自動發佈 CVE 更新

如有需要,您可以僅一次性手動匯入 CVE 並發佈相關更新,而無需定期進行。

概觀

「常見弱點與漏洞 (CVE)」清單可供公眾查閱目前已知的網路安全性弱點。 由 MITRE 公司 (mitre.org) 維護的這份清單會在偵測到新弱點時持續更新。 若貴組織有使用 CVE 清單,可能會難以確切判定需要發佈哪些更新才能保護機器免於受到清單中識別的威脅。

幸好 Patch for Configuration Manager 可簡化這整個程序。 您可以建立週期性排程工作,以便自動:

  • 掃描包含一個或多個 CVE 檔案的資料夾
  • 判斷與各個 CVE 相關的更新
  • 發佈可解決 CVE 的更新

每個控制台都可以有多個排程 CVE 工作。 您可能需要多個排程工作的其中一個原因是要為不同 CVE 組別定義不同的步調。 或者,您可能想要將不同的更新發佈至不同的軟體更新群組。 對於您在指定的時間可以擁有的週期性排程工作數量並沒有理論上的限制,但是您可以決定您的網站有實際限制。

  1. 在 Configuration Manager 軟體程式庫工作區中,展開 Software Updates > Ivanti Patch 資料夾,然後按一下自動化排程器
    • 行事曆隨即顯示,其中會包含所有控制台的排程工作。 您可以:
    • 按兩下排程工作、使用右鍵功能表或是選取排程工作後按一下編輯,即可對其進行編輯
    • 使用右鍵功能表,或是選取排程工作後按一下歷史記錄,即可檢視工作的歷史記錄
    • 使用右鍵功能表,或是選取排程工作後按一下刪除,即可刪除工作

    提示: 您也可以使用 Microsoft 工作排程器來管理排程工作。

  2. 首頁索引標籤上,按一下依據 CVE 發佈
    依據 CVE 發佈更新對話方塊隨即顯示。

  3. 指定能唯一識別此工作用途的名稱。
    此名稱也會在自動化排程器行事曆中顯示。
  4. 指定您的 CVE 來源資料夾的路徑。
    這是包含您的 CVE 檔案的資料夾。 資料夾內的所有檔案都會得到掃描,藉此確認其中是否包含 CVE。 這些檔案可以是 .txt、xml 或 .csv 等任何可接受的格式。 重複的 CVE 則會忽略。

    在此欄位中輸入的完整路徑名必須是 UNC 路徑。

    範例: 您的安全性團隊可能會每個月定期使用弱點掃描工具來建立更新的 CVE 清單。 您只需每個月將新產生的 CVE 檔案移至此資料夾中,其他就交由自動化程序來完成。

  5. 指定工作應該何時執行,以及應該進行什麼動作。
    • 排程: 指定應該執行工作的日期和時間。 其中一個選項是配合 Microsoft 的「週二修補程式日」之類的例行每月活動安排工作。 例如,您可以指定第二個週二,然後使用新增延遲 (天數) 選項來使工作延遲一天,以便安排發佈在「週二修補程式日」後一天進行。

      使用新增延遲 (天數) 選項排程的工作將會執行 12 個月,直到重新排程為止。 當工作來到其最後三個月時,系統將產生警示,並通知您輸入認證以重新排程工作。 若您輸入您的認證,則使用新增延遲 (天數) 選項的所有工作將會重新排程為另外執行 12 個月的時間。

    • 已登入使用者:如果啟用,可指定您將使用目前登入的使用者本身的認證將發佈工作新增到 Microsoft 排程器。 使用者方塊會自動填入內容,因此您只需要鍵入帳戶密碼。
    • 不同的使用者:如果啟用,可指定您將發佈工作新增到 Microsoft 排程器時要使用不同的使用者帳戶。 例如,您可以指定密碼未過期的服務帳戶。

      該帳戶必須:

      • 以批次工作登入權限。
      • 是 WSUS 伺服器的 WSUS 管理員群組成員。
      • 是 WSUS 伺服器的本機管理員群組成員 (如果 WSUS 伺服器在遠端)

      指定不同的使用者時,您必須指定是否需要認證才能向 Proxy 伺服器驗證。

      • 需要 Proxy 驗證 – 使用以下認證:如果啟用,表示使用使用者帳戶時需要 Proxy 伺服器認證。 如果選擇同上,將使用使用者認證做為 Proxy 認證。 如果選以下認證,您可以提供另一組 Proxy 認證。
      • 使用者名稱:輸入 Proxy 伺服器的帳戶使用者名稱。 可以讓網域做為使用者名稱的一部份 (例如: mydomain\my.name)。
      • 密碼:鍵入 Proxy Server 帳戶的密碼。
    • 離線執行排程工作: 如果啟用,排程的發佈工作將在離線模式中執行。 這表示控制台不會嘗試下載選取的更新檔案。 若要成功發佈,更新必須已經位在本機來源資料夾中。

