修补程序和遵从性帮助

在“修补程序和遵从性”工具窗口(工具 > 安全和遵从性 > 修补程序和遵从性)中,您可以执行安全扫描、修复以及相关任务。 您可以下载并管理安全内容、配置安全和遵从性扫描、配置修复、自定义并应用安全扫描器的显示/交互设置,以及查看与扫描设备安全相关的综合信息。

修补程序和遵从性的主要章节介绍了此安全管理工具。 在此部分,您将会找到概述和安全内容订阅信息,以及如何使用工具所有功能的分步说明(包括工具界面和功能的描述)(请参阅打开和了解“修补程序和遵从性”工具)。 有关“修补程序”设置的信息,请参阅代理设置:分发和修补程序

本节包含描述“修补程序和遵从性”对话框的帮助主题。 从控制台界面,可以通过单击每个对话框中的帮助按钮来访问这些帮助主题。

“修补程序和遵从性”工具窗口帮助

下载安全内容更新帮助

定义属性帮助

检测规则属性帮助

修补程序和遵从性任务帮助

“修补程序和遵从性”工具栏帮助

“修补程序和遵从性”工具窗口帮助

关于“选择列”对话框

使用此对话框可为“修补程序和遵从性”工具窗口中的项列表配置数据列。 您可以决定显示哪些数据列,这样便可以迅速对很长的已下载安全定义列表进行排序,以便找到特定任务或情况所需的信息。

NOTE: 使用 CVE ID 数据列
Ivanti® Endpoint Security for Endpoint Manager 支持 CVE(公共漏洞和隐患)命名标准。 利用“修补程序和遵从性”,您可以根据漏洞的 CVE 名称搜索漏洞,查看已下载漏洞定义的 CVE 信息。 有关 CVE 命名约定、Ivanti 与 CVE 标准的兼容性以及如何在修补程序和遵从性中使用 CVE 标识查找各个漏洞的详细信息,请参阅根据 CVE 名称搜索漏洞

通过添加和删除数据列,以及将其在列表中上下移动(在列视图中左右移动),可以确保重要的相关信息位于前面和中间。

可用列:列出数据列,这些列当前没有显示在“修补程序和遵从性”工具窗口中,但可用于添加到“已选列”列表中。

已选列:列出当前显示在“修补程序和遵从性”窗口中的数据列。 数据列在下载的安全定义列表中从左到右显示,其顺序与此处从上到下的显示顺序相同。

默认:恢复默认显示的数据列。

关于“管理筛选器”对话框

使用此对话框管理筛选器,可以使用这些筛选器自定义安全内容,这些内容将显示在“修补程序和遵从性”窗口的项列表中。 可以使用筛选器简化冗长的列表。

新建:打开“筛选器属性”对话框,可在其中配置新的筛选器设置。

编辑:打开“筛选器属性”对话框,可在其中修改和保存选定的筛选器。

删除:从数据库中永久删除选定的筛选器。

使用筛选器:将选定的筛选器应用到当前的项列表中。 在树视图中单击不同的组时应用的筛选器将保留。

关于“筛选器属性”对话框

使用此对话框可创建或编辑安全内容列表筛选器。 可以根据操作系统、安全风险严重性或二者的组合来进行筛选。

筛选器名称:通过唯一的名称来标识筛选器。 此名称显示在筛选器的下拉列表中。

筛选器操作系统:指定要在项列表中显示其定义的操作系统。 只显示与选定的操作系统相关联的项。

筛选器严重性:指定要在项列表中显示其定义的严重性。 只显示其严重性与选定的严重性相匹配的项。

下载安全内容更新帮助

关于“下载更新”对话框

在该对话框中,可以配置的设置包括:下载安全内容更新、代理服务器、修补程序文件下载位置、间谍软件自动修复以及防病毒更新和备份。

在“下载更新”对话框中的页上指定要下载的内容更新类型和其他选项之后:

要立即下载,请单击立即下载。 如果单击应用,将保存指定的设置并在下次打开此对话框时显示。 如果单击关闭,将提示您保存这些设置。

要计划某个下载安全内容的任务,单击计划下载。 输入任务的名称,验证信息,然后单击确定将该任务添加到计划任务

您可以单击查看日志来打开日志文件。

要保存对该对话框的任何页所做的更改,请单击应用

下载更新对话框包含以下页面:

关于“更新”页面

关于“代理设置”页面

关于“修补程序位置”页面

关于“Ivanti Antivirus”页面

关于“内容”页面

关于"导入/导出"页面

重要说明:关于安全内容下载的特殊注意事项

Endpoint Security for Endpoint Manager 内容订阅

Endpoint Manager 基本安装让您能够下载和扫描 Ivanti 软件更新,创建和使用您自己自定义的定义。 于所有其他安全内容类型,如特定平台的漏洞、间谍软件等,则必须订阅 Ivanti® Endpoint Security for Endpoint Manager 内容,以便下载相关的定义。

有关 Endpoint Security for Endpoint Manager 内容订阅的信息,请联系 Ivanti 销售商,或访问 Ivanti 网站。Ivanti 主页

任务特定的设置和全局设置

请注意,只能保存定义类型、语言以及定义和修补程序下载设置,并将其与创建任务时的特定任务建立关联。 这三个设置被视为任务特定的设置。

但是,下载更新对话框中其他页上的所有设置都是全局的,这意味着它们可以应用到所有后续安全内容下载任务。 全局设置包括:修补程序下载位置、代理服务器、间谍软件、自动修复、安全警报和防病毒设置。 这样,无论何时更改全局设置,它对所有安全内容下载任务都是有效的。

关于“更新”页面

选择更新源站点:指定 Ivanti 内容服务器,通过访问该服务器可将最新的定义、检测规则和相关修补程序下载到您的数据库中。 选择距您最近的服务器。

定义类型:指定更新哪些安全内容定义。 只有那些已订阅的定义类型可用。 选择的定义类型越多,下载所需的时间就越长。

下载安全内容后,可使用“修补程序和遵从性”工具窗口中的所有类型下拉列表确定在列表中显示哪些定义类型。

语言:指定要更新的所选定义类型的语言版本。

某些漏洞和其他定义类型,以及任何相关联的修补程序均非特定语言或者说与语言无关,这意味着它们能与任何语言版本存在该漏洞的操作系统或应用程序相兼容。 换言之,您无须用一个某语言专用的、唯一的修补程序来修补这些漏洞,因为该修补程序就适用于所有支持的语言。 例如,Linux 平台仅使用非特定语言的定义和修补程序。 而 Microsoft Windows 和 Apple Macintosh 平台漏洞定义和修补程序通常有特定的语言。

对任何平台下载内容时(具有相应的安全内容订阅),默认情况下会自动更新选定的所有平台的与语言无关的漏洞定义。 如果选择了 Windows 或 Mac 内容类型,那么还必须选择要更新其定义的特定语言。 如果已选中 Linux 平台,就不需要选择具体的语言,因为此平台上的内容采用非特定语言,并且会自动更新。

为以上选定的定义下载修补程序:根据以下下载选项之一,自动将修补程序可执行文件下载到指定的下载位置(见“修补程序位置”页面):

