补丁管理

常见问题

• Desktop Central可以限制用于下载补丁的存储空间吗？您可以配置“补丁清理设置”，该设置将自动从补丁存储库中删除已作废/未使用的补丁。
• 如果Microsoft新的分布式模型带来了不良补丁，Desktop Central如何删除它？建议使用“测试并批准”功能，该功能可以在部署前在实验室计算机上测试补丁然后自动批准。我们还提供补丁删除/恢复选项，可用于处理这些情况。
• 对于服务器和桌面，可以在补丁安装后的特定时间计划重启吗？我们没有计划重启的选项，但是，您可以将部署自定义为特定的时间间隔并配置重启，以满足您的需求。
• 是否有方法在零日补丁可以下载时提醒我们，这样我们就能确保推送这些补丁而不必等待计划的策略？您可以为这些需求创建单独的“部署策略”，并自动部署它们。
• 补丁扫描应该多久运行一次，是否有手动设置？这取决于计算机的数量。通常在企业中，使用“自动补丁部署（APD）”任务，至少每周执行一次补丁扫描。
• 是否需要将计算机连接到管理员账户才能部署补丁？可以是普通用户账户吗？托管计算机可以使用常规用户账户，因为代理以系统账户运行，它具有安装补丁的特权。
• 如何为补丁指定语言？Desktop Central将根据操作系统自动检测语言。
• 安装补丁时，用户不小心关闭了计算机，会怎样？Desktop Central将在后续的部署窗口中重试安装补丁，且安装状态将更新。
• 是否有方法自动批准补丁，还是必须手动批准补丁？这与在部署前测试补丁有关。您可以选择自动批准或手动批准补丁，还可以在自动批准补丁前进行测试，如果未发现故障，则可以在指定的天数后自动批准测试的补丁，也可以根据结果手动批准。
• 我们目前使用的补丁管理解决方案告诉我们需要下载什么，然后我们手动下载补丁，部署补丁后，我们可以删除不再需要的已下载补丁，但这是手动完成的，Desktop Central是如何处理这一需求的呢？Desktop Central可自动完成整个过程。您可以创建APD任务，该任务将自动扫描计算机，检测缺失的补丁，自动下载所需的补丁并将其部署到目标计算机。您可以配置“补丁清理”设置，以自动删除不需要的补丁。
• 可以将补丁限制为仅在笔记本电脑或台式机上部署吗？可以， 您可以根据系统类型（例如笔记本电脑和台式机）来指定目标计算机，还可以创建以系统类型为条件的自定义组。
• 我们能从补丁部署中拆分扫描和下载吗？您可以创建单独的APD任务来扫描和下载补丁。您将找到四个不同的选项，如扫描、下载、起草和部署，您可以根据自己的需要选择其中任何一种。
• 当补丁处于“尚未应用”状态时，是否有办法在部署/失败后获得有关补丁的通知？您可以为APD任务配置通知设置，该通知设置可以基于不同状态（包括扫描、下载和部署补丁）多次向您发送状态报告。Desktop Central支持这些。
• 启动补丁扫描时，它是同时开始扫描所有计算机还是逐步扫描它们？扫描将逐步进行，以避免带宽瓶颈。
• 我们可以为所有MAC补丁建立单独的补丁存储吗？Desktop Central为所有补丁（包括Windows、Mac Linux和第三方补丁）维护单独的补丁存储。您可以通过补丁管理 -> 下载补丁 -> 设置 -> 下载设置进行自定义。
• 是否可以计划要安装的补丁，然后重启计算机，再关闭计算机？部署策略可用于计划补丁和重启/关机。但是，如果要在重启后关机，可以使用远程关闭/重启工具执行此操作。
• 开始创建补丁配置前，我应该运行漏洞数据库更新吗？更新后，我应该点击“立即同步”还是运行“扫描系统”然后同步？补丁数据库将根据内置计划程序自动同步（补丁管理 -> 补丁数据库设置 -> 启用计划）。您可以验证最后同步时间（补丁管理 -> 更新漏洞数据库 -> 最后更新时间）。但是，您可以使用“立即同步”选项手动同步。
