代理设置：分发和修补程序

工具 > 配置 > 代理设置 > 分发和修补程序

“分发和修补程序”代理设置对话框用于控制 Ivanti® Endpoint Manager 安装程序包、运行扫描和修复文件的方式。

常规设置

在“常规设置”页面上，在此对话框中输入将与在所有页面上指定的设置相关联的名称。此名称将显示在控制台的“代理设置”列表中。

网络设置

使用此页面来自定义分发程序包影响网络流量的方式。有关详细信息，请参阅关于文件下载。

尝试对等下载：当程序包已位于相同子网中的对等设备上时，允许下载这些程序包。这样将减少网络流量。例如，如果您有多个卫星办公室，您可以在每个办公室选择一台设备用于通过网络接收程序包。然后，每个办公室的其他设备将直接从这台设备获得程序包，而不是从网络下载。
尝试首选服务器：允许自动重定向至最近的程序包共享。这样将降低核心服务器上的负载。
允许源：如果未在对等或首选服务器上找到文件，则从核心服务器下载。如果文件不在这些位置之一且未选中此选项，则下载将失败。
使用多播：使用定向多播将文件同时发送给多个设备。输入下载开始前每个子网上等待的时间值。
从核心服务器或首选服务器下载时所用的带宽：指定要使用的带宽百分比，以便不会使网络过载。可以通过调整用于分发的最大网络带宽百分比来限制带宽。滑块可调整此特定任务相对于其他网络通信的优先级。百分比滑块设置越高，此任务相对任何其他通信所使用的带宽量越大。 WAN 连接通常更慢，因此通常建议将此滑块设置为较低的百分比。
点对点下载时所用的带宽：指定本地使用的带宽百分比。由于物理位置的远近程度，此值通常大于从核心或首选服务器下载所使用的带宽。
发送详细任务状态：单击以将任务相关信息发送到核心服务器。这样会增加网络流量，因此，如果选中此选项以帮助解决特定问题，可能需要在解决问题后清除此选项。

策略同步计划

使用“策略同步计划”页面指定客户端要在何时检查核心服务器，以查看是否有可供下载的程序包。

策略同步计划
- 事件驱动型
  - 用户登录时：单击以在每次用户登录时运行策略同步。
  - 当更改 IP 地址时：单击以在 IP 地址变更时运行策略同步。
    - 最大随机延迟：指定延迟扫描的时间，以便避免同时在所有设备上下载程序包，因为这样会占满整个网络。
- 计划驱动型
  - 使用重复执行计划：单击以仅在指定时间范围期间下载分发程序包。默认值为每天检查一次。
  - 更改设置...：单击以打开本地调度程序命令对话框，可以在其中创建其他计划。
- 其他设置
- 选择 PolicySync 在重试安装失败的策略前需要等待的小时数：指定失败的策略何时自动重试。只要任务仍针对设备，则在失败时，策略将继续每 24 小时或此设置指定的任何频率重新运行一次。
- 选择重新启动重复任务的上限：指定设备上的 Policysync.exe 执行后应等待多长时间才能再次执行。例如，假设您将其设置为 15 分钟，而重复策略尝试在上次执行 10 分钟后运行，则该执行将待到您指定的分钟数过后，在下一个计划时间尝试。

