创建新的修补程序任务

修补程序任务用于定义目标计算机扫描缺失的修补程序的方法和时间。 而且可用于有选择地部署确定为缺失的修补程序。 如果未创建修补程序任务,则分配有此策略的代理不会执行任何修补程序扫描或修补程序部署。

根据组织支持的操作系统,您可以为 Windows 计算机、Linux 计算机或这两种计算机创建修补程序任务。 无内容和基于内容的 Linux 修补有单独的修补程序任务。 可以为一个代理策略创建多项修补程序任务。 每项任务可使用任务标题栏上的图标 () 展开或折叠。 此选项可用于仅查看任何时候正在处理的任务。

虽然对为一个代理策略创建的修补程序任务数量没有理论上的限制,但是此处有一项特殊限制。 例如,如果策略包含太多修补程序任务,则跟踪和管理策略可能会变得困难。 同时,如果在一些不同的修补程序任务中启用修补程序部署,可能会出现问题。 这是因为虽然扫描对于用户相对透明,部署修补程序则不然,因为后者通常涉及用户计算机的重新启动。 此外,您将冒着在一台计算机上同时发生多个部署的风险。

修补程序选项卡上配置代理修补程序任务。 您可以编辑现有修补程序任务,也可以单击添加 Windows 修补程序任务添加 Linux 修补程序任务来创建新任务。 务必赋予任务一个描述性名称,因为这将是在 Windows 客户端程序中显示的名称。

配置 Windows 修补程序任务

修补程序计划指定目标计算机运行任务的频率。 可用于在特定时间定期运行任务或使用特定的循环模式。 内置计划程序可供每个代理使用。 在启动计划修补程序任务前,计划程序将立即检查新的修补程序数据。

代理计划程序将序列化相同代理引擎的执行。 例如,如果您定义的策略包含两个修补程序任务,且均在凌晨 1:00 开始,则它们不会同时在 1:00 开始;相反,它们将被序列化(连续运行)。

字段

说明

使用计划

如果启用,将根据计划设置定期在代理计算机上运行任务。 如果未启用,将忽略计划设置,并且必须手动从控制台在代理计算机上启动任务。

每小时

可用于指定任务每小时运行一次。

  • 每 N 小时运行一次:可以确切指定扫描间隔的小时数。 有效值从 1 到 100 小时。
  • 启动时间:首次扫描将在此指定时间开始。 后续扫描将以每 N 小时运行一次中指定的间隔执行。

每日

表明任务将在选择的指定日期运行。 例如,使用此选项扫描可能在每晚午夜运行,或每个星期六的晚上 9:00 运行,或每个月第一个星期天的凌晨 1:00 运行,等等。

您还可以结合每月定期事件(例如 Microsoft 的周二补丁日)使用每日选项来计划任务。 例如,您可以通过指定第二个星期二然后使用添加延迟(天)选项将任务延迟一天来将每月修补程序扫描计划为在周二补丁日次日进行。

随机计划时间(分钟)

错开任务执行的确切时间以降低具有同时下载修补程序文件、扫描引擎等请求的控制台或或指定分发服务器的负荷。

如果错过计划,则在启动时运行

如果计算机关闭时错过计划任务,则无论计算机何时重新启动,此选项都可用于强制任务自动运行。 除非选中启动后延迟(分钟)复选框,否则任务将立即运行,此时执行将延迟指定的分钟数。

 

字段 说明

修补程序扫描模板

必须指定代理执行修补程序扫描时要使用的模板。 修补程序扫描模板准确指示扫描的内容和扫描期间忽略的内容。 可供选择的模板列表中包括两个预定义模板(安全修补程序扫描和所有修补程序)以及任何已定义的自定义模板。 还可以执行以下操作:

  • 新建:可用于重新创建新的修补程序扫描模板。
  • 编辑:可用于编辑现有的自定义修补程序扫描模板。 无法编辑预定义的模板。 如果编辑并保存代理策略当前正在使用的模板,则使用该策略的代理会在下一次通过控制台签入时更新。

