如何创建和配置自动补丁部署任务?

需要自动部署补丁:

随着攻击厂商和攻击频率的稳步上升,必须使您的企业所有端点都保持最新且24小时更新。解决这个问题的最好方法,是有一个系统的和自动化的解决方案,有效地管理多个OS和第三方应用补丁。
自动补丁部署(APD)特性为系统管理员提供了自动部署网络计算机中缺少的补丁的功能,不需要任何手动干预。

自动补丁部署(APD)工作流已得到增强!

为了满足网络行业的安全需求和少数客户的要求,ManageEngine的补丁管理模块在"自动补丁部署"(APD)功能上进行了一些增强。我们将揭示最新的APD特性的新特性。

新特性是什么?

新升级的APD要求在服务器与补丁数据库同步时进行自动扫描(而不是手动计划的扫描)。根据补丁同步完成后的下一个刷新周期,在每台机器上检测丢失的补丁。然后从供应商站点将补丁下载到服务器上,并在指定的部署时间按指定的方式自动部署。整个新的APD过程旨在消除安排扫描和稍后下载丢失补丁的手动工作,以便与最新的补丁保持同步。

新特性的自动补丁部署的好处

  1. 部署是快速的,并且由于部署补丁的可用性,安全性得到了加强。
  2. 所有已批准的补丁将在下载后在下一个部署时间立即部署。不需要等待下一个APD调度程序来调用部署。
  3. 只要计算机网络中脱机时,再次遇到网络连接,可能会有新的漏洞和补丁电脑不见了只在新的adp,代理接触服务器时,它会自动扫描在下一个刷新周期,发现缺失的补丁和更新服务器。代理在部署期间的后续刷新周期中部署它们。因此,无需担心agent的接触时间及其持续的易受攻击状态。在旧的APD中,补丁安装可能会延迟,因为代理仅在APD调度之后才与服务器联系。
  4. 在代理中继续部署,直到为APD标准找到零个丢失的补丁。
  5. 在新的APD中,您还可以以更详细的视图查看补丁的历史。

Automatepatchdeploymentworkflow

按照以下步骤创建和配置一个自动化补丁部署任务:

  1. 如果您使用的是构建版本10.0.193或更高版本。
  2. 如果您使用的是10.0.193以下的构建版本
  3. 如果您想迁移到构建版本10.0.193中提供的增强的自动化补丁部署特性

版本:10.0.193及以上版本:

按照以下步骤创建和配置一个自动化补丁部署任务:

首要的:

配置补丁数据库设置,以指定中央服务器与数据库同步的时间间隔,并收集可用的最新补丁的详细信息。

注: 

在与补丁数据库同步之后,中央服务器将收集最新发布的补丁的详细信息。在下一个刷新策略中,代理程序将自动扫描计算机,以检查新可用的补丁是否丢失。使用自动化补丁部署,这些补丁将自动部署,没有任何延迟。自动补丁部署任务确保网络中的所有计算机都已完全打好补丁。

创建APD任务的步骤

按照以下步骤为一组计算机创建补丁部署自动化任务:

  1. 导航到补丁管理并自动部署补丁。这个视图将显示创建的所有任务。
  2. 单击“自动化任务”为Windows/Mac/Linux创建一个新任务,并将任务命名为“任务”。
  3. 配置以下步骤所需的详细信息:
    1. 选择应用程序 - 补丁的操作系统和第三方应用程序的类型
    2. 选择部署策略 - 根据企业的补丁需求配置如何以及何时部署补丁
    3. 定义目标 - 选择要部署补丁的目标计算机
    4. 配置通知 - 接收关于部署状态的通知

选择应用程序

部署操作系统更新

如果你想要部署只与操作系统相关的更新(例如Windows, Mac或Linux),那么你可以启用以下复选框:

