修補程式自動化

「修補程式自動化」(工具 > 安全性和遵從性 > 修補程式自動化) 是一種工具,可大幅簡化每月的修補程式活動並將其自動化。 透過「修補程式自動化」,系統便能引導您順利完成整個修補活動建立程序。 您可以決定接受修補的對象及時間。 在修補程式持續累積的同時,您仍可輕鬆地即時掌握即將進行哪些修補。

當活動修補步驟開始時,您能夠即時查看修補成功率,以及決定何時要將活動步驟擴展至更廣泛的測試群組。 一旦您建立了一個適合您的組織及風險承受能力的「修補程式自動化」活動程序,其便能夠每個月自動進行,進而大幅減少監管需求。

IMPORTANT: 若您是初次使用本工具,請務必依照在使用「修補程式自動化」之前內的組態步驟操作。

設定好修補活動後,活動便會每個月自動重複進行。 您可以設定修補活動的開始時間。 例如,如果您將活動開始時間設為週二修補程式日過後兩天才開始,則「修補程式自動化」將會持續累積所有修補程式,直到您選定的日期為止。 您可以根據自己的需要建立任意數量的修補活動。 每個活動皆屬獨立。

此外,也有獨立的單一修補程式活動可供您視需要執行。 這些活動並不會自動重複。

自訂修補程式活動僅執行一次。 這些活動以您已建立,並隨後在活動中選取的弱點群組為基礎。 若您執行的活動並非以廠商安全性為中心,則這些自訂修補活動就會很有用。

每個月的活動都是從弱點下載階段開始,在這個階段裡,會識別並下載該活動月份所涵蓋的弱點。 初始活動的第一個步驟可讓您設定需考量的弱點天數範圍有多長,因為您可能會希望在建立初始活動之前所發現的弱點也能涵蓋在內。

請注意,修補程式二進位檔案將會依據您的 Endpoint Manager 所設定原則進行下載。 使用適用於所有弱點的每日掃描建議設定,確保在修補程式部署至端點之前,便已下載修補程式二進位檔案。 不支援自動下載的修補程式,可能仍需自行手動下載。

然後便會開始每月的部署階段,而活動步驟會開始依據修補程式在修補步驟頁面上出現的順序執行。 您可以根據自己的需要設定任意數量的活動。 每個步驟均有自己的目標及修補程式驗收準則。 您可在符合驗收準則的條件下,控制步驟進展是要自動進行,還是以按一下滑鼠右鍵的方式手動進行。

我們建議您為每個活動至少設定下列步驟:

  • 小型試用群組可確保不會有重大情況發生。
  • 擴大的試用群組可識別較為罕見的問題。
  • 可部署給所有人的生產群組。

針對各個活動,請執行下列動作:

  1. 一般頁面上,為活動命名並定義修補活動每個月的開始時間 (以週二修補程式日為基準)。 有一個您可以選擇的單一修補程式活動選項。
  2. 產品頁面上,選取要在活動期間針對其獲取修補程式的產品。 使用搜尋產品方塊以快速找出特定產品。
  3. 嚴重性: 頁面中,選取要修補的弱點的嚴重程度。 使用搜尋嚴重性方塊以快速找出特定嚴重性。
  4. 修補步驟頁面上,新增並設定測試群組步驟 (試用、擴大試用、生產等)。 關於活動步驟的詳細資訊,請閱讀下節內容。
  5. 您可以在自動修復頁面上啟用全域自動修復,而且您可以選取範圍以包含要自動修復的裝置。 若您不想讓某些裝置 (如伺服器) 使用自動修復,此選項很實用。
  6. 弱點頁面上,設定您希望如何處理第一個月的內容下載。 若想要新增在您開始活動前便已可用的修補程式,請使用此步驟。 第一個月過後,便會自動下載每個月的內容。
  7. 摘要頁面上,查看活動摘要以確保其已依您想要的方式進行設定。