通知

使用“通知”页面指定要向用户显示的信息以及用户可执行的操作。

安装/删除前的通知选项：
- 自动开始下载：在不通知用户的情况下开始下载分发程序包。
- 下载前通知用户：受管设备在开始下载程序包前通知用户。如果将此选项与延迟选项配合使用以防止用户通过慢速连接下载大型应用程序，则此选项对移动用户特别有用。
- 自动开始安装/删除：在不通知用户的情况下开始安装分发程序包。
- 安装/删除前通知用户：在受管设备开始安装或删除程序包前显示安装或删除对话框。
- 仅在必须停止进程时通知用户：仅在受管设备开始安装或删除程序包前必须停止进程时显示对话框。
- 开始更新前结束需要停止的进程：单击以关闭在安装程序包前必须停止的任何进程。
- 在更新期间阻止相同进程运行：单击以确保禁止进程重新启动，直到程序包完成安装为止。
- 是否推迟到锁定/注销：指定程序包安装前等待的时间。
进度选项
- 显示进度：选择从不显示安装进度、仅在安装或删除文件时显示进度，或者在安装或删除以及扫描文件时显示进度。
  - 允许用户取消扫描：如果选择始终向用户显示进度，将启用此选项。单击以使用户能够取消扫描。
无响应超时选项：如果允许用户推迟或取消，则会启用这些选项。
- 在修复、安装或者卸载前等待用户响应：如果允许用户推迟或取消，将启用此选项。单击以强制代理在继续操作前等待用户响应。这样可能会导致任务超时。
- 超时后，自动：单击以在指定的时间后自动开始、推迟或取消任务。

用户消息

使用此页面创建自定义消息，如果您在通知页面上选择下载前通知用户或安装/删除前通知用户，用户将看到此消息。

计划任务时，可使用一个选项来覆盖此消息。

仅适用于分发的设置

使用此页面指定向用户显示的内容和推迟安装的时间。这些选项取决于您在通知页面上选择的设置。还可以使用“仅适用于分发的设置”页面选择虚拟应用程序的位置。

反馈
- 显示完整程序包界面：单击以向用户显示安装显示的所有内容。此选项仅供高级用户使用。
- 向最终用户显示成功或失败状态：单击以仅向用户显示安装结果。
推迟到下次登录：单击以允许用户将安装推迟到下次登录设备。
- 推迟特定时间：指定用户可以推迟安装的最长时间。
  - 限制用户推迟次数：单击以输入用户可推迟安装的最大次数。
选择用于存储 Ivanti 虚拟应用程序的位置
- 客户端目标：单击以在新环境中安装程序包，而不是在设备上安装程序包。
启用 LDAP 组定位：单击以将分发定位到您在 Microsoft 域上设置的组，而不是定位到 Ivanti 中的设备和用户名。
允许通过 CSA 进行 LDAP 解析：单击以在经过云服务设备时将分发定向到 Microsoft 域中的对象。

脱机

使用此页面指定当受管设备在程序包安装期间无法联系核心服务器时要执行的操作。

等待，直到设备能够联系管理核心服务器：单击以停止安装，直到设备设备能够联系核心服务器为止。
脱机安装程序包：单击以创建计划任务，该任务会将文件下载到设备上，但不安装。

注销用户选项

使用此页面指定是否在用户从设备注销时安装。

注销用户行为
- 继续安装：单击以在用户注销时安装分发程序包。
- 失败安装：单击以在用户注销时不尝试安装分发程序包。
- 下次登录时运行：单击以在用户注销时不尝试安装分发程序包，并在用户再次登录时开始程序包安装。

下载选项

使用“下载选项”页面指定客户端应下载并安装修补程序还是从服务器运行安装。

从源运行：单击以从首选或核心服务器安装修补程序。如果客户端计算机没有足够内存来下载修补程序，此选项很有用。
下载并执行：单击以将修补程序下载到客户端并安装。此选项可降低服务器上的负载。

