Что нового?

• Развертывание по уровням серьезности исправлений теперь доступно для процесса исправления для Linux без использования особых данных. Для получения дополнительной информации см. раздел Создание и изменение конфигурации развертывания исправлений Linux.
• Отчеты о состоянии питания и исправлении компьютеров были обновлены для добавления исправлений для Linux без использования особых данных. Для получения дополнительной информации см. раздел Доступные отчеты.
• Теперь поддерживается ОС Windows 11, 24H2. Для получения дополнительной информации см. раздел Системные требования.

• Теперь можно добавлять отдельные пакеты в группу исправлений Linux без использования данных. Для получения дополнительной информации см. раздел Создание и изменение группы исправлений Linux.
• Оценки CVSS теперь отображаются для исправлений Linux без использования данных. Для получения дополнительной информации см. раздел Отображение сводной информации об исправлениях и активах в виде 'Компьютер'.
• В базу данных добавлен новый набор видов базы данных, позволяющий создавать особые отчеты для исправлений Linux без использования данных. Для получения дополнительной информации см. раздел Версии видов базы данных.
• Методы POST и DELETE sharewithservice были удалены из функции Credentials REST API. Для получения информации см. раздел Учетные данные в отдельной документации к API (будет открыта в новом окне).

• Развертывание с помощью групп исправлений теперь доступно для нового процесса исправления для Linux без использования особых данных. Вы можете создавать группы исправлений для использования во время исправления без использования данных в меню Создать > Исправление Linux > Группы исправлений, в списке Группы исправлений Linux на панели навигации или в виде "Компьютер". Существуют отдельные группы исправлений Linux для исправления без особых данных и с использованием данных. В настоящее время в группу исправлений Linux без использования особых данных можно добавлять только рекомендации. Для получения информации о создании групп исправлений для исправления Linux без использования данных см. раздел Создание и изменение группы исправлений Linux.

Если вы используете серверы распространения, вы ДОЛЖНЫ обновить установщик ядра Linux на всех серверах распространения до создания или обновления политик для добавления групп исправлений Linux. Если этого не сделать, и новая политика будет использоваться со старым приложением, сканирование не будет работать, так как приложение будет расценивать эту политику, как политику для развертывания всех исправлений, а не лишь тех, которые были утверждены в группе исправлений.

• Новый параметр, Требовать использования безопасных подключений LDAP, добавлен в диалог Параметры сканирования для предотвращения использования незащищенного порта 389 во время запроса данных организационных подразделений или компьютеров LDAP как в редакторе групп компьютеров, так и во время сканирования. Для получения дополнительной информации см. раздел Параметры сканирования. Это функция выключена по умолчанию.

• В 2024 году исправление Linux в Security Controls получит серьезные изменения по мере перехода от исправлений предыдущих версий на основе данных к исправлениям без использования особых данных непосредственно из хранилищ дистрибутивов. Это обеспечивает гораздо более эффективный и полный механизм исправления устройств Linux. В этой первой редакции вы сможете сканировать и затем исправлять все уязвимости. Для получения дополнительной информации см. раздел Исправление Linux без использования особых данных.

См. соответствующее видео (2:44)

• Во время сканирования виртуальной инвентаризации Security Controls теперь учитывает все сконфигурированные в vSphere Lifecycle Manager источники загрузки, а также поддерживается обновление второстепенных версий, например, с 7.0.1 на 7.0.2. В контекстное меню добавлена кнопка Показать на панели навигации Виртуальная инвентаризация для упрощения просмотра серверов vCenter и гипервизоров ESXi - вы можете нажать правой кнопкой мыши таблицу на вкладке Бюллетени для экспорта данных бюллетеня для гипервизоров.

Компания VMware прекратила поддержку и техническое обслуживание версий 6.5, 6.7 и 6.7.1, а их обновления безопасности более не публикуются. Поддержка этих версий будет удалена в будущей редакции, а самой ранней поддерживаемой версией останется 7.0. Для получения дополнительной информации об управлении серверами vCenter и гипервизорами ESXi см. Введение в функцию инвентаризации виртуальных машин.

