新增内容

• 现在可以使用“按修补程序严重性部署”为 Linux 进行无内容修补。 有关更多信息，请参阅创建和编辑 Linux 修补程序部署配置。
• 电源状态和计算机修补程序状态报告已更新，纳入无内容 Linux 修补。 有关更多信息，请参阅 可用报告。
• 现已支持 Windows 11 24H2。 有关更多信息，请参阅系统要求。

• 现在可以将单个程序包添加到无内容 Linux 修补程序组中。 有关详细信息，请参阅创建与编辑 Linux 修补程序组。
• 现在会对无内容 Linux 修补程序显示 CVSS 分数。 有关详细信息，请参阅在计算机视图中查看修补程序和资产摘要。
• 数据库中添加了一组新的数据库视图，使您能够为无内容 Linux 修补生成自定义报告。 有关详细信息，请参阅数据库视图版本。
• 已从 REST API 的 Credentials 函数删除 POST 和 DELETE 方法 sharewithservice。 有关详细信息，请参阅单独的 API 文档中的 Credentials（在新窗口中打开）。

• 现在可以使用按修补程序组部署来为 Linux 进行新的无内容修补。 您可以从新建 > Linux 修补程序 > 修补程序组菜单、导航窗格中的 Linux 修补程序组列表或“计算机视图”中创建用于 Linux 无内容修补的修补程序组。 无内容修补和基于内容的修补有单独的 Linux 修补程序组。 目前只能将公告添加到 Linux 无内容修补程序组。 有关为无内容 Linux 修补创建修补程序组的信息，请参阅创建与编辑 Linux 修补程序组。

如果使用分发服务器，则必须在创建或更新策略以包含 Linux 修补程序组之前，先更新所有分发服务器上的 Linux 引擎安装程序。 如果不这样做，而将新策略与旧引擎一起使用，则扫描将不起作用，旧引擎会将此策略解读为部署所有修补程序，而不只是部署修补程序组中批准的修补程序。

• 向扫描选项对话框添加了新选项需要安全的 LDAP 连接，以防止在计算机组编辑器和扫描期间查询 LDAP 中的 OU 或计算机时回退到使用不安全的端口 389。有关详细信息，请参阅扫描选项。 默认情况下，此功能处于禁用状态。

• 2024 年，Security Controls 中的 Linux 修补正在经历重大变化，因为它从以前版本的基于内容的修补转变为直接从分发的存储库进行无内容修补。 这为修补 Linux 设备提供了一种明显更有效、更详尽的机制。 在第一个版本中，您可以扫描所有漏洞，然后修补所有漏洞。 有关更多信息，请参阅 Linux 无内容修补。

观看相关视频 (02:44)

• 扫描虚拟库存时，Security Controls 现在支持 vSphere Lifecycle Manager 中所有已配置的下载源，并且还支持升级次要版本，例如从 7.0.1 升级到 7.0.2。 虚拟清单导航窗格中的右键菜单中添加了一个查看按钮，以方便查看 vCenter Server 和 ESXi 虚拟机监控程序，并且您可以右键单击公告选项卡上的表以导出虚拟机监控程序公告详细信息。

VMware 已终止对版本 6.5、6.7 和 6.7.1 的支持和技术指导，并且不再发布安全更新。 未来版本中将删除对这些版本的支持，使得支持的最早版本为 7.0。 有关管理 vCenter Server 和 ESXi 虚拟机监控程序的更多信息，请参阅介绍虚拟清单功能。

• 在版本 2024.1 中，添加了用于配置控制台和 SQL Server 之间连接加密的新选项。
  新选项提供了更高的安全性，但可能需要进一步配置。 升级不会更改此设置，从而保持最不安全但最兼容的设置。 升级时，我们建议您使用数据库设置工具检查数据库连接加密设置（请参阅设置高级选项 - 数据库连接加密）。
• 不再支持 Windows Server 2008 和 Windows Server 2008 R2 端点。

