完成初始评估后,可以修复在评估中检测到的公告。

开始之前

Automation for Secure Hosts Vulnerability 会触发 Windows 节点接收来自 Microsoft 的最新公告。Windows 节点可以通过以下两种方式之一接收这些更新:

  • Windows 更新代理 (WUA) - 默认情况下,Windows 节点使用 WUA 直接连接到 Microsoft,WUA 会自动安装在所有 Windows 节点上。WUA 支持自动交付和安装修补程序。它会扫描节点以确定未安装哪些安全更新,然后从 Microsoft 更新网站中搜索并下载更新。
  • Windows Server Update Services (WSUS) - WSUS 服务器充当 Microsoft 与工作节点之间的中介。通过 WSUS 服务器,IT 管理员可从战略上将更新部署到网络,从而最大限度地缩短停机时间和中断。有关详细信息,请参见 Microsoft 官方文档中的 Windows Server Update Services (WSUS)。
在 Windows 节点上使用 Automation for Secure Hosts Vulnerability 之前,请验证您的环境当前使用的是这两种方法中的哪一种。如果您的环境使用的是 WSUS 服务器方法,则必须:
  • 确保 WSUS 已启用且正在运行。如果需要,可以将 Windows 工作节点配置为使用 Automation Config 提供的 Salt 状态文件连接到 WSUS。有关此状态文件,请参见启用 Windows Server Update Services (WSUS)。运行此状态文件后,请验证您的工作节点是否成功连接到 WSUS 服务器并接收更新。
  • 在 WSUS 服务器上批准与 Microsoft 公告相关的更新。当 WSUS 服务器收到来自 Microsoft 的更新时,WSUS 管理员必须查看并批准这些更新,才能在环境中部署更新。为了使 Automation for Secure Hosts Vulnerability 能够检测并修复公告,必须批准包含公告的任何更新。
如果不满足这两个必备条件中的任何一个, Automation for Secure Hosts Vulnerability 将无法准确扫描并修复公告。对于通过 WSUS 服务器接收 Microsoft 更新的系统,评估可能会返回误报,指明 Windows 工作节点安全无虞,不受所有 CVE 的威胁,但实际上可能并不安全。

修复支持的公告

在策略主页上,“活动”选项卡显示已完成评估或正在进行的评估、修复及其状态的列表:

状态 说明
已排队 操作已准备好运行,但工作节点尚未启动该操作。
已完成 操作已完成运行。
部分 操作已完成运行,但仍在等待某些工作节点返回。

在修复过程中,属于该公告的所有软件包都将应用于所选节点。可以一次修复所有公告,也可以根据需要修复特定公告、特定工作节点或一组工作节点。

Automation for Secure Hosts Vulnerability 始终安装供应商提供的最新可用版本,即使公告已在早期版本中修复。

修复公告后,必须再次运行评估以验证修复是否成功。

您可以根据需要选择要修复的公告或节点。这些选项包括:
  • 一次修复所有公告
  • 修复特定工作节点
  • 修复一组工作节点

在策略仪表板中,运行全部修复时,Automation for Secure Hosts Vulnerability 将在策略中的所有工作节点上修复所有公告,这可能会导致处理时间较长。

  1. 在“漏洞”工作区中,单击一个策略以打开策略的仪表板。
  2. 在策略的仪表板中:
    1. 要按策略进行修复,请单击要修复的所有公告旁边的复选框。
    2. 要按工作节点进行修复,请选择目标选项卡,单击一个工作节点,然后选择要为活动工作节点修复的所有公告。
    3. 要同时按公告和工作节点进行修复,请单击公告 ID,然后单击要针对活动公告修复的所有工作节点旁边的复选框。
  3. 单击修复

结果:现在,您的漏洞公告已修复。有时,修复可能需要重新引导整个系统或工作节点。有关详细信息,请参见如何在修复过程中重新引导工作节点

自定义修复

如果从第三方导入供应商扫描,则可能存在不支持的公告,并需要对其进行修复。要修复不支持的公告,必须添加自己的自定义修复文件,方法为:从不支持的公告策略页面中选择 添加文件,然后在策略中链接自定义状态文件或全局链接自定义状态文件。
  • 在策略中链接 - 修复文件仅用于修复当前策略中的指定公告。例如,如果创建具有相同不受支持公告的重复策略,则修复文件将仅修复第一个策略中的公告,而不会修复副本中的公告。
  • 全局链接到公告 - 修复文件用于修复所有策略中的指定公告。
注: 如果策略中的公告既在策略中链接又全局链接修复文件,则 Automation for Secure Hosts 使用在策略中链接的文件。如果删除在策略中链接的文件,则 Automation for Secure Hosts 默认使用全局链接的文件。在“链接修复”窗口中查看文件预览,以验证是否选择了所需文件来修复公告。