封闭网络的补丁管理

注意：在本文档中，术语 封闭网络 用于描述任何 Endpoint Central 服务器无法直接访问 Internet 的环境。这包括受保护的内部网络、DMZ 以及完全隔离的气隙环境。此处描述的补丁管理工作流由 Internet 连接限制决定，而不是由网络位置或拓扑决定。

当 Endpoint Central 服务器部署在无法直接访问 Internet 的环境中时，核心补丁功能（例如漏洞数据库同步、自动下载补丁和检索供应商更新）将无法联机执行。

此限制适用于封闭网络，即无论服务器部署在何处，只要出站 Internet 连接被有意阻止，就属于此类环境。非军事区 (DMZ) 就是其中一种部署场景。DMZ 是位于内部网络与外部或不受信任网络之间的分段网络区域，旨在承载需要严格访问控制和隔离的系统。尽管 DMZ 可以允许受到严格控制的 Internet 访问，但在高安全环境中，它们通常会被配置为不具备出站连接，从而实际上作为封闭网络运行。

在更为严格的设置中，例如气隙网络，Endpoint Central 服务器会被完全隔离，与外部网络不存在任何物理或逻辑连接。

尽管这些环境在网络拓扑和隔离级别上有所不同，但它们有一个共同限制：Endpoint Central 服务器无法直接与外部更新源通信。因此，补丁修复和漏洞处置必须通过离线或手动工作流来执行。以下步骤说明了如何手动同步漏洞数据、使用可连接 Internet 的系统下载所需补丁，并将其部署到受限环境中的目标计算机。

• 配置代理设置
• 配置补丁数据库设置
• 下载并设置封闭网络工具
• 更新漏洞数据库
• 下载所需补丁

配置代理设置

以下步骤将指导您配置代理设置：

1. 打开 Endpoint Central 控制台，导航至 Admin -> Proxy Server（位于 Server Settings 下）。
2. 在 Proxy server 图标下单击 Edit。
3. 选择 No connection to Internet。

4. 单击 OK 保存更改。
    

   

配置补丁数据库设置

要配置补丁数据库设置，请按照以下步骤操作：

1. 打开 Endpoint Central 控制台，导航至 Admin -> Patch Database Settings（位于 Patch Settings 下）。

2. 在 Schedule Vulnerability Database Update 下，禁用 Schedule。

   

这样可防止在 <installdirectory>/conf/CRSData 目录中缺少必要数据的情况下启动数据库同步，因为上述目录中的 updatedb 文件夹会在成功同步后被清除。因此，如果所需文件夹已被删除，后续数据库同步将会失败。

下载并设置封闭网络工具

请按照以下步骤下载并设置封闭网络工具：

1. 下载此 zip 文件 并在一台可连接 Internet 的计算机上解压。
    

   如果该计算机没有直接的 Internet 连接，请打开解压位置中的 downloadMgr.prop 文件，并提供代理服务器、端口以及身份验证详细信息。

2. 现在您已成功配置该工具，并可开始使用。配置代理和设置工具是一次性操作，而更新漏洞数据库和下载所需补丁则需要在每次您要扫描漏洞并部署最新缺失补丁时执行。

注意：如果您运行的是 符合 TAA 的 Endpoint Central 服务器，请通过此链接下载封闭网络工具。

更新漏洞数据库

请按照以下步骤更新漏洞数据库：

1. 转到您解压 downloadMgr.prop 的计算机，打开命令提示符并导航到解压目录。

2. 根据您所管理计算机的操作系统，执行以下命令：
    

   • 如果您仅管理 Windows 和 Mac： 
     patchsync.bat -c updatedb -b <BUILD_NUMBER>
   • 如果您管理 Windows、Mac 和 Linux 这三者： 
     patchsync.bat -c updatedb -i linux -b <BUILD_NUMBER>
   • 请确认您输入的是已安装的 Endpoint Central 服务器的构建号，并且格式正确。例如：11.3.2400.1 或 113240001。

   您可以通过单击 Endpoint Central 控制台右上角的个人资料来查找构建号。

• 这将把最新的漏洞信息从中央漏洞数据库下载到本地计算机。此下载将花费一些时间，完成后，必要的信息将更新到 updatedb 目录中。
• 将 updatedb 目录复制到 Endpoint Central 服务器上的 <Installation Directory>/conf/CRSData 目录。

注意：复制前，如果 <Installation Directory>/conf/CRSData 目录中已存在 updatedb 文件夹，请先删除它，然后替换为最新版本。

CRSData 文件夹必须保持完整。删除其内容可能会中断封闭网络中的补丁管理。

• 在 Web 控制台中，导航至 Threats & Patches -> Update Now，然后单击 Update Vulnerability DB 下的 Update Now 按钮。这将把 updatedb 目录中的必要信息复制到服务器中的本地数据库。现在，本地数据库将包含最新的补丁信息。

• 现在，扫描网络中的计算机以识别缺失的补丁。
   

  除非完成对所有计算机的扫描，否则您将无法查看所有缺失补丁。在手动下载缺失补丁之前，请确保已扫描所有计算机。

下一步是从可连接 Internet 的计算机下载缺失的补丁，并将其复制回此计算机。

下载所需补丁

1. 您可以从供应商网站手动下载所需补丁，并使用 Upload Patches 选项将其上传到控制台。
2. 要下载补丁，您首先需要缺失补丁的详细信息。获取方法如下：转到 Missing Patches 视图，选择要导出的补丁，然后单击 Export Missing Patches 按钮。这将把尚未下载的缺失补丁以及应下载的依赖补丁的详细信息导出为 downloadUrlJson.txt。

• 将此文件复制到您解压 UpdateManager.zip 文件的计算机目录中。
• 打开命令提示符并执行以下命令：
  patchsync.bat -c dwnpatch -f downloadUrlJson.txt
• 这将把所有缺失补丁下载到 store 目录中。下载完所有文件后，将 store 目录中的内容复制到 Endpoint Central 服务器上的 <Installation_Dir>/webapps/DesktopCentral/Store 目录中（这是默认位置；如果已更改，请复制到相应位置）
• 然后，您应将这些信息更新到 Endpoint Central 服务器数据库中，以便这些补丁都显示在 Downloaded Patches 视图中。为此，请打开 Downloaded Patches 视图并单击 Update Downloaded Patches 按钮。

• 所有手动下载的补丁都会显示在该视图中，您可以从那里将它们部署到所需计算机。

现在，您已成功在封闭网络中配置补丁管理流程，并可以有效管理漏洞。