修补程序自动化

修补程序自动化工具有助于实现每月修补程序活动的简化和自动化。借助修补程序自动化,您将在指导下完成修补程序活动创建过程。您决定修补的对象和时间。您可以在累积修补程序时轻松实时监控修补对象。

当活动修补步骤开始时,您会看到修补程序成功率,并决定活动步骤何时进行到范围更广泛的测试组。创建适合组织和风险承受能力的修补程序自动化活动过程后,该过程将每月自动进行,可大幅减少监管需求。

IMPORTANT: 如果首次使用此工具,请务必按照使用修补程序自动化之前中的配置步骤进行操作。

配置修补程序活动后,活动将在每个月自动重复。您配置修补程序活动开始的时间。例如,如果您将活动配置为在周二补丁日两天之后开始,修补程序自动化将累积所有修补程序,直到您选择的日期为止。您可以配置任意数量的修补程序活动。每个活动相互独立。

Endpoint Manager 2021.1 SU2 添加了对独立的单一修补程序活动的支持,您可以按需运行。这些活动不会自动重复运行。

Endpoint Manager 2022 SU1 新增了对只能运行一次的自定义修补程序活动的支持。这些活动基于已创建的漏洞组,之后可在活动中选择这些组。如果要运行不以供应商安全为中心的活动,则自定义活动非常实用。

每个月的活动从漏洞下载阶段开始,在此阶段将识别并下载该活动月覆盖的漏洞。第一项活动的第一个步骤允许您配置要考虑漏洞的附加天数,因为您可能希望第一个活动月覆盖创建活动之前发现的漏洞。

请注意,修补程序二进制文件将根据您的 Endpoint Manager 配置策略下载。为所有漏洞使用建议的每日扫描设置可确保在将修补程序部署到端点之前下载修补程序二进制文件。不支持自动下载的修补程序可能仍然需要手动下载。

然后开始每月部署阶段,活动步骤按照在修补程序步骤页面上显示的顺序开始执行。您可以配置任意数量的活动步骤。每个步骤都可以有自己的目标和修补程序接受标准。如果满足接受标准,您可以控制步骤是自动进行还是通过右键单击手动进行。

我们建议您至少为每项活动配置下列步骤:

  • 小试点组,确保不破坏主要内容。
  • 扩展试点组,识别比较少见的问题。
  • 生产组,部署到每个人。

对于每项活动,请执行以下操作:

  1. 常规页面上,为活动命名,并基于每个周二补丁日定义每个月的修补程序活动的开始时间。2021.1 SU2 及更高版本具有可供选择的单一修补程序活动选项。
  2. 产品页面上,选择要在活动期间为其收集修补程序的产品。使用搜索产品框可快速找到特定的产品。
  3. 严重性:页面上,选择要修补的漏洞的严重性。使用搜索严重性框可快速找到特定的严重性。
  4. 修补程序步骤页面上,添加并配置测试组步骤(试点、扩展试点、生产等)。阅读下一部分,了解关于活动步骤的详细信息。
  5. 2021.1 SU2 版本添加了自动修复页面。在此页面中,可以将自动修复设为全局,可以选择包括要自动修复的设备的范围。如果不希望服务器等设备使用自动修复,此选项会很有用。
  6. 漏洞页面上,配置您要处理第一个月所下载内容的方式。如果要添加在开始活动之前可用的修补程序,请使用此步骤。在第一个月之后,每个月的内容将自动下载。
  7. 摘要页面上,查看活动摘要,确保其按照您想要的方式进行配置。

对于修补程序步骤页面上的每个活动步骤,请执行以下操作。

  1. 点击添加步骤按钮添加新步骤。从将首先获得修补程序的试点组开始。在最后一步,如果您希望在初始小范围部署步骤成功完成之后将活动应用到所有设备,您可以使用启用全局自动修复选项。这需要在已部署的“分发和修补程序”代理设置中启用启用自动修复
  2. 详细信息选项卡上,为步骤命名并添加该步骤将部署到的目标。
  3. 接受标准选项卡上,选择要停留在该步骤中的时间。步骤开始时,计划修复任务将在该步骤的目标设备上运行。然后,该步骤将等待您指定的时间。在该时间结束时,它会计算成功率。定义什么是成功的测试。成功会触发向下一个组的移动,例如从试点组到扩展试点组。
  4. 批准和更新选项卡上,选择是要自动移动到下一个可用步骤,还是要通过在摘要视图中右键单击来手动确认每个步骤。您还可以配置在步骤完成时发出的电子邮件通知。

了解接受标准

每个活动步骤的“接受标准”选项卡有两个选项:

  • 步骤成功率:属于此活动的每个修补程序必须成功部署到分配的设备。如果未成功应用(安装)修补程序,则视为失败。请注意,如果端点在步骤的整个持续时间内离线,则不计为失败。

  • 报告的修补程序良好率:需要使用“收集良好修补程序数据”功能。此代理会检测应用程序崩溃或停止响应,并将数据报告至核心服务器。该比率仅适用于成功安装修补程序的端点。例如,如果只有 50% 的端点成功安装修补程序,且该修补程序没有检测到崩溃或手动报告,则仍然有可能得到 100% 的修补程序良好率。

    “收集良好修补程序数据”功能仅适用于第三方(非 Microsoft 并且非 .msu 格式)Windows 应用程序修补程序。如果修补程序为 Microsoft Windows Update .msu 文件或者适用于其他操作系统,则不计入报告的修补程序良好率。

您可以在符合接受标准时自动前进到下一个步骤,如果要在查看结果后再决定是否继续,也可以手动进行到下一个步骤。

查看修补程序活动进度和状态

当您首次创建活动时,它将处于计划状态并开始累积将属于该活动的修补程序。活动步骤直到下一个周二补丁日间隔才会开始,可根据您指定的偏移天数进行调整。在每个月结束时,工具会自动为下个月创建处于计划状态的新活动。计划可能出现的六种状态:活动、已计划、正在暂停、已暂停、已完成和已失败。

以下是关于查看活动状态的一些提示:

  • 点击主活动可查看活动总体状态。
  • 点击活动下方的每月活动项可查看所点击月份的状态。
  • 在每项活动下方,您还可以查看活动的漏洞和目标设备。
  • 使用漏洞视图右键单击并批准拒绝重置批准状态。更改批准状态对手动批准的步骤非常有用。只有在完成步骤后才会计算部署成功率。
  • 如果手动暂停步骤或因等待手动批准而暂停步骤,您可以使用漏洞视图单独批准拒绝每个漏洞。经过批准的漏洞会包括在成功率计算中。被拒绝的漏洞会从成功率计算和该活动的部署中排除。
  • 您还可以使用漏洞视图执行修补程序影响分析或创建修复任务。
  • 在 2020.1 SU3 中,漏洞视图的步骤受影响的计算机右键点击选项显示受到所选漏洞影响的计算机。这是在每个步骤结束时创建的快照。
  • 使用设备视图可查看每个设备的修补程序总数、已部署的修补程序数和失败的修补程序数。

请花点时间提供反馈

我们希望了解您对此功能的看法。在修补程序自动化工具中,点击如何改进修补程序自动化工具栏按钮可打开反馈表单。我们期望收到您的反馈!