• Security Controls REST API 已更新，以提供更多的区域性控制，并允许在部署修补程序时根据需要指定实例名称。 有关详细信息，请参阅 API 帮助（在新窗口中打开）。
• Windows Server 2012 和 Windows Server 2012 R2 客户端支持 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商。
• 控制台不再支持 Windows Server 2012 和 Windows Server 2012 R2。 有关受支持平台的完整列表，请参阅系统要求。
• Ivanti Security Controls 诊断工具包现已推出，它提供的实用程序可帮助诊断您的系统并提供信息予以支持。 有关详细信息，请参阅 Security Controls 诊断工具包发行说明（会在新窗口中打开）。

• 现在可以使用 REST API 编辑计算机详细信息。 有关 REST API 的详细信息，请参阅单独的帮助（在新窗口中打开）。
• 自动清理下载目录时，如果将下载目录设置为用作分发服务器，则不会删除核心文件。 有关详细信息，请参阅下载选项。
• 辅助功能改进。

• Ivanti Scheduler 已停用。 Microsoft 计划程序已得到改进，因此不再需要 Ivanti Scheduler。 现在，Microsoft Scheduler 是默认计划程序服务，用于在远程计算机上执行电源状态和修补程序部署任务。 此计划程序用于在指定时间启动任务，无论是立即启动还是在某个指定的时间启动。

随着 Ivanti Scheduler 的停用，防火墙设置中不再需要将端口 5120 设为允许端口。 此外，在确定仍在使用 Ivanti Scheduler 的所有计划任务均已运行后，应从目标计算机中移除 Ivanti Scheduler。

• 现在，从控制台执行修补程序部署时，系统会将部署工具推送至目标计算机。 可使用该工具在目标计算机上执行部署包。 部署工具的功能并非新功能；Ivanti Scheduler 中也提供这些功能。 但是，随着 Ivanti Scheduler 的停用，部署工具现在作为独立组件提供。 系统会在需要时自动向目标计算机推送部署工具。 如果需要，您可以右键单击“计算机视图”中的计算机，然后使用卸载部署工具命令，从目标计算机中移除部署工具。
• 对于离线虚拟机，不支持安装在磁盘模式设置为独立 – 持久或独立 – 非持久的虚拟磁盘上的修补产品。 如果虚拟机同时具有非独立磁盘和独立磁盘，则可以为安装在非独立磁盘上的产品安装修补程序。
• 已停止支持 ESXi 6.0，并新增对 ESXi 8.00 和 8.0.1 的支持。 现在支持的 VMware ESXi 虚拟机监控程序版本为 ESXi 6.5、ESXi 6.7、ESXi 7.0、ESXi 8.00 和 ESXi 8.0.1。
• 删除了适用于 Visual Studio 2013 的 Microsoft Visual C ++ 可再发行软件包作为控制台必备软件的要求
• 解决了一些已知问题。 请参阅 Security Controls 2023.2 发行说明，了解已解决问题的完整列表。

• 现在配置 SSH 服务器连接流程时，可以使用根据已知主机文件进行验证选项。如果希望在允许 SSH 连接之前使用 known_hosts 文件验证每台目标计算机，应选择此选项。
• 用户界面已更新为新的图标和颜色，外观更加时尚现代。 同时还增加了与 Windows 11 外观和风格相似的新皮肤。 该皮肤名为 WXI，可在选项对话框的显示选项卡中找到。WXI 是新的默认选项。
• 解决了一些已知问题。 请参阅 Security Controls 2023.1 发行说明，了解已解决问题的完整列表。

• 现在可使用新的“合规自动化”REST API 脚本。 该脚本将自动执行修补程序流程中的步骤（扫描、部署、重新启动），重复这些步骤，直到在指定计算机上部署完所有修补程序。
• 增强了 REST API 中的修补程序元数据功能，以便在查看查询结果时提供更好的排序和分页功能。
• 更新了代理客户端程序。 现在，修补程序任务日志中提供更多关于修补程序状态的信息（下载、安装、成功、失败、错误消息）。
• 增强了 SSH 服务器连接流程的安全性。 现在，您可以选择在控制台与支持 SSH 且 SMB 失败的端点通信时是否可以使用 SSH 连接。
• 在“计算机视图”的 Windows 部署历史记录选项卡中显示的错误代码中新增了更多信息。
• 停止支持 Windows 8.1：对在 Windows 8.1 操作系统上运行的 Security Controls 控制台的支持计划于 2023 年 1 月停止。
• 解决了一些已知问题。 请参阅 Security Controls 2022.4 发行说明，了解已解决问题的完整列表。