仅适用于修补程序的设置

使用“仅适用于修补程序的设置”页面选择扫描、修复和下载文件时的重新启动和替代核心服务器选项。

当不需要重新启动
- 关闭前需要最终用户输入：选择此选项使通知对话框保持可见，直到用户响应。
- 超时后关闭：选择此选项以在指定倒计时之后关闭通知对话框。
替代核心服务器
- 与替代核心服务器通讯：单击以选择默认核心服务器不可用时要使用的服务器。
通过 CSA 安装时：点击下拉列表中的选项以指定通过 Cloud Service Applicance 门户安装扫描仪的方式。这适用于您的人员位于网络外部的情况，例如在旅途中需要与核心服务器进行通信的员工。
- 照常从核心服务器下载修补程序：这将需要一个额外的步骤，并且可能导致延迟或网络问题。
- 不下载修补程序。忽略请求：这将重新计划下载。如果带宽有问题，请选择此选项。
- 从制造商下载修补程序。失败时回退到核心服务器：这将在经过核心服务器前尝试直接从 Microsoft 等制造商下载修补程序。这在您自己的网络上占用的带宽更少。
- 从制造商下载修补程序。失败时不回退：这将尝试直接从 Microsoft 等制造商下载修补程序。无法下载修补程序，将重新计划下载。
通过 VPN 安装时（2020.1 SU3 及更高版本）
- 优先从供应商下载（在核心服务器上回退）：启用此选项可使端点直接从供应商下载修补程序内容，前提是其 VPN 配置允许则绕过 VPN。这样有助于减少 VPN 带宽消耗。为了让此功能正常工作，您需要提供 VPN 接口关键字，允许代理检测 VPN 何时处于活动状态。此关键字应匹配客户端上的 VPN 接口连接描述中的唯一内容。
扫描时 CPU 的使用率：设置滑块以指定扫描期间允许的 CPU 使用率情况。
检查磁盘空间：（2021.1 SU1 及更高版本）在修补之前，检查是否有规定的磁盘空间可用。如果没有足够的空间来执行修补程序，则修补将会失败。默认禁用此项。
计划任务日志：指定扫描器向核心服务器发送的信息。例如，如果遇到问题，您可能希望发送调试信息以尝试解决问题。

请勿打扰

使用此页面指定关键任务进程，以便在运行这些进程时不会进行扫描。例如，为了确保扫描器不会在演示期间运行，可以应用筛选器，以便实现可以在打开 PowerPoint 期间重新启动但不会在以全屏模式运行 PowerPoint 时重新启动。

添加默认值：使用默认进程来填充列表。
添加...：打开指定进程筛选器对话框，可以在此输入进程的名称，并且指定是在任何运行进程的时间应用筛选器，还是仅在以全屏模式运行进程时才应用。
编辑...：打开指定进程筛选器对话框，可以在此更改列表中的现有进程的筛选器。
删除...：从列表中删除进程。
旧版 Mac 代理用户中断设置 如果升级了您的 Mac 客户端，请勿打扰页面上的所有设置都会受到支持。但是，如果尚未升级您的 Mac 客户端，您可以使用以下选项：
- 运行演示时隐藏扫描进度对话框：单击以将扫描进度对话框保留在后台，以便不会中断演示。
- 运行演示时推迟修复：单击以推迟任何修复，直到演示结束。

扫描选项

使用此页面指定安全扫描器将按组还是按漏洞类型进行扫描。

扫描
- 组：从下拉列表中选择自定义的预配置组。
  - 立即修复所有已检测到的项：指明此特定组扫描所标识的任何安全风险将自动进行修补。
- 类型：指定此扫描任务要扫描的内容类型。可以只选择已订阅 Ivanti® Endpoint Security for Endpoint Manager 内容的内容类型。此外，扫描的实际安全定义取决于“修补程序和遵从性”窗口中“扫描”组的内容。换言之，如果在此对话框中选择漏洞和安全威胁，那么只有那些当前位于各自“扫描”组中的漏洞和安全威胁会被扫描。
启用自动修复：指示安全扫描器如果在扫描的设备上检测到任何漏洞或用户定义，将自动部署和安装所需的相关修补程序文件。该选项仅适用于安全扫描任务。要进行自动修复，定义必须先启用自动修复。

计划

使用此页面指定安全扫描器将以计划任务方式运行的时间范围。选择设置后，此页面会显示计划摘要。

事件驱动型
- 用户登录时：单击以在每次用户登录时扫描和修复定义。
  - 最大随机延迟：指定延迟扫描的时间，以便避免同时扫描所有设备，因为这样会占满整个网络。
计划驱动型
- 使用重复执行计划：单击以仅在指定时间范围期间扫描和修复定义。
- 更改设置...：打开本地调度程序命令对话框，可在其中定义安全扫描的参数。此对话框由几项 Ivanti 管理任务共享。单击帮助按钮以了解详细信息。

