在基于 Internet 的计算机上安装和支持代理
本节针对如何配置支持网络环境外计算机的代理策略提供了一些基本建议。 此配置非常适合经常与网络断开并经常连接到 Internet 的笔记本电脑用户。 对于没有直接网络连接但拥有 Internet 访问权限的独立站点,此配置非常实用。
在此解决方案中,您的代理通过云签入并接收策略更新。 此操作通过名为“Security Controls Cloud 同步”的 Ivanti Security Controls 功能完成。 此功能可以管理无法直接与控制台通信的计算机上的代理。
有关 Security Controls Cloud 同步的背景信息,请参阅以下主题:
代理安装
在位于网络环境外的计算机上安装代理主要有两种方法。
如果您只有少量计算机,可以选择手动安装。 但是,如果您有一个大型目标数据库,则建议通过云执行代理安装。
完成此过程后,您的所有代理都应该能够提取策略更新并在内部和外部对结果进行汇总。 在测试时,您可以通过将计算机连接到网络外部的 Internet,手动启动扫描并随后观察相关结果;在您的网络中重复此操作。
配置代理策略
- 从主菜单中,选择新建 > 代理策略。
- 命名策略。
- 在常规设置选项卡上配置选项。
- 在修补程序选项卡上,单击添加 Windows 修补程序任务,命名任务后对其进行配置。
- 单击保存并更新代理。
您可以按需配置允许用户设置。 建议禁用取消操作,因为大多数用户会在知道有扫描运行后将其停止,从而阻止代理执行任务。
在签入间隔区域,建议配置频繁签入。 这将使代理能够响应环境中的策略更改。
在引擎、数据,以及修补程序的下载位置区域,建议在这种情况下使用 Internet 上的供应商,因为代理主要位于网络外。 如果要配置大量代理,则可以选择启用分发服务器和将供应商作为备份源使用。 代理将首先检查分发服务器上的最新引擎和 XML 数据文件,如果分发服务器不可用,则将使用供应商网站。
在网络区域中,启用与 Security Controls Cloud 同步复选框。 此举指定代理可以选择使用 Security Controls Cloud 来检索最新的代理策略信息,以便代理通过云执行同步。 此复选框仅在控制台通过 Security Controls Cloud 注册时可用。 点击保存并部署到代理时,代理策略的副本和所有必需的组件将写入 Security Controls Cloud 服务。
可启用代理监听端口更新。 如果这样做,建议的最佳安全方法是修改防火墙规则,以在网络外时限制端口,并在网络内时打开端口。
此策略的主要目的是保护目标计算机,因此在扫描和部署选项选项卡上,我们建议使用安全修补程序扫描作为修补程序扫描模板。 如果您愿意,可以选择使用自定义模板,但我们坚持建议您使用本示例的基本安全最佳方式。
验证是否已启用部署修补程序复选框。
选择在部署后重新启动选项卡上指定以下内容的部署模板:
- 需要时重新启动
- 在下次出现指定时间时的计划重新启动
- 指定一个下班后的时间,以免影响最终用户工作
您可以指定所有检测为缺失的修补程序,这种方法最为安全,也可以根据修补程序组进行部署并启用加上所有供应商关键修补程序复选框。 此选项可确保您即使尚未将最新的安全修补程序应用于修补程序组,或即使代理尚未下载更新的列表,也仍会将部署最新 XML 数据文件中发布的关键安全修补程序。
启用部署产品等级复选框。 您可以选择部署扫描识别为缺失的所有产品等级,也可以将部署限制为仅在产品等级组中定义的产品等级。 有关详细信息,请参阅产品等级和修补程序部署流程。
在计划选项卡上,选择每日并指定一个计算机通常打开并且网络流量可能较低的时间(如午餐时间)。 您通常可以指定一个工作日。 如果您选择在正常工作时间之外的某个时间进行操作,则建议您启用如果错过计划,则在启动时运行复选框,确保即使错过了上次计划任务也会进行评估。