• 能够自动清理修补程序下载目录和分发服务器。 将从这些位置删除未来不太可能使用的修补程序，以便节省磁盘空间。 可在工具 > 选项 > 下载选项卡上配置此选项。
• 如果正在扫描的计算机组包含由 IP 范围、域或组织单位定义的计算机，将自动针对使用的线程池数量设置上限。 此操作可限制单次可以扫描的计算机组数量，以此提高性能，避免控制台计算机的处理器过载。 有关更多详细信息，请参阅关于全局线程池选项的信息。
• 代理用户界面的本地化版本现已推出。
• 现在可以使用此选项指定是否安装代理用户界面。 代理客户端目前需要使用 .NET 6，客户端很可能会在未来继续更新，以便使用可用的更新版 .NET。 您不希望安装代理客户端的原因可能是，计算机上已安装其他也需要使用 .NET 的应用程序。 如果不需要代理客户端，则不用担心为支持新版本的 .NET 而更新代理时，这些计算机可能出现的频繁重启和其他问题。
• 现在数据库中存储了两个新的 Linux 修补程序属性，可在报告中使用：InstalledOn 日期和通知 > 标题。
• 除了在启动时检查应用程序更新和使用寿命终止通知之外，Security Controls 控制台现在还将在 Security Controls 控制台保持打开状态时每 24 小时检查一次更新和通知。 管理员一次最多可以将通知日期推迟 7 天。
• Security Controls Cloud 网站已更新。 更新后的样式与其他 Ivanti 网站保持一致，而且使用现代客户端库来帮助确保提供最安全的浏览体验。
• 解决了一些已知问题。 请参阅 Security Controls 2022.3 发行说明，了解已解决问题的完整列表。

• 在 Security Controls REST API 帮助中添加了 PowerShell 脚本示例。 此脚本展示了如何将特定的 KB 添加到新的修补程序组或现有的修补程序组。 如果需要将带外安全修补程序同时添加到多个修补程序组，此脚本可以简化这一过程。
• 其他选项可用于更精确地指定 Security Controls 界面中应使用的语言。 在工具 > 选项 > 显示选项对话框中，可以选择特定的语言，也可以让控制台计算机的操作系统语言设置来指定应使用的语言。 系统以用户为单位应用新的语言选项。
• 对 Red Hat Enterprise Linux 6 的支持已结束。 这是因为 Red Hat 已停止为 Red Hat Enterprise Linux 6 提供维护支持。
• 纠正了一个夏令时问题，因此该问题有时会导致计划扫描延迟一小时运行或被禁用。 该修复添加了一项定期检查，用于重新启用计划扫描。
• 解决了一些已知问题。 请参阅 Security Controls 2022.2 发行说明，了解已解决问题的完整列表。

• 计算机视图中提供的信息现在更加完整，而包含相同名称的虚拟机的报告中也是如此。 之前，对于名称相同但 vCenter 路径不同的托管在线虚拟机，只会创建一个条目。 此版本单独列出各个计算机，并为每个计算机提供完整的主机数据路径信息，以表明计算机之间的区别。
• 即将提供已更新的应用程序控制引擎组件。
• Security Controls 控制台意外关闭之前显示的错误消息中提供了更多上下文。 新文本明确告知，控制台关闭的原因是它无法下载所需的内容数据。
• 解决了一些已知问题。 请参阅 Security Controls 2022.1 发行说明，了解已解决问题的完整列表。

删除与其他用户共享凭据的用户的功能

用户角色分配对话框已替换为新的用户管理器对话框。 除了允许您为不同的用户分配不同的角色外，用户管理器对话框现在还允许您删除不再有权访问 Security Controls 的任何用户。例如，如果某个管理员已被分配给其他项目或已离开组织，您可能需要删除该用户。 如果待删除的用户当前正在与一个或多名用户或后台服务共享凭据，您可以在删除用户之前清除所有共享凭据关联。

