Создание задачи исправления

Задача исправления позволяет определить, как и когда будет выполняться сканирование целевых компьютеров для обнаружения отсутствующих исправлений. С ее помощью можно также при желании развертывать недостающие исправления. Если задача исправления не создана, агенты, которым назначена эта политика, не будут выполнять сканирование и развертывание исправлений.

В зависимости от операционных систем, поддерживаемых в вашей организации, вы можете создать задачи исправлений для компьютеров под управлением Windows и Linux. Существуют отдельные задачи исправления Linux на основе и без использования особых данных. Можно создать несколько задач исправления для одной политики агента. Каждую задачу можно развернуть и свернуть, используя значок () в строке заголовка задачи. Это позволяет просматривать только ту задачу, с которой вы сейчас работаете.

Хотя теоретически количество задач исправления, которые можно создать для политики агента, не ограничено, на практике ограничение существует. Например, политику, содержащую слишком много задач исправления, становится трудно отслеживать. К тому же, включение развертывания исправлений в нескольких разных задачах исправления может вызвать проблемы. Развертывание исправлений, в отличие от сканирования, непрозрачно для пользователя и часто предполагает перезагрузку пользовательского компьютера. Кроме того, существует вероятность, что на одном компьютере будут выполняться несколько развертываний одновременно.

Задачи исправления для агентов настраиваются на вкладке Исправление. Можно изменить существующую задачу исправления или создать новую, выбрав Добавить задачу исправления Windows или Добавить задачу исправления Linux. Назначьте задаче понятное имя, поскольку оно будет отображаться для пользователей клиентской программы Windows.

Конфигурация задачи исправления Windows

Расписание исправлений определяет, как часто задача будет выполняться на целевом компьютере. Можно регулярно выполнять задачу в заданное время или использовать заданный шаблон повторов. Встроенный планировщик предоставляется для каждого агента. Планировщик будет проверять наличие новых данных об исправлениях непосредственно перед запуском запланированной задачи исправления.

Планировщик агента будет упорядочивать выполнение одинаковых программ агента. Например, если определена политика с двумя задачами исправления, которые начинаются в 1:00, обе задачи не запустятся в 1:00, они будут выполняться последовательно (друг за другом).

Имя поля

Описание

Использовать расписание

Если этот параметр включен, задача будет выполняться на компьютерах с агентами на регулярной основе в соответствии настройками расписания. Если параметр не установлен, настройки расписания будут игнорироваться, и задача должна будет запускаться вручную на консоли или на компьютере с агентом.

Ежечасно

Позволяет запланировать выполнение задачи на почасовой основе.

  • Выполнять каждые hh часов: Здесь можно указать точное количество часов между сканированиями. Допустимые значения: 1 – 100 часов.
  • Запуск во время: Первое сканирование начнется в указанное время. Последующие сканирования будут выполняться с интервалом, указанным в поле Выполнять каждые hh часов.

Ежедневно

Указывает, что задача будет выполняться в заданные дни в любое выбранное вами время. Например, при использовании этого параметра сканирование может выполняться каждую полночь, или каждую субботу в 21:00, или каждое первое воскресенье месяца в 1:00 и т. д.

Вы также можете использовать параметр Ежедневно для планирования выполнения задачи в сочетании с ежемесячным событием, таким как "Установка исправлений Microsoft по вторникам". Например, вы можете запланировать ежемесячное сканирование исправлений на среду после установки исправлений, указав Второй вторник, и затем воспользоваться параметром Добавить задержку (дни) для задержки выполнения задачи на один день.

Сделать случайным время выполнения (минуты)

Распределяет точное время выполнения таким образом, чтобы не перегружать консоль или назначенный сервер распространения одновременными запросами для загрузки файлов исправлений, программ сканирования и т. д.

Выполнить во время загрузки, если пропущено выполнение по расписанию

Если запланированная задача пропущена из-за выключения компьютера, этот параметр позволяет выполнить задачу автоматически при перезагрузке компьютера. Задача будет выполнена немедленно, если не установлен флажок Задержка после загрузки (мин.), а если этот флажок установлен, будет задержана на указанное число минут.

