在无代理环境中自动化修补程序管理

所有 IT 团队的目标都是实现过程集中化和自动化，借此减少维护环境所需的工作量。 Ivanti 的目标是提供相关工具和解决方案，帮助您实现这种自动化程度。 本节将讨论实现修补程序管理过程自动化的方法。

计算机发现自动化

修补程序过程自动化的首要目标是尽可能动态地创建计算机组。 实现此目标的最简单方法是使用 Active Directory。 如果您在环境中对计算机进行分组的方式与管理计算机修补的方式相同，则可以使用计算机组的 OU 区域。 每次使用计算机组时，计算机组将与 Active Directory 进行“对话”，并从 OU 中提取当前的计算机列表。 使用域区域也是如此，但其在自动化过程中所涉及的内容可能会更多。 轻松创建动态组的另一种方法是借助 IP 范围。 执行新扫描时，系统将捕获 IP 范围内的所有新计算机。

扫描模板

开始谈论自动化时，我们需要考虑目标是什么。 大多数公司的修补程序审批过程都很松散。 您需要根据自己的需要，确定哪种方法最适合您的情况。 如果您关注所有安全修补程序，那么不管使用何种产品，您都可以使用产品中内置的预定义安全修补程序扫描模板。 任何新版本的 XML 数据文件都会在下次使用时在此扫描模板中自动添加安全修补程序。

这对于您的最终用户环境来说可能已经足够了，但是为了服务器程序修补自动化，您可能需要考虑使用修补程序组。 通过修补程序组或已批准的修补程序列表，您可以定义要扫描的特定修补程序列表。 该列表可以绑定到扫描模板，然后计划通过自动部署进行扫描，以从头到尾自动完成修补程序过程。 发布新修补程序后，您可以评估并决定在环境中批准部署哪些修补程序，然后使用新修补程序更新修补程序组或批准的修补程序列表。 计划扫描将扫描和部署修补程序列表中缺少的修补程序，将这些更改考虑在内。

在下面的屏幕截图中，您可以看到扫描模板筛选选项卡。 您可以使用基准或例外筛选器来指定批准的修补程序列表或一个或多个修补程序组，用其来表示一组基准修补程序。 以下部分介绍如何创建修补程序组或修补程序列表。

修补程序组

如果 Security Controls 使用修补程序组来扫描所选修补程序，则始终会扫描并报告所有产品等级的状态。 它还将禁用修补程序替换，这意味着其将会把新修补程序替换的修补程序显示为缺失的旧修补程序。

要创建新的修补程序组，请在主菜单上选择新建 > Windows 修补程序 > 修补程序组。 “修补程序视图”对话框随即打开。 任何现有的修补程序组都在底部窗格中显示。 使用“修补程序视图”筛选器可缩小顶部窗格中显示的修补程序列表。 随后右键单击所需的一个或多个修补程序，选择添加到修补程序组并选择一个修补程序组名称。 修补程序组会自动保存。

您可以创建一个智能筛选器，识别所有当前供应商的关键安全修补程序。 从现在开始，对于每个修补程序版本，您只需使用智能筛选器并在筛选视图中选择所有修补程序并添加到现有修补程序组，便可创建一个易于重复的识别过程，并且只要几分钟便可轻松维护。

在修补程序扫描模板的基准或例外区域中，单击浏览按钮并选择要使用的修补程序组。 现在，扫描模板已配置为扫描特定的修补程序列表。

如果选择使用已批准的修补程序列表，则只需创建一个文本文件并按照 KB 编号输入修补程序，每行一个修补程序。 在扫描模板的基准或例外区域中，单击文件框浏览按钮并导航到文本文件。 该文本文件很容易分发到多个控制台，以便使用和简化跨多个控制台的修补程序批准。

批准的修补程序列表示例：

Q123456

Q234567

Q345678

部署模板

在部署模板中，您需要配置重新启动选项，以满足您要自动执行的组的需要。 如果您正在使用最终用户环境，则可能需要设置重新启动选项，从而更灵活地解决加班人员的工作要求。 例如，在部署后重新启动选项卡上的计划重新启动区域中，指定在下次指定时间发生。 您还可以启用延长超时复选框。