仅针对已检测到的漏洞定义:只下载与上次安全扫描检测到的漏洞、安全威胁或 Ivanti 更新(即当前存在于“已检测到”组中的定义)相关的修补程序。

针对所有已下载的定义:下载与漏洞、安全威胁以及“扫描”组中当前存在的 Ivanti 软件更新相关的所有修补程序。

将新的定义扫描状态设置为:自动在您选择的组中放置新的定义和关联的检测规则。 如果希望手动将内容移入“扫描”组或从该组移出,以便自定义安全扫描,则应调整此选项。

NOTE: 如果定义从属于另外一个在其他组已存在的定义,比如“扫描”或“不扫描”组,那么即使选择了此选项,它们仍将被自动放入那个组。 换句话说,从属关系覆盖了此选项,从而最近下载的(新的)定义将会同它从属的定义在同一个组。

NOTE: 即使选择了此选项,已经放入“警报”组的定义(在配置警报对话框中)也将自动放入“扫描”组,以便能够发出正确的警报。

NOTE: 对于被禁止的应用程序类型来说,默认的下载地址有所不同。 被禁止的应用程序定义将默认下载到“未分配”组中,而不是“扫描”组中。 因此,如果下载的只是受阻应用程序定义,那么不必选择此选项。

定义组设置:打开“定义组设置”对话框,您可在此处创建、管理和选择定义组。 可以使用定义组设置来自动扫描状态、下载位置以及下载匹配指定类型及严重性条件的安全定义(内容)的方式。

关于“代理设置”页面

如果您的网络使用代理服务器进行外部传输(如 Internet 访问),可使用该页来启用和配置代理服务器设置。 无论是更新漏洞信息还是从相关 Web 服务下载修补程序文件都要求能访问 Internet。

使用代理服务器:启用代理服务器选项(默认情况下,不启用该选项)。 如果要启用代理服务器,则必须在以下地址和端口字段中输入值。

服务器:指定代理服务器的 IP 地址和端口号。

基于 HTTP 的代理:启用代理服务器(如果它是基于 HTTP 的代理,例如 Squid),使其成功连接到 FTP 站点并从 FTP 站点下载修补程序。 (某些 FTP 站点提供的修补程序必须在启用该选项时才能通过基于 HTTP 的代理下载。)

要求登录:如果代理服务器不是透明的,而是需要凭据,则选中它可在以下字段中输入用户名和密码。

关于“修补程序位置”页面

使用此页指定修补程序可执行文件的下载路径。

修补程序保存的 UNC 路径:指定修补程序文件的下载路径。 默认位置为核心服务器的 \LDLogon\Patch 文件夹。 您可以输入其他 UNC 路径来下载修补程序,但必须在以下字段中输入有效的身份验证凭据来确保有该位置的访问权限。

用于存储修补程序的凭据:指定访问核心服务器以外的位置时所需的有效用户名和密码。 如果将修补程序下载到核心服务器的默认位置,用户名和密码字段将不适用。

Web URL,客户端通过它访问修补程序:指定设备能访问到要部署的已下载修补程序的 Web 地址。 默认位置为核心服务器的 \LDLogon\Patch 文件夹。 该位置通常与前面指定的 UNC 路径相同。

测试设置:执行指定 URL 的连接测试。

重置为默认值:将 UNC 路径和 URL 恢复为默认位置,即核心服务器的 \LDLogon\Patch 文件夹。

关于“Ivanti Antivirus”页面

使用此页可配置 Ivanti Antivirus 病毒定义文件下载选项。 请记住:此页仅适用于 Ivanti Antivirus 所使用的实际的病毒定义文件,而不适用于更新页的定义列表中所提供的防病毒扫描器检测内容(防病毒更新)。

关于“内容”页面

使用此页面指定是否需要在下载定义前进行验证。要求验证将会使下载更为安全。 要求验证将会使下载更为安全。

  • 在下载前验证定义签名/哈希值:检查排除不具备有效 SHA256 哈希值的所有定义。 从下载中排除的签名将显示为失败。

关于"导入/导出"页面

使用此页面可导入或导出您之前在所有下载更新对话框页面上指定的一组下载设置。 如果您具有多个核心服务器,此操作可将设置复制到每个核心服务器,而无需在每台机器上选择单个设置,从而使您节省时间。

  • 从文件...导入设置:单击打开选择要导入的文件对话框,然后浏览至您要导入的 *.ldms 文件并单击打开
  • 将设置导出到文件...:单击打开选择导出文件名对话框,然后浏览至您要导出的设置并单击保存
  • 将设置复制到其他核心服务器...:单击打开将内容复制到核心服务器对话框,然后选择一个或多个服务器并单击复制内容

定义属性帮助

关于“定义属性”对话框

使用此对话框查看已下载内容定义类型的属性,包括漏洞、间谍软件、安全威胁、软件更新等。

还可使用此页创建自己的用户定义。

已下载定义的信息为只读信息。 对于用户定义,该对话框中的字段可编辑。 在该对话框和检测规则属性对话框的可用字段中,可输入用户定义的标识、属性和检测规则详细信息等。

使用左、右箭头按钮(<、>)可以按照主窗口中当前列出的顺序查看上一个或下一个定义的属性信息。

“定义属性”对话框包含以下页:

关于“定义:“常规”页面

关于“定义:说明”页面

关于“定义:从属关系”页面

关于“定义:自定义变量”页面

关于“定义:“常规”页面

ID:通过一个由供应商定义的(或用户定义中由用户自己定义的)唯一字母数字代码来标识选定的定义。

类型:将选定的项标识为漏洞、安全威胁、用户定义等。

发布日期:指示供应商发布(或用户创建)所选定义的日期。

标题:采用简短的文本字符串描述所选定义的性质或目标。

严重性:指示定义的严重性级别。 对于已下载内容,此严重性级别由供应商指定。 对于用户定义漏洞,其严重性级别由该定义的创建者指定。 可能的严重级别包括:Service Pack、严重、高、中、低、不适用、未知、无覆盖和预览包。 使用此信息来评估该定义带来的风险,并确定是否需要对网络进行紧急扫描和修补。

状态:指示“修补程序和遵从性”窗口中的定义的状态。 状态分为三种:“扫描”,表示下次安全扫描时将扫描所选项目;“不扫描”,表示不扫描所选项目;“未分配”,表示这是一个临时的存储区域,并且不会扫描其中的项。 有关这三个状态/组的详细信息,请参阅打开和了解“修补程序和遵从性”工具

语言:指示由定义标识的平台语言。 对于用户定义,INTL 为默认值,这表示定义与语言无关且不能编辑。

类别:指示单个安全内容类型中更为特定的类别(如上所述)。

保留在客户端缓存中,除非标记为“不扫描”:将选定的修补程序文件保存在客户端缓存中。 这对于需要反复扫描的漏洞非常有用。 如果在选中某个修补程序后又取消选中,则该修补程序将在客户端下次检查状态时被移除。

检测规则:列出与所选定义关联的检测规则。 请注意,已下载 指示相关的修补程序文件是否已下载到本地的存储库,无提示安装指示安装该修补程序时是否需要用户交互。

右键单击某一检测规则来下载其相关的修补程序、禁用/启用安全扫描的检测规则、卸载其相关的修补程序或查看属性。 也可双击某个检测规则以查看其属性。

处理用户定义时,单击添加将创建新的检测规则;单击编辑将修改选定的规则;单击删除将删除选定的规则。

关于“定义:说明”页面

说明:提供有关所选漏洞的其他详细信息。 该信息由供应商的研究和测试报告提供(或者由创建用户定义的用户提供)。

详细信息:提供特定供应商或用户定义的网页的 HTTP 链接,通常为技术支持站点,包含有关所选定义的详细信息。

CVE ID 的详细信息:(仅适用于漏洞)提供选定漏洞的 CVE ID(名称),以及指向该特定 CVE ID 的 CVE Web 页的链接。 有关详细信息,请参阅根据 CVE 名称搜索漏洞