 

Имя поля Описание

Шаблон сканирования исправлений

Необходимо указать шаблон, который агент будет использовать при выполнении сканирования исправлений. Шаблон сканирования исправлений точно определяет, что нужно сканировать, а что пропускать во время операции сканирования. Список доступных для выбора шаблонов включает два предварительно определенных шаблона ("Сканирование исправлений безопасности" и "Все исправления"), а также все уже созданные особые шаблоны. Можно также выполнить следующие действия:

  • Создать: Позволяет создать новый шаблон сканирования исправлений с нуля.
  • Правка: Позволяет изменить существующий пользовательский шаблон сканирования исправлений. Предварительно определенные шаблоны изменить нельзя. Если вы изменяете и сохраняете текущий шаблон, используемый политикой агента, агенты, которым назначена эта политика, будут обновлены во время их следующей регистрации на консоли.

Если щелкнуть команду Создать или Изменить, появится диалог Шаблон сканирования исправлений. Для получения дополнительной информации о настройке шаблона см. раздел Создание шаблона сканирования исправлений.

Security Controls Agent не поддерживает функцию автоматического развертывания и функцию электронной почты в шаблоне сканирования исправлений. Если эти функции включены, они игнорируются.

Шаблон развертывания

Необходимо указать шаблон, который будет использовать агент при выполнении развертывания исправлений. Список доступных для выбора шаблонов включает предварительно определенные шаблоны развертывания ("Стандартный агент", "Стандартное" и "Стандартная виртуальная машина"), а также уже созданные пользовательские шаблоны. Можно также выполнить следующие действия:

  • Создать: Позволяет создать новый шаблон развертывания с нуля.
  • Правка: Позволяет изменить существующий пользовательский шаблон развертывания. Предварительно определенные шаблоны развертывания изменить нельзя. Если вы изменяете и сохраняете текущий шаблон, используемый политикой агента, агенты, которым назначена эта политика, будут обновлены во время их следующей регистрации на консоли.

Если щелкнуть команду Создать или Изменить, появится диалог Шаблон развертывания. Для получения дополнительной информации о настройке шаблона, см. раздел Создание шаблона развертывания.

Автоматические уведомления по электронной почте, пользовательские действия и параметры сервера распространения, которые могут быть указаны в шаблоне развертывания, не применяются для агента Security Controls Agent.

Развернуть исправления

Установите этот флажок, если нужно, чтобы агент автоматически разворачивал исправления, отсутствие которых обнаружено в процессе сканирования исправлений.

Агенты выполняют развертывание только тех исправлений, которые:

  • Просканированы с помощью шаблона сканирования исправлений
  • Считаются отсутствующими
  • Определено как утвержденные исправления.

Утвержденные исправления — это либо все исправления, отсутствие которых обнаружено при сканировании, либо только те, которые определены в группе исправлений, или те, которые считает важными поставщик. Список определяемых здесь утвержденных исправлений привязан к конкретной задаче исправления. Этот список не будут использовать другие задачи исправления, назначенные политике агента.

  • Все отсутствующие исправления: Указывает, что все отсутствующие по результатам сканирования исправления подлежат развертыванию.
  • Группа исправлений: Агент будет развертывать только исправления, содержащиеся в указанной группе исправлений. Если при сканировании обнаружено отсутствие исправлений, не входящих в группу, эти исправления не будут развертываться.

    • Плюс все важные исправления поставщика: Указывает, что помимо исправлений, входящих в группу, в список утвержденных исправлений для развертывания необходимо также включить все исправления, отмеченные поставщиком как важные. Это гарантирует, что даже если группа исправлений устареет, вы всегда сможете развернуть все новые важные исправления.

    Чтобы развертывались только важные исправления поставщика, установите этот флажок и укажите пустую группу исправлений в поле Группа исправлений.

