自动发布 CVE 的更新

如果愿意,可以只是手动导入 CVE 并发布关联的更新一次,而不是定期进行操作。

概述

公共漏洞和暴露 (CVE) 列表是已知网络安全漏洞的公共参考。这个列表由 MITRE 公司 (mitre.org) 维护,并随着新漏洞被检出而不断变化。如果您的组织使用 CVE 列表,则将很难确定具体需要发布哪些更新来保护您的计算机免受列表中确定的威胁。

幸运的是,Patch for Configuration Manager 简化了这个过程。可以创建一个定期计划任务,自动完成以下操作:

  • 扫描包含一个或多个 CVE 文件的文件夹
  • 确定与每个 CVE 相关的更新
  • 发布针对 CVE 的更新

每个控制台可以安排多个计划 CVE 任务。 可能需要多个计划任务的原因之一是为不同的 CVE 集定义不同的更新节奏。 或者,您可能希望向不同的软件更新组发布不同的更新。 在给定的时间内,重复执行计划任务的数量在理论上没有限制,但您可以确定站点存在实际限制。

  1. 在 Configuration Manager 软件库工作区内,展开软件更新 > Ivanti Patch 文件夹,然后点击自动化计划程序
    • 系统会显示一个日历,其中包含所有控制台的计划任务。 可以:
    • 可以双击计划任务、使用右键点击菜单或者选择计划任务后点击编辑来编辑计划任务。
    • 使用右键点击菜单,或者选择任务后点击历史记录,可以查看历史记录
    • 使用右键点击菜单,或者选择任务后点击删除,可以删除任务

    提示:还可以使用 Microsoft 任务计划程序管理计划任务。

  2. 主页选项卡上,点击按 CVE 发布
    随即会显示按 CVE 发布更新对话框。

  3. 指定可以标识此任务用途的唯一名称。
    此名称也会显示在“自动化计划程序”日历中。
  4. 指定 CVE 源文件夹的路径。
    这是包含 CVE 文件的文件夹。 文件夹中的所有文件都会进行扫描,以便确定其中是否包含 CVE。 文件可以是任何可接受的格式,比如 .txt、.xml 或 .csv。 重复的 CVE 会忽略。

    在此字段中输入的完整路径名称必须为 UNC 路径。

    示例:您的安全团队可能会每月使用漏洞扫描工具来创建更新的 CVE 列表。 您只需每月将新生成的 CVE 文件移动到此文件夹,然后自动化流程便可在此文件夹中提取所需文件。

  5. 指定任务应该运行的时间,以及应该发生的操作。
    • 计划:指定任务运行的日期和时间。 一个选项是结合常规月度活动(例如 Microsoft 周二补丁日)计划任务。 例如,您可以指定第二个星期二,然后使用添加延迟(天数)选项将任务延迟一天,从而将发布安排为在周二补丁日后一天进行。

      使用添加延迟(天)选项计划的任务将在运行 12 个月后必须进行重新计划。 任务运行至最后 3 个月时,系统将会生成警报,并提示您输入重新计划任务的凭据。 如果输入凭据,所有使用添加延迟(天)选项的任务将被重新计划,另外运行 12 个月。

    • 登录用户:如果启用,则指定使用目前的登录用户的凭据将发布任务添加至 Microsoft 计划程序。 随即会自动填充用户复选框,因此只需键入帐户密码。
    • 不同用户:如果启用,则指定要在将发布任务添加至 Microsoft 计划程序时使用不同的用户帐户。 例如可以指定密码未到期的服务帐户。

      该帐户必须:

      • 具有作为修补作业登录的权限
      • 是 WSUS 服务器的 WSUS 管理员组的成员
      • 是 WSUS 服务器的本地管理员组的成员(如果 WSUS 服务器为远程服务器)

      指定不同用户时,必须指明是否需要使用凭据对 proxy 服务器进行身份验证。

      • 需要 Proxy 身份验证 – 使用这些凭据:如果启用,则表明使用用户帐户时需要 proxy 服务器凭据。 如果随后选择同上,则用户帐户凭据将用作 proxy 凭据。 如果选择以下凭据,则可以提供一组单独的 proxy 凭据。
      • 用户名:键入 proxy 服务器上的帐户的用户名。 可能有必要将域指定为用户名的一部分(例如 mydomain\my.name)。
      • 密码:键入 proxy 服务器帐户的密码。
    • 脱机运行计划任务:如果启用,计划的发布任务将在脱机模式下运行。 这意味着控制台将不会尝试下载所选的更新文件。 为了成功进行发布,更新必须已存在于本地源文件夹