关于“定义:从属关系”页面

只有在选定的定义有关联的先决条件定义,或者如果另一个定义的运行取决于选定的定义时,该页才会显示。 使用此选项页可以在扫描设备之前,确保安全扫描任务包含正常运行必需的所有定义。

相关性关系只能存在于以下的安全定义类型中:

先决条件:列出任何必须在检查设备上的选定定义之前运行的定义。 如果该列表中的任意一个定义不包括在扫描任务中,那么安全扫描器将不会检测选定的定义。

相关性:列出任何直到运行选定定义之后,安全扫描器才会检测的定义。 请注意:如果安全扫描任务不包括这些定义,选定的定义仍会得到扫描。 但是如果希望扫描任务能成功检测到此列表中的定义,那么必须先运行选定的定义。

关于“定义:自定义变量”页面

该页只有在选定的安全定义包括可以修改的设置和值时才会显示。 一些系统配置安全威胁定义具有变量设置,可以更改这些设置然后再将其加入安全扫描中。 通常,防病毒定义还有自定义变量设置。

利用自定义变量,您可以通过修改一个或多个设置的值来微调安全威胁扫描,以便扫描器检查您定义的条件,然后仅在满足该条件时认定设备易受攻击。

IMPORTANT: 需要“编辑自定义变量”权限
要编辑自定义变量设置,用户必须具有基于“编辑自定义变量”角色的管理权限。 使用用户工具可配置权限。

每个具有可自定义变量的安全定义都有唯一的一组可以修改的特定值。 但在每种情况下,自定义变量页都将显示以下公共信息:

名称:标识自定义变量。 名称无法修改。

值:标识自定义变量的当前值。 只要此变量不是只读变量,就可双击该字段来更改值。

添加变量:打开对话框,可创建自己的自定义变量。 (注意:为自定义漏洞定义创建自定义变量之前,该定义必须首先包含至少一条检测规则。)

编辑变量:用于编辑所选自定义变量。

删除变量:删除所选自定义变量。

说明:提供来自定义发行者的有关此自定义变量的其他有用说明。

默认值:如果更改了默认值并希望将其还原为原始值,可使用此选项。

要更改某个自定义变量,请双击字段,如果有可用的列表,那么从中选择一个值,如果没有则手动编辑该值,然后单击应用。 请注意:某些变量为只读变量,无法编辑(通常说明中有提示)。

在设备的“清单”视图中可以查看自定义变量覆盖设置信息。

NOTE: 自定义变量覆盖设置
在某些情况下,您可能需要使用名为“自定义变量覆盖设置”的功能让扫描器忽略自定义变量设置。 可以指定扫描器在扫描设备时忽略某些自定义变量,这样一来,即使这些变量符合某个定义的检测规则中的实际条件,也不会被检测为漏洞而进行修复。 用户必须具有“编辑自定义变量”权限才能创建或编辑这些覆盖设置。 可以根据需要创建多个设置,并使用更改设置任务将其应用于设备。 有关详细信息,请参阅代理设置:要覆盖的自定义变量

关于“添加/编辑自定义变量”对话框

使用此对话框为您的自定义漏洞定义创建和编辑自己的自定义变量。 使用自定义变量,您可以通过修改一个或多个设置的值对安全威胁扫描进行仔细调整,使扫描器检查您所定义的条件,并且仅在该条件得到满足(即检测到您所指定的值)时才确定设备易受攻击。

IMPORTANT: 为自定义漏洞定义创建自定义变量之前,该定义必须首先包含至少一条检测规则。

该对话框包含以下选项:

名称:标识自定义变量。

说明:用于提供关于自定义变量的其他有用信息。

类型:标识用于定义自定义变量的资源类型(类型包括:字符串、加密字符串、多值字符串、整数、枚举和布尔值)。

可能的值:输入对于正在创建的(基于以上指定的类型)自定义变量视为有效的所有可能值。

默认值:输入自定义变量的默认值。

检测规则属性帮助

关于“检测规则属性”对话框

使用该对话框查看下载的安全内容的检测规则属性,以及创建并编辑自定义检测规则。

该信息对属于已下载定义的检测规则是只读的。 对于用户定义,该对话框的字段可编辑。 指定检测规则设置,并在每页中配置选项,以便创建自定义的检测规则。 此外,若自定义检测规则允许修补,还可添加在修补期间(修补程序安装或卸载)运行的特殊命令。

使用左、右箭头按钮(<、>)可以按照主窗口中当前列出的顺序查看上一个或下一个检测规则的属性信息。

“检测规则属性”对话框包含以下页面:

关于“检测规则:常规信息”页面

关于“检测逻辑:受影响的平台”页面

关于“检测逻辑:受影响的产品”页面

关于“检测逻辑:用于检测的文件”页面

关于“检测逻辑:用于检测的注册表设置”页面

关于“检测逻辑:自定义脚本”页面

关于“修补程序信息”页面

关于“检测修补程序:用于已安装修补程序检测的文件”页面

关于“检测修补程序:用于已安装修补程序检测的注册表设置”页面

关于“修补程序安装命令”页面

关于“修补程序卸载命令”页面

关于“检测规则:常规信息”页面

名称:显示检测规则的名称。

状态:指示将检测规则设置为扫描或不扫描。 这两个状态分别对应“修补程序和遵从性”窗口中(“检测规则”下)的“扫描”和“不扫描”组。

ID:显示与此规则相关的定义的 ID。

标题:显示与规则相关的定义标题。

说明:显示与规则相关的定义说明。

注释:提供来自供应商的其他信息(如果有)。 如果您在创建或编辑用户定义时,可在此处输入自己的注释。

“检测逻辑”页面

以下页面引用选定检测规则使用的检测逻辑,以确定漏洞定义(或其他类型的定义)是否存在于所扫描的设备中。

关于“检测逻辑:受影响的平台”页面

指示运行安全扫描器以检查与这一规则相关定义的操作系统。 换言之,只有与选定平台匹配的设备将尝试处理此规则。 必须至少选择一个平台。 如果目标设备运行的是不同的操作系统,安全扫描器就退出。

关于“检测逻辑:受影响的产品”页面

产品:列出要使用检测规则检查的产品,并确定扫描的设备上是否存在相关定义。 在列表中选择产品来查看其名称、供应商和版本信息。 您不一定需要有与检测规则相关联的产品。 关联产品在安全扫描过程中起筛选器的作用。 如果在设备上没有发现任何指定的关联产品,安全扫描就退出。 但是,如果没有指定产品,扫描就继续检查文件。

如果您创建或编辑的是自定义检测规则,请单击配置以打开一个新的对话框,您可以在该对话框中添加或删除列表中的产品。 可用产品的列表取决于您通过 Ivanti® Endpoint Security for Endpoint Manager Web 服务更新的安全内容。

名称:提供所选产品的名称。

供应商:提供供应商的名称。

版本:提供所选产品的版本号。

关于“检测逻辑:用于检测的文件”页面

文件:列出文件条件(存在、版本、日期、大小等),这些条件决定了关联的定义是否存在于扫描的设备上。 选择列表中的文件来查看其验证方法和预期的参数。 如果全部文件条件均得到满足,那么表示设备没有受到影响。 换言之,如果这些文件条件中有一个不满足,即可判定该设备上存在该漏洞。 如果列表中没有文件条件,扫描就继续检查注册表。
如果您创建或编辑的是自定义检测规则,请单击添加使字段可以编辑,使您可以配置新的文件条件和预期的值/参数。 规则可以包括一个或多个文件条件,看您希望它有多复杂而定。 要保存文件条件,请单击更新。 要删除列表中的文件条件,请选择该文件条件并单击删除