• В версию 2024.1 добавлены новые возможности конфигурации шифрования подключения консоли к SQL Server.
  Новые параметры предназначены для обеспечения повышенной безопасности, но они могут потребовать дополнительной конфигурации. Обновление не меняет эти настройки, оставляя подключение менее безопасным, но наиболее совместимым. Для выполнения обновления рекомендуется проверить настройки шифрования подключения базы данных с помощью средства настройки базы данных (см. раздел Настройка расширенных параметров - Шифрование подключения базы данных).
• Конечные системы под управлением ОС Windows Server 2008 и Windows Server 2008 R2 более не поддерживаются.

• Прикладной интерфейс Security Controls REST API был обновлен для большего контроля над культурами и разрешения указания имен экземпляров, если это необходимо во время развертывания исправлений. Для получения дополнительной информации см. справку по API (будет открыта в новом окне).
• Клиенты Windows Server 2012 и Windows Server 2012 R2 поддерживаются с начала выпуска обновлений Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti.
• ОС Windows Server 2012 и Windows Server 2012 более не поддерживаются для использования консоли. Для получения полного списка поддерживаемых платформ см. раздел Системные требования.
• Теперь доступен комплект диагностики ПО Ivanti Security Controls, содержащий утилиты для диагностики вашей системы и сбора информации для службы поддержки. Для получения дополнительной информации см. примечания к редакции комплекта диагностики ПО Security Controls (будут открыты в новом окне).

• Теперь информацию компьютеров можно редактировать с помощью REST API. Для получения дополнительной информации о REST API см. отдельную тему справки (будет открыта в новом окне).
• Во время автоматической очистки каталога загрузки файлы главного сервера не удаляются, если данный каталог настроен для использования в качестве сервера распространения. Для получения дополнительной информации см. Параметры загрузки.
• Улучшения доступности.

• Прекращено использование планировщика Ivanti. Современный планировщик Microsoft улучшен до такой степени, что приложение Ivanti более не требуется. Планировщик Microsoft теперь является службой планировщика по умолчанию и используется для выполнения задач развертывания состояния питания и исправления на удаленных компьютерах. Планировщик используется для запуска задач в заданное время — либо немедленно, либо в определенный момент времени.

С прекращением поддержки планировщика Ivanti разрешение порта 5120 более не требуется в настройках вашего брандмауэра. Кроме того, если вы уверены, что все запланированные задачи, используемые с планировщиком Ivanti, были выполнены, необходимо удалить планировщик Ivanti с целевых компьютеров.

• Средство развертывания пакетов пересылается на целевые компьютеры во время развертывания исправлений на консоли. Это приложение используется для запуска пакетов развертывания на целевых компьютерах. Возможности средства развертывания не являются новыми - они были включены в планировщик Ivanti ранее. Однако с прекращением использования планировщика Ivanti средство развертывания теперь поставляется как отдельный компонент. Оно будет автоматически пересылаться на целевые компьютеры по мере необходимости. Если нужно, вы можете удалить средство развертывания из целевого компьютера, нажав правой кнопкой мыши в виде "Компьютер" и воспользоваться командой удаления.
• Для автономных виртуальных машин исправление продуктов, установленных на виртуальных дисках с настройками дискового режима Независимые – Постоянное или Независимые – Непостоянное, не поддерживается. Если виртуальная машина имеет как зависимые, так и независимые диски, вы также можете устанавливать исправления продуктов, установленных на зависимых дисках.
• Прекращена поддержка ESXi 6.0 и добавлена поддержка ESXi 8.00 и 8.0.1. Поддерживаемые версии гипервизоров VMware ESXi: ESXi 6.5, ESXi 6.7, ESXi 7.0, ESXi 8.00 и ESXi 8.0.1.
• Удален дистрибутив Microsoft Visual C++ для Visual Studio 2013 как необходимое требуемое ПО для консоли.
• Устранено несколько известных проблем. Для получения полного списка устраненных проблем см. Примечания к редакции Security Controls2023.2.