对于服务器环境，使用建议的重新启动选项并不能取得明显的效果。

• 您可能需要在安装后立即执行配置重新启动。 为什么？因为您通常会在维护窗口中运行扫描和部署，并希望立即执行重新启动。 因为您通常会在维护窗口中运行扫描和部署，并希望立即执行重新启动。 您还可以缩短重新启动时的超时以加快进程，因为任何使用这些计算机的人都应该提前了解维护窗口。
• 另一方面，即使通常需要重新启动，您也可以选择部署之后从不重新启动。 这种选择非常适合服务器可用性对业务非常重要的情况。 您可能需要手动重新启动服务器，以便在重启过程中出现问题时能始终及时处理。

计划自动化操作

最后一步是整体执行这些操作。 配置完组和模板后，您将需要计划作业，实现定期执行。 要计划作业自动运行，您可以从主页或计算机组开始。 从计算机组中启动时，请单击运行操作。 您将看到与下面类似的对话框：

在此对话框中，您可以立即执行作业，计划在特定时间和日期运行一次，或计划运行定期作业。 您还可以选择在扫描后即时部署修补程序。 这是我们将在本节中讨论的最重要的选项。 我们之前创建的计算机组及扫描和部署模板已对我们要为环境扫描和部署的内容进行了微调。 在掌握将要推送的内容后，我们便可以计划从头到尾地执行作业，而无需分步逐个处理。 在上面的屏幕截图中，您将看到我们已经定义了一个立即部署的定期扫描，并设置为在每个月的第二个星期三执行。 这是“周二补丁日”的后一天，几乎总会有新的修补程序要推送。

计划作业时请记住计划任务所在的位置。 即时部署的计划扫描会驻留在控制台上，直到扫描完成。 扫描完成后，系统将把修补程序推送到计算机并立即执行。 系统将根据部署模板中的设置和目标计算机的本地时间来安排重新启动。

预备部署

您可能会认为在更适合您组织的时间安排暂存更有意义，而不是在扫描后立即执行暂存和部署步骤。 例如，您公司的安全策略可能会指定修补程序部署窗口从星期六晚上 10:00 开始 例如，您公司的安全策略可能会指定修补程序部署窗口从星期六晚上 10 点开始执行操作。 在这种情况下，最好将暂存部署过程安排在当天早些时候开始，例如上午 8 点。 这将使 Security Controls 能在星期六全天创建部署包并将其复制到目标计算机。 然后，您可以在部署窗口启动后安排部署包的实际执行。 然后，您可以在部署窗口启动后安排部署包的实际执行。 到了晚上 10 点，一切都将准备就绪，部署将立即在目标计算机上进行。

收藏夹

最好在控制台上结合使用计算机组和扫描模板，以便控制台在执行作业时引用。 您可以重复使用收藏夹，计划在不同时间运行多个作业。 您可以在收藏夹中单击运行操作，并根据需要安排额外的一次或重复作业，而无需重新创建其他收藏夹。

电子邮件报告自动化

通过计算机组、扫描模板和部署模板，您可以将报告配置为自动生成并通过电子邮件发送给指定收件人。 在自动修补环境时，这种方法非常简单有效，能够让所有必要的人员掌握环境状态。 可选择多种不同的报告，这些报告将针对不同的受众和需求提供各种数据。 您可能需要做一些尝试，以便最好地满足您的报告需求。

要使用自动化电子邮件功能，您需要设置电子邮件凭据。 为此，请选择工具 > 选项 > 电子邮件，然后提供您的电子邮件服务器地址和身份验证信息。

相关主题

• 控制台软件和硬件建议
• 端口要求和防火墙配置
• 分布式环境管理
• 无代理修补程序管理
• 在无代理环境中应用修补程序的最佳方法
• 基于代理的修补程序管理
• 代理部署选项
• 在基于 Internet 的计算机上安装和支持代理
• 基于代理的产品等级和修补程序部署流程
• 周二补丁日生存指南
• Microsoft SQL Server 数据库维护
• 在断开连接的环境中执行修补