用以下方法验证:指示用于验证指定的文件条件是否在扫描的设备上得到满足的方法。 例如,检测规则可以扫描文件的存在、版本、日期、大小等。 出现在验证方法下的预期的参数由方法本身决定(请参阅以下列表)。

如果您创建或编辑的是自定义检测规则,请从用以下方法验证下拉列表中选择验证方法。 上面说过,参数字段对于每个验证方法是不一样的,如下列表所述:

请注意,递归搜索文件选项适用于除 MSI 方法以外的所有文件验证方法,该选项使扫描程序在指定的路径位置和任何存在的子文件夹中搜索文件。

仅文件存在:通过扫描查找指定的文件验证。 参数为:路径(文件在硬盘上的位置,包括文件名)和要求(必须存在或必须不存在)。

文件版本:通过扫描查找指定的文件及其版本号验证。 参数为:路径、最低版本和要求(必须存在、必须不存在或可以存在)。

请注意,对于“文件版本”、“日期”和“大小”参数,可以在指定文件路径和名称后单击收集数据按钮自动填充恰当的值字段。

文件日期:通过扫描查找指定的文件及其日期验证。 参数为:路径、最早日期和要求(必须存在、必须不存在或可以存在)。

文件大小和/或校验和:通过扫描查找指定的文件及其大小或校验和值验证。 参数为:路径、校验和、文件大小和要求(必须存在、必须不存在或可以存在)。

已安装的 MSI 产品 ID:通过扫描确保已经安装了指定的 MSI 产品(由 Microsoft Installer 实用程序安装的产品)验证。 参数为:Guid(产品的全球唯一的标识符)。

未安装的 MSI 产品 ID:通过扫描确保没有安装指定的 MSI 产品验证。 参数为:Guid。

关于“检测逻辑:用于检测的注册表设置”页面

注册表:列出用于确定扫描的设备上是否存在相关漏洞(或其他类型)的注册表项条件。 选择列表中的注册表项,查看其预期的参数。 如果这些条件中有一个不满足,即可判定该设备上存在该漏洞。

IMPORTANT: 如果列表中没有注册表条件,而且“文件”页面上没有文件条件,那么扫描将失败。 检测规则必须至少有一个文件或注册表条件。

如果您创建或编辑的是自定义检测规则,请单击添加以配置新的注册表项条件和预期的参数。 一个规则可以包括一个或多个注册表条件。 要保存注册表条件,请单击更新。 要删除列表中的注册表条件,请选择该注册表条件并单击删除

注册表项:标识注册表项预期的文件夹和路径。

名称:标识项的预期的名称。

值:标识项的预期的值。

要求:指示注册表项是否必须或必须不在目标设备上存在。

关于“检测逻辑:自定义脚本”页面

如果要编写一个自定义 VB 脚本在扫描的设备上检查其他条件,可使用此页面。 安全扫描器的运行时间属性(可使用自定义脚本访问这些属性并报告结果)包括:“检测结果”、“原因”、“预期结果”和“查找结果”。

单击使用编辑器按钮可打开与此文件类型关联的默认脚本编辑工具。 关闭工具时,系统会提示您保存“自定义脚本”页面中所做的更改。 如果希望使用其他工具,必须更改文件类型关联。

关于“自定义漏洞的产品属性:常规信息”页面

当创建包含自定义产品的自定义漏洞定义时使用这些对话框。

您可以输入名称、供应商和版本号,然后定义确定漏洞是否存在的条件的检测逻辑。

这些对话框与用于下载已发布漏洞定义的属性对话框类似。 请参阅上述相应的部分。

此页包含以下选项:

受影响的产品:列出受此自定义漏洞定义影响的产品。

可用产品:列出所有下载的产品。

按受影响的平台列出可使用筛选器的产品:将可用产品列表限制为仅列出那些与您在“检测逻辑:受影响的平台”页面上的所选平台相关的产品。

添加:打开“属性”对话框,在其中创建自定义产品定义。

关于“自定义漏洞的产品:检测逻辑”页面

以下页面引用选定检测规则使用的检测逻辑,以确定漏洞定义(或其他类型的定义)是否存在于所扫描的设备中。

这些对话框与用于下载由上述供应商发布的已知 OS 和应用程序漏洞定义的检测逻辑对话框类似。 有关这些选项的信息,请参阅上述相应的部分。

关于“自定义漏洞的产品:检测逻辑:用于检测的文件”页面

请参阅上面的“检测逻辑:用于检测的文件”页面。

关于“自定义漏洞的产品:检测逻辑:用于检测的注册表设置键值”页面

请参阅上面的“检测逻辑:用于检测的注册表设置”页面。

关于“自定义漏洞的产品:检测逻辑:自定义检测脚本”页面

请参阅上面的“检测逻辑:自定义脚本”页面。

关于“修补程序信息”页面

使用此页面可定义和配置规则的相关修补程序文件(如果需要修补),以及用于检测修补程序是否已安装的逻辑信息。 还可以为自定义的修补操作配置附加的修补程序文件安装或卸载命令。

该页面和其下的几个页面将引用修补漏洞所需的修补程序文件。 只有当选定的检测规则允许通过部署修补程序文件修补漏洞时才可使用这些页面。 如果检测规则被限定为仅扫描,或安全内容类型不使用修补程序文件进行修补(如存在安全威胁或间谍软件等情况),那么这些页面不相关。

使用修补程序修复,或仅检测:单击这些选项之一,指定检测规则是只应检查相关定义是否存在(仅检测),还是也可通过部署和安装所需的修补程序来修补该定义。

修补程序下载信息:

修补程序 URL:显示修补程序文件的完整路径和文件名,如果检测到选定的定义,将使用该文件进行修补。 这是修补程序文件的下载位置。

可自动下载:指示是否可以自动从托管服务器下载修补程序文件。 如果不希望通过规则的快捷菜单下载修补程序文件,可将此选项与自定义检测规则结合使用。 例如,如果防火墙阻止对托管服务器的访问,可能需要避免自动下载修补程序。

下载:如果创建或编辑执行修补操作的自定义检测规则,而且已经输入了修补程序文件名和 URL,就可以单击下载,以尝试在此时下载修补程序文件。 如果愿意的话,也可以在以后下载修补程序文件。

唯一文件名:指示修补程序文件的唯一可执行文件名。

强烈建议在下载修补程序文件时,单击生成 MD5 哈希值为修补程序文件创建哈希值。 (大多数(如果不是全部)已知的漏洞关联的修补程序文件应该有一个哈希值。)必须先下载修补程序文件才可以创建哈希值。 哈希文件用来确保修补过程中(即在部署和安装到有漏洞的设备时)修补程序文件的完整性。 安全扫描器是通过比较以下两个哈希值来确定完整性的:您单击“生成 MD5 哈希值”按钮创建的哈希代码,以及扫描器在尝试将修补程序库中的修补程序文件安装到设备之前生成的新哈希值。 如果两个哈希文件匹配,修补过程就继续。 如果两个哈希文件不匹配,说明修补程序文件在下载到存储库中之后已经发生了更改,修补进程就退出。