• 现在，我们将WSUS用于MS补丁，切换到Desktop Central的最佳方法是什么？您可以禁用WSUS的自动更新，并在要管理的计算机上安装Desktop Central代理，扫描计算机并开始部署补丁。
• 我需要将最新的Mozilla更新部署到某些计算机，但要排除某些计算机，该怎么做？您可以将要排除的计算机创建为自定义组，通过补丁管理 -> 拒绝补丁 -> 为组拒绝补丁 -> 指定应用程序来拒绝应用程序。
• 如何在最新的Flash更新发布时自动下载和部署这些更新？您应该配置“自动补丁部署任务”并确保该计划每天运行，以使计算机保持最新状态。
• 如何确保各个计算机不会从Internet下载补丁？我不希望组织中的任何第三方应用程序从互联网上获取更新。如果是使用Desktop Central安装的补丁，则可以看到补丁的“安装时间”，如果找不到“安装时间”，则可能是通过自动更新安装的。在这种情况下，您必须通过配置 -> 脚本存储库 ->模板页签 -> 搜索AutomaticUpdates.exe -> 添加到存储库来禁用自动更新。创建配置，选择目标计算机并进行部署。
• 是否有从Desktop Central站点提取失败部署的本地日志的功能？是的，您可以从远程计算机提取本地代理日志，并通过支持 -> 创建支持文件来将其上传到支持团队以供分析。
• 是否可以在向公司中的所有计算机部署补丁前，先创建一个由几台计算机组成的测试组进行部署？您可以在将补丁部署到公司的所有计算机前，创建自定义组并测试补丁。“测试并部署”补丁这一功能将在本季度末可用。
• 如何设置最新版本的JRE的自动部署？看起来装有JRE 1.7的计算机没有被标记为自动接收JRE 1.8。从1.7到1.8的JRE更新被视为升级而不是更新，这意味着两个版本可以共存。您可以使用软件部署来安装JRE 1.8并卸载JRE 1.7。
• 是否有方法配置计算机列表等，一次永久显示25台以上？您可以自定义显示的计算机数量。您所做的更改将仅对技术人员和视图有效。
• 如果我想计划在接下来的20分钟内运行补丁，是否有办法强制客户端计算机上的Desktop Central代理与服务器对话，从而比90分钟的策略刷新更快地完成任务？（示例 - McAfee杀毒软件有一个名为“唤醒代理”的功能，该功能使代理下拉刷新）您可以在部署补丁配置时使用“立即部署”选项来实现这一点。这将按需唤醒目标计算机，以执行Desktop Central启动的任务。
• 查看“自动补丁部署”的结果时，是否有方法查看此任务以前运行时安装了哪些补丁的历史记录？您可以从补丁管理 -> 自动补丁部署任务查看“自动补丁部署任务”的状态。您还可以生成这些任务的报表并进行计划。
• “服务包”包括新的Windows 10“构建版本”吗？在我的环境中，一些Windows 10机器的构建版本为10240，还有一些为10586，如何将构建版本为10240的计算机更新为10568？这可以通过软件部署来实现。请参阅本文以升级Windows 10和后续更高版本：https://www.manageengine.com/products/desktop-central/deploy-windows-10-how-to.html
• 我没找到在哪可以使用Desktop Central推送杀毒定义。您可以使用Desktop Central从补丁管理 -> 自动补丁部署 -> 计划杀毒任务部署定义更新。
• Java更新——是否可以允许更新以兼容应用X并保留遗留版本以兼容应用Y或应用Z？您可以创建动态自定义组，并选择拒绝特定应用程序（如JRE）的补丁。这样您可以在网络中维护JRE的多个版本。
• 要修补计算机，我应该在防火墙和代理中做什么更改？请参阅本文以查找需要排除的域列表：https://www.manageengine.com/products/desktop-central/patch-download-failure-error-403.html
