После завершения начальной оценки можно устранить обнаруженные проблемы, которые отражены в рекомендациях. Во ходе этого процесса все пакеты исправлений, содержащиеся в данной рекомендации, применяются к выбранным узлам. Можно обработать все рекомендации сразу или только одну из них, исправить проблему на отдельном служебном сервере или в группе служебных серверов.

SaltStack SecOps Vulnerability всегда устанавливает последнюю доступную версию, предоставляемую поставщиком, даже в том случае, если рекомендация была обработана более ранней версией.

После обработки рекомендации необходимо выполнить еще одну оценку, чтобы убедиться, что исправление выполнено.

Примечание: Для обработки рекомендации на узлах Windows может потребоваться выполнить дополнительную настройку. Дополнительные сведения см. в разделе Обработка рекомендаций Windows.

Обработка всех рекомендаций

При выполнении команды Устранить все система SaltStack SecOps Vulnerability устраняет проблемы, отраженные во всех рекомендациях, на всех служебных серверах, указанных в политике. Это может занять достаточно много времени. Можно обработать все рекомендации сразу или одну из них, исправить проблему на отдельном служебном сервере или в группе служебных серверов.

Примечание: Для сокращения времени обработки можно использовать целевые объекты меньшего размера или обработать выбранную часть рекомендаций или служебных серверов за один раз.

Чтобы устранить все рекомендации для всех служебных серверов в политике, сделайте следующее.

  1. В рабочей области «Уязвимость» выберите политику.

    Если щелкнуть политику, открывается панель управления выбранной политикой, на которой также отображаются результаты последней оценки и рекомендации.

  2. В верхнем правом углу панели управления политики щелкните Устранить все.
  3. Щелкните Устранить все в диалоговом окне подтверждения.

    Состояние процесса устранения можно отслеживать на вкладке Действие политики.

    Примечание: При запуске команды Устранить все исключенные проверки и служебные серверы не обрабатываются. Дополнительные сведения см. в разделе Добавление исключений.

Обработка отдельной рекомендации

Чтобы обработать отдельные рекомендации, выполните следующее.

  1. В рабочей области «Уязвимость» выберите политику.

    Если щелкнуть политику, открывается панель управления выбранной политикой, на которой также отображаются результаты последней оценки и рекомендации.

  2. В панели управления политики установите флажок рядом со всеми рекомендациями, которые необходимо обработать.

    При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если в заголовке столбца имеется значок фильтра filter-icon, результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

    Чтобы отобразить дополнительные сведения о рекомендации, например описание и записи CVE, щелкните значок с двойной стрелкой double-arrows-icon для открытия панели сведений.

    Дополнительные сведения о сборе рекомендаций см. в разделе Выполнение оценки.

  3. Щелкните Устранить.

Обработка отдельного служебного сервера

Чтобы исправить проблемы на отдельном узле, выполните следующее.

  1. В рабочей области «Уязвимость» выберите политику.

    Если щелкнуть политику, открывается панель управления выбранной политикой, на которой также отображаются результаты последней оценки и рекомендации.

  2. В панели управления политики перейдите на вкладку Служебные серверы и щелкните служебный сервер.

  3. Выберите все рекомендации, которые необходимо применить для данного служебного сервера.

    При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если в заголовке столбца имеется значок фильтра filter-icon, результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

  4. Щелкните Устранить.

Применение отдельной рекомендации для указанного служебного сервера

Чтобы устранить отдельную проблему на указанном служебном сервере или в группе служебных серверов, выполните следующее.

  1. В рабочей области «Уязвимость» выберите политику.

    Если щелкнуть политику, открывается панель управления выбранной политикой, на которой также отображаются результаты последней оценки и рекомендации.

  2. В панели управления политики щелкните идентификатор рекомендации.

    Откроется страница со сведениями о рекомендации. В нижней части этой страницы отображается список служебных серверов, к которым относится данная рекомендация.

  3. Установите флажок рядом со всеми служебными серверами, которые необходимо исправить согласно выбранной рекомендации.

    При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если заголовок столбца содержит значок фильтра filter-icon, можно отфильтровать результаты по этому типу столбца. Щелкните значок и выберите в меню параметр фильтра или введите текст. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

  4. Щелкните Устранить.

Обработка рекомендаций Windows

SaltStack SecOps Vulnerability запускает узлы Windows для получения актуальных рекомендаций от Microsoft. Узлы Windows могут получить эти обновления одним из двух способов.

