如何创建并配置自动化补丁部署任务?

对自动补丁部署的需要:

随着对各厂商软件攻击频率的增加,必须使您的所有企业终端始终保持最新状态并全天候更新补丁。解决此问题的最佳方法是拥有一个系统且自动化的解决方案,以有效管理不同操作系统和第三方应用程序补丁。
Desktop Central的自动补丁部署(APD)功能使系统管理员可以在无需任何手动干预的情况下、自动部署其网络计算机中缺少的补丁。

自动化补丁部署的好处

  1. 部署速度很快,而且由于及时安装已有补丁,安全性得到了加强。
  2. 所有已批准的补丁将在下载后立即在下一次部署时部署。不需要设置新的自动补丁部署调度器。
  3. 每当网络中的计算机脱机并再次遇到网络连接时,计算机都可能会丢失新的漏洞和补丁。当代理与服务器建立联系时,它将自动在下一个刷新周期中进行扫描,并在服务器中检测并更新缺失的补丁。代理将在下一刷新周期中部署它们。
  4. 代理中的部署将持续进行,直到没有自动部署部署设置条件的缺失补丁为止。
  5. 在自动补丁部署中,您还可以在更详细的视图中查看修补的历史记录。

Automatepatchdeploymentworkflow

按照以下步骤创建并配置自动化补丁部署任务:

先决条件:

配置“补丁数据库设置”以指定Desktop Central服务器与数据库同步的时间间隔并收集最新可用补丁的详细信息。

注意 

补丁数据库同步后,Desktop Central服务器将收集最新发布的补丁的详细信息。在下一个刷新策略中,Desktop Central代理将自动扫描计算机以检查是否缺少新的可用的补丁。使用“自动化补丁部署”,这些补丁将自动进行部署,而不会出现任何延迟。“自动补丁部署”任务可确保对网络中的所有计算机进行完全修补。

创建自动补丁部署任务的步骤

注意:Desktop Central Cloud模型当前不支持Linux管理。

 

按照以下步骤为一组计算机创建自动化补丁部署任务:

  1. 导航至补丁管理 -> 部署 -> 自动化部署补丁。此视图将显示创建的所有任务。
  2. 点击“自动化任务”为Windows/Mac/Linux创建一个新任务并命名。
  3. 为以下步骤配置所需的详细信息:
    1. 选择应用程序 - 要修补的操纵系统和第三方应用程序的类型
    2. 选择部署策略 - 根据企业需求,配置部署补丁的方式和时间
    3. 定义目标 - 选择要部署补丁的目标计算机
    4. 配置通知 - 接收关于部署状态的通知

选择应用程序

部署操作系统更新

如果您想要部署仅与操作系统(如Windows、Mac或Linux)相关的更新,则可以启用以下复选框之一:

  • 安全更新包含Windows的所有安全更新,并将严重性指定为严重/重要/中/低/未分级。
  • 非安全更新包含Windows中所有与安全无关的更新。
  • 仅适用于Windows的更新:
    1. 服务包 - 所有热修复、安全更新、关键更新以及Windows系统不同版本的更新的经过测试的累积集。
    2. 汇总 - 累积更新集,包括安全性和可靠性更新,这些更新打包在一起,便于作为单个更新部署,并且主动包含过去发布的更新。
    3. 可选更新 - 也称为“预览汇总”,这些是可选的、累积的新更新集,它们打包在一起,并在下一次“每月汇总”发布前进行部署,使客户主动下载、测试并提供反馈。
    4. 功能包 - 完整产品版本中包含的新产品功能。
    5. 驱动更新可用来自动更新系统中存在的网络、声音和视频驱动程序。有关我们支持的“驱动”更新的完整列表,请参阅此链接

部署第三方更新

如果您想要仅部署与第三方应用程序相关的更新,则将严重性指定为严重/重要/中/低/未分级。
指定是要部署所有应用程序还是要包括/排除特定应用程序。

部署防病毒更新

选择此选项可为以下软件部署防病毒定义更新:Mcafee Virusscan Enterprise、Microsoft Forefront Endpoint Protection 2010 Server Management、Microsoft Forefront Endpoint Protection 2010 Server Management x64、Microsoft Forefront Client Security、Microsoft Forefront Client Security x64、Microsoft Security Essentials、Microsoft Security Essentials x64。

