补丁管理最佳实践
主页 » 功能 » 补丁管理最佳实践

补丁管理最佳实践

下面我们列出了一些使用patch Manager Plus进行补丁管理的最佳实践。你可以通过它们来了解如何有效地管理你的网络并保证它们的安全。

补丁数据库设置:

  • 您可以通过选择所需的修补程序类型来配置 修补程序数据库设置。也可以禁用不想更新的修补程序类型。
  • 补丁数据库每天同步。这是默认情况下启用的自动同步。(也可以通过导航到“管理”->“修补程序设置”->“修补程序数据库设置”->“取消选中“启用计划”复选框来禁用此功能)。但是,我们强烈建议您每天执行此同步,以便随时更新最新的修补程序信息。
  • 要启用Mac和Linux 补丁管理数据库数据同步,您应该启用Mac和Linux代理设置。

配置代理:

要进行无缝修补,应启用到以下站点的连接:

  • patch.manageengine.com-将修补程序状态更新到服务器
  • patchdb.manageengine.com-从修补程序数据库收集修补程序信息
  • patchdatabase.manageengine.com - 下载修补程序依赖文件
  • dms.zoho.com - 按需执行操作

这些是代理通信所需的域。这允许您将补丁详细信息与补丁数据库同步,并通过 代理以XML、SQL、.zip文件等形式下载它们。

补丁扫描:

  • 修补程序扫描由patch Manager Plus服务器自动完成。同步数据库后,将启动扫描,并在下一个刷新周期中彻底扫描网络中的所有系统。
  • 您可以通过更改修补程序数据库设置来自定义修补程序扫描的首选时间。转到Patch Settings->Patch Database Settings->在“Schedule Patch Database Update”下,您可以指定何时启动Patch DB同步。

系统健康策略:

  • 要实现100%的符合性,请相应地设置系统运行状况策略 。此策略将帮助您确定系统的运行状况。根据缺失补丁的严重程度,您的系统将被划分为健康、易受攻击或高度易受攻击的系统。这里要注意的一点是,您可以通过导航到“管理”->“修补程序设置”->“系统运行状况策略”,根据法规遵从性需求自定义系统运行状况策略。

禁用windows自动更新:

  • 您可以使用补丁105427在网络上禁用windows自动更新。这将适用于从WindowsXP到最新版本的所有操作系统,也适用于服务器操作系统。
  • 建议在部署此修补程序时选择目标中的所有域,因为此配置可以应用于将来添加的计算机。
  • 按照以下步骤确认设置:
    1. 按“Windows键+R”,然后键入'gpedit.msc公司'然后单击“确定”
    2. 这将带您进入组策略编辑器。导航到“计算机配置”->“管理模板”->“Windows组件”->“Windows更新”。
    3. 双击“配置自动更新”单击“禁用”按钮。

测试和批准:

  • 为了避免在部署后出现兼容性问题,我们建议您始终使用“测试并批准”功能测试修补程序,然后将其部署到生产环境中,前提是这些修补程序没有发现问题。
  • 您可以通过创建一个自定义组来实现这一点,您将在其中指定一组要在其上测试修补程序的目标计算机。您还可以通过将测试组映射到任何APD任务来自动化整个过程。因此,从测试到部署,一切都将自动化。

自动化修补程序部署:

无论操作系统、操作系统风格如何,无论是在本地还是远程办公室,都需要自动化来修补所有端点。如果没有 APD (自动补丁部署),它将变得无法管理。因此,我们建议您通过选择要部署的OSs类型和补丁的严重性来创建APD任务。
使用APD功能将在许多方面为您带来好处,例如:

  • 由于扫描是自动进行的,所有丢失的修补程序都将下载到服务器上,并准备在下一次刷新间隔中进行部署。因此,不会延迟部署。
  • APD中计划的部署将继续,直到没有丢失的修补程序为止。
  • 当丢失的补丁被下载并随时可供部署时,增强了安全级别。

部署策略:

  • 部署您可以使用“部署策略”功能自定义部署,其中您可以指定首选的部署时间、星期和日期。我们建议您在发布后立即部署所有修补程序,以确保您的网络安全。
  • 您还可以选择唤醒Lan功能,以便唤醒系统以启动部署。您可以根据企业的需要调整部署策略,方法是选择所需的选项,如跳过部署、允许/拒绝重新引导等。使用跳过重新引导选项,您可以让用户禁止重新启动并决定时间。
  • 我们建议您选择非办公时间进行部署。这些选项将有助于避免高峰时段的突然重启,并有助于顺利部署。

分发服务器:

  • 如果网络中要管理的计算机超过10台,建议您安装分发服务器(DS)。
  • DS将有助于您在远程计算机中分配负载。你能想象在你的远程办公室里有100多台机器分别与Patch Manager Plus服务器联系吗?这将导致巨大的带宽流量,这将减慢您的系统和影响您的整体网络生产力。
  • 通过使用DS来管理网络的端点,负载将平均分配,从而节省带宽。在这种情况下,DS将联系服务器并下载修补程序二进制文件,而不是每个代理都联系Patch Manager Plus服务器。然后,每个代理都会在启动扫描之前联系DS并获取修补程序信息。

复制策略:

  • 如前一点所述,DS与Patch Manager Plus服务器同步。同步发生的时间间隔称为“复制间隔”。
  • 您可以自定义复制策略,以限制数据传输速率并避免工作时间内网络拥塞。注意:只有在DS中复制修补程序和软件二进制文件后,才会安装修补程序。因此,请在更改复制策略之前考虑到这一点。
Back to Top