需要重新启动:指示在完成修补程序文件的安装和设备的配置过程前,是否需要重新启动设备。

无提示安装:指示是否允许修补程序文件在无任何最终用户交互的情况下完成安装。

检测修补程序页面

以下页面引用检测逻辑,规则将使用这些逻辑来检查是否已在设备上安装了一个修补程序。

IMPORTANT: 必须满足所有指定的文件和注册表设置条件,才能检测安装在设备上的修补程序文件。

关于“检测修补程序:用于已安装修补程序检测的文件”页面

此页面指定了用于确定修补程序文件是否已在设备上安装的文件条件。 此页面中的选项与定义检测逻辑“文件”页面中的选项相同(见上文)。 但是,当检测修补程序的安装时,逻辑的工作顺序相反。 换言之,当检查修补程序的安装时,必须满足此页面中指定的所有文件条件才能确定修补程序已安装。

关于“检测修补程序:用于已安装修补程序检测的注册表设置”页面

此页面指定了用于确定修补程序文件是否已在设备上安装的注册表项条件。 此页面中的选项与定义检测逻辑“注册表设置”页面中的选项相同(见上文)。 但在这种情况下,逻辑顺序相反。 换言之,当检查修补程序的安装时,必须满足此页面中指定的所有注册表条件才能确定修补程序已安装。

IMPORTANT: 必须满足所有指定的文件和注册表设置条件,才能检测安装在设备上的修补程序文件。

“修补程序安装和卸载”页面

以下页面允许您配置附加命令,在受影响的设备上安装或卸载修补程序时可以运行这些命令。

只有允许修复的用户定义可使用此选项。

如果需要在目标设备编排特定的操作来保证修补的成功,这些命令就很有用。 不需要其他命令。 如果不配置任何其他命令,修补程序文件就按缺省值自己执行。 请牢记,如果确实配置了一个或多个其他命令,那么必须包括一个执行实际修补程序文件的“Execute”命令。

关于“修补程序安装命令”页面

使用此页配置修补程序安装任务的附加命令。 修补程序安装和卸载的可用命令相同。

命令:按照命令在目标设备运行的顺序列出命令。 选择命令,查看其参数。 可以用上移下移按钮更改命令的顺序。 要从该列表中删除命令,请选择该命令,然后单击删除

添加:打开一个对话框,您可以选择要添加到“命令”列表中的命令的类型。

命令参数:显示定义所选命令的参数。 参数的值可以编辑。 要编辑任何参数,请双击该参数的字段,然后直接在字段中输入。 对于所有类型的命令,您还可以右键单击字段来将一个宏/变量插入该参数。

以下列表列出了这些命令及其参数:

复制:将文件从指定的源复制到目标设备的硬盘上指定的目标。 该命令可以在执行修补程序文件本身前后使用。 例如,用 Unzip 命令将压缩文件的内容解压缩后,您可能想要将文件从一个位置复制到另一个位置。

“Copy”命令的参数有:Dest(复制文件的目的位置的完整路径,不包括文件名)和 Source(待复制文件的完整路径和文件名)。

Execute:在目标设备上运行修补程序文件或任何其他执行文件。

“Execute”命令的参数有:Path(可执行文件的完整路径和文件名;对于修补程序文件,可以使用 %SDMCACHE% 和 %PATCHFILENAME% 变量)、Args(可执行文件的命令行选项;请注意该字段不是必填的)、Timeout(如果“等待”参数设置为“真”,在继续列表中的下一个命令前,等待可执行文件结束的秒数)和 Wait(真假值,决定在继续列表中的下一个命令前是否等待可执行文件结束)。

ButtonClick:自动单击在可执行文件运行时显示的指定按钮。 如果可执行文件要求这样的交互,可以使用该命令设置按钮单击。

为了使 ButtonClick 命令正常工作,前面的“Execute”命令的“Wait”参数必须设置为否,使可执行命令不必在继续按钮单击操作前结束。

“ButtonClick”命令的参数有:Required(真假值,表明要继续是否必须单击按钮;如果选择“真”,而且出于任何原因不能单击该按钮,修补程序就会退出;如果选择“假”,而且不能单击按钮,修补程序将继续)、ButtonIDorCaption(指示您要单击其文本标签或控制 ID 的按钮)、Timeout(可执行文件运行时,你要单击的按钮出现所需要的秒数)和 WindowCaption(指示您要单击的按钮所在的窗口或对话框)。

ReplaceInFile:编辑目标设备上的文本文件。 使用此命令可在执行修补程序文件之前或之后对文本文件(例如 .INI 文件中的某个值)作出任何修改,以确保其正常运行。

“ReplaceInFile”命令的参数有:Filename(要编辑的文件的完整路径和名称)、ReplaceWith(要添加到文件中的确切的文本字符串)和 Original Text(文件中要替换的确切文本字符串)。

StartService:启动目标设备上的服务。 使用该命令启动运行修补程序文件所需的服务,或者用来重新启动为使修补程序文件运行而被要求停止的服务。

“StartService”命令的参数有:Service(服务的名称)。

StopService:停止目标设备上的服务。 如果必须在设备上停止某个服务才能安装修补程序文件,请使用该命令。

“StopService”命令的参数有:Service(服务的名称)。

Unzip:在目标设备上解压缩压缩文件。 例如,如果修补要求目标设备上运行或复制一个以上的文件,您就可以使用该命令。

“Unzip”命令的参数有:Dest(设备硬盘上要将压缩文件的内容解压的完整路径)和 Source(压缩文件的完整路径和文件名)。

WriteRegistryValue:将值写入注册表。

“WriteRegistryValue”命令的参数有:Key、Type、ValueName、ValueData、WriteIfDataEmpty

关于“修补程序卸载命令”页面

使用此页为修补程序卸载任务配置其他命令。 修补程序安装和卸载的可用命令相同。 但是,“修补程序卸载命令”页面中包含两个唯一选项:

可以卸载修补程序:指示是否可以从修补的设备上卸载修补程序文件。

卸载时需要原始修补程序:指示在从扫描的设备上卸载修补程序时,是否必须能够访问核心服务器上的原始修补程序可执行文件本身。

有关命令的详细信息,请参阅关于“修补程序安装命令”页面

修补程序和遵从性任务帮助

关于“创建安全扫描任务”对话框

使用此对话框创建和配置一个计划任务,该计划任务将在目标设备上运行安全扫描器。

您也可以在一个或多个目标设备上立即运行按需的安全或遵从性扫描。 右键单击选定设备(或多达 20 个多选设备)后,或者单击安全扫描并选择扫描和修复设置,或者依次单击遵从性扫描确定。 遵从性扫描专门检查目标设备是否符合根据“遵从性”组中的内容所定义的安全策略。

该对话框包含以下选项:

名称:输入标识该安全扫描任务的唯一名称。

创建计划任务:将安全扫描任务添加到“计划任务”窗口中,在该窗口中可以配置该任务的计划和频率选项,并分配目标设备。

创建策略:将安全扫描任务作为策略添加到“计划任务”窗口中,在该窗口中,您可配置策略选项。

扫描和修复设置:指定扫描任务所使用的扫描和修复设置。 扫描和修复设置决定了安全扫描器运行时是否在设备上显示、重新启动选项、用户交互和扫描的安全内容类型。 从下拉列表中选择扫描和修复设置,将其分配到正在创建的安全扫描任务中。

关于“更改设置任务”对话框

使用此对话框可以创建和配置任务,更改目标设备上的“修补程序和遵从性”服务的默认设置,包括:

扫描和修复设置

“遵从性”安全设置(仅适用于遵从性安全扫描)

