Patch Manager Plus是一个全方位的修补解决方案,能够实现所有修补程序相关任务的完全自动化和集中化,例如扫描终端和检测丢失的修补程序,以便及时测试和部署更新。为了提升用户体验,可以高度定制补丁管理过程中的每个步骤,并根据组织策略进行操作。本文档将说明可在Patch Manager Plus中配置的所有设置。
Patch Manager Plus本地部署在所有平台上均支持,而云版本支持Windows和Mac OS。
网络友好 - 管理范围策略包括基于Active Directory和工作组的网络形式。
远程办公室和分发服务器 - 作为广域网一部分的远程办公室也可以管理。支持安装和通过分发服务器进行通信。
基于代理的通信 - 代理安装在每个托管终端中,并与中央/分发服务器保持持续的通信。
安全网关服务器 - 漫游设备中的代理可以通过安全网关服务器安全地与中央服务器建立通信(这是可选的,但建议使用,因为它提供了额外的保护)。
故障转移服务器和远程数据库支持 - 为了在主服务器发生任何技术故障时保持连续性,可以将所有实例重新映射到备用服务器(可选),为了保护数据,可以设置远程SQL数据库。
基于角色的访问控制 - 可以为受信任的用户分配不同的权限级别,以执行日常管理任务,而超级管理员可以优先处理关键任务。
多平台支持 - 为Windows、Linux和Mac设备提供补丁管理。
Windows 补丁管理 - 可以自动部署Microsoft公告中发布的所有Windows补丁,包括服务包和功能包的依赖文件。
Linux 补丁管理 - 支持Linux公告中发布的所有与操作系统相关的安全更新。
Mac 补丁管理 - 与Mac操作系统有关的安全更新在中央存储库中快速更新,并且可以自动部署到终端。
第三方应用程序支持 - 提供了对300多个应用程序的530多个第三方更新的全面修补支持。
防病毒定义更新 - 可以自动管理和部署Windows和第三方定义数据库的最新更新。
仪表板 - 提供对缺失的/已安装的补丁和托管系统的高度可视化和信息图形化的深入分析,以了解网络状态,并根据缺失的更新、操作系统版本分类。
系统健康策略 - 为了对网络中的系统进行优先级管理,可以根据每个管理员和组织的需求,根据缺失补丁的数量和类型(关键、重要、中等),将它们划分为高度脆弱、脆弱和健康的三类。
视图 - 可以从有序的视图(缺失的补丁、适用的补丁和支持的补丁等)中选择更新,并部署到根据基于系统健康策略的漏洞状态、操作系统版本、自定义组等分类的目标系统。
关键漏洞解决方案 - 当零日漏洞对网络造成威胁时,可以在关键漏洞选项卡下随时获取保护系统的补丁,并可以立即进行部署。此外,为降低风险,可以通过配置将脚本作为预防措施部署。
自动补丁部署 - APD任务仅需配置一次,指定平台、要部署的更新类型、部署策略和通知设置。每次数据库同步后,被批准且与APD任务中确定的条件相匹配的缺失补丁将自动部署到目标系统。
选择应用程序 - 可以自动部署补丁的应用类型包括Microsoft和第三方应用程序。
指定更新类型 - 可以选择不同严重性的不同修补程序类型来自动部署。也可以自动部署防病毒定义更新,建议这样做。
修补所有/可选应用程序 - 可以修补所有应用程序,也可以更新特定应用程序。此外,也可以除了少数应用程序外,其他所有应用程序都打补丁。
防病毒定义更新 - 反病毒定义更新是偶尔频繁发布的大型文件。它们可以根据特定的时间自动部署,以优化带宽利用率。
从发布开始到部署补丁的特定日期 - 补丁发布后,可以在用户指定的天数后自动部署补丁。用例:在供应商发布后,请确保在部署到计算机之前没有其他错误或漏洞。
从批准开始到部署补丁的特定天数 - 在目标测试机中成功安装补丁后,可以在等待用户指定的天数后自动部署补丁。等待间隔/中断/周期是为了确保补丁在生产环境中的稳定性。
选择部署策略 - 可以指定设置了部署周、天数和部署期间的部署策略,以使补丁的安装顺利且不会造成干扰。
之后挂起任务 - 配置自动补丁部署任务后,将继续部署符合条件的已批准补丁。此设置选项可用于指定APD任务的到期日期。
选择目标 - 可以选择部署补丁的计算机组(基于域、远程或本地办公室以及用户创建的自定义组)或单个目标。
包含/排除特定目标 - 一个选择目标的过滤器选项,可在APD任务中包含或排除特定机器或特定机器组。
配置通知 - 当APD任务的状态发生更改时,可以配置设置,将通知迅速发送到指定的电子邮件地址。
下载/部署失败通知 - 如果补丁二进制文件下载或部署失败,则可以配置设置,将通知发送到指定的电子邮件地址。
部署状态报表通知 - 如果部署状态发生变化,则会将通知发送到指定的电子邮件地址。
附上详细报表 - 必要时,每封通知都将附有以首选格式呈现的详细报表。
一些应用程序是由供应商自动更新的,这导致了在安装更新类型方面的透明度降低,以及由于断断续续的部署时间而造成的高带宽消耗。为了补丁方案更可控,可以禁用这些供应商分派的更新。