如果单击新建编辑,则立即显示修补程序扫描模板对话框。 有关配置模板的详细信息,请参阅创建新的修补程序扫描模板

Security Controls Agent不支持修补程序扫描模板上的自动部署功能和自动电子邮件功能。如果启用这些功能,它们将被忽略。

部署模板

必须指定代理执行修补程序部署时要使用的模板。 可供选择的一列模板中包括两个预定义模板(代理标准、标准和虚拟机标准)以及任何已定义的自定义模板。 还可以执行以下操作:

  • 新建:可用于重新创建新的部署模板。
  • 编辑:可用于编辑现有的自定义部署模板。 无法编辑预定义的部署模板。 如果编辑并保存代理策略当前正在使用的模板,则使用该策略的代理会在下一次通过控制台签入时更新。

如果单击新建编辑,则立即显示部署模板对话框。 有关配置模板的详细信息,请参阅创建部署模板

部署模板中指定的自动电子邮件通知、自定义操作和分发服务器选项不适用于 Security Controls Agent

部署修补程序

如果希望代理能够自动部署修补程序扫描确定为缺失的修补程序,则选中此复选框。

代理执行修补程序部署时,将仅在以下情况部署修补程序:

  • 通过修补程序扫描模板扫描,以及
  • 报告为缺失,以及
  • 定义为 批准的修补程序

批准的修补程序可为由扫描检测为缺失的所有修补程序,或可限制为在修补程序组中定义的修补程序和/或修补程序供应商认为关键的修补程序。 此处定义的一列批准的修补程序绑定到此特定修补程序任务。 此列表不会由代理策略中的其他修补程序任务使用。

  • 所有检测为缺失的修补程序:指定确定为缺失的修补程序是否能够部署。
  • 修补程序组:仅指定修补程序组中的修补程序将由代理部署。 如果扫描检测到未包含在此组中的缺失的修补程序,则不会部署这些修补程序。

    • 加上所有供应商关键修补程序:指定除修补程序组中定义的修补程序外,已批准部署的修补程序列表也应包含修补程序供应商确定为关键的修补程序。 这确保如果修补程序组过期,仍始终能够部署新的关键修补程序。

    要仅部署供应商关键修补程序,可选中此复选框,然后在修补程序组框中指定空的修补程序组。

  • 新建:可用于创建新的修补程序组。 有关详细信息,请参阅创建与编辑修补程序组
  • 编辑:可用于修改选中的修补程序组。 使用此选项时请注意,因为做出的修改将影响正在使用修补程序组的其他扫描模板。 如果编辑并保存代理策略当前正在使用的修补程序组,则使用该策略的代理会在下一次通过控制台签入时更新。

如果您还选择启用产品等级部署(请参阅部署产品等级选项),则在缺少产品等级和修补程序的代理计算机上,将首先部署产品等级。

修补程序部署流程

批准的修补程序列表一旦确定,即可根据其优先级下载与安装修补程序。 首先下载安全修补程序,其次是其他修补程序类型。 系统会使用闲置带宽(其他应用程序未使用的带宽)在后台进行下载。 Web 浏览等前台任务不受修补程序下载进程的影响。

每项修补程序任务分配有 60 分钟的窗口来下载缺失的修补程序。(维护窗口分配有两小时来下载缺失的 Service Pack 和修补程序,60 分钟是其中的一部分。 (这是两小时总维护窗口的一部分,该窗口分配用于下载缺少的产品等级和修补程序。)只有那些在此 60 分钟窗口期间成功下载的修补程序才会通过活动修补程序任务安装。 如果在 60 分钟的窗口内修补程序任务无法完成下载所有缺失的修补程序,则剩余的修补程序将在修补程序任务下次运行时被识别、下载并安装。

如果文件下载期间代理计算机从网络断开连接,此流程将暂停,且网络再次可用时流程不会从停止的位置重新开始。 此技术称为检查点/重新启动,对于经常断开连接的计算机尤为适用。