      如果在離線選項標籤中啟用離線執行,則將自動勾選此核取方塊。

    • 接受目錄中所有的中繼資料更新:如果要以尚未發佈的更新可用的任何中繼資料修訂版本自動更新 WSUS,請勾選此核取方塊。
    • 同步更新: 如果您要 Configuration Manager 在此工作中自動與 WSUS 資料庫同步,請勾選此核取方塊。 由此將執行遞增同步。 如果您不勾選此核取方塊,您定期排程的同步程序進行時,才有發佈的更新可供部署。 選取首頁標籤,然後按一下同步軟體更新,也可開始同步。
    • 僅發佈中繼資料:如果啟用,這將發佈更新的偵測邏輯,而非實際軟體二進位制檔案。 如果要偵測用戶端是否需要更新,但是確定無法安裝更新,您可能會這麼做。 只有在特定情況下和伺服器設定中,才能使用此功能。

      如編輯以僅限中繼資料的形式發佈的更新,將刪除原始更新,並且將以僅限中繼資料的形式重新發佈編輯的更新。 這表示這些更新的修訂版本編號始終是 1。 無法重新簽署以僅限中繼資料的形式發佈的更新,因為沒有內容可簽署。 嘗試重新簽署將導致記錄檔出現警告訊息。

    • 軟體更新群組選項: Configuration Manager 提供軟體更新群組來幫助您整理與部署軟體更新。 使用 Patch for Configuration Manager 發佈的更新可自動新增至新的或現有的軟體更新群組。

      您可以選擇下列其中一個選項:

      • 不要將更新新增至軟體更新群組: 排程工作中沒有任何更新將新增至軟體更新群組。
      • 將所有更新新增至軟體更新群組: 在排程工作中指定的所有更新都將新增至軟體更新群組。
      • 只將新發佈的更新新增至軟體更新群組: 只有在排程工作中指定的新發佈更新才會新增至軟體更新群組。

      只有在您選擇將更新新增至軟體更新群組時,下列選項才適用:

      • 名稱: 若您希望將已發佈的更新新增至現有的軟體更新群組,請從下拉式清單選取群組名稱。 您也可以鍵入名稱的前幾個字母,直到正確的群組顯示為止。 若想指定新群組,請從下拉式清單選取新增,然後提供唯一群組名稱與說明。
      • 說明: 此欄位描述指定的軟體更新群組的用途。 說明是在建立群組時所定義的內容,無法在此處修改。

      在發佈程序完成且已執行同步之後,更新便會新增至軟體更新群組。

      • 每次此項工作發佈更新時,建立一個新的軟體更新群組: 系統將會針對每次發佈建立唯一的軟體更新群組。 群組將會根據工作名稱以及發佈的日期與時間來命名。
    • 部署選項: 此區域提供選項以讓 Patch for Configuration Manager 將已發佈的更新快速部署至您的端點。 更新將在部署時立即供您的端點使用。 如需部署的其他資訊,請參閱簡化的第三方更新部署
      • 發佈之後部署更新: 若您想要指定部署選項,請啟用此核取方塊。 為了讓此核取方塊可供選取,在發佈選項區段中,您必須啟用同步更新選項,且必須選擇成將更新新增至軟體更新群組。
      • 部署設定檔: 部署所選更新時將使用的部署設定檔。
      • 部署套件: 指定部署將在何處分階段以供分發。 Configuration Manager 使用部署套件將內容移入分發點,接著將其推送至端點。
      • 發佈之後的部署期限: 允許您指定部署程序必須開始的特定日期和時間。
      • 依據使用者偏好延遲截止日期執行期限: 如果啟用,此時系統會遵守使用者所設定的任何工作時段,並且部署程序會在這些設定時段以外的時間才開始。
      • 完成需要系統重新啟動的更新後,進行更新部署評估週期: 如果啟用,在部署需要重新啟動的更新後,用戶端會在重新啟動後針對缺少的更新進行新一輪的評估。
    • 僅發佈符合以下條件的那些更新: 讓您指定要定期發佈哪些 CVE 相關更新。 您可以在下列兩個選項中選擇一個或兩個選項:
      • 適用於安裝在端點上的產品: 如果啟用,則僅會發佈適用於您用戶端電腦上目前已安裝之產品的更新。
      • 符合此篩選器: 您可以選擇名為 *最新未發佈的預先定義篩選器,或任何一個您的自訂篩選器。

      範例 1:若要發佈先前尚未發佈且未廢止的所有更新,請選取 *最新未發佈篩選器。 這麼做能夠自動依週期發佈新的更新。

      範例 2:假設您先前已經建立自訂篩選器,識別您組織中使用的產品所有未發佈的重要更新。 只要在這裡選取該篩選器,就能夠依週期發佈這些更新。

      如果更新包含不同語言的不同套件,則僅會發佈在語言索引標籤上指定的語言版本。

  6. 按一下新增工作
  7. 檢閱自動化排程器行事曆,確認工作是否已排定正確的日期和時間。
  8. (選用) 使用 Configuration Manager 追蹤記錄工具開啟 AutoPublish.log 檔案並監控發佈程序。

    AutoPublish.log 檔案透過發佈到 WSUS 的任何一次性或週期性排程工作來編寫。 記錄檔位於 \Users\<user name>\Ivanti\Patch 目錄。