在無代理程式環境中自動化修補程式管理

任何 IT 群組的目標就是程序的集中化和自動化，以減少環境維護所需要的工作量。 Ivanti 的目標就是提供工具和解決方案以協助您達到此自動化層級。 本節將討論可協助自動化修補程式管理程序的方法。

自動化電腦搜尋

自動化修補程式程序的首要目標就是盡可能以動態方式建立您的電腦群組。 達到此目標的最簡單方法就是使用 Active Directory。 若您要使用與管理電腦修補程式相同的方式來將環境中的電腦分組，可使用電腦群組中的 OU 區域。 每次當使用電腦群組時，它都會與 Active Directory 進行溝通以從 OU 推送目前的電腦清單。 使用網域區域也與此相同，但可能會在自動化程序中包含更多步驟。 建立動態群組的另一種更簡單方式就是透過 IP 範圍建立。 當您執行新掃描時將會擷取這些範圍中的任何新電腦。

掃描範本

當我們開始談到自動化時，必須考慮要推送什麼。 大部分公司對於修補程式的核准程序定義都不夠嚴謹。 您必須根據您的需求來決定哪種方式最適合您的情況。 若您注重所有的安全性修補程式，無論何種產品，都可使用內建於產品中預先定義的安全性修補程式掃描範本。 XML 資料檔案的任何新版本在下次使用時，都會自動在此掃描範本中包含安全性修補程式。

這對於一般使用者環境來說或許已足夠，但對於自動化伺服器修補程式來說，您可能需要考慮使用修補程式群組。 修補程式群組或核准的修補程式清單可讓您定義要掃描的特定修補程式清單。 它可繫結至掃描範本然後加以排程以透過自動部署進行掃描，自動化從開始到結束的修補程式程序。 當發行新的修補程式時，您可以評估並判斷要核准哪些修補程式部署在您的環境中，並透過新的修補程式更新您的修補程式群組或核准的修補程式清單。 排程的掃描可掃描缺少的修補程式並從修補程式清單進行部署，以將這些變更列入考量。

在以下螢幕擷取畫面中，您可以看見掃描範本篩選索引標籤。 您可以使用基準或例外篩選器指定核准的修補程式清單，或者整體表示修補程式基準集合的一個或多個修補程式群組。 以下各節將說明如何建立修補程式群組或修補程式清單。

修補程式群組

當 Security Controls 使用修補程式群組掃描選定的修補程式時，其會一律掃描並報告所有產品級別的狀態。 它也將停用修補程式取代，這意味著它將顯示已由較新版修補程式所取代而缺少的舊版修補程式。

若要建立新的修補程式群組，請在主功能表上選取新增 > Windows 修補程式 > 修補程式群組。 這會顯示「修補程式檢視」對話方塊。 任何現有的修補程式群組均會在下方窗格中顯示。 使用「修補程式檢視」篩選器以縮小顯示在上方窗格中的修補程式清單範圍。 然後您可以在需要的修補程式上以滑鼠右鍵按一下，選取新增至修補程式群組並選擇修補程式群組名稱。 系統會自動儲存修補程式群組。

您可以建立智慧篩選器以識別目前所有的供應商重大安全性修補程式。 之後對於每個修補程式版本，您只需要使用智慧篩選器從篩選的檢視選取全部並新增至現有的修補程式群組，就可以輕鬆地建立重複執行程序，只需要幾分鐘的時間就能進行維護。

在修補程式掃描範本中的基準或例外區域中，按一下瀏覽按鈕並選取您要使用的修補程式群組。 現在您可以設定掃描範本以掃描特定的修補程式清單。

若您選擇使用核准的修補程式清單，您只需要建立一個文字檔並依 KB 數字輸入修補程式，一行一個修補程式。 在掃描範本的基準或例外區域中，按一下檔案方塊的瀏覽按鈕並瀏覽到您的文字檔。 您只需要將此檔案分配至多個控制台以方便您使用，並簡化多個控制台的修補程式核准程序。

核准的修補程式清單範例:

Q123456

Q234567

Q345678

部署範本

在您的部署範本中，您將需要根據待自動化的群組需求設定重新啟動選項。 若要使用一般使用者環境，您可能需要設定重新啟動選項以增加更多彈性，因應可能需長時間工作的對象。 例如，在部署後重新啟動索引標籤的排程重新啟動區域中，指定指定時間的下次發生時。 您可能也需要啟用延長逾時核取方塊。