  • 安全更新这涉及到Windows的所有安全更新,并将严重性指定为临界/重要/中等/低/未评级。
  • 非安全性更新这涉及所有来自Windows的非安全相关更新
  • 只适用于Windows的更新:
    1. 服务包 -一套经过测试的,累积的所有修补程序,安全更新,关键更新,和更新为不同版本的Windows操作系统。
    2. 汇总更新 -累积更新集,包括安全性和可靠性更新,这些更新打包在一起,以便作为单个更新轻松部署,并将主动包括过去发布的更新。
    3. 可选更新 - 也称为预览滚动版,这些是可选的、累积的新更新集,它们打包在一起,并在下一个月Rollup发布之前部署,以便客户主动下载、测试和提供反馈。
    4. 特性包 - 新产品功能包含在完整的产品版本中。

部署第三方更新

如果您只想部署与第三方应用程序相关的更新,那么请将严重性指定为临界/重要/中等/低/未分级。
指定是否要部署所有应用程序,或者是否要包含/排除特定的应用程序。

部署防病毒更新

选择此选项可部署以下反病毒定义更新:Mcafee Virusscan Enterprise、Microsoft最前线端点保护2010服务器管理、Microsoft最前线端点保护2010服务器管理x64、Microsoft最前线客户端安全、Microsoft最前线客户端安全x64、Microsoft安全本质、Microsoft安全本质x64

延迟部署

您可以选择延迟补丁的部署,以确保其稳定性。您可以选择在发布日期或批准日期后的特定天数后部署补丁。
例如,假设您将天数指定为"发布后5天",那么补丁将只在5天之后部署,从支持它的那天开始。如果您选择在"批准后5天"部署补丁,那么补丁将只在标记为批准后5天之后部署。

选择部署策略

  • 通过配置部署策略设置,根据您企业的需求定制补丁程序。
  • 部署策略细节:
    1. 部署频率 - 选择您希望执行部署的频率
    2. 部署窗口 - 补丁需要部署的时间间隔
    3. 部署将在 - 选择部署是否应该在系统启动期间发生,或者在选择的部署窗口内的刷新周期中发生。
  • 如果您将任何策略设置为default,则默认策略将自动应用于配置。
  • 根据您的需求,您可以从预定义策略的可用列表中进行选择,或者创建您选择的策略。
  • 单击View Details查看策略细节和策略应用到的配置列表。
  • Expiry设置允许在指定的时间段后挂起任务。

定义目标

  • 选择要执行部署的目标计算机。目标可以是整个域或远程办公室。如果选择整个域作为目标,则还将包括该特定域中的所有远程办公室。
  • 您可以根据站点、OU、组、特定的计算机等过滤目标。
  • '排除目标'允许您选择希望从补丁部署任务中排除的某些目标。例如,可以在部署非安全性更新时排除服务器计算机。

配置通知

配置通知设置,以接收以下邮件通知:

  1. APD任务的部署/下载失败
  2. APD任务的每日状态报表

单击保存以成功创建任务。现在,所有选中的计算机都将自动部署,并在部署时间部署所选部署策略中缺少的补丁。

对于10.0.193以下的构建版本

自动补丁管理发生在不同的级别。例如,管理员可以:

  1. 选择扫描网络中的系统来检测丢失的补丁。
  2. 扫描并下载缺少的补丁。(不适用于PMP云)
  3. 扫描、下载和起草缺失的补丁。(不适用于PMP云)
  4. 扫描、下载并部署缺少的补丁。

以上所有操作都可以针对特定的一组目标计算机完成,比如很少有系统只会被扫描,很少有其他系统会被自动打补丁等等。

补丁管理是如何工作的?

按照以下步骤创建计划任务,以实现补丁管理的自动化:

  1. 点击Admin选项卡调用Admin
  2. 单击“补丁设置”下的“自动补丁部署”链接
  3. 单击“添加调度任务”按钮并指定以下内容:
    1. 为任务指定一个名称
    2. 从下列任何一个选项中选择部署选项:
      1. 扫描系统以识别丢失的补丁:这是默认选项,它扫描您的网络以检测易受攻击的应用程序。
      2. 扫描系统并下载已批准的缺失补丁:使用此选项来检测您网络中的脆弱系统/应用程序,并从特定供应商的网站下载相应的补丁。(不适用于PMP云)
      3. 扫描系统,下载已批准的缺失补丁并起草补丁配置:使用此选项可从特定供应商的网站自动下载缺失补丁并创建补丁配置的草稿。配置,部署设置。(不适用于云端)
      4. 扫描系统,下载和部署已批准的缺失补丁:使用此选项定期扫描系统,以确定缺失的补丁,从特定供应商的网站下载补丁,并将补丁部署到计算机上。配置部署设置
    3. 指定微软和第三方应用程序的严重程度:

       

      1. 部署操作系统更新:如果你只想部署与操作系统相关的更新,那么你可以只选择“微软/苹果应用程序”。并遵循以下步骤:
        1. 启用复选框来部署“安全更新”
        2. 将“严重性”指定为Critical/Important/Moderate/Low/ unrating。只有选定的严重性补丁将通过自动补丁部署部署。
        3. 启用复选框来部署“非安全性更新”
        4. 指定是否希望部署所有应用程序,或者指定需要包括/排除的应用程序。如果您不选择“hird Party更新”,则只会部署与操作系统相关的更新。
      2. 部署第三方更新:如果您只想部署与第三方更新相关的更新,那么您可以只选择“第三方应用程序”,并按照以下步骤进行:
        1. 将“严重性”指定为Critical/Important/Moderate/Low/ unrating。只有选定的严重性补丁将通过自动补丁部署部署。
        2. 指定是否希望部署所有应用程序,或者指定需要包括/排除的应用程序。如果您不选择“微软/苹果应用程序”的更新,则只会部署与第三方应用程序相关的更新
          您可以选择延迟补丁的部署,以确保其稳定性。您可以选择在发布或批准后的特定天数后部署补丁。假设您将天数指定为“发布后5天”,那么补丁将只在5天之后部署,从它得到支持的那天起。如果您选择“批准后5天”部署补丁,则补丁将仅在5天之后部署,从补丁被标记为批准之日起。您还应该记住,如果您使用的是Enterprise Edition,并且选择在批准之前测试补丁,那么您甚至在批准补丁之前就已经配置了一个时间延迟。因此,通过APD部署补丁将取决于“待批准的测试补丁指定的延迟”和“批准后部署补丁指定的延迟”的时间。
  • 通过选择部署策略配置部署设置:
    如果您将任何策略设置为默认,那么默认策略将自动应用于配置。您还可以从“应用部署策略”下面列出的策略中进行选择。您可以看到策略被隔离为我的策略,并由其他人创建。可以单击“查看详细信息”查看策略详细信息和应用策略的配置列表。
    如果您没有一个现有的部署策略,您可以通过单击创建策略来创建一个。

  • 启用复选框以继续部署,即使某些补丁无法下载。
  • 配置调度程序设置:
    选择所需选项后,下一步是安排扫描系统的频率。您有以下选项来安排:
    1. 一次 - 安排扫描只运行一次。您需要指定开始日期和开始时间。
    2. 每日的 - 安排扫描每天运行。您需要指定开始时间和开始日期。
    3. 每周的 - 将扫描安排在一周内的特定日期进行。您需要指定启动时间和必须运行扫描的日期。
    4. 每月的 - 将扫描安排在每个月的特定日期进行。您需要指定开始时间,选择一天和选择一个月/月。
      如果您希望在任务成功完成后发送邮件,请选择“任务完成时通知”复选框并提供电子邮件地址。可以将多个电子邮件地址指定为逗号分隔的值。
  • 选择一个目标:
    1. 下一步是选择需要执行上述操作的目标计算机。选择的目标可以是整个域、站点、OU、组或特定的计算机。您还可以根据特定的标准从选定的目标中排除计算机。
    2. 添加所需的目标计算机之后,单击Create Task。
    3. 重复以上步骤以创建更多任务。
  • 执行配置设置:
    启用复选框“在失败的目标上重试此配置”,这将帮助您在执行配置时重试。还可以指定重试尝试的总数,包括系统启动和刷新期间的重试。

      建议在扫描网络系统之前安排漏洞数据库同步,以便可以比较最新的补丁信息。

管理计划的任务

可以自定义自动补丁部署,以便更容易地管理任务。每个计划任务现在可以管理;

修改任务

要修改自动补丁部署任务,请执行以下步骤;

    1. 点击Admin选项卡,调用Admin页面。
    2. 单击“补丁设置”下可用的“自动化补丁部署”链接
    3. 在“自动化补丁部署视图”下,单击要查看其状态的任务
    4. 若要修改任务的状态,请针对任务名称单击Edit图标来修改任务并保存。

