完成初始评估后,可以修复在评估中检测到的公告。
开始之前
SaltStack SecOps Vulnerability 会触发 Windows 节点接收来自 Microsoft 的最新公告。Windows 节点可以通过以下两种方式之一接收这些更新:
- Windows 更新代理 (WUA) - 默认情况下,Windows 节点使用 WUA 直接连接到 Microsoft,WUA 会自动安装在所有 Windows 节点上。WUA 支持自动交付和安装修补程序。它会扫描节点以确定未安装哪些安全更新,然后从 Microsoft 更新网站中搜索并下载更新。
- Windows Server Update Services (WSUS) - WSUS 服务器充当 Microsoft 与工作节点之间的中介。通过 WSUS 服务器,IT 管理员可从战略上将更新部署到网络,从而最大限度地缩短停机时间和中断。有关详细信息,请参见 Microsoft 官方文档中的 Windows Server Update Services (WSUS)。
在 Windows 节点上使用
SaltStack SecOps Vulnerability 之前,请验证您的环境当前使用的是这两种方法中的哪一种。如果您的环境使用的是 WSUS 服务器方法,则必须:
- 确保 WSUS 已启用且正在运行。如果需要,可以将 Windows 工作节点配置为使用 SaltStack 提供的 Salt 状态文件连接到 WSUS。有关此状态文件,请参见启用 Windows Server Update Services (WSUS)。运行此状态文件后,请验证您的工作节点是否成功连接到 WSUS 服务器并接收更新。
- 在 WSUS 服务器上批准与 Microsoft 公告相关的更新。当 WSUS 服务器收到来自 Microsoft 的更新时,WSUS 管理员必须查看并批准这些更新,才能在环境中部署更新。为了使 SaltStack SecOps Vulnerability 能够检测并修复公告,必须批准包含公告的任何更新。
修复支持的公告
在策略主页上,“活动”选项卡显示已完成评估或正在进行的评估、修复及其状态的列表:
状态 | 说明 |
---|---|
已排队 | 操作已准备好运行,但工作节点尚未启动该操作。 |
已完成 | 操作已完成运行。 |
部分 | 操作已完成运行,但仍在等待某些工作节点返回。 |
在修复过程中,属于该公告的所有软件包都将应用于所选节点。可以一次修复所有公告,也可以根据需要修复特定公告、特定工作节点或一组工作节点。
SaltStack SecOps Vulnerability 始终安装供应商提供的最新可用版本,即使公告已在早期版本中修复。
修复公告后,必须再次运行评估以验证修复是否成功。
您可以根据需要选择要修复的公告或节点。这些选项包括:
- 一次修复所有公告
- 修复特定工作节点
- 修复一组工作节点
在策略仪表板中,运行全部修复时,SaltStack SecOps Vulnerability 将在策略中的所有工作节点上修复所有公告,这可能会导致处理时间较长。
- 在“漏洞”工作区中,单击一个策略以打开策略的仪表板。
- 在策略的仪表板中:
- 要按策略进行修复,请单击要修复的所有公告旁边的复选框。
- 要按工作节点进行修复,请选择工作节点选项卡,单击一个工作节点,然后选择要为活动工作节点修复的所有公告。
- 要同时按公告和工作节点进行修复,请单击公告 ID,然后单击要针对活动公告修复的所有工作节点旁边的复选框。
- 单击修复。
结果:现在,您的漏洞公告已修复。有时,修复可能需要重新引导整个系统或工作节点。有关详细信息,请参见如何在修复过程中重新引导工作节点。
自定义修复
如果从第三方导入供应商扫描,则可能存在不支持的公告,并需要对其进行修复。要修复不支持的公告,必须添加自己的自定义修复文件,方法为:从不支持的公告策略页面中选择
添加文件,然后在策略中链接自定义状态文件或全局链接自定义状态文件。
- 在策略中链接 - 修复文件仅用于修复当前策略中的指定公告。例如,如果创建具有相同不受支持公告的重复策略,则修复文件将仅修复第一个策略中的公告,而不会修复副本中的公告。
- 全局链接到公告 - 修复文件用于修复所有策略中的指定公告。
注: 如果策略中的公告既在策略中链接又全局链接修复文件,则
SaltStack SecOps 使用在策略中链接的文件。如果删除在策略中链接的文件,则
SaltStack SecOps 默认使用全局链接的文件。在“链接修复”窗口中查看文件预览,以验证是否选择了所需文件来修复公告。