主页 » 帮助 »

自动补丁部署

如何创建并配置一个“自动补丁部署”任务?

自动补丁部署(APD)需求说明

随着黑客不断涌现,攻击事件频发,及时更新企业终端并部署可用补丁变得尤为重要。 而选择一个全面的自动化解决方案,可以高效管理多个操作系统和第三方应用程序补丁。
自动补丁部署(APD)功能,能够自动部署网络计算机中缺失的补丁,无需系统管理员或终端用户手动干预。

APD工作流程

为了满足网络行业的安全需求,在服务器与中央漏洞库同步时,APD将自动扫描(替代手动扫描)网络终端,检测缺失的补丁,并将补丁详细信息发送到服务器,然后从厂商下载补丁到服务器,在设置的部署期间自动部署。新的APD在整个过程中都避免了手动操作,包括计划扫描,以及之后的缺失补丁下载,保证了与最新补丁的同步。

APD的优点

  1. 快速部署可用补丁,加固安全防护。
  2. 所有已批准的补丁下载完成后,将在下一个部署期间立即部署,无需等待下一次APD计划。
  3. 网络中的计算机时常出现,离线后重新接入网络的情况,那么这段时间可能错过新漏洞的补丁修复。在新一轮APD中,当代理与服务器取得联系后,将在下一个刷新周期自动扫描检测缺失的补丁,并更新到服务器中。代理将在下一个刷新周期的部署期间部署补丁。因此,无需担心代理的联系时间和易受攻击状态持续太久。在上一轮APD中,由于代理在APD计划后才与服务器联系,补丁安装可能会延迟。
  4. APD的标准是,代理将持续部署补丁,直至缺失的补丁清零。
  5. 提供补丁历史记录的详细信息查看功能。

apd-workflow

创建和配置自动补丁部署任务

先决条件:

设置中心漏洞库与中心服务器同步的时间间隔,获取最新可用补丁的详细信息。

注意: 

中心服务器与中心漏洞库同步后,将收集最新发布的补丁详细信息。在下一次刷新策略中,代理将自动扫描计算机,检查是否缺失最新可用的补丁。使用“自动补丁部署”功能,这些补丁可实现及时自动部署。自动补丁部署任务将保证网络中的所有计算机都安装了最新补丁。

创建APD任务步骤

步骤如下:

  1. 点击“补丁管理”,在“自动补丁部署”中,可以看到所有已创建的自动补丁部署任务。
  2. 点击“自动任务”,选择为Windows/Mac/Linux平台创建一个新任务,并为任务命名。
  3. 配置以下步骤所需的详细信息:
    1. 选择应用程序——需要打补丁的操作系统类型和第三方应用
    2. 选择部署策略——根据企业的补丁需求,配置补丁的部署方式和部署时间
    3. 定义目标——选择需要部署补丁的目标计算机
    4. 配置通知——接收部署状态通知

选择应用程序

部署操作系统更新

如果只部署操作系统更新(例如Windows、Mac或Linux),请勾选以下任一复选框:

  • 安全更新:包含操作系统的所有安全更新,选择严重程度为严重/重要/中等/低的/未评级
  • 非安全更新:包含操作系统的所有非安全更新
  • 仅适用于Windows的更新:
    1. 服务包 - 一组累积更新汇总,经过测试的所有修补程序、安全更新、关键更新和不同版本的Windows操作系统更新
    2. 汇总 - 一组累积更新汇总,包括安全性和可靠性更新,以及往期发布的更新,全部汇总到一个更新包中,便于部署
    3. 可选更新 - 也叫做“预览汇总”,是一组可选的新的更新累积汇总,打包并部署于下一次“月度汇总”发布之前,客户可主动下载、测试和提供反馈
    4. 功能包 - 包含在正式产品版本中的新产品功能