部署产品等级

如果希望代理能够自动部署修补程序扫描确定为缺失的产品等级,请启用此复选框。

代理执行产品等级部署时,将仅在以下情况部署产品等级:

  1. 通过修补程序扫描模板扫描,以及
  2. 报告为缺失,以及
  3. 已批准进行部署。

批准的产品等级可以是扫描检测为缺失的所有产品等级,也可以限制为您在产品等级组中定义的产品等级。 此处定义的批准的产品等级列表已绑定到此特定修补程序任务。 此列表不会由代理策略中的其他修补程序任务使用。

  • 更多信息:关于产品等级组帮助主题的链接,解释如何使用产品等级组。
  • 所有检测为缺失的产品等级:指定确定为缺失的产品等级是否能够部署。
  • 产品等级组:仅指定产品等级组中的产品等级将由代理部署。 如果扫描检测到未包含在此组中的缺失的产品等级,则不会部署这些产品等级。
  • 限制部署(每天):指定一天内可以部署到计算机的最大产品等级数量。 产品等级的部署可能需要很长时间才能完成,并且几乎总是需要重新启动计算机,因此您通常需要将该数值保持在一个很小的范围内。 如果您没有限制一天内产品等级部署的数量,那么如若计算机缺少大量产品等级,则可能会面临崩溃的风险。 如果计算机缺少的产品等级超过指定限制,则下次运行修补程序任务时将部署其他产品等级。

    • 提示:请注意,这种情况下的一“天”为日历日期,并非 24 小时。 这意味着该天在午夜进行重置。 如果您计划按小时运行修补程序任务(不推荐),则可以在午夜前后部署最大数量的产品等级,以此将夜间维护窗口最大化。

  • 新建:可用于创建新的产品等级组。 有关详细信息,请参阅创建与编辑产品等级组
  • 编辑:可用于修改选中的产品等级组。 使用此选项时请注意,因为做出的任何修改都会影响引用产品等级组的所有修补程序任务。 同时,如果编辑并保存代理策略当前正在使用的产品等级组,则使用该策略的代理会在下一次通过控制台签入时更新。

产品等级部署过程

若代理计算机缺少多个产品等级,则一次只能安装一个产品等级。 修补程序任务将首先开始下载所有缺失的产品等级。 优先下载操作系统产品等级,但最先下载的产品等级最先安装。 成功安装产品等级后,将重新启动和扫描计算机,并一直重复该过程,直到部署完所有产品等级或达到每日限制 [请参阅限制部署(每天)选项]。

此外每项修补程序任务分配有 60 分钟来完成 下载 > 安装 > 重新启动 > 重新扫描流程。(维护窗口分配有两小时来下载缺失的 Service Pack 和修补程序,60 分钟是其中的一部分。 (这是两小时总维护窗口的一部分,该窗口分配用于下载缺少的产品等级和修补程序。)只有那些在此 60 分钟窗口期间成功下载的产品等级才会通过活动修补程序任务安装。 如果在 60 分钟的窗口内修补程序任务无法完成下载所有缺失的产品等级,则剩余的产品等级将在修补程序任务下次运行时被识别、下载并安装。

系统会使用闲置带宽(其他应用程序未使用的带宽)在后台进行下载。 Web 浏览等前台任务不受产品等级下载进程的影响。

如果文件下载期间代理计算机从网络断开连接,此流程将暂停,且网络再次可用时流程不会从停止的位置重新开始。 此技术称为检查点/重新启动,对于经常断开连接的计算机尤为适用。

配置 Linux 修补程序任务

对于无内容 Linux 修补方法,没有单独的修补程序扫描配置。 每当 Linux 修补程序任务运行时,它都会扫描所有缺失的程序包和建议。 然后您可以单独指定部署选项,作为 Linux 修补程序任务的一部分。 对于之前基于内容的 Linux 修补方法,需要指定扫描和部署选项