• Теперь доступен параметр Проверить в файле известных хостов во время процесса конфигурации подключения сервера SSH. Установите этот параметр, если нужно использовать файл known_hosts для проверки каждого целевого компьютера перед разрешением подключения SSH.
• Для придания более современного вида в пользовательский интерфейс добавлены новые значки и цвета. Добавлен новый вариант оформления для соответствия интерфейсу ОС Windows 11. Данный вариант имеет название WXI и представлен на вкладке Отображение в диалоге Параметры. WXI — это новый параметр по умолчанию.
• Устранено несколько известных проблем. Для получения полного списка устраненных проблем см. Примечания к редакции Security Controls2023.1.

• Теперь доступен новый сценарий "автоматизации для обеспечения соответствия", REST API. Сценарий может использоваться для автоматизации действий процесса исправления (сканирование, развертывание, перезагрузка), повторяя развертывание до тех пор, пока все исправления не будут установлены на указанных компьютерах.
• Функция метаданных исправлений в среде REST API была усовершенствована для улучшения сортировки и разбиения на страницы во время отображения результатов запросов.
• Выполнено обновление программы клиента агента. В журналах задач исправления теперь содержится больше информации о статусе исправлений (загрузка, установка, успех, неисправности, сообщения об ошибках).
• Повышена безопасность процесса подключения сервера SSH. Теперь есть возможность указать, можно ли использовать подключение SSH во время взаимодействия консоли с конечной системой, которая поддерживает протокол SSH и не может использовать SMB.
• Добавлена информация кодов ошибок, отображаемых на вкладке истории развертывания Windows вида "Компьютер".
• Завершение поддержки ОС Windows 8.1: Завершение поддержки консоли приложения Security Controls в операционной системе Windows 8.1 запланировано на январь 2023 года.
• Устранено несколько известных проблем. Для получения полного списка устраненных проблем см. Примечания к редакции Security Controls 2022.4.

• Представлена возможность автоматической очистки каталога загрузки исправлений и серверов распространения. Любые исправления, которые более не будут использоваться, можно удалить из этих местоположений, сохраняя свободное место на диске. Данная функция может быть сконфигурирована на вкладке Сервис > Параметры > Загрузка.
• Количество пулов потоков, используемых во время сканирования групп компьютеров по диапазонам IP-адресов, доменам или организационным подразделениям, теперь ограничивается автоматически. Это повышает производительность посредством ограничения количества групп компьютеров, сканируемых в определенный момент времени, и не допускает перегрузки процессоров компьютера консоли. Для получения дополнительной информации см. описание функции, Глобальный пул потоков.
• Теперь доступны локализованные версии пользовательского интерфейса агента.
• Теперь у вас есть возможность указать, нужно ли устанавливать пользовательский интерфейс агента. Для клиента агента в настоящее время необходимо наличие установки ПО .NET 6, и, вероятно, в будущем агент будет обновляться для использования более новых версий ПО .NET по мере их появления. Одной из причин, из-за которой вы можете отказаться от установки клиента агента, является то, что на ваших компьютерах уже могут быть другие приложения, которые также требуют использования ПО .NET. Если клиент агента не требуется, вы можете оградить эти компьютеры от перезагрузок и других эффектов, возникающих во время обновления агента и поддержки новой версии ПО .NET.
• Два новых атрибута исправлений для Linux теперь хранятся в базе данных и доступны во время формирования отчетов: Дата InstalledOn и Оповещение > Заголовок.
• В дополнение к проверке обновлений приложения и оповещениям об окончании срока службы во время запуска консоль приложения Security Controls теперь каждые 24 часа будет проверять наличие обновлений и оповещений, пока консоль Security Controls будет оставаться открытой. Администратор может отложить оповещения на срок до семи дней.
• Обновлен веб-сайт приложения Security Controls Cloud. Теперь он имеет улучшенный стиль, соответствующий стилю других сайтов Ivanti, а современные клиентские библиотеки используются для обеспечения максимально безопасного просмотра информации.
• Устранено несколько известных проблем. Для получения полного списка устраненных проблем см. Примечания к редакции Security Controls 2022.3.