高频扫描

使用此页面使代理能够以比通常更高的频率检查特定组中的定义。发生病毒爆发或者需要尽快分发其他紧迫的修补程序时，这很有帮助。例如，您可能想要客户端每 30 分钟扫描一次，并在可能包含关键漏洞的特定组每次登录时进行扫描。高频扫描为可选项。

为下列组启用高频扫描和修复定义：启用高频安全扫描功能。一旦选中此信息后，那么需要从下拉列表选择自定义组。
- 立即安装（修复）所有适用的项：单击以允许代理安装位于您指定的文件夹之一中的修补程序。
计划
- 事件驱动型
  - 用户登录时：单击以在每次用户登录时扫描和修复定义。
    - 最大随机延迟：指定延迟扫描的时间，以便避免同时扫描所有设备，因为这样会占满整个网络。
- 计划驱动型
  - 使用重复执行计划：单击以仅在指定时间范围期间扫描和修复定义。
  - 更改设置...：打开本地调度程序命令对话框，可在其中定义安全扫描的参数。此对话框由几项 Ivanti 管理任务共享。单击帮助按钮以了解详细信息。
覆盖设置：从下拉框中，选择要用“分发和修补程序”对话框中指定的设置来覆盖的设置。
- 编辑...：单击以打开该特定设置的分发和修补程序设置对话框。
- 配置：单击以打开配置分发和修补程序设置对话框。有关详细信息，请单击帮助。

试用配置

在整个网络上执行更广泛的部署前，使用“试用配置”页面在较小的组上测试安全定义。例如，您可能希望仅在 IT 组中的设备上安装新的 Microsoft 修补程序，从而在其被分发到组织中的所有用户之前确认其不会造成任何问题。使用试用组为可选项。

在下列组定期扫描和修复定义：启用试用安全扫描功能。一旦选中此信息后，那么需要从下拉列表选择自定义组。
计划
- 事件驱动型
  - 用户登录时：单击以在每次用户登录时扫描和修复定义。
    - 最大随机延迟：指定延迟扫描的时间，以便避免同时扫描所有设备，因为这样会占满整个网络。
- 计划驱动型
  - 使用重复执行计划：单击以仅在指定时间范围期间扫描和修复定义。
  - 更改设置...：打开本地调度程序命令对话框，可在其中定义安全扫描的参数。此对话框由几项 Ivanti 管理任务共享。单击帮助按钮以了解详细信息。

间谍软件扫描

使用此页面更换或替代来自设备代理配置的间谍软件设置。

实时间谍软件检测可监视设备，查找尝试修改本地注册表的最新已启动过程。如果检测到间谍软件，设备上的安全扫描器会提示最终用户删除间谍软件。

用客户端配置替代设置：更换最初通过代理配置在设备上配置的现有谍软件设置。使用以下选项指定要部署到目标设备上的新间谍软件设置。
设置
- 启用实时间谍软件禁止：在具有此代理配置的设备上打开实时间谍软件监视和禁止。
  
  注意：必须手动启用针对已下载间谍软件定义（希望包括在安全扫描中）的自动修复功能，才能运行实时间谍软件扫描和检测。默认情况下，已下载的间谍软件定义不开启自动修复功能。
- 间谍软件被阻止时通知用户：显示消息，通知最终用户已检测到并修复了间谍软件程序。
- 如果应用程序不是可识别的间谍软件，在安装之前需要得到用户的同意：即使检测到的进程根据设备当前的间谍软件定义列表不会被视作间谍软件，但最终用户在其机器上安装软件之前还是会收到提示。

