выполнение повторяющихся заданий. Вы можете также выбрать возможность немедленной установки исправлений после сканирования. Это наиболее важный параметр, который будет обсуждаться в этом разделе. Группы компьютеров и шаблоны сканирования и развертывания, которые мы создали ранее, имеют точную настройку того, что должно быть просканировано и установлено в окружении. Зная то, что будет отправляться, мы можем запланировать задание для выполнения от начала до конца без необходимости его поэтапной обработки. На представленном выше снимке экрана вы можете увидеть назначенные повторяемые сканирования с немедленной установкой, которые настроены для выполнения во вторую среду каждого месяца. Это день после дня выполнения исправления, в который почти всегда будут в наличии новые исправления для отправки.

Во время планирования заданий помните, где находятся запланированные задачи. Запланированное сканирование с немедленным развертыванием находится на консоли до завершения сканирования. После завершения сканирования исправления будут немедленно отправлены на компьютеры и выполнены. Перезагрузка будет запланирована на основании настроек в шаблоне развертывания и локального времени целевого компьютера.

Поэтапное развертывание

Вместо выполнения этапа и действий развертывания немедленно после сканирования, можно запланировать эти действия на более подходящее время для вашей организации. Например, в вашей корпоративной политике безопасности может быть указано время начала развертывания исправлений - 22:00, в субботу. В данном случае, возможно, лучше запланировать этап процесса развертывания, чтобы начать заранее в этот день, например в 8:00. Это даст Security Controls весь день субботы для создания пакетов развертывания и копирования их на ваши целевые компьютеры. Затем вы можете запланировать фактическое выполнение пакета развертывания в начале периода развертывания. После 22:00 После 22:00 развертывание будет подготовлено и выполнено на ваших целевых компьютерах без задержек.

Избранное

Избранное - это комбинация группы компьютеров и шаблона сканирования на консоли для выбора времени выполнения задания. Вы можете повторно использовать избранные функции для планирования нескольких заданий для выполнения в разное время. В вашем избранном вы можете нажать Выполнить операцию и запланировать дополнительное время или повторяющиеся задания без необходимости восстановления дополнительный функций избранного.

Автоматизированная отчетность по электронной почте

В настройках групп компьютеров, шаблонов сканирования и развертывания вы можете сконфигурировать отчеты, которые будут автоматически создаваться и отправляться по электронной почте указанным получателям. После автоматизации процесса исправления это является простым и эффективным средством для извещения всех необходимых сотрудников о состоянии вашей среды. Существует несколько отчетов, которые будут содержать различные данные для конкретных нужд. Возможно, вам придется попробовать некоторые из них для выбора наиболее подходящих варианта отчетности.

Для использования данной автоматизированной функции отправки электронной почты необходимо настроить ваши почтовые учетные данные. Для этого выберите Сервис > Параметры > Эл. почта, а затем укажите ваш адрес электронной почты и информацию аутентификации.

Родственные темы