• 我已将补丁设置为自动部署，如何检查部署？因为它没有进行配置部署。自动补丁任务不是常规配置。您可以查看“自动补丁部署任务 -> 系统视图”的状态。您还可以配置通知设置，补丁管理 -> 自动补丁部署 -> 通知设置，从而在任务状态发生任何更改时接收电子邮件更新。
• 如何制定一个单独的策略，专门针对服务器操作系统且不自动重启服务器？这可以通过配置部署策略并从重启中排除服务器来实现，补丁管理 -> 部署策略 -> 创建部署策略 ->部署窗口 -> 重启策略 -> 从重启中排除服务器。
• 我们目前在一些设备上使用McAfee加密，我们正在想办法在加密后继续自动部署，Desktop Central是否有处理此问题的方法？这可以通过将部署配置为在加密时间窗口之后进行来实现。您可以从补丁管理 -> 部署策略 -> 创建部署策略 -> 部署窗口进行配置。
• 我想修补处于非活动状态的计算机，“唤醒并部署”是如何工作的？您可以通过以下配置唤醒计算机并部署补丁，补丁管理 -> 部署策略 -> 创建部署策略 -> 部署前打开计算机。
• 在所有补丁下，我没有“过滤”选项，显示的是拒绝补丁选项。安装补丁、下载补丁、拒绝补丁是仅有的选项。没有“标记为”选项，也没有“过滤器”。如何批准补丁？“标记为”选项仅在您选择“手动”批准补丁时可用。补丁管理-> 设置 -> 批准设置 - > 批准补丁 -> 手动。如果您选择自动批准所有补丁，则所有补丁都将被默认标记为已批准。
• 为什么我没有看到Windows 10或MS 2016的更新？Desktop Central支持Windows 10和Microsoft Office 2016。您应该确保您的补丁数据库在最近一段时间内已成功同步。请从补丁管理 -> 更新漏洞数据库 -> 最后更新时间进行验证。
• 可以使用Desktop Central管理第三方应用程序吗？可以，Desktop Central支持管理第三方应用程序。查看受支持的第三方应用程序列表：https://www.manageengine.com/products/desktop-central/patch_management_supported_application.html。如果未找到所需的应用程序，可以使用软件部署或创建请求来检查可行性：https://www.manageengine.com/products/desktop-central/product-roadmap-add-details.html?id=30
• 我可以为需要30天以上的补丁的系统创建报表吗？您可以从补丁管理 -> 所有补丁 -> 缺失的补丁页签 -> 计算机视图创建报表并基于“发布日期”创建过滤器。
• 将McAfee杀毒软件添加到病毒管理部分的时间线是什么？您可以使用文件文件夹操作配置、软件部署、自定义脚本配置来更新定义更新和引擎升级。我们也正在研究是否有可能将其纳入“补丁管理”部分。
• 是否可以在云端安装Desktop Central服务器，让远程客户端从该服务器获取更新，从而节省家庭办公室的带宽？目前在云端不可用，但是，我们正在研究基于云的解决方案。
• 是否可以将补丁部署策略计划设置为每个月的第三个星期日运行？可以，当您创建APD任务时，在计划程序下选择“每月”选项并选择“第三个星期日”。
• 为什么动态自定义组不总是可用的？动态自定义组将在部署期间基于您定义的标准在客户端进行评估。
• 在DC之前的版本中，在“定义目标”下选择目标计算机以安装软件/补丁时，可以看到所有计算机的列表并选中每台设备，而现在如果选择“计算机”，则必须键入每台设备的计算机名称。是否可以保留以前的布局？新UI是根据使用情况开发的。当您有更多计算机时，可以将其移动到组或OU，并将它们添加为目标。
• 可以禁用Windows自动更新吗？可以，在补丁管理->禁用自动更新下，选择模板并禁用。