自定义变量覆盖设置

利用更改设置任务,可以方便地更改受管设备的默认设置(会写入设备的本地注册表中),无需重新部署完整的代理配置。

任务名:输入标识该任务的唯一名称。

创建计划任务:将任务添加到“计划任务”窗口中,在该窗口中,您可配置该任务的计划和频率选项,并分配目标设备。

创建策略:将任务作为策略添加到“计划任务”窗口中,在该窗口中,您可配置策略选项。

扫描和修复设置:指定安全扫描任务所使用的扫描和修复设置。 扫描和修复设置决定了扫描器运行时是否在设备上显示、重新启动选项、用户交互和扫描的安全内容类型。 从下拉列表中选择一种设置。 有关详细信息,请参阅关于“配置扫描和修复(和遵从性)设置”对话框

遵从性设置:指定遵从性扫描任务所使用的遵从性设置。 遵从性设置确定何时以及如何进行遵从性扫描、是否自动进行修补、以及/或者 Ivanti Antivirus 检测到目标设备上的病毒感染时如何执行操作。

自定义变量覆盖设置:在扫描包括自定义变量的安全定义(例如安全威胁和病毒)时,可以指定目标设备上所采用的自定义变量覆盖设置。 自定义变量覆盖设置允许您指定安全扫描期间要忽略或绕过的值。 在您不希望根据所定义的默认自定义变量设置将扫描过的设备确认为易于遭受攻击时,这会非常有用。 从下拉列表中选择一种设置。 从下拉列表中,还可以选择从目标设备删除自定义变量覆盖设置。 删除自定义变量设置选项可允许您清除设备,使自定义变量设置完全有效。有关详细信息,请参阅代理设置:要覆盖的自定义变量。有关详细信息,请参阅代理设置:要覆盖的自定义变量

关于“创建重新启动任务”对话框

使用此对话框创建和配置一个通用重新启动任务。

如果将安装修补程序(不重新启动)作为一个进程,而将重新启动这些修补后的设备单独作为一个任务时,便可使用重新启动任务。 例如,可以在白天运行扫描或修补程序安装任务,而在更方便的时间为最终用户部署必须重新启动的任务。

任务名:用唯一的名称来标识任务。

创建计划任务:单击确定后,将在“计划任务”窗口中创建一个重新启动任务。

创建策略:单击确定时创建重新启动策略。

扫描和修复设置:指定用于任务的扫描和修复设置的重新启动配置,以确定目标设备上的重新启动要求和操作。

关于“创建修复任务”对话框

使用此对话框创建和配置以下定义类型的修复任务:具有相关修补程序的漏洞、间谍软件、Ivanti 软件更新、用户定义和安全威胁。 计划修复选项不适用于阻止的应用程序。

该对话框包含以下页面。

关于“创建修复任务:“常规”页面

关于“创建修复任务:修补程序”页面

关于“创建修复任务:“常规”页面

任务名:用唯一的名称标识修复任务。 默认值是所选定义或自定义组的名称。 如果需要,可以编辑此名称。

作为计划任务修复:单击确定后,将在“计划任务”窗口中创建一个安全修复任务。

分为暂存任务和修复任务:(可选)在“计划任务”工具中创建两个独立的任务 — 一个任务用于在目标设备的本地缓存中暂存所需的修补程序文件,另一个任务用于将这些修补程序文件实际安装在受影响的设备上。

选择要修复的计算机:指定要将哪些设备添加到计划修复任务中。 可以不选择设备、选择所有受影响的设备(上次安全扫描在该设备上检测到定义),或仅选中的受影响的设备(只有从设备“安全和修补程序信息”对话框中访问“计划修复”对话框时,最后一个选项才可用)。

使用多播:启用定向多播以将修补程序部署到设备。 如果要配置多播选项,可单击此选项,然后单击多播选项。 有关详细信息,请参阅关于关于“多播选项”对话框

作为策略修复:单击确定时创建安全修复策略。

添加表示受影响的设备的查询:根据所选的定义新建查询,并将其应用到策略中。 基于查询的策略将根据所选的定义搜索受影响的设备,并部署相关修补程序。

仅从本地对等设备下载修补程序:限制为仅当修补程序文件位于设备的本地高速缓存中或同一子网中的对等设备上时才部署修补程序。 使用此选项可节省网络带宽。但请注意,为了成功安装修补程序,修补程序文件当前必须位于以下两个位置之一。

仅下载修补程序(不修复):将修补程序文件下载到修补程序存储库中,但不进行部署。 可以使用此选项从保存方案中检索修补程序文件,在实际部署前用于测试目的。

扫描和修复设置:指定修复任务使用的扫描和修复设置,以确定当安全扫描器运行时是否在设备上显示。

关于“创建修复任务:修补程序”页面

使用此页可以仅显示所需的修补程序,也可以显示与所选漏洞有关的所有修补程序。

如果修补程序尚未下载并放入修补程序储存库,并要从此页直接下载修补程序,那么请单击下载

关于“多播选项”对话框

使用此对话框可为计划安全修复任务配置下列“定向多播”选项:

多播域搜寻:

使用多播域搜寻:使定向多播能够对此作业执行域搜寻。 此选项不会保存域搜寻结果以供重复使用。

使用多播域搜索并保存结果:使定向多播能够对此作业执行域搜寻并保存结果供将来使用,从而节省后续多播的时间。

使用最近一次的多播域搜寻结果:使定向多播能够利用上次搜寻的已保存结果来执行域搜寻。

由域代表唤醒计算机:使支持 LAN 唤醒技术的设备能够打开以接收多播。

LAN 唤醒后等待的秒数:设置发送 LAN 唤醒数据包后域代表等待多播的时间。 默认等待期限是 120 秒。 如果网络中的某些设备需要等待 120 秒以上才能启动,则应当提高这个值。 允许的最大值是 3600 秒(1 小时)。

使用下列选项可配置特定于任务的定向多播参数。 默认值适用于大多数多播。

同时工作的多播域代表的最大数目:同时进行多播的代表数目不超过该数。

限制处理多播失败的计算机的数量:如果设备无法通过多播接收文件,则从网站服务器或文件服务器下载该文件。 此参数可用于限制同时获得该文件的设备数目。 例如,如果最大线程数为 200,而多播失败线程的最大值为 20,那么“自定义作业”对话框最多可以同时处理 20 台多播失败的设备。“ 自定义作业对话框最多可以同时处理 200 个已成功接收多播的设备,但在这 200 个线程中,最多可以同时处理 20 个多播任务失败的设备。 如果将该值设置为 0,那么对于任何多播失败的设备,“自定义作业”对话框都不会执行任务中的分发部分。

文件在高速缓存中保存的天数:多播的文件在每台目标设备高速缓存中保留的时间。 过了这段时间后,文件将被自动清除。

文件在多播域代表高速缓存中保存的天数:多播的文件在多播域代表高速缓存中保留的时间。 过了这段时间后,文件将被自动清除。

数据包传输之间的最少毫秒数(WAN 或本地):发送多播数据包之间等待的最短时间。

只有当该域代表不是从其自身的高速缓存多播文件时,才使用该值。 如果未指定此参数,将使用存储在子网/域代表设备上的默认最短休眠时间。 您可以利用该参数来限制 WAN 上的带宽使用率。