改进的 Windows 代理客户端程序

代理客户端程序已经过重新设计，可提供焕然一新的外观和使用体验。 此外，该程序还提供了更多故障排除信息，并且在信息呈现方式上也实现了改进。

Windows 11 和 Windows Server 2022 支持

添加了对 Windows 11 和 Windows Server 2022 的支持，以便作为控制台以及在需要修补的目标计算机上使用。

• 解决了一些已知问题。 请参阅 Security Controls 2021.2 Update 1 发行说明，了解已解决问题的完整列表。
• 现在支持的 VMware ESXi 虚拟机监控程序版本为 ESXi 6.0、ESXi 6.5、ESXi 6.7 和 ESXi 7.0。 删除了对 ESXi 5.x 的支持。

如果使用 ESXI 7.0 Update 1 或更高版本，则必须在虚拟机监控程序上安装修补程序离线捆绑包。 有关详细信息，请参阅 VMware ESXi 7.0 Update 1 发行说明。

• 以下操作系统不再受支持：
• Windows Server 2008 R2 和 Windows 7 操作系统上不再支持 Security Controls 控制台
• Windows 8 和 CentOS 6 操作系统上不再支持 Security Controls 代理
• Windows XP、Windows Server 2003、Windows Vista 和 Windows 8 操作系统上不再支持无代理操作

旁加载修补程序

旁加载是指管理无法自动下载的修补程序的过程。 旁加载功能可大幅简化此过程。 您需要手动下载修补程序文件，但在此之后，旁加载功能将接管并提供一些自动化服务。 具体而言，该功能将验证手动下载的修补程序的内容，根据需要对其重命名，然后自动将修补程序文件保存到修补程序下载目录。 位于此处后，修补程序已经准备好使用正常的部署流程进行部署。

自动从数据库中删除非活动计算机

自动从数据库中删除非活动计算机的功能已添加到数据库维护工具。 非活动计算机可能是在指定的天数内未将代理签入控制台、未评估或者未包括在修补程序部署中的计算机。 此操作很重要，因为非活动计算机不会准确描述组织的当前状态。

连续无代理扫描

现在可以选择以短至三分钟的间隔配置无代理修补程序扫描。 此配置能够对指定的计算机组执行几乎连续的扫描。

使用 CVE 进行脚本化扫描和部署

提供了一系列详细的 PowerShell 脚本，显示如何使用来自 CVE 文件的输入来扫描和部署修补程序。 这些脚本调用 REST API 并执行一些任务，包括：

• 解析 CVE 文件并将内容转换为修补程序组
• 创建扫描模板，用于扫描修补程序组中包含的修补程序
• 有选择地部署任何缺少的修补程序

工作站和服务器许可证信息

现在可以在两个不同的位置查看关于当前许可证状态的其他详细信息。 可以：

• 在控制台上选择帮助 > 关于 Ivanti Security Controls 可查看当前用于服务器和工作站的部署许可证席位的数量。
• 生成详细许可证状态报告，其中显示许可的可用席位数量、已使用的席位数量，使用席位的方式和时间以及席位将再次可用的时间。

• 在 REST API 中添加了新的配置方法，可用于显示 Security Controls 控制台的版本信息。
• 在 REST API 帮助的修补程序部署方法中，添加了 DeploymentResult 表格，其中包含用于识别部署的各种状态的代码。
• 在 REST API 帮助的计算机方法中：
• 向输出模型添加了 credentialId 字段
• 添加了新的 PUT 操作，用于向计算机分配和取消分配凭据
• 向系统要求中的端口要求表添加了端口 902 信息
• 结束了对 CentOS 6 Linux 客户端的支持。 这是因为 Red Hat 已停止为 CentOS 6 提供维护支持。

通过完全限定域名 (FQDN) 连接到计算机

在此版本之前，Security Controls 控制台使用计算机的 IP 地址与客户端建立连接。 然而，某些网络已经开始在采用其他 Kerberos 安全措施的更严格环境中运行。 特别是，如果您的环境中的客户端计算机使用服务器消息块 (SMB) 协议与服务器建立连接，则可能需要对客户端的服务主体名称 (SPN) 执行某种级别的验证。 对于这些网络，您现在可以选择完全限定域名 (FQDN) 作为连接方法。 这样将满足其他验证要求，并实现与客户端计算机的成功连接。