  • Создать: Позволяет создать новую группу исправлений. Для получения дополнительной информации см. раздел Создание и изменение группы исправлений.
  • Правка: Позволяет внести изменения в выбранную группу исправлений. Будьте внимательны, поскольку любые изменения повлияют на все другие шаблоны сканирования, в которых используется эта группа исправлений. Если вы изменяете и сохраняете текущую группу исправлений, используемую политикой агента, агенты, которым назначена эта политика, будут обновлены во время их следующей регистрации на консоли.

Если также выбрать развертывание уровней продукта (см. описание параметра Развернуть уровни продукта), то на компьютере с агентом, где отсутствуют уровни продукта и исправления, сначала будут развернуты уровни продукта.

Процесс развертывания исправлений

После определения списка утвержденных исправлений выполняется загрузка и установка исправлений в соответствии с их приоритетом. Первыми загружаются исправления безопасности, а затем исправления остальных типов. Загрузка выполняется в фоновом режиме с использованием полосы пропускания, пока она не занята другими приложениями. Процесс загрузки исправлений не мешает выполнению основных задач, таких как просмотр веб-сайтов.

Каждой задаче исправления отводится 60 минут на загрузку отсутствующих исправлений. (Это часть двухчасового периода обслуживания, который отводится на загрузку отсутствующих уровней продукта и исправлений.) Активной задачей исправления устанавливаются только исправления, успешно загруженные в течение этих 60 минут. Если задача исправления не успевает за 60 минут загрузить все отсутствующие исправления, оставшиеся исправления определяются, загружаются и устанавливаются при следующем выполнении задачи исправления.

Если во время загрузки файлов компьютер с агентом теряет соединение с сетью, процесс приостанавливается и затем автоматически возобновляется с того же места при восстановления соединения с сетью. Этот метод называется "контрольная точка/перезапуск" и он очень важен для компьютеров, которые часто отключаются от сети.

Развернуть уровни продукта

Установите этот параметр, если нужно, чтобы агент автоматически разворачивал уровни продукта, отсутствие которых обнаружено в процессе сканирования исправлений.

Агенты выполняют развертывание только тех уровней продукта, которые:

  1. Просканированы с помощью шаблона сканирования исправлений
  2. Считаются отсутствующими
  3. Утверждены для развертывания

Утвержденные уровни продукта — это либо все уровни продукта, отсутствие которых обнаружено при сканировании, либо только те, которые определены в группе уровней продукта. Список определяемых здесь утвержденных уровней продукта связан с конкретной задачей исправления. Этот список не будут использовать другие задачи исправления, назначенные политике агента.

  • Дополнительная информация: См. раздел справки О группах уровней продукта, в котором описывается использование программой групп уровней продукта.
  • Все обнаруженные отсутствующие уровни продукта: Указывает, что все обнаруженные отсутствующие уровни продукта подлежат развертыванию.
  • Группа уровней продукта: Агент будет развертывать только уровни продукта, которые содержатся в указанной группе уровней продукта. Если при сканировании обнаружено отсутствие уровней продукта, которые не включены в данную группу, эти уровни продукта развертываться не будут.
  • Ограничить развертывания (в день): Указывает максимальное количество уровней продукта, которые можно развернуть на компьютере в один день. Развертывание уровней продукта может занимать много времени и почти всегда требует перезагрузки компьютера, поэтому это значение должно быть достаточно небольшим. Если вы не ограничили ежедневное количество развертываний уровней продукта, может возникнуть угроза перегрузки компьютера, если на нем отсутствует много уровней продукта. Если количество отсутствующих на компьютере уровней продукта превышает заданное ограничение, остальные уровни продукта будут развернуты при следующем выполнении задачи исправления.

    • СОВЕТ. Имейте в виду, что "день" здесь означает календарный день, а не 24 часа. Это значит, что день заканчивается в полночь. Если вы запланировали выполнение задачи исправления на почасовой основе (не рекомендуется), это позволит вам максимально увеличить ночной период обслуживания, выполняя развертывание максимального количества уровней продукта до полуночи, а затем продолжая сразу после полуночи.