在伺服器環境中，並沒有特別建議採用的重新啟動選項。

• 您可能需要設定在安裝後立即重新啟動。 為何？因為您通常會在維護時段內執行掃描和部署然後立即重新啟動。 因為您通常會在維護時段內執行掃描和部署然後立即重新啟動。 您也可以縮短重新啟動的逾時以加速程序，因為任何使用這些電腦的人可能會提前知曉維護時段。
• 另一方面，您可能會選擇部署後不重新啟動，即使您通常會需要重新啟動。 當伺服器可用性對於您的業務來說至關重要時，您可能就會選擇這麼做。 您可能需要手動重新啟動伺服器，因此當重新啟動期間發生任何問題時您都可以立即因應。

排程自動作業

這是彙集一切的最終步驟。 當您完成群組和範本的設定時，您將需要排程工作以定期執行。 若要排程工作自動執行，您可以從首頁或電腦群組開始進行。 若要從電腦群組中開始，請按一下執行作業。 您將會看到類似下列內容的對話方塊:

在此對話方塊中，您可以立即執行工作、排程在指定時間和日期內執行一次，或排程要執行的週期性工作。 您也可以選擇在掃描後立即部署修補程式。 這是我們在本節中所要討論的最重要選項。 我們之前所建立的電腦群組以及掃描和部署範本已針對我們的環境進行掃描和部署的微調。 在瞭解要推送的目標之後，我們可以排程從頭到尾執行的工作，且不需要處理從某個階段到下個階段的工作。 在以上螢幕擷取畫面中，您將會看見我們已定義週期性掃描，以及設定要在每個月第二個週三執行的立即部署。 這是週二修補程式的後一日，因此幾乎都會有要推送的新修補程式。

當排程工作時，請記住排程工作所駐留的位置。 排程的掃描與立即部署會駐留在控制台中，直到掃描完成為止。 當掃描完成時，它會將修補程式推送至電腦並立即執行。 系統會根據部署範本中的設定以及目標電腦的本機時間排程重新啟動。

階段部署

相較於在掃描後立即執行分階段和部署步驟，您可能會決定根據組織的需求在更適當的時間內排程步驟，如此一來會更具意義。 例如，您的企業安全性原則可能將修補程式部署期間指定為週六晚上 10 點開始。 在此情況下，將階段部署程序排定在當天稍早時段進行會是較合適的安排，例如早上 8 點。 在此情況下，將階段部署程序排定在當天稍早時段進行會是較合適的安排，例如早上 8 點。 這樣可給予 Security Controls 週六整天的時間建立部署套件，並將這些套件複製到您的目標電腦。 接著您可以將部署套件的實際執行排定在部署期間開始時進行。 接著您可以將部署套件的實際執行排定在部署期間開始時進行。 在晚上 10 點時，一切都將準備就緒，而部署作業將會分秒不差地在您的目標電腦上進行。

「我的最愛」

「我的最愛」是電腦群組及掃描範本的組合，可供控制台在執行工作時參照。 您可以重複使用「我的最愛」來排定多個工作在不同時間點執行。 透過「我的最愛」，您可以按一下執行作業並依需要排定額外的一次性或週期性工作，而無需重新建立其他「我的最愛」。

自動電子郵件報告

在您的電腦群組、掃描範本及部署範本中，您可以設定自動產生報告並透過電子郵件寄送給指定收件人。 進行環境修補作業自動化時，這是一項能讓所有必要人員及時掌握環境最新動態的簡易而高效的工具。 有多種不同報告可供選擇，可提供不同的資料給不同的受眾並滿足其需求。 您可能需要多方嘗試，才能找出最符合您需求的報告種類。

若要使用自動電子郵件功能，您需要設定自身的電子郵件認證。 若要這樣做，請選取工具 > 選項 > 電子郵件，接著提供您的電子郵件伺服器位址及驗證資訊。

相關主題

• 控制台軟體及硬體建議
• 連接埠需求與防火牆組態
• 分散式環境管理
• 無代理程式修補程式管理
• 在無代理程式環境中套用修補程式的最佳方式
• 以代理程式為基礎的修補程式管理
• 代理程式匯總選項
• 在以網際網路為基礎的電腦中安裝及支援代理程式
• 以代理程式為基礎的產品級別和修補程式部署程序
• 如何避免受到週二修補程式影響的指南
• Microsoft SQL Server 資料庫維護
• 在中斷連線的環境中執行修補程式