数据包传输之间的最多毫秒数(WAN 或本地):发送多播数据包之间等待的最长时间。

关于“卸载修补程序”对话框

使用此对话框创建和配置卸载任务,从受影响的设备上卸载已部署的修补程序。

任务名:用唯一的名称来标识任务。 默认值是修补程序的名称。 如果需要,可以编辑此名称。

作为计划任务卸载:单击确定后在“计划任务”窗口中创建卸载修补程序任务。

选择目标:指定要将哪些设备添加到卸载修补程序任务中。 可以不选择设备,选择安装有该修补程序的所有设备,或仅选择安装有该修补程序的设备(只有从设备“安全和修补程序信息”对话框中访问“卸载修补程序”对话框时,最后一个选项才可用)。

如果需要原始修补程序:

使用多播:启用“定向多播”以将卸载修补程序任务部署到设备。 如果要配置多播选项,可单击此选项,然后单击多播选项。 有关详细信息,请参阅关于关于“多播选项”对话框

作为策略卸载:单击确定后,将在“计划任务”窗口中创建一个卸载修补程序策略。

添加表示受影响的设备的查询:根据所选的修补程序新建查询,并将其应用到策略中。 基于查询的策略将搜索安装有选定修补程序的设备,并将其卸载。

扫描和修复设置:指定用于卸载任务的扫描和修复设置,以便确定安全扫描器是否显示设备、重新启动选项、MSI 位置信息等。

关于“收集历史信息”对话框

使用此对话框编译有关受管设备上已扫描和检测到的漏洞的数据。 此信息用于安全报告。 您可以立即收集数据,也可以创建一个任务在指定的时段内收集数据。

该对话框包含以下选项:

任务名:用唯一的名称来标识任务。

“最近扫描”的阈值:如果在指定天数内发生扫描,则设备将被视为最近接受过扫描。 默认为 30 天。

为发布时间少于以下时间的定义构建报告数据:将报告内容限制为有关在指定时间段内发布的漏洞的数据。 默认为 90 天。

历史记录数据保存时间:指定收集数据的持续时间(以天数为单位)。 可以指定的时间范围为 1 天到 3,000 天。 默认为 90 天。

推出项目操作历史数据的保留时间:指定收集数据的时间(以天为单位)。 默认为 90 天。

如果收集历史信息尚未运行,则发出警告:如果任务未在指定时间段内运行,则在核心服务器控制台上显示一条消息。 默认为 1 天。

立即保存并收集:立即收集已检测、已扫描和未扫描漏洞的当前数据。

创建任务:(按钮)将任务添加到“计划任务”窗口,您可以在其中配置其计划和重复选项,并分配目标设备。

全部清除:(按钮)完全删除迄今为止收集的有关漏洞的数据。

“修补程序和遵从性”设置帮助

关于“配置扫描和修复(和遵从性)设置”对话框

使用此对话框管理扫描和修复(和遵从性)设置。 配置后,可以将这些设置应用到用于安全和遵从性扫描、修复、卸载以及重新启动的任务。

该对话框包含以下选项:

新建:打开设置对话框,在其中可以配置与指定设置类型相关的选项。

编辑:打开设置对话框,修改选定的设置。

复制:打开选定设置的副本作为模板,然后可以对其进行修改和重命名。

删除:从数据库中删除选定的设置。

NOTE: 所选设置可能目前仍与一个或多个任务或受管设备相关联。 如果删除某个设置,具有该设置的设备将仍然具有并继续使用该设置,直到部署新的更改设置任务为止。 具有该设置的计划任务和本地调度程序任务将仍然在目标设备上运行,直到部署新的配置为止。

关闭:关闭对话框,不在任务中应用任何设置。

关于“配置自定义变量覆盖设置”对话框

使用此对话框可管理自定义变量覆盖设置。 配置以后,可以将自定义变量覆盖设置应用于更改设置任务,并将其部署至目标设备,以更改(或删除)默认的自定义变量覆盖设置。

自定义变量覆盖设置让您能够配置自定义变量值的例外情况。 使用这些设置来忽略或绕过特定的自定义变量条件,使扫描的设备不被认定为易受攻击。

该对话框包含以下选项:

新建:打开自定义变量覆盖设置对话框,在其中可以配置选项。

编辑:打开自定义变量覆盖设置对话框,在其中可以修改选定的自定义变量覆盖设置。

复制:打开选定设置的副本作为模板,然后可以对其进行修改和重命名。

删除:从数据库中删除选定的设置。

NOTE: 所选设置可能目前仍与一个或多个任务或受管设备相关联。 如果删除某个设置,具有该设置的设备将仍然具有并继续使用该设置,直到部署新的更改设置任务为止。 具有该设置的计划任务和本地调度程序任务将仍然在目标设备上运行,直到部署新的配置为止。

关闭:关闭对话框,不在任务中应用任何设置。

可以在设备的清单视图中查看自定义变量覆盖设置信息。

关于“定义组设置”对话框

使用此对话框可创建、编辑和选择设置,根据安全定义的类型和/或严重性控制其下载的方式和位置。

该对话框包含以下选项:

定义类型和严重性筛选器:列出定义组设置。

类型:显示所选组设置的定义类型。

严重性:显示所选组设置的定义严重性。

状态:显示与组设置匹配的定义下载时的状态(不扫描、扫描和未分配)。 状态与树视图中的组节点相对应。 默认状态为“未分配”。

组:显示与上述指定的类型和严重性标准匹配的安全定义所在一个或多个组。 您可以添加和删除任意数量的自定义组。

自动修复:如果指定下载的安全定义设置为“扫描”状态(位于“扫描”组中),那么选择此选项以启用自动修复漏洞。

关于“定义属性”对话框

使用此对话框可定义一些定义组设置。 这些设置根据安全定义的类型和/或严重性控制其下载的方式和位置。

该对话框包含以下选项:

筛选器:定义哪些安全内容(定义)将置于下面所选的一个或多个组中。

定义类型:选择您要下载的定义类型以及想要的状态和位置。

严重性:选择指定的定义类型的严重性。 如果类型匹配但严重性不匹配,那么此设置将不会筛选该定义。

操作:定义您想要对下载的定义进行的操作以及想要将其存放的位置。

设置状态:选择下载定义的状态。 具体选项有:不扫描、扫描和未分配。

设置自动修复:如果状态为“扫描”并且想要在检测到安全风险时自动进行修复则选择自动修复。

将定义放到自定义组:使用“添加”和“删除”按钮选择一个或多个组。 可以选择创建的自定义组、“警报”组、“遵从性”组以及几个可用的安全行业组。

关于“警报设置”对话框

使用此对话框为被扫描设备配置与安全有关的警报,包括漏洞和防病毒警报。

“警报设置”对话框包含以下页:

“定义”页面

使用该页可配置安全警报。 如果已将安全定义添加到“警报”组,那么“修补程序和遵从性”将在扫描的设备上检测到这些定义的任何一个时发出警报。

最小警报间隔:指定最短的时间间隔(以分钟或小时计),检测到的漏洞警报将在此间隔内发出。 如果不希望经常接到警报,可以使用该设置。 如果希望进行实时警报,请将此值设置为零。

添加到警报组:指示在内容下载过程中自动加入警报组的漏洞(按严重级别)。 默认情况下,任何添加入“警报”组的定义也将自动添加入“扫描”组,以便将这些定义包括在安全扫描任务中。

“防病毒”页面

使用该页可配置防病毒警报。

最小警报级别:指定最短的时间间隔(以分钟或小时计),检测到的病毒警报将在此间隔内发出。 如果不希望经常接到警报,可以使用该设置。 如果希望进行实时警报,请将此值设置为零。