  • Создать: Позволяет создать новую группу уровней продукта. Для получения дополнительной информации см. раздел Создание и изменение группы уровней продукта.
  • Правка: Позволяет вносить изменения в выбранную группу уровней продукта. Будьте внимательны, поскольку любые изменения повлияют на все задачи исправления, в которых используется эта группа уровней продукта. Кроме того, если вы изменяете и сохраняете текущую группу уровней продукта, используемую политикой агента, агенты, которым назначена эта политика, будут обновлены во время их следующей регистрации на консоли.

Процесс развертывания уровня продукта

Если на компьютере с агентом отсутствует несколько уровней продукта, только один из них будет установлен в каждый данный момент времени. Задача исправления начинается с загрузки всех отсутствующих уровней продукта. Уровни продукта операционной системы загружаются с повышенным приоритетом, но первым будет установлен тот уровень, который был загружен первым. После успешной установки уровня продукта компьютер перезагружается, затем снова сканируется, и процесс повторяется до тех пор, пока не будут развернуты все уровни продукта или не будет достигнуто ежедневное ограничение [см. описание параметра Ограничить развертывания (в день):].

Каждой задаче исправления отводится 60 минут на завершение процесса загрузки > установки > перезагрузки > повторного сканирования. (Это часть двухчасового периода обслуживания, который отводится на загрузку отсутствующих уровней продукта и исправлений.) Активной задачей исправления устанавливаются только уровни продукта, успешно загруженные в течение этих 60 минут. Если задача исправления не успевает за 60 минут загрузить все отсутствующие уровни продукта, оставшиеся уровни продукта определяются, загружаются и устанавливаются при следующем выполнении задачи исправления.

Загрузка выполняется в фоновом режиме с использованием полосы пропускания, пока она не занята другими приложениями. Процесс загрузки уровней продукта не мешает выполнению основных задач, таких как просмотр веб-сайтов.

Если во время загрузки файлов компьютер с агентом теряет соединение с сетью, процесс приостанавливается и затем автоматически возобновляется с того же места при восстановления соединения с сетью. Этот метод называется "контрольная точка/перезапуск" и он очень важен для компьютеров, которые часто отключаются от сети.

Конфигурация задачи исправления Linux

Для метода исправления Linux без использования особых данных нет отдельной конфигурации сканирования исправлений. Во время каждого запуска задачи исправления Linux последняя запускает сканирование всех отсутствующих пакетов и рекомендаций. Затем можно отдельно указать параметры развертывания как часть задачи исправления Linux. Для предыдущего метода исправления Linux на основе данных необходимо указать параметры сканирования и развертывания.

Расписание исправлений определяет, как часто задача будет выполняться на целевом компьютере. Можно регулярно выполнять задачу в заданное время или использовать заданный шаблон повторов.

Имя поля

Описание

Использовать расписание

Если этот параметр включен, задача будет выполняться на компьютерах с агентами на регулярной основе в соответствии настройками расписания. Если параметр выключен, настройки расписания будут игнорироваться, и задача должна запускаться вручную на компьютера с агентом с помощью утилиты командной строки.

Ежечасно

Позволяет запланировать выполнение задачи на почасовой основе.

  • Выполнять каждые (часы): Здесь можно указать точное количество часов между сканированиями. Допустимые значения: 1 – 100 часов.
  • Запуск во время: Первое сканирование начнется в указанное время. Последующие сканирования будут выполняться с интервалом, указанным в поле Выполнять каждые hh часов.

Ежедневно

Указывает, что задача будет выполняться в заданные дни в любое выбранное вами время. Например, при использовании этого параметра сканирование может выполняться каждую полночь, или каждую субботу в 21:00, или каждое первое воскресенье месяца в 1:00 и т. д.

Вы также можете использовать параметр Ежедневно для планирования выполнения задачи в сочетании с ежемесячным событием, таким как "Установка исправлений Microsoft по вторникам". Например, вы можете запланировать ежемесячное сканирование исправлений на среду после установки исправлений, указав Второй вторник, и затем воспользоваться параметром Добавить задержку (дни) для задержки выполнения задачи на один день.