您已经修改了计划的自动补丁部署任务的状态。不建议在计划时间内修改任务(在启动扫描或下载时)。如果您修改了任务,当前的计划将被停止,修改后的任务将只在下一次计划时间内执行。

  需要注意的事项:
  1. 由用户创建的自动补丁部署(APD)任务可以由具有相同作用域的用户查看和修改。
  2. 如果创建APD任务的用户已经从范围中删除,那么APD任务只能由他查看。他将不能修改这些任务。
  3. 只有管理员可以完全控制由所有用户创建的APD任务。
  4. 如果用户A的范围是(唯一组)UG1和UG2,则用户B的范围是UG2和UG3。用户A创建一个APD任务,并将其应用于目标UG1和UG2。用户B将不能修改该任务。如果用户A将任务单独应用到UG2,那么用户B将能够修改任务。

暂停计划任务

要挂起自动补丁部署任务,请遵循以下步骤;

    1. 点击Admin选项卡,调用Admin页面。
    2. 单击“补丁设置”下可用的“自动化补丁部署”链接
    3. 在“自动化补丁部署视图”下,单击您想查看其状态的任务,
    4. 要挂起任务,单击图标挂起任务并保存。
    &nb

您已经挂起了计划的自动补丁部署任务。

查看任务的状态

要查看自动补丁部署任务的状态,请遵循以下步骤:

  1. 点击Admin选项卡,调用Admin页面。
  2. 单击“补丁设置”下可用的“自动化补丁部署”链接
  3. 在“自动化补丁部署视图”下,单击要查看其状态的任务。

您可以查看计划的自动补丁部署任务的状态。
你会发现以下细节;

  1. 导航到补丁管理->选择自动化补丁部署。在此视图下,单击要查看其状态的任务的状态。
  2. 以下详细资料将会列出:
    • 概要 - 这将显示已执行任务的详细摘要以及部署状态(是失败还是成功)。
    • 系统视图 - 此视图根据任务的部署状态列出计算机。
    • 补丁视图 - 这个视图根据严重程度列出已经下载的补丁,以及发现丢失/安装/安装失败的系统数量。
    • 详细视图 - 您可以在此视图中查看所有补丁和部署状态的详细信息。只有在启动了至少一个补丁的部署之后,您才能在此视图中看到数据。
    • 下载失败的补丁 - 这个视图列出了所有下载失败的补丁。您可以选择下载失败的补丁,然后单击“下载补丁”重试下载过程。

迁移到增强的、新的自动化补丁部署工作流

对于使用10.0.193以下构建版本的客户,如果您想使用增强的自动化补丁部署特性,他们将按照以下步骤将您当前的APD任务迁移到新的工作流。
对自动化补丁部署的增强 (APD),以确保在你的网络中没有发现和部署补丁的计算机没有延迟。

新的APD工作流中的更改

  • 为了消除部署补丁和安全更新到网络计算机的延迟,自动化补丁部署中的调度器已被移除。这意味着管理员不必安排补丁扫描。相反,每天在中央服务器与补丁数据库同步之后,将启动扫描。
  • 以前,补丁扫描是根据调度程序设置中指定的时间启动的。只有两个小时后发现丢失的补丁被部署到计算机上。这种做法有更高的机会错过关键补丁被检测和部署。在新的工作流程中,扫描后发现缺失的补丁会立即在部署窗口中部署

自动化补丁部署是如何工作的?

中央服务器将每天在计划的时间与补丁数据库同步。同步之后,服务器将收集最新发布补丁的详细信息。在下一个刷新周期中,Patch Manager Plus agents将扫描计算机,检查新可用的补丁是否丢失。使用自动化补丁部署,这些补丁将在部署窗口中指定的时间内自动部署,没有任何延迟。因此,自动化补丁部署任务确保网络中的所有计算机都配备了最新的补丁。

效益:

  1. 消除补丁部署中的任何延迟。
  2. 由于扫描是在补丁数据库同步之后启动的,APD任务减少了修补已知漏洞的时间。
  3. 增强您的网络安全。在零漏洞补丁或安全更新的时候,APD确保他们立即部署。