• Пример сценария PowerShell добавлен в раздел справки Security Controls REST API. В этом сценарии демонстрируется добавление статей знаний в новую или существующие группы исправлений. Этот сценарий упрощает процесс, если нужно добавить внеплановое исправление безопасности сразу в несколько групп исправлений.
• Дополнительные параметры позволяют более точно указать язык интерфейса Security Controls. В диалоге Сервис > Параметры > Параметры отображения вы можете выбрать конкретный язык или использовать настройку языка операционной системы на компьютере консоли для указания нужного языка. Новые языковые параметры применяются отдельно для каждого пользователя.
• Прекращена поддержка Red Hat Enterprise Linux 6. Это связано с тем, что компания Red Hat прекратила обслуживание ОС Red Hat Enterprise Linux 6.
• Исправлена проблема перехода на летнее время, из-за которой запланированное сканирование иногда запускалось с опозданием на час или отключалось. Исправление добавляет периодическую проверку, которая повторно включает запланированные сканирования.
• Устранено несколько известных проблем. Примечания к редакции Security Controls 2022.2 для получения полного списка устраненных проблем.

• Полная информация теперь отображается в виде "Компьютер" и в отчетах для виртуальных машин с таким же именем. Раньше для размещенных активных виртуальных машин с одинаковым именем, но с разными путями в vCenter, создавалась только одна запись. В данной редакции машины отображаются отдельно, и для каждой из них демонстрируется вся информация о пути к данным на хосте для отражения различий машин.
• Обновлен компонент программы управления приложениями.
• Дополнительная информация отображается в сообщении об ошибке, которое предшествует неожиданному закрытию консоли Security Controls. В новом тексте представлена причина закрытия консоли, а именно, так как не удалось загрузить требуемые данные.
• Устранено несколько известных проблем. Примечания к редакции Security Controls 2022.1 для получения полного списка устраненных проблем.

Возможность удаления пользователя, чьи учетные данные используются другими пользователями

Диалог Назначение ролей пользователя был заменен новым диалогом Менеджер пользователей. В дополнение назначению различных ролей разным пользователям в диалоге Менеджер пользователей теперь можно удалить любого пользователя, который более не должен иметь доступ к Security Controls. Например, если один из ваших администраторов был назначен в другой проект или покинул вашу организацию, вы должны удалить этого пользователя. Если удаляемый пользователь в настоящее время совместно использует учетные данные с одним или несколькими пользователями, или фоновыми службами, перед удалением пользователя вы можете очистить все ассоциации общих учетных данных.

Улучшения клиентской программы агента

Клиентская программа агента была полностью переработана для придания ей обновленного внешнего вида. Кроме того, программа содержит больше информации о поиске и устранении неисправностей и более наглядна.

Поддержка Windows 11 и Windows Server 2022

Добавлена поддержка ОС Windows 11 и ОС Windows Server 2022 для использования в качестве консоли и на целевых компьютерах, для чего необходима установка исправлений.

• Устранено несколько известных проблем. Для получения полного списка устраненных проблем см. Примечания к редакции Security Controls 2021.2 (обновление 1).
• Поддерживаемые версии гипервизоров VMware ESXi: ESXi 6.0, ESXi 6.5, ESXi 6.7 и ESXi 7.0. Прекращена поддержка ESXi 5.x.

Если вы используете Обновление 1 для ESXI 7.0 или новее, на вашем гипервизоре должен быть установлен автономный пакет исправлений. Для получения дополнительной информации см. Примечания к редакции Обновления 1 для VMware ESXi 7.0.

• Следующие операционные системы более не поддерживаются:
• Работа консоли Security Controls более не поддерживается в операционных системах Windows Server 2008 R2 и Windows 7.
• Работа агента Security Controls более не поддерживается в операционных системах Windows 8 и CentOS 6.
• Операции без агентов более не поддерживаются в операционных системах Windows XP, Windows Server 2003, Windows Vista и Windows 8.

Отдельная загрузка исправлений

Под отдельной загрузкой понимается процесс управления исправлениями, которые не могут быть загружены автоматически. Функция отдельной загрузки значительно упрощает этот процесс. Вы должны вручную загрузить файл исправления, и после этого функция отдельной загрузки будет использовать ряд автоматизированных сервисов. В частности, функция будет проверять содержимое загруженного вручную исправления, выполнит необходимое переименовывание файла, а затем автоматически сохранит его в каталог загрузки исправлений. С этого момента исправление станет готово к развертыванию с использованием обычного процесса установки.