警报条件:指示哪些防病毒事件生成警报。

关于“核心服务器设置”对话框

使用此对话框以启用并配置将最新的安全扫描结果自动发送到您网络上的汇总核心服务器。 安全扫描数据发送让您能够在大型分布式企业网络中查看所有受管设备的实时漏洞状态,而无需直接从主核心服务器检索这些数据。

安全扫描器每次运行时,都会将扫描结果文件写入到核心服务器上名为 VulscanResults 的文件夹中,并通知 Ivanti® Endpoint Security for Endpoint Manager Web 服务,后者会将文件添加到核心数据库中。 如果已启用汇总核心设置并确认了有效的汇总核心,汇总核心会将扫描结果文件读取到自身的数据库中,从而更快速地访问关键漏洞信息。

该对话框包含以下选项:

扫描结果:

在处理后将扫描结果保留在 vulscan 结果文件夹中:将安全扫描结果文件保存在默认的 vulscan 文件夹中。

如有必要,解压缩文件:如果扫描结果文件被压缩,则启用自动解压缩。

自动修复重试计数:

在放弃之前尝试自动修复的次数:指定在超时前,核心服务器通过自动修复来进行修补的尝试次数。

无限次尝试自动修复:表示核心服务器将一直尝试通过自动修复来进行修补,直到成功为止,或直到您停止流程为止。

修订更改漏洞的自动修复设置:

如果漏洞修订发生更改,自动修复保持启用状态:(2022 SU4) 漏洞修订更改将触发自动修复。 此为默认行为。

如果漏洞修订发生更改,自动修复将被禁用:(2022 SU4) 漏洞修订更改不会触发自动修复。 如果您想要对修订更改进行额外测试,或者如果您想要减少由于自动修复而导致的设备重启次数,这可能会很有帮助。

汇总核心数据库:

将扫描结果立即发送到汇总核心服务器:使用上述方法,以便立即将安全扫描结果发送到指定的核心服务器。

使用默认汇总 URL:使扫描结果文件从核心服务器发送到汇总核心时能够使用默认的 URL。 输入核心服务器的名称,然后勾选此复选框,以自动在汇总 URL 字段中插入脚本和 Web 地址。

汇总核心名称:指定您想要从核心数据库接收最新安全扫描结果的汇总核心服务器。

汇总 URL:指定接收安全扫描结果和汇总核心上扫描结果文件的目标文件夹的汇总核心的 Web 地址。 可以通过勾选使用默认汇总 URL 复选框来自动插入汇总 URL;或者在清除复选框后输入所需的 URL,以手动编辑字段。

关于“权限”对话框

使用此对话框来查看当前登录的管理员对于修补程序和遵从性工具的有效权限。 利用用户管理工具对这些权限设置进行配置。 同样,Ivanti 管理员可以更改编辑和导入自定义漏洞定义所需的基于角色的权限。

IMPORTANT: 只有 Ivanti 管理员可以更改基于角色的权限。

该对话框包含以下选项:

用户:

查看:表示用户可以查看修补程序安全内容。

编辑:表示用户可以编辑修补程序安全内容。

部署:表示用户可以部署修补程序安全内容。

编辑公共:表示用户可以编辑自定义的漏洞内容。

如何解释基于角色的权限:

需要“编辑公共”权限来编辑自定义的定义:指定用户需要“编辑公共”权限才能编辑自定义的漏洞定义。

需要“编辑公共”权限来导入定义:指定用户需要“编辑公共”权限才能导入安全定义。

“修补程序和遵从性”工具栏帮助

关于“清除修补程序和遵从性定义”对话框

使用此对话框从核心数据库中完全删除定义(和与其相关联的检测规则)。

IMPORTANT: 需要 Ivanti 管理员权限
用户必须具有 Ivanti 管理员权限才能执行此任务。

如果定义已过时,无法正常工作,或相关的安全风险已彻底解决,那么可以删除这些定义。

该对话框包含以下选项:

平台:指定要从数据库中删除其定义的平台。 如果某个定义与多个平台相关联,那么必须选择与其关联的所有平台,才能删除该定义和它的检测规则信息。

语言:指定要从数据库中删除其定义的选定平台的语言版本。 如果选择了 Windows 或 Macintosh 平台,那么应指定要删除其定义信息的语言。 如果已选中 Linux 平台,则必须指定非特定语言选项,以便删除平台上不依赖语言的定义信息。

类型:指定要删除其定义的内容类型。

清除:对于您选择的类型,如果改类型属于选定的指定平台和语言,那么完全删除其定义和检测规则信息。 只有再次下载内容,才可以恢复这些信息。

关闭:关闭对话框,既不保存所作更改也不删除定义信息。

关于安全扫描信息视图

使用此对话框可查看网络中已扫描设备修补程序部署活动和状态的详细情况。

您可以查看以下扫描结果:

最近未报告的设备

没有结果的设备

需要修补程序的设备(按所选严重性类型)

关于“阈值设置”对话框

使用此对话框可定义在安全扫描信息对话框中显示的安全扫描(修补程序部署)结果的时间周期。

近期未扫描的阈值:指明检查未扫描修补程序部署的设备的最多天数。

关于“安全和修补程序信息”对话框

在“网络”视图中,右键点击设备,然后点击安全性和修补程序 > 安全性和修补程序信息。 使用此对话框可详细查看选定设备的安全信息。 可以查看设备的扫描结果、检测到的安全定义、缺少的和已安装的修补程序(或软件更新)以及修复历史记录。

使用清除按钮,从数据库中删除选定设备的所有扫描信息。

还可以在此视图中右键单击某个漏洞(或其他安全内容类型),直接创建修复任务,或者为适用的安全内容类型启用/禁用“自动修复”选项。

显示的信息取决于选定的安全内容类型

根据您从类型下拉列表中选择的安全内容类型,此页中显示的组名和信息字段会动态地变化。 例如,如果选择漏洞,将显示下列信息字段:

检测到的所有:列出上次扫描在设备上检测到的所有漏洞。

已安装的所有:列出设备上安装的所有修补程序。

历史记录:显示在设备上尝试的修复任务的相关信息。 这些信息有助于排除设备出现的问题。 要清除此数据,请点击清除历史记录,指定设备和时间范围设置,然后点击清除

漏洞信息:

标题:显示选定漏洞的标题。

已检测到:指示是否已检测到选定漏洞。

最初检测到:显示漏洞最初在设备上检测到的日期和时间。 如果已经执行多个扫描,该信息就会很有用。

原因:说明为什么会检测到选定漏洞的原因。 此信息有助于您确定安全风险的严重程度,以决定是否立即执行修补。

预期的:显示漏洞扫描器正在查找的文件或注册表项的版本号。 如果已扫描设备上找到的文件或注册表项的版本号与此版本号相符,那么表明不存在漏洞。

找到的:显示已扫描设备上发现的文件或注册表项的版本号。 如果此版本号与上文中的“预期的”版本号不同,那么表明存在漏洞。

修补程序信息:

所需的修补程序:显示修补选定漏洞所需的修补程序的可执行文件名。

已安装的修补程序:指示修补程序是否已安装。

上次操作的日期:显示在设备上安装修补程序的日期和时间。

操作:指示上次操作是安装还是卸载。

详细信息:指示是否已成功进行部署/安装。 如果安装失败,那么必须先清除此状态信息,然后才能重新安装修补程序。

清除:清除所选设备的当前修补程序安装日期和状态信息,必须进行该操作才能尝试再次部署和安装该修补程序。