按照以下步骤将APD任务迁移到新的工作流:

如果您未能在90天内从升级到最新版本,所有任务将被删除。

  1. 导航到补丁管理并选择自动化补丁部署。您可以查看已创建的APD任务列表。
  2. 单击所示消息框中的Migrate按钮。
  3. 现在,您可以查看APD任务、以前配置的任务调度器设置、最近的详细信息修改以及可以执行的操作。
  4. 如果您想使用现有部署策略设置自动将APD任务迁移到新工作流,请单击Migrate。
  5. 如果您想修改APD任务的部署设置,请单击Modify。
  6. 这将显示您先前选择的所有设置。
  7.  
  8. 一旦您修改了一个自动化补丁部署任务并保存,它将被迁移到新的工作流中。
 

您也可以使用以下步骤进行迁移:

  1. 导航到补丁管理并选择自动化补丁部署。您可以查看已创建的APD任务列表。
  2. 在任务之间单击“操作”选项卡,然后选择“修改”。
  3. 选择要修改:
    • 任务 - 修改必须部署补丁的应用程序
    • 通知设置 - 修改设置以接收关于任务状态的通知
    • 过期设置 - 当您想挂起任务时更改
    • 部署策略 - 更改或创建一个新的部署策略来执行部署
   

关于迁移的重点:

  1. 在自动化补丁部署视图中,所有已被弃用的任务都可以被永久删除,或者可以被挂起一段确定的时间。
  2. 在新的工作流中,部署将仅在部署策略中配置的部署期间执行。因此,相应地配置部署策略以满足企业的补丁需求非常重要。

常见问答(等于FAQ)

  1. 如果“计划扫描”被删除,我将能够扫描我的机器在所有吗?
  2. 漏洞每天都在增加,我们必须有最新的扫描数据,我们的网络上哪些计算机缺少关键和重要的补丁。所以,我们已经自动化了扫描任务。在补丁数据库同步之后,如果释放了与前一个同步相比的新补丁,代理将在随后的刷新周期中自动扫描。

  3. 自动扫描会因为多个请求使服务器负载吗?它会阻塞网络流量吗?
  4. 绝对不会。扫描发生在数据库同步之后。每次扫描发生时,最新丢失的补丁被检测并下载到服务器上。我们采用这种有效的机制,只发布差异扫描数据(两个连续扫描之间的差异),它不会覆盖服务器。
    而且,它不会影响网络流量,因为我们不会从服务器启动按需扫描。它与配置类似,代理只会在随后的刷新周期中进行扫描。因此,网络流量分布在刷新间隔内,因此不受干扰。

  5. 扫描完成后如何获得缺失补丁的报表?
  6. 您可以使用进度报告。报告->进度报告。您可以很容易地通过调度报告,以电子邮件2小时从数据库同步。您还可以按照您希望的任何频率配置它。

  7. 在新的APD流程下如何控制部署?
  8. 我们可以使用“部署策略”来控制最新可用补丁的部署日期和时间。虽然扫描过程是自动化的,但您可以根据最适合您的网络环境的需求设置自己选择的部署策略。

  9. 我之前使用“扫描和下载”选项下载缺失的补丁。我将会受到怎样的影响?
  10. 一旦在扫描阶段发现丢失的补丁,该任务所需的已批准补丁的下载将自动触发。补丁将被下载到服务器中,准备在它们的刷新周期中根据部署策略进行部署。

  11. 如何查看APD安装补丁的报表?
  12. 你可以从APD导航到“补丁视图”。APD --> 补丁视图

  13. 我通常会在“Patch Tuesday”之后的两周延迟安装补丁。对我来说会有什么不同?
  14. 完全没有问题,你仍然可以使用APD下的“延迟部署”选项,使用它你可以:

    • 在发布后的“x”天之后部署补丁
    • 在测试通过后的“x”天之后部署补丁
    • 您还可以调整部署策略设置以获得合适的部署窗口。

  15. 如果我没有将任务迁移到新的工作流会发生什么?
  16. 你有90天的迁移时间。90天后,通知将被发送,您的APD任务将被删除。因此,建议在90天内迁移APD任务。