Автоматическое удаление неактивных компьютеров из базы данных

В средство обслуживания баз данных добавлена возможность автоматического удаления неактивных компьютеров из базы данных. Неактивным компьютером может быть тот, который не был зарегистрирован агентом на консоли, не прошел оценку или не был включен в процесс развертывания исправлений в течение указанного количества дней. Это важно, так как неактивные компьютеры не способствуют точному представлению о текущем состоянии активов вашей организации.

Непрерывное безагентное сканирование

Теперь у вас есть возможность сконфигурировать операции сканирования исправлений без агентов с интервалом в три минуты. Это позволяет выполнять почти непрерывное сканирование определенной группы компьютеров.

Сканирование по сценарию и развертывание с использованием CVE

Для вас предоставляется подробная серия сценариев PowerShell, в которых показано, как сканировать и развертывать исправления с использованием вводных данных из файла CVE. Сценарии вызывают REST API и выполняют ряд задач:

• Разбор файлов CVE и преобразование содержимого в группу исправлений.
• Создание шаблонов сканирования, с помощью которых будут сканироваться исправления из группы исправлений.
• Дополнительное развертывание любых отсутствующих исправлений.

Информация лицензий на рабочие станции и серверы

Дополнительная информация о текущем статусе лицензий теперь доступна в двух разных местоположениях. Возможные действия:

• Выберите Справка > О программе Ivanti Security Controls на консоли для отображения количество мест с лицензиями на развертывание, которые в настоящее время используются как для ваших серверов, так и для рабочих станций.
• Создайте подробный отчет о статусе лицензий, в котором будет представлено количество доступных лицензионных мест, количество используемых мест, как и когда они были использованы и когда вновь станут доступны.

• Добавлен новый метод конфигурации в REST API, который позволяет вам отображать информацию о версии консоли Security Controls.
• В разделе справки REST API, Метод развертывания исправлений, в таблицу DeploymentResult добавлены коды идентификации различных состояний развертывания.
• В разделе справки REST API для метода Компьютеры:
• Для модели вывода добавлено поле credentialId.
• Добавлены новые операции PUT для назначения и отмены назначений учетных данных компьютерам.
• Добавлена информация порта 902 в таблицу Требования к портам в разделе системных требований.
• Завершена поддержка клиентов CentOS 6 Linux. Это связано с тем, что компания Red Hat перестала оказывать поддержку для ОС CentOS 6.

Подключение к компьютерам с использованием полного доменного имени (FQDN)

До этой редакции консоль Security Controls выполняла подключение к клиентам с использованием IP-адресов компьютеров. Однако некоторые сети теперь работают в более ограниченных условиях, когда используются дополнительные функции Kerberos. В частности, если клиентские компьютеры в вашей среде подключаются к серверам с использованием протокола SMB (Server Message Block), может потребоваться проверка на уровне SPN (Service Principal Name). Для таких сетей теперь у вас есть возможность выбрать Полное доменное имя (FQDN) в качестве метода подключения. Это выполнит требования дополнительной проверки и обеспечит успешное подключение к вашим клиентским компьютерам.

Кнопка копирования использования

Для использования общих учетных данных эта новая кнопка позволяет добавить любые учетные данные, которые еще не использовались вашей учетной записью. Вы можете сделать это, если владелец учетных данных или другой пользователь, который сделал эти учетные данные общими, добавил один или несколько новых вариантов использования, после того, как они были сделаны общими для вас, и вы хотите поддерживать синхронизацию с этими пользователями.

Улучшения REST API

Несколько новых возможностей были добавлены в следующие функциональные области REST API:

• Метаданные исправлений: Добавлена поддержка идентификаторов IAVA, и теперь вы можете сортировать и разбивать результаты запросов на страницы. Это реализовано с введением трех новых параметров URL-запросов: iavaIds, orderBy и sortOrder. Кроме того, теперь доступны девять новых полей вывода: affectedProducts, bulletinTitle, familyId, familyName, fileSize, iava, summary, vendorId и vendorName.
• Группы компьютеров: Свойство connectionMethod было добавлено в модели ввода и вывода. Это сделано в дополнение к функции Подключения к компьютерам с использованием полного доменного имени (FQDN) (см. выше).
• Сканирования исправлений: Теперь вы можете указать метод подключения вместе с именами сканируемых конечных систем. Это сделано в дополнение к функции Подключения к компьютерам с использованием полного доменного имени (FQDN) (см. выше).
• Развертывание агентов: Свойство connectionMethod было добавлено в модель ввода. Это сделано в дополнение к функции Подключения к компьютерам с использованием полного доменного имени (FQDN) (см. выше).
• Развертывание исправлений: Теперь у вас есть возможность развертывать определенные исправления на конкретных компьютерах, используя для этого специальный шаблон развертывания. Это формирует интегрированное решение для установки исправлений на клиентах Ivanti Neurons и также полезно для существующих локальных клиентов, которым необходимо самостоятельно развертывать исправления. Теперь доступны следующие параметры ввода: deployWhat, machines и runAsDefault.

Поддержка Red Hat Enterprise Linux 8

Все поддерживаемые поставщиками варианты серверов, рабочих станций, клиентских компьютеров под управлением ОС RHEL 8 (только 64-разрядные) теперь могут быть просканированы и исправлены с помощью агентов.

Поддержка ОС RHEL 8 стала возможной благодаря обновлению динамических данных, которые предоставляется Ivanti. Это означает, что две предыдущие версии Security Controls, 2019.3 и 2020.1, теперь также имеют поддержку RHEL 8.

Общие учетные данные

Теперь вы можете использовать совместно учетные данные с одним или несколькими пользователями. Это особенно полезно в средах с несколькими администраторами, что позволяет главному администратору делегировать операции подчиненным администраторам. Подчиненные администраторы могут взаимодействовать с конечными системами, используя безопасные учетные данные, не зная при этом их пароля. Кроме того, когда для пароля потребуется обновление, его можно будет обновить из одного места.

Группирование компьютеров в видах 'Компьютер' и 'Сканирование'

Новый столбец Назначенные группы в видах "Компьютер" и "Сканирование" позволяет вам группировать соответствующие компьютеры, упрощая выполнение операций без агентов и создание отчетов на компьютерах. Этот столбец особенно полезен для компьютеров, например, с агентами Cloud, так как они не входят в группы компьютеров. С помощью функции "Назначенная группа" теперь вы можете сгруппировать компьютеры, которые имеют аналогичные атрибуты, такие как одно и то же физическое местоположение или политика агента.

Усовершенствованный процесс лицензирования продукта

Теперь доступен новый метод активации с использованием учетных данных, который позволяет вам точно указывать, сколько из доступных у вас лицензионных мест нужно использовать в рамках существующих у вас прав. Этот метод должен использоваться новыми клиентами, которые имеют подключение к Интернету на консоли. Устаревший метод активации на основе лицензионного ключа по-прежнему поддерживается для существующих и выполняющих обновления клиентов, а также для клиентов, которым необходимо выполнять активацию в автономной сети.

Дополнительная функциональность REST API

Следующие функциональные области теперь доступны с использованием REST API:

• Синхронизация Cloud
• Компьютеры
• Пользователи

В продукт добавлена возможность совместного использования учетных данных и назначения компьютеров в группы. Для получения дополнительной информации см. справку для REST API.

Изменение бренда

Удалены ссылки на устаревшие названия компаний и продуктов. Пути каталогов и другие элементы, содержащие названия компаний и/или продуктов, продолжают действовать.

Оповещение о распространении ПО

Теперь отображается диалог оповещения во время добавления исправления для распространения ПО в группу исправлений или запуска сканирования приложений сторонних компаний. Это предупреждение призвано помочь предотвратить случайную установку приложений сторонних компаний на ваших конечных системах.

Импортированный список требований к портам

В таблице Требования к портам в разделе справки Системные требования теперь содержится гораздо больше информации.

Столбец распределения исправлений переименован в "Состояние"

В видах "Компьютер" и "Сканирование" столбец Распределение исправлений был переименован в Состояние. Новое имя лучше отражает назначение столбца, призванное показать состояние компьютера с визуальным представлением процентного значения установленных и отсутствующих исправлений.

Осуществляется соответствие имен оригинального сканирования и развертывания

Когда за сканированием исправлений выполняется автоматическое развертывание исправлений, имя сканирования теперь связано с соответствующей операцией развертывания.