安装/删除选项

使用“安装/删除”选项指定代理在确定需要修补程序时应执行的操作。

重新启动已挂起：如果要开始安装修补程序而不考虑设备是否请求重新启动，请单击此选项。

继续

使用“继续”页面允许代理在满足指定条件时立即安装或删除修补程序。例如，如果需要安装十个修补程序以修复单个漏洞，“继续”可实现逐个安装。

满足先决条件后自动继续安装/删除操作：单击以允许代理在满足任何先决条件后自动安装或删除修补程序。
- 附加自动修复计数：默认允许 5 次自动修复，在安装修补程序的紧迫性与允许用户完成工作之间取得平衡。

维护时段

使用此页面指定代理可执行任何安装、修复或删除操作的时间参数。

计算机必须处于此状态：单击以指定用户是否必须注销或设备是否必须锁定达指定的时长。
- 延迟：如果要将操作延迟数分钟以确保用户不会返回到设备，请使用此选项。
计算机必须处于此时段：单击以通过设置详细的计划来配置维护时段。指定一天中的时间、一周中的某几天以及一月中的某几天。代理将仅在满足所有条件时运行。

Endpoint Manager 2022 SU5 已增加根据一周中的某天配置不同维护窗口时间表的功能。每天都可以有一个窗口。配置所需的窗口并点击添加按钮将其添加到列表中。只有已添加到列表的窗口才会激活。

预修复脚本

使用“预修复脚本”页面在安装修补程序前执行自定义命令。例如，如果要通过关闭特定服务使环境准备好安装修补程序，则可以使用脚本。

脚本失败时中止修补程序安装或卸载：指定在脚本未运行时是否取消修补程序安装。
插入示例脚本...：单击以选择在预修复脚本中包含 VBScript、PowerShell 脚本或批处理文件。
插入方法调用...：单击以打开可添加到预修复脚本的方法调用列表。单击列表中的方法调用，以将其移动到“脚本内容”框。
使用编辑器...：单击以打开记事本，可以在其中编写自定义脚本。

修复后脚本

使用“修复后脚本”页面在安装修补程序后执行自定义命令。例如，如果在安装修补程序前使用了脚本来关闭 AV 服务，则可以使用修复后脚本再次将其打开。

即使预修复失败也运行此脚本：指定在修复后脚本未运行时是否卸载修补程序。
插入示例脚本...：单击以选择在修复后脚本中包含 VBScript、PowerShell 脚本或批处理文件。
插入方法调用...：单击以打开可添加到修复后脚本的方法调用列表。单击列表中的方法调用，以将其移动到“脚本内容”框。
使用编辑器...：单击以打开记事本，可以在其中编写自定义脚本。

MSI 信息

如果修补程序文件需要访问其原始产品安装资源，以安装任何必需的补充文件，那么请使用此页。例如，当您尝试为 Microsoft Office 或其他产品套件应用修补程序时，可能需要提供此信息。

原始程序包位置：输入产品映像的 UNC 路径。
引用原始程序包位置时要使用的凭据：输入有效的用户名和密码，对以上指定的网络共享资源进行验证。
忽略命令行参数 /overwriteoem：指示覆盖特定 OEM 说明的命令将被忽略。也就是说，此 OEM 说明将被执行。
作为信息运行：用于运行修补程序的凭据：输入有效的用户名和密码，以标识运行修补程序的登录用户。

品牌

“品牌”页面用于自定义向用户通知扫描或其他计划任务的状态对话框。有关如何隐藏或显示该对话框的信息，请参阅通知。

“品牌”对话框包含以下选项：

自定义窗口标题：输入对话框的标题。
预览...：单击以查看带有自定义图标和横幅的对话框，用户也会看到同样的内容。

用户反馈

用户反馈页面可实时监控修补程序所做的文件更改和删除。启用此选项将在收集此信息的托管设备上安装其他驱动程序。

选择此选项将添加一个系统托盘图标，用户双击该图标可启动“报告应用程序”对话框。

允许用户报告出现故障的应用程序：在受管设备上启用用户反馈选项。