部署第三方更新

如果希望只部署与第三方应用程序相关的更新,请选择严重程度为严重/重要/中等/低的/未评级。
指定部署所有应用程序,还是只部署/排除特定应用程序。

部署防病毒更新

选择此选项可为以下软件部署防病毒定义更新:Mcafee Virusscan Enterprise、Microsoft Forefront Endpoint Protection 2010 Server Management、Microsoft Forefront Endpoint Protection 2010 Server Management x64、Microsoft Forefront Client Security、Microsoft Forefront Client Security x64、Microsoft Security Essentials和Microsoft Security Essentials x64。

推迟部署

为了保证补丁的稳定性,可以选择推迟补丁部署时间,指定自补丁发布日或批准日起特定天数后再部署补丁。
例如,您指定天数为“自发布日起5天后”,补丁将在自“中央服务器数据库”更新起5天后进行部署。如果选择的是“自批准日起5天后”,那么补丁将在自标记为“已批准”起5天后进行部署。

选择部署策略

  • “部署策略”设置,可根据企业需求,自定义补丁部署过程。
  • “部署策略”详细信息:
    1. 部署频率 - 选择您希望执行部署的频率
    2. 部署时间 - 部署补丁的时间间隔
    3. 部署启动时间 - 选择部署将在系统启动时,或部署时间内的刷新周期进行。
  • 如果您将策略设置为“默认”,则默认策略将自动应用于配置。
  • 您可以根据需求,选择“预定义策略”,或自定义策略。
  • 点击“查看详情”,可查看策略详细信息,和应用策略的配置列表。
  • “超时”设置,可指定在一段时间后挂起任务。

定义目标

  • 选择要执行部署的目标计算机,目标可以是整个域或远程办公室。如果选择整个域,则该特定域中的所有远程办公室都将包含在内。
  • 您可以基于站点、组织单元(OU)、组、特定计算机等过滤目标。
  • “排除目标”,可从补丁部署任务中排除某些目标。例如,您可以在部署非安全更新时排除服务器计算机。

配置通知

“配置通知”设置,可在发生以下事件时接收邮件通知:

  1. APD任务部署/下载失败
  2. APD任务的每日状态报表

点击“保存”,任务创建成功。现在所有选定的计算机,都将根据所选部署策略,在指定的部署时间内,自动部署缺失的补丁。

常见问答(FAQ)

  1. 如果“计划扫描”被移除,我还能扫描我的机器吗?

    2. 每天都会出现新的漏洞,我们必须获取最新的扫描数据,掌握网络中缺失关键和重要补丁的计算机。为此,我们已经将扫描任务自动化。在漏洞数据库同步后,如果与上一次同步相比,发布了新的补丁,那么代理将在随后的刷新周期中自动扫描。

  2. 自动扫描会因多个请求而使服务器负担过重吗?会阻塞网络流量吗?

    3. 绝对不会。扫描会在数据库同步之后立即执行,每一次扫描都会检测最新缺失的补丁,并下载到服务器。我们采用了只发布扫描差异数据(两次连续扫描之间的数据差异)的机制,可有效防止服务器负担过重。
    同时,网络流量也不会受到影响。因为这种扫描不是从服务器启动的按需扫描,而是类似于一种配置,代理将仅在随后的刷新周期中执行扫描,所以,网络流量分布在刷新间隔中,不会受到干扰。

  3. 扫描完成后,如何获取缺失补丁报表?

    4. 您可以使用“计划报表”功能,点击报表 -> 计划报表,计划在数据库同步后2小时发送报表。此外,您还可以根据需要随意配置频率。

  4. 如何控制APD流程下的部署?

    5. 您可以在“部署策略”中,设置最新可用补丁的部署日期和时间,尽管扫描过程是自动的,但您可以根据需要,在“部署策略”中进行最适合网络环境的配置。

  5. 如何查看APD中待安装补丁的报表?

    6. 点击APD --> 补丁查看。

  6. 我通常将补丁安装时间计划在“周二补丁日”两周后,会有什么影响吗?

    7. 完全没有影响,您仍然可以使用APD下的“推迟部署”选项:

    • 自发布日起X天后部署补丁
    • 自测试批准日起X天后部署补丁

      • 您还可以调整部署策略,设置一个合适的部署时间。