延迟部署

您可以选择延迟补丁的部署以确保其稳定性。您可以选择从发布或批准之日起的特定天数后部署补丁。
例如,假设您将天数指定为“发布后5天”,则补丁将仅在Desktop Central支持之日起5天后部署。如果您选择“批准后5天”部署补丁,则补丁将仅在被标记为已批准之日起5天后部署。

选择部署策略

  • 通过配置部署策略设置,根据企业需求自定义修补流程。
  • 部署策略详细信息:
    1. 部署频率 - 选择您想要执行部署的频率
    2. 部署时间 - 需要部署补丁的时间间隔
    3. 部署将在...启动 - 选择部署是在系统启动期间进行还是在所选“部署时间”内的刷新周期期间进行。
  • 如果您将任何策略设置为默认,那么默认策略将自动应用于配置。
  • 根据您的需求,您可以从预定义策略的可用列表中选择或创建您选择的策略。
  • 点击查看详细信息查看策略详细信息和应用策略的配置列表。
  • 到期设置允许您在指定的时间段后挂起任务。

定义目标

  • 选择须对其执行部署的目标计算机。目标可以是整个域或远程办公室。如果选择整个域作为目标,则还将包括该特定域中的所有远程办公室。
  • 您可以基于站点、OU、组、特定计算机等来过滤目标。
  • 排除目标”允许您选择要从补丁部署任务中排除的某些目标。例如,您可以在部署非安全更新时排除服务器计算机。

配置通知

配置“通知”设置以接收以下电子邮件通知:

  1. 自动补丁部署任务的部署/下载失败
  2. 自动补丁部署任务的每日状态报表

点击保存成功创建任务。现在,所有选中的计算机都将在选择的部署策略中指定的部署时间中自动部署缺失的补丁。

常见问题

  1. 如果“计划扫描”被移除,还能扫描计算机吗?
  2. 漏洞每天都在增加,我们必须拥有网络上哪些计算机缺少重要补丁的最新扫描数据。因此,我们使扫描任务自动化。补丁数据库同步后,如果与以前的同步相比发布了新补丁,则代理将在随后的刷新周期中自动进行扫描。

  3. 自动扫描会因多个请求而增加服务器的负担吗?会阻塞网络流量吗?
  4. 当然不会。扫描发生在数据库同步后。每次扫描发生时,都会检测到最新缺失的补丁并将其下载到服务器上。我们采用这种有效机制,仅发布差异扫描数据(两次连续扫描之间的扫描数据差异),不会使服务器负担过多。
    此外,由于我们不会从服务器启动按需扫描,因此它不会影响网络流量。它类似于配置,代理将仅在其后续刷新周期中进行扫描。 因此,网络流量在刷新间隔中分配,因而不受干扰。

  5. 如何在扫描完成后获取缺失补丁的报表?
  6. 您可以使用“计划报表”。报表 -> 计划报表。您可以计划在数据库同步2小时后通过电子邮件发送报表,也可以根据需要配置频率。

  7. 如何查看要在自动补丁部署中安装的补丁的报表?
  8. 您可以从点击某个自动补丁部署策略,然后点击“补丁视图”页签。

  9. 我通常会在“补丁星期二”之后两周延迟安装补丁。对我来说情况会有什么不同?
  10. 完全没有问题,您仍然可以使用自动补丁部署下的“延迟部署”选项,使用该选项,您可以:

  • 在发布后的“x”天后部署补丁
  • 在测试后的“x”天后部署补丁
  • 您还可以调整部署策略设置以获得合适的部署时间。

  • 如果没有将任务迁移到新的工作流会怎样?

您有90天的迁移时间。90天后,将发送通知,您的自动补丁部署任务将被删除。因此,建议在90天内迁移自动补丁部署任务。

 

我们的客户