針對修補步驟頁面上的各個活動,請執行以下動作。

  1. 按一下新增步驟按鈕以新增新的步驟。 從最先取得修補程式的試用群組開始。 在最後一步中,若您想要在初始的涉及範圍較小的部署步驟順利完成後,將活動套用至所有裝置,可以使用啟用全域自動修復選項。 這需要在部署的「分發及修補程式」代理設定中啟用啟用自動修復
  2. 詳細資訊索引標籤中,為步驟命名並新增該步驟將部署到的目標。
  3. 驗收準則索引標籤中,選取您希望在該步驟停留的時長。 當步驟開始時,排程的修復工作會在該步驟的目標裝置上執行。 接著該步驟會等待您所指定的時間。 等待時間結束時,其會計算成功率。 定義何謂成功的測試。 成功時會觸發移至下一個群組的動作,例如從試用群組移至擴大試用群組。
  4. 核准與更新索引標籤中,選擇是要自動移至下一個可用步驟,還是想要在摘要檢視內以按一下滑鼠右鍵的方式手動確認各個步驟。 您也可以設定步驟完成時發出的電子郵件通知。

瞭解驗收準則

各個活動的「驗收準則」索引標籤均有兩個選項:

  • 部署成功率: 屬於此活動一部分的每個修補程式,均需成功部署至指定裝置上。 若修補程式並未成功套用 (安裝),即視為失敗。 請注意,若有端點在整個步驟期間一直維持離線狀態,該情況並不會計為失敗。

  • 回報良好的修補比率: 需要會到「收集有關良好修補程式的資料」功能。 此分析工具會偵測應用程式當機或凍結情況,並回報資料至核心伺服器。 該比率僅適用於已成功安裝修補程式的端點。 例如,如果僅有 50% 的端點成功安裝了修補程式,但若並未偵測到該修補程式有損毀或手動報告,則仍有可能會達成 100% 的良好修補比率。

    「收集有關良好修補程式的資料」功能僅可搭配第三方 (非 Microsoft 且非 .msu 格式) Windows 應用程式修補程式使用。 若修補程式是 Microsoft Windows Update .msu 檔案,或是適用於不同的作業系統,則不會計為回報的良好修補程式。

您可在符合驗收準則的條件下自動進行下個步驟,或者您想先檢閱結果,然後再決定是否繼續進行的話,可用手動方式進行下個步驟。

檢視修補活動進展與狀態

在您初次建立活動時,其會處於已排程狀態,而此時其會開始累積將成為活動一部分的修補程式。 活動步驟要到下一個週二修補程式日間隔 (依據您指定的位移天數進行調整) 後才會開始。 在每月完結時,該工具會在已排程狀態下自動為下個月建立一個新活動。 可能的已排程狀態有六種: 使用中、已排程、暫停中、已暫停、已完成與已失敗。

以下是關於檢視活動狀態的一些技巧:

  • 按一下主要活動,即可得知整個活動的狀態。
  • 按一下活動底下的每月活動項目,即可得知所按月份的狀態。
  • 在各個活動底下,您也可以看到活動的弱點及目標裝置。
  • 使用弱點檢視並以滑鼠右鍵按一下,然後核准不核准重設核准狀態。 變更核准狀態對於手動核准步驟來說最為實用。 僅於步驟完成時才會計算部署成功率。
  • 若某個步驟無論是因為手動緣故還是正在等候手動核准而被暫停,您都能使用弱點檢視來單獨核准不核准每個弱點。 若核准弱點,會將其包括在成功率計算範圍中。 若不核准弱點,會將其從成功率計算範圍與該活動的部署中移除。
  • 您也可以使用弱點檢視執行修補程式影響分析,或是建立修復工作。
  • 弱點檢視的設定受影響的電腦右鍵選項會顯示受到所選弱點影響的電腦。 這是在每個步驟結束時建立的快照。
  • 使用裝置檢視可查看各個裝置的修補程式總數、已部署的修補程式數,以及已失敗的修補程式數。