补丁批准 - 补丁可以在发布时手动/自动批准,也可以先部署到与网络中其余系统具有相同属性的选定数量的测试机上,然后在成功安装到该测试组中后进行批准。首选测试并批准模式,因为这样可以有效地验证生产环境中的补丁合规性。
无需测试自动批准 - 如果选择此选项,则在数据库中发布和更新的所有补丁,都会被自动批准。
测试并批准 - 所选补丁将首先发送到一组具有与网络其余部分相同功能的测试计算机。在这些机器上成功安装后,补丁可以自动/手动批准。
保留状态/不批准现有补丁 - 如果为以后要发布的补丁选择了“测试并批准”模式,则可以使迄今为止存在的补丁保持其当前批准状态,也可以将其标记为未批准。
创建测试任务- 可以定义特定“测试并批准”任务的详细信息。
测试任务的平台- 必须为每个平台创建单独的测试和批准任务。这些平台包括Windows、Linux和Mac。
选择要修补的应用 - 在测试和批准任务中,可以将补丁应用于Microsoft应用和第三方应用。
选择要部署的更新类型 - 对于Microsoft和第三方应用,可以部署和测试严重性不同的不同补丁类型,以成功安装。
包含/排除要修补的应用 - 可使用过滤器,选择在“测试和批准”任务中包含或排除特定的应用。
补丁合规性检查 - 在一台或多台测试机中成功安装并且没有任何失败之后,可以在批准之前等待用户指定的天数来检查生产环境中的补丁的稳定性。
自定义组 - 要创建一组测试机器,或者基于平台、功能等将特定的机器分组在一起,以实现其他管理目的,可以使用自定义组选项。可以将配置或补丁部署到这些自定义组。
如果特定补丁或一组选定应用的补丁被认为不必要或不适合网络,则可以忽略这些补丁。对于特定的系统或目标自定义组,可以忽略补丁。忽略补丁不会影响系统健康策略,也不会在系统内显示为缺失。
首选的部署周和日期 - 可以在每个计划中选择每月的首选周、星期几和部署时间。
部署时间 - 可以配置在一天中的特定时间进行部署。
添加更多计划 - 可以在允许部署的期间创建多个计划,这可以增强灵活性并确保顺利安装,最大程度地提高客户端便利性。
定期间隔 - 可以根据常规间隔每周执行计划,第一周从每月的1号开始,一直到7号,第二周从8号到14号,依此类推。
周二补丁管理- 在Microsoft公告中,Windows的最新更新通常在每月的第二个周二发布,有时在每月的第四个星期二发布。为了有效地修补Windows终端并每月保持更新,建议使用“周二补丁管理”。
部署启动时间- 在系统启动期间或代理与服务器通信的周期性间隔(也称为刷新周期间隔)。
部署前自动唤醒计算机- 处于休眠或睡眠模式时,可以节省系统的电量;当需要部署补丁时,可以远程唤醒系统。
在后续刷新周期中下载补丁- 如果补丁二进制文件的大小太大或部署时间太短,则可以在后续刷新周期中下载补丁,并在部署期间安装补丁。
通知设置 - 即将进行部署时会向用户发出告警,并为用户提供跳过部署或查看部署进度的选项。
显示客户端计算机上的部署进度 - 通知用户部署正在进行中,以防止他们关闭终端。
通知用户有关部署的信息 - 终端中正在进行部署时,将通知相关用户并显示自定义的部署消息。
允许用户跳过部署- 为用户提供了跳过部署并将其推迟到其他时间的选项。
在系统空闲时进行部署- 管理员可以设置一个时间段,如果该系统在这段时间内保持空闲状态,则可以假定没有关键操作在进行,可以自由进行部署。
在部署策略本身中,有两种方法可以确保重启:强制重启以及允许用户将重启推迟到其他时间。
部署后(在部署时间内)立即强制重启 - 在紧急情况下,必须立即安装补丁,或者如果补丁安装是在非工作时间进行的,则为了提高效率,也可以同时完成重启。
指定重启时间 - 如果部署时间是在工作时间内,并且用户仍需要在其终端上工作,则为了不影响工作效率,可以通过设置特定的计划将重启安排在非工作时间。
强制重启的通知 - 如果要强制重启,将向用户发送自定义告警,以便他们能够根据需求及时保存重要工作。
推迟重启 - 如果用户有一项重要的工作要执行,则可以为他们提供将重启推迟到更合适的时间的选项。
推迟后重启提示 - 在用户决定推迟的特定天数和小时(由管理员决定)之后,将向用户显示一个重启提示。
在第一次重启提示后自动重启 - 用户延迟重启后,将在管理员指定的时间后显示一个重启提示。在此之后,管理员还可以选择在第一个重新启动提示超时的特定分钟内自动重新启动。
推迟间隔 - 管理员可以允许在不同的时间间隔向用户多次显示提示,例如每15分钟、1小时等或用户定义的时间(仅限Windows)。
在第一次重启提示后强制重启 - 管理员可以选择强制终端重启,并指定显示第一次重启提示的小时数。
重启通知 - 每当重启时,都会向用户显示带有自定义标题和消息的信息弹窗。
如果不需要,则跳过重启 - 某些更新不需要重启即可正确安装,因此,接收到这些补丁的终端可以跳过重启。
从重启中排除服务器 - 由于服务器需要持续运行才能向其客户端提供服务,停机时间受限,因此提供了完全排除服务器的重启选项。
上述所有用于重启终端的选项也可以用于终端的关机活动,包括强制关机、推迟关机,相关和持续的通知,以及跳过关机和排除服务器关机。