Сделать случайным время выполнения (минуты)

Распределяет точное время выполнения таким образом, чтобы не перегружать консоль или назначенный сервер распространения одновременными запросами для загрузки файлов исправлений, программ сканирования и т. д.

Выполнить во время загрузки, если пропущено выполнение по расписанию

Если запланированная задача пропущена из-за выключения компьютера, этот параметр позволяет выполнить задачу автоматически при перезагрузке компьютера. Задача будет выполнена немедленно, если не установлен флажок Задержка после загрузки (мин.), а если этот флажок установлен, будет задержана на указанное число минут.

Имя поля

Описание

Конфигурация сканирования исправлений Linux (только на основе данных)

Для исправления Linux на основе данных нужно указать конфигурацию, которая будет использоваться во время выполнения агентами сканирования исправлений Linux. Конфигурация сканирования исправлений точно определяет, что нужно сканировать, а что пропускать во время операции сканирования. Список доступных для выбора конфигураций включает две предварительно определенные конфигурации ("Сканирование исправлений безопасности" и "Сканирование всех исправлений"), а также все уже созданные особые конфигурации. Можно также выполнить следующие действия:

  • Создать: Позволяет создать новую конфигурацию сканирования исправлений с нуля.
  • Правка: Позволяет изменить существующую особую конфигурацию сканирования исправлений. Предварительно определенные конфигурации изменить нельзя. Если вы изменяете и сохраняете конфигурацию, которая в настоящее время используется политикой агентов, эти агенты будут обновлены во время их следующей регистрации на консоли.

Если вы нажмете Создать или Правка, появится диалог Конфигурация сканирования исправлений Linux. Для получения дополнительной информации см. раздел Создание и редактирование конфигураций сканирования исправлений Linux.

Конфигурация развертывания исправлений Linux

Необходимо указать конфигурацию, которая будет использоваться во время развертывания исправлений агентом. Список доступных для выбора конфигураций включает предварительно определенную конфигурацию развертывания (развертывание исправлений Linux), а также любые созданные вами конфигурации. Можно также выполнить следующие действия:

  • Создать: Позволяет создавать новые конфигурации развертывания с нуля.
  • Правка: Позволяет изменить существующую особую конфигурацию развертывания. Предварительно определенную конфигурацию развертывания изменить нельзя. Если вы изменяете и сохраняете текущий шаблон, используемый политикой агента, агенты, которым назначена эта политика, будут обновлены во время их следующей регистрации на консоли.

Если вы нажмете Создать или Правка, появится диалог Конфигурация развертывания исправлений Linux. Для получения дополнительной информации см. раздел Создание и редактирование конфигураций развертывания исправлений Linux.

Сохранение политики агента

Имя поля

Описание

Сохранить и обновить агенты

Сохраняет все изменения файла политики и хранит ее на компьютере консоли. Также выполняется обновление любых компьютеров с агентами, для которых назначена текущая политика:

  • Если компьютер с агентом активен и сконфигурирован для получения обновлений политики, обновленная политика будет немедленно отправлена на компьютер.
  • Если компьютер с агентом активен, но не сконфигурирован для получения обновлений политики, обновленная политика будет отправлена на компьютер во время его следующей регистрации на консоли.
  • Если компьютер с агентом сейчас неактивен, обновленная политика будет отправлена на компьютер во время его следующей регистрации на консоли.

Затем редактор политик агентов будет закрыт.

Сохранить

Сохраняет все изменения файла политики и закрывает Редактор политик агентов. Изменения не отправляются для принимающих агентов.

Отмена

Указывает, что необходимо выйти из редактора политик агентов без сохранения последних изменений. Отображаемое сообщение "Сохранить изменения?" дает вам еще один шанс сохранить изменения. Если вы щелкнете Да, политика будет сохранена, и связанные с ней агенты обновлены (как и с помощью функции Сохранить и обновить агенты). Если вы нажмете Нет, редактор политик агентов будет закрыт без сохранения изменений.