• 如果我想在白天扫描计算机以查找缺失的补丁，以批准在夜间部署的补丁，我该如何计划？您可能需要创建2个单独的APD任务，如下所示：• 创建第一个任务，只扫描计算机并将其安排在上午10点。这将在中午12点之前完成，您将获得缺失的补丁的列表，您可以选择并批准这些补丁。• 创建第二个任务，计划在下午3点运行（假设您将在那时批准补丁）。对于此任务，请根据需要定义一个部署策略，其中包含显示开始和结束时间的部署窗口，例如从晚上8点开始。选择此选项“在随后的刷新周期中下载补丁/软件”。第二个任务将在下午3点开始，再次扫描计算机并将必要的补丁下载到代理。假设所有目标计算机都启动了，这将在下午6点前完成并为部署做好准备。部署将在计划的部署窗口（晚上8点）开始。
• 我们目前有大量的笔记本电脑需要更新。这些笔记本电脑很少连接到域，即使连接到域，也是通过VPN。我们如何在不影响用户体验或暴露防火墙漏洞的情况下将补丁推到这些笔记本电脑上？当这些计算机通过VPN连接到网络时，将在下一个刷新周期（90分钟）中启动部署。
• Desktop Central现在可以修补Linux吗？可以，支持Ubuntu风格。该更新将在下个月对现有用户提供。
• Microsoft发布的所有补丁都可以通过Desktop Central进行部署吗？是的，几乎支持所有具有下载URL的补丁。您可以从此处获得我们支持的补丁列表：https://www.manageengine.com/products/desktop-central/patch-management/microsoft-security-bulletins.html
• 你们平均更新补丁的周期是多久？例如，最新的Flash补丁要等到第二天才发布。我们通常会在24小时内提供支持。
• 你们是如何选择包含哪些类别的Windows更新的？具体来说，我们在Desktop Central数据库中找不到KB3102467。这是一个功能包，补丁中不支持。• 可使用软件模板 - > 搜索Microsoft .NET Framework 4.6.1然后创建软件包并部署。
• 分发服务器需要多少磁盘空间来缓存补丁？这取决于所维护的系统和补丁的数量，可能高达1 GB。建议配置补丁清理设置以自动删除较旧的补丁，这也将清理分发服务器。
• 如果做了清理，然后放置一台新机器，它需要一个旧补丁，会怎样？它将自动下载并安装。
• 如何才能知道要运行哪些更新以及运行它们的顺序？补丁相互依赖关系和排序将由Desktop Central自动处理。
• 在架构中，什么是缓存服务器？是分发服务器吗？是的，是分发服务器。
• 初始代理部署后，补丁管理会扫描子网以查找没有代理的新计算机吗？不会。代理应在扫描前部署。您可以定义SoM同步策略以自动识别添加到活动目录的新计算机，并在其上安装代理。
• 你可以作为管理员进行部署吗？不，这不可能。
• 你可以发送有关如何为Windows 7计算机禁用Windows 10蠕变更新的流程吗？在配置模板下，我们有一个模板来禁用Windows 10蠕变更新（禁用Windows 10通知）。
• 一台分发服务器可以支持多个远程办公室吗？可以。如果所有远程办公室都使用相同的代理，且所有远程办公室计算机都可以访问分发服务器，那么从技术上讲是可能的。
• 可以将补丁部署到特定的计算机吗？可以，理想的方法是进入“所有系统视图”，选择计算机并将所有缺失的补丁安装到该计算机上。
• DC支持在Mac OS上更新iTunes应用吗？不支持，这不可行，因为此更新的下载URL不公开。
• 如果分发服务器已停止，那么客户端可以与主服务器通信吗？可以，代理将与服务器联系以发布故障消息，但不会进行部署。
• 如何在另一台计算机上托管补丁存储库？进入补丁管理 -> 设置 -> 清理设置 -> 设置。针对补丁存储库位置，输入新的补丁存储库的位置。例如，\\machine_name\example_patch_repository。