在以網際網路為基礎的電腦中安裝及支援代理程式
本節針對設定支援網路環境以外電腦的代理程式原則提供了基本建議。 對於經常與網路中斷連線,但又經常連線至網際網路的筆記型電腦使用者而言,此組態最為理想。 對於沒有直接網路連線但可存取網際網路的獨立站點而言,它也非常實用。
在此解決方案中,您的代理程式會簽入並接收來自雲端的原則更新。 這可以透過使用名為 Security Controls Cloud 同步的 Ivanti Security Controls 功能所完成。 其讓您能夠管理無法與控制台直接通訊之電腦上的代理程式。
如需關於 Security Controls Cloud 同步的背景資訊,請參閱以下主題:
代理程式安裝
在位於網路環境以外的電腦上安裝代理程式的主要方式有兩種可選。
- 您可以在各個目標電腦上進行手動安裝
- 您可以使用 Security Controls Cloud 透過雲端安裝代理程式
若您僅擁有少量電腦,手動安裝為可行方式。 但若您所擁有的是大目標群時,會建議透過雲端進行代理程式安裝。
當程序完成時,您所有的代理程式應均能在內部及外部提取原則更新及匯總結果。 您可將電腦連接至網路以外的網際網路以對此進行測試,手動啟動掃描且隨後查看結果;在您的網路中重複進行此操作。
代理程式原則的組態
- 在主功能表上,選取新增 > 代理程式原則。
- 為原則命名。
- 在一般設定索引標籤中設定選項。
- 在修補程式索引標籤上,按一下新增 Windows 修補程式工作,接著命名及設定工作。
- 按一下儲存並更新代理程式。
您可以依據需求設定允許使用者設定。 建議停用取消作業,因為大多數使用者在得知 (如果他們有注意到) 掃描正在執行時都會將其停止,阻礙代理程式執行其工作。
在簽入間隔區域中,建議設定較頻繁的簽入頻率。 此舉能讓代理程式迅速回應環境中的原則變更。
在引擎、資料及修補程式下載位置區域中,建議在此情況下使用網際網路廠商,因為代理程式主要位於網路以外。 若您要設定大量代理程式,可以選擇啟用分發伺服器和使用廠商做為備份來源。 代理程式會先檢查分發伺服器上的最新引擎和 XML 資料檔案,若分發伺服器無法使用,則會使用廠商網站替代。
在網路區域中啟用與Security Controls Cloud 同步核取方塊。 這會指定代理程式將能選擇使用 Security Controls Cloud 來擷取最新的代理程式原則資訊,使其能夠透過雲端執行同步。 只有在控制台註冊至 Security Controls Cloud 後,這個核取方塊才可供使用。 當您按一下儲存並部署至代理程式時,會將一份代理程式原則副本及所有必要元件寫入 Security Controls Cloud 服務。
可以啟用代理程式接聽連接埠的更新。若要這樣做,建議的最佳安全做法是修改防火牆規則,在網路之外時封鎖連接埠,而在網路內部時則開啟連接埠。
此原則用來保護目標電腦,因此在掃描及部署選項索引標籤上,我們建議使用安全修補程式掃描做為修補程式掃描範本。 您可依個人意願選用自訂範本,但在本範例中,我們會遵循基本安全性最佳實務。
確認已啟用部署修補程式核取方塊。
在部署後重新啟動索引標籤上選擇指定下列內容的部署範本:
- 必要時重新啟動
- 已排程在下一個所指定時間重新啟動
- 指定在下班時間,以免妨擾使用者的工作日
您可以指定最為安全的所有偵測為缺少的修補程式,或是可以基於修補程式群組進行部署並啟用加上所有廠商重要修補程式核取方塊。 此選項可確保在您並未將最新安全性修補程式套用於修補程式群組,或是代理程式並未取得已更新清單的情況下,其仍會部署最新 XML 資料檔案內所發佈的重大安全性修補程式。
啟用部署產品級別核取方塊。 您可以選擇部署經掃描識別為缺少的所有產品級別,也可以將部署僅侷限在您於產品級別群組中定義的產品級別。 請參閱產品級別和修補程式部署程序以取得詳細資訊。
在排程索引標籤中,選擇每天並指定電腦通常會維持開機狀態且網路流量可能用量較低的時段 (像是午餐時間)。 通常您可以指定工作週的其中一天。 若您選擇在正常上班時間以外的某個時間進行,建議您啟用若錯過排程則在啟動時執行核取方塊,確保即使錯過了最近一次排程工作,也仍會進行評估。