完成初始评估后,可以修复在评估中检测到的公告。在修复过程中,属于该公告的所有软件包都将应用于所选节点。可以一次修复所有公告,也可以根据需要修复特定公告、特定工作节点或一组工作节点。

SaltStack SecOps Vulnerability 始终安装供应商提供的最新可用版本,即使公告已在早期版本中修复。

修复公告后,必须再次运行评估以验证修复是否成功。

注: 在 Windows 节点上修复公告可能需要执行其他配置步骤。有关详细信息,请参见 修复 Windows 公告

修复所有建议

运行全部修复时,SaltStack SecOps Vulnerability 将在策略中的所有工作节点上修复所有公告,这可能会导致处理时间较长。可以一次修复所有公告,也可以根据需要修复特定公告、特定工作节点或一组工作节点。

注: 可以通过使用一小部分目标或一次修复一部分选定公告或工作节点,缩短处理时间。

要对策略中的所有工作节点修复所有公告,请执行以下操作:

  1. 在“漏洞”工作区中,单击某个策略。

    单击策略会打开所选策略的仪表板,其中还包括最新的评估结果和公告。

  2. 在策略仪表板的右上角,单击全部修复
  3. 在确认对话框中单击全部修复

    可以在策略的活动选项卡中跟踪修复的状态。

    注: 运行 全部修复时,不会修复任何免除的检查或工作节点。有关详细信息,请参见 添加免除

按公告进行修复

要按特定的公告进行修复,请执行以下操作:

  1. 在“漏洞”工作区中,单击某个策略。

    单击策略会打开所选策略的仪表板,其中还包括最新的评估结果和公告。

  2. 在策略仪表板中,单击要修复的所有公告旁边的复选框。

    如果需要,可以按列筛选公告。例如,可以按严重性筛选公告以选择要修复的公告。如果列标题中包含筛选器图标 筛选器图标,可以按该列类型筛选结果。单击图标,然后从菜单中选择一个筛选器选项,或键入要筛选的文本。可以通过单击清除筛选器移除活动筛选器。

    要查看有关公告的更多详细信息(如描述和 CVE),请单击双箭头图标 双箭头图标 以打开详细信息窗格。

    有关执行公告扫描的详细信息,请参见运行评估

  3. 单击修复

按工作节点进行修复

要修复特定节点,请执行以下操作:

  1. 在“漏洞”工作区中,单击某个策略。

    单击策略会打开所选策略的仪表板,其中还包括最新的评估结果和公告。

  2. 在策略仪表板中,转到工作节点选项卡,然后单击一个工作节点。
  3. 选择要针对活动工作节点进行修复的所有公告。

    如果需要,可以按列筛选公告。例如,可以按严重性筛选公告以选择要修复的公告。如果列标题中包含筛选器图标 筛选器图标,可以按该列类型筛选结果。单击图标,然后从菜单中选择一个筛选器选项,或键入要筛选的文本。可以通过单击清除筛选器移除活动筛选器。

  4. 单击修复

按公告和工作节点进行修复

要对某特定工作节点或一组工作节点修复特定公告,请执行以下操作:

  1. 在“漏洞”工作区中,单击某个策略。

    单击策略会打开所选策略的仪表板,其中还包括最新的评估结果和公告。

  2. 在策略仪表板中,单击一个公告 ID。

    单击公告 ID 将打开该公告的详细信息页面。此页面底部列出了受此公告影响的工作节点列表。

  3. 单击要针对活动公告修复的所有工作节点旁边的复选框。

    如果需要,可以按列筛选公告。例如,可以按严重性筛选公告以选择要修复的公告。如果列标题中包含筛选器图标 筛选器图标,可以按该列类型筛选结果。单击图标,然后从菜单中选择一个筛选器选项,或键入要筛选的文本。可以通过单击清除筛选器移除活动筛选器。

  4. 单击修复

修复 Windows 公告

SaltStack SecOps Vulnerability 会触发 Windows 节点接收来自 Microsoft 的最新公告。Windows 节点可以通过以下两种方式之一接收这些更新:

  • Windows 更新代理 (WUA) - 默认情况下,Windows 节点使用 WUA 直接连接到 Microsoft,WUA 会自动安装在所有 Windows 节点上。WUA 支持自动交付和安装修补程序。它会扫描节点以确定未安装哪些安全更新,然后从 Microsoft 更新网站中搜索并下载更新。
  • Windows Server Update Services (WSUS) - WSUS 服务器充当 Microsoft 与工作节点之间的中介。通过 WSUS 服务器,IT 管理员可从战略上将更新部署到网络,从而最大限度地缩短停机时间和中断。有关详细信息,请参见 Microsoft 官方文档中的 Windows Server Update Services (WSUS)

在 Windows 节点上使用 SaltStack SecOps Vulnerability 之前,请验证您的环境当前使用的是这两种方法中的哪一种。如果您的环境使用的是 WSUS 服务器方法,则必须:

  • 确保 WSUS 已启用且正在运行。如果需要,可以将 Windows 工作节点配置为使用 SaltStack 提供的 Salt 状态文件连接到 WSUS。有关此状态文件,请参见启用 Windows Server Update Services (WSUS)。运行此状态文件后,请验证您的工作节点是否成功连接到 WSUS 服务器并接收更新。
  • 在 WSUS 服务器上批准与 Microsoft 公告相关的更新。WSUS 服务器收到来自 Microsoft 的更新时,WSUS 管理员必须查看和批准这些更新,才能在环境中部署更新。为了使 SaltStack SecOps Vulnerability 能够检测并修复公告,必须批准包含公告的任何更新。

如果不满足这两个必备条件中的任何一个,SaltStack SecOps Vulnerability 将无法准确扫描并修复公告。对于通过 WSUS 服务器接收 Microsoft 更新的系统,评估可能会返回误报,指明 Windows 工作节点安全无虞,不受所有 CVE 的威胁,但实际上可能并不安全。

注: 如果 Windows 工作节点已严重过期,或者如果 WSUS 服务器尝试将更新发送到多个工作节点,WSUS 服务器可能会崩溃。请遵循最佳做法并咨询您的 WSUS 管理员,以帮助进行故障排除。有关详细信息,请参见 Microsoft 官方文档中的 Windows Server Update Services 最佳实践

配置 WSUS 服务器或确保 WUA 在所有目标 Windows 工作节点上均正常运行后,可以使用 SaltStack SecOps Vulnerability 修复 Windows 节点。可以使用与修复其他公告或工作节点相同的过程修复 Windows 节点。但是,某些 Windows 修复可能需要完全重新引导系统,修补程序或更新才能生效。有关详细信息,请参见在修复过程中重新引导工作节点

在修复过程中重新引导工作节点

修复可能需要完全重新引导系统,修补程序或更新才能生效。有时,修复甚至可能需要再次重新引导。

要确定公告或工作节点是否需要在修复过程中重新引导,请先运行评估。检查是否需要重新引导的方法取决于是要查看特定公告还是工作节点是否需要重新引导:

对于 参阅
公告

在策略仪表板中的公告选项卡上,检查安装行为列,查看公告的状态。此列可能具有以下状态:

  • 从不需要重新引导 - 公告在修复后不需要重新引导。
  • 始终需要重新引导 - 公告在修复后始终需要重新引导。
  • 可能需要重新引导 - 在某些情况下,公告可能需要在修复过程中重新引导
  • ( – ) - null 值。对于 Linux 工作节点,将显示此状态。Linux 工作节点目前不支持检测是否需要重新引导。
工作节点

在策略仪表板中的工作节点选项卡上,检查需要重新引导列,查看工作节点的状态。此列可能具有以下状态:

  • false - 工作节点不需要重新引导即可完成修复,或者工作节点已成功重新引导。
  • true - 在以下三种可能的情况下,状态将为 true:
    • 工作节点需要重新引导,但重新引导尚未启动。
    • 工作节点当前正在重新引导,尚未完成重新引导。
    • 工作节点已重新引导,但需要再次重新引导才能应用其他更改。

如果确定在修复过程中需要重新引导,请按照以下步骤重新引导工作节点:

  1. 在策略仪表板中的工作节点选项卡上,单击在需要重新引导列中显示 true 的工作节点旁边的复选框。
  2. 单击运行命令按钮。
  3. 函数菜单中,选择 system.reboot 命令。
  4. 参数字段中,添加必需参数。

    对于 Windows 节点,system.reboot 命令需要两个参数:timeoutin_seconds。将第一个参数设置为 0,将第二个参数设置为 true。有关这些参数的详细信息,请参见 win_system.reboot 模块文档

    对于 Linux 节点,system.reboot 命令需要一个参数:at_time。有关这些参数的详细信息,请参见 system.reboot 模块文档

  5. (可选:)如果要在特定时间调度重新引导,请创建一个重新引导工作节点的作业,然后将该作业设置为在调度的时间运行。有关详细信息,请参见 SaltStack Config 作业工作流
  6. 单击运行命令以在所选工作节点上运行此命令。

启动重新引导后,工作节点可能需要几分钟才能完成重新引导并恢复联机。请注意,“漏洞”工作区中的活动选项卡仅指示重新引导命令是否已启动。“完成”状态不一定表示工作节点已重新引导并恢复联机;仅表示操作已在目标工作节点上运行。

要检查工作节点在重新引导后是否恢复联机,请刷新“漏洞”工作区中的工作节点选项卡并检查工作节点的状态呈现。有关详细信息,请参见工作节点状态呈现

在修复过程中重新引导工作节点后,必须再次运行评估以验证修复是否成功。