“复制用法”按钮

对于共享的凭据，这个新按钮让您能够添加您的用户帐户尚未使用的任何凭据用法。 如果凭据所有者或共享凭据的其他用户自最初与您共享凭据以来已添加一种或多种新用法，并且您想与这些变更保持同步，则您可以进行此操作。

REST API 增强

多个新功能已添加到 REST API 中的以下功能区域：

• 修补程序元数据：添加了对 IAVA ID 的支持，您现在可以对查询结果进行排序和分页。 我们通过引入三个新的查询 URL 参数来实现此功能：iavaIds、orderBy 和 sortOrder。 此外，现在可以使用九个新的输入字段：affectedProducts、bulletinTitle、familyId、familyName、fileSize、iava、summary、vendorId 和 vendorName。
• 计算机组：connectionMethod 属性已添加到输入和输出模型。 此属性与通过完全限定域名 (FQDN) 连接到计算机功能（参阅上文）一起添加。
• 修补程序扫描：您现在能够结合为扫描而指定的端点名称一起指定连接方法。 此属性与通过完全限定域名 (FQDN) 连接到计算机功能（参阅上文）一起添加。
• 代理部署：connectionMethod 属性已添加到输入模型。 此属性与通过完全限定域名 (FQDN) 连接到计算机功能（参阅上文）一起添加。
• 修补程序部署：您现在能够使用指定的部署模板将特定的修补程序部署到特定的计算机。 这样为 Ivanti Neurons 客户提供了集成式修补解决方案，对希望定制修补程序部署的现有本地客户很有用。 现在可以使用以下输入参数：deployWhat、machines 和 runAsDefault。

对 Red Hat Enterprise Linux 8 的支持

用户现在能够使用代理来扫描和修补供应商支持的 RHEL 8（仅限 64 位）计算机的所有服务器、工作站、客户端和计算机节点变体。

通过 Ivanti 提供的动态数据内容的更新而能够支持 RHEL 8。 这意味着 Security Controls 的两个先前版本（2019.3 和 2020.1）现在也能够支持 RHEL 8。

共享的凭据

您现在可以与一个或多个用户共享凭据。 这在多管理员环境中尤其有用，因为它让高级管理员能够将操作委托给低级管理员。 低级管理员能够在不知道安全凭据的密码的情况下使用该凭据与端点交互。 此外，当密码需要更新时，可从单个位置更新。

计算机视图和扫描视图中的计算机分组

计算机视图和扫描视图中新的已分配的组列让您能够将相关的计算机分组，从而更轻松地执行无代理操作并在计算机上生成报告。 此列对云代理等计算机尤其有用，因为这些计算机不属于计算机组。 有了“已分配的组”功能，您现在可以将这些计算机与具有相同的物理位置或代理策略等类似属性的其他计算机分组。

改进了产品许可流程

现在可使用新的基于凭据的激活方法，让您能够明确指定要根据特定权利使用的可用许可证席位数。 在控制台中具有 Internet 连接的新客户将使用此方法。 对于要升级的现有客户以及需要从断开连接的网络中激活的客户，基于密钥的旧版激活方法仍然受支持。

其他 REST API 功能

现在可通过 REST API 获得以下功能区域：

• Cloud 同步
• 计算机
• 用户

共享凭据和将计算机分配到组的功能也已添加。 有关完整信息，请参阅 REST API 帮助。

深度重新命名

对过时的公司和产品名称的引用已被删除。 包含公司和/或产品名称的目录路径和其他项目现在是最新版本。

软件分发通知

现在，当您将软件分发修补程序添加到修补程序组或开始扫描第三方应用程序时，将显示通知对话框。 此警告有助于防止在您的端点上不经意地安装第三方应用程序。

改进的端口要求列表

系统要求帮助主题中的端口要求表现在包含更详细的信息。

“修补程序细目”列已重命名为“运行状况”

在计算机视图和扫描视图中，修补程序细目列已重命名为运行状况。 新的名称更好地体现了该列的用途，即通过提供已安装的修补程序与缺失的修补程序的百分比的可视化表示方式来表明计算机的“运行状况”。

将原始扫描名称带入相关的部署名称

在修补程序扫描之后进行修补程序自动部署时，扫描名称现在与相应的部署操作关联。