      如果启用“脱机选项”选项卡中的断开连接运行,此复选框会自动启用。

    • 接受目录中的所有元数据更新:如果要使用任何可用于先前发布的更新的修正版元数据来自动更新 WSUS,则选中此复选框。
    • 同步更新:在此项任务中,如需 Configuration Manager 自动与 WSUS 数据库同步,则选中此复选框。 选中后会执行增量同步。 如果不选中此复选框,则只有在执行定期计划的同步过程以后才能将已发布的更新用于部署。 通过选择主页选项卡,然后单击同步软件更新,也可以启动同步。
    • 仅发布元数据:若启用,将为更新发布检测逻辑,而非实际软件更新二进制文件。 如果要检测客户端是否需要某个更新,可以执行此操作,否则请确保无法安装该更新。 此操作仅在非常具体的情景和服务器配置中有用。

      如果修订仅作为元数据发布的更新,将删除原有更新并将编辑后的更新仅作为元数据重新发布。 这意味着这些更新的修订编号将始终为 1。 无法重新签署仅作为元数据发布的更新,因为没有可签署的内容。 尝试重新签署将在日志文件中生成警告消息。

    • 软件更新组选项:Configuration Manager 支持使用软件更新组,有助于组织和部署软件更新。 使用 Patch for Configuration Manager 发布的更新可自动添加到新的或现有的软件更新组。

      您可以选择以下选项之一:

      • 不将更新添加到软件更新组:计划任务中的所有更新都不会添加到软件更新组。
      • 将所有更新添加到软件更新组:计划任务中指定的所有更新都会添加到软件更新组。
      • 仅将新发布的更新添加到软件更新组:计划任务中仅指定的新发布的更新会添加到软件更新组。

      以下选项只有在您选择将更新添加到软件更新组时才适用:

      • 名称:如果要将已发布的更新添加到现有的软件更新组,则从下拉列表中选择组名。 您也可以键入名称的前几个字母,直至显示正确的组。 如果要指定一个新组,则从下拉列表中选择新建并提供一个唯一的组名和说明。
      • 说明:此字段描述指定软件更新组的用途。 说明在创建组时进行定义,且无法在此处修改。

      在完成发布流程并执行同步之后,更新将被添加到软件更新组。

      • 此任务每次发布更新,系统都将创建一个新的软件更新组:将为每次发布创建唯一软件更新组。 将根据任务名称以及发布的日期和时间对组进行命名。
    • 部署选项:此区域提供选项,以让 Patch for Configuration Manager 将发布的更新快速部署至您的端点。 部署后更新将立即发布至您的端点。 有关部署的其他信息,请参阅简化第三方更新的部署
      • 发布后部署更新:如果您要指定部署选项,请启用此复选框。 要选择此复选框,必须在发布选项部分启用同步更新选项,且必须选择成将更新添加至软件更新组。
      • 部署配置文件:部署所选更新时会使用的部署配置文件。
      • 部署包:指定部署的暂存位置,以便分发。 Configuration Manager 使用部署包将内容移动到分发点,然后将分发点下推到端点。
      • 发布后部署截止日期:用于指定具体的日期和时间,部署流程必须在该时间开始。
      • 根据用户首选项延迟实施截止日期:如果启用,则系统会遵守用户设置的任何工作时间,部署流程会在设置的工作时间以外的时间段开始。
      • 在部署需要系统重新启动的更新后,运行更新部署评估循环:如果启用,则在部署需要系统重新启动的更新之后,客户端会在重新启动完成后对缺少的更新另外执行一次评估。
    • 仅发布满足以下条件的更新:可用于指定想要定期发布的 CVE 相关更新。 您可以选择以下任一或所有选项:
      • 适用于安装在端点上的产品:如果启用,则仅会发布适用于当前安装在客户端计算机上的产品的更新。
      • 匹配此筛选器:可以选择名为 *最新未发布的预定义筛选器或者任何自定义筛选器。

      示例 1:要发布所有之前尚未发布的更新和未被取代的更新,可选择(*最新未发布)筛选器。 这样可以很方便地定期自动发布新的更新。

      示例 2:如果之前已创建自定义筛选器,而且该筛选器可识别组织中所用产品的所有未发布的关键更新。 那么只需选择这个筛选器,就可以定期发布这些更新。

      如果更新包含不同语言的不同程序包,则仅发布语言选项卡上指定的语言版本。

  6. 点击添加任务
  7. 查看自动化计划程序日历,验证任务已根据正确的日期和时间进行计划。
  8. (可选)使用 Configuration Manager 跟踪日志工具打开 AutoPublish.log 文件,并且监控发布过程。

    AutoPublish.log 文件通過发布到 WSUS 的任何一次性或定期计划作业来编写。该日志位于 \Users\<user name>\Ivanti\Patch 目录中。