修补程序计划指定目标计算机运行任务的频率。 可用于在特定时间定期运行任务或使用特定的循环模式。

字段

说明

使用计划

如果启用,将根据计划设置定期在代理计算机上运行任务。 如果未启用,将忽略计划设置,并且必须使用命令行实用程序在代理计算机上手动启动任务。

每小时

可用于指定任务每小时运行一次。

  • 每 N 小时运行一次:可以确切指定扫描间隔的小时数。 有效值从 1 到 100 小时。
  • 启动时间:首次扫描将在此指定时间开始。 后续扫描将以每 N 小时运行一次中指定的间隔执行。

每日

表明任务将在选择的指定日期运行。 例如,使用此选项扫描可能在每晚午夜运行,或每个星期六的晚上 9:00 运行,或每个月第一个星期天的凌晨 1:00 运行,等等。

您还可以结合每月定期事件(例如 Microsoft 的周二补丁日)使用每日选项来计划任务。 例如,您可以通过指定第二个星期二然后使用添加延迟(天)选项将任务延迟一天来将每月修补程序扫描计划为在周二补丁日次日进行。

随机计划时间(分钟)

错开任务执行的确切时间以降低具有同时下载修补程序文件、扫描引擎等请求的控制台或或指定分发服务器的负荷。

如果错过计划,则在启动时运行

如果计算机关闭时错过计划任务,则无论计算机何时重新启动,此选项都可用于强制任务自动运行。 除非选中启动后延迟(分钟)复选框,否则任务将立即运行,此时执行将延迟指定的分钟数。

字段

说明

Linux 修补程序扫描配置(仅基于内容)

对于基于内容的 Linux 修补,必须指定代理执行 Linux 修补程序扫描时要使用的配置。 修补程序扫描配置准确指示扫描的内容和扫描期间忽略的内容。 可供选择的配置列表中包括两个预定义配置(安全修补程序扫描和所有修补程序扫描)以及任何已定义的自定义配置。 还可以执行以下操作:

  • 新建:可用于重新创建新的修补程序扫描配置。
  • 编辑:可用于编辑现有的自定义修补程序扫描配置。 无法编辑预定义的配置。 如果编辑并保存代理策略当前正在使用的配置,则使用该策略的代理会在下一次通过控制台签入时更新。

如果单击新建编辑,则立即显示 Linux 修补程序扫描配置对话框。 有关详细信息,请参阅创建和编辑 Linux 修补程序扫描配置

Linux修补程序部署配置

必须指定代理执行修补程序部署时要使用的配置。 可供选择的配置列表中包括预定义的部署配置(Linux 修补程序部署)以及已定义的任何自定义配置。 还可以执行以下操作:

  • 新建:可用于重新创建新的部署配置。
  • 编辑:可用于编辑现有的自定义部署配置。 无法编辑预定义的部署配置。 如果编辑并保存代理策略当前正在使用的模板,则使用该策略的代理会在下一次通过控制台签入时更新。

如果单击新建编辑,则立即显示 Linux 修补程序部署配置对话框。 有关详细信息,请参阅创建和编辑 Linux 修补程序部署配置

保存代理策略

字段

说明

保存并更新代理

保存策略文件的所有更改,并且将此文件存储在控制台上。 同时按照如下方式更新所有当前分配有此策略的代理计算机:

  • 如果代理计算机处于联机状态,并且配置用于监听策略更新,则会立即将更新的策略推送到该计算机。
  • 如果代理计算机处于联机状态,但是没有配置用于监听策略更新,则会在下一次通过控制台签入代理时推送更新的策略。
  • 如果代理计算机当前未处于联机状态,则会在下一次通过控制台签入代理时推送更新的策略。

随即关闭代理策略编辑器。

保存

保存对策略文件的所有更改,然后关闭代理策略编辑器。 这些更改不会推送到监听代理。

Cancel

表示要退出代理策略编辑器,而且不保存最近的更改。 如果选择此选项,则会显示“是否要保存更改?”提示,这样用户还有一次机会保存更改。 如果单击,则会保存策略并且更新相关的代理(与保存并更新代理作用相同)。 如果您点击,代理策略编辑器将关闭而不保存您的更改。