  • Агент центра обновления Windows (WUA). По умолчанию узлы Windows подключаются непосредственно к серверам Microsoft, используя агент WUA, который автоматически устанавливается на всех узлах Windows. WUA поддерживает автоматизированную передачу и установку исправлений. Этот агент сканирует узлы и определяет, какие обновления безопасности не установлены, а затем выполняет поиск и загружает обновления с веб-сайтов обновлений Microsoft.
  • Windows Server Update Services (WSUS). WSUS-сервер выступает в качестве посредника между Microsoft и служебным сервером. С помощью WSUS-серверов ИТ-администраторы могут планово развертывать обновления в сети для сокращения времени простоя и вероятности сбоев. Дополнительные сведения см. в разделе Windows Server Update Services (WSUS) в официальной документации Microsoft.

Перед использованием SaltStack SecOps Vulnerability на узлах Windows проверьте, какой из этих двух методов в настоящее время используется в вашей среде. Если в среде используется метод с WSUS-сервером, выполните следующее.

  • Убедитесь, что WSUS включен и работает.При необходимости можно настроить служебный сервер Windows на подключение к WSUS, используя файл состояния Salt, предоставленный SaltStack. Сведения о файле состояния см. в разделе Включение Windows Server Update Services (WSUS). После запуска файла состояния убедитесь, что служебный сервер успешно подключен к WSUS-серверу и получает обновления.
  • Одобрите обновления, связанные с рекомендациями Microsoft, на WSUS-сервере.Когда WSUS-сервер получает обновления Microsoft, администратор WSUS должен рассмотреть и одобрить их перед развертыванием их в среде. Для того чтобы служба SaltStack SecOps Vulnerability могла обнаружить и обработать рекомендации, необходимо одобрить все обновления, содержащие их.

Если какое-любо из этих двух предварительных условий не выполнено, SaltStack SecOps Vulnerability не сможет точно сканировать объекты и обработать рекомендации. Для систем, которые получают обновления Microsoft через WSUS-сервер, процесс оценки может возвращать ложноположительные срабатывания, указывающие на то, что служебные серверы Windows защищены от всех уязвимостей CVE, хотя фактически они могут быть не защищены.

Примечание: Если служебный сервер Windows очень давно не обновлялся или если WSUS-сервер пытается отправить обновления на несколько служебных серверов, WSUS-сервер может выйти из строя. В этом случае используйте оптимальные методики устранения неполадок и проконсультируйтесь с администратором WSUS. Дополнительные сведения см. в разделе Рекомендации по Windows Server Update Services в официальной документации Microsoft.

После настройки WSUS-сервера или проверки функционирования WUA на всех целевых служебных серверах Windows можно использовать SaltStack SecOps Vulnerability для исправления узлов Windows. Для этой цели можно использовать тот же процесс, который предназначен для обработки других рекомендаций или исправления служебных серверов. Однако для устранения некоторых проблем с Windows может потребоваться выполнить полную перезагрузку системы, чтобы исправление или обновление вступило в силу. Дополнительные сведения см. в разделе Перезагрузка служебного сервера в ходе исправления.

Перезагрузка служебного сервера в ходе исправления

Для устранения некоторых проблем может потребоваться выполнить полную перезагрузку системы, чтобы исправление или обновление вступило в силу. Иногда для устранения ряда проблем может потребоваться выполнить повторную перезагрузку.

Чтобы определить, требуется ли для предупреждения или служебного сервера перезагрузка в рамках процесса исправления, сначала выполните оценку. Метод проверки на предмет необходимости перезагрузки зависит от того, хотите ли вы, чтобы система показывала вам, нужна ли перезагрузка в соответствии с определенной рекомендацией или для конкретного служебного сервера.

Объект Инструкции
Рекомендация

В панели управления политики на вкладке Рекомендация проверьте состояние рекомендации в столбце Действия при установке. В этом столбце могут отображаться следующие состояния.

  • Никогда не требуется перезагрузка. При обработке рекомендации перезагрузка не требуется.
  • Всегда требуется перезагрузка. При обработке рекомендации всегда требуется перезагрузка.
  • Может требоваться перезагрузка. При обработке рекомендации при определенных условиях, возможно, потребуется перезагрузка.
  • (–). Нулевое значение. Это состояние отображается для служебных серверов Linux. Определение необходимости перезагрузки для служебных серверов Linux в настоящее время не поддерживается.
Служебный сервер

В панели управления политики на вкладке Служебные серверы проверьте состояние служебного сервера в столбце Требуется перезагрузка. В этом столбце могут отображаться следующие состояния.

  • false. Для исправления служебного сервера перезагрузка не требуется, или она уже выполнена.
  • true. Это состояние присваивается в следующих ситуациях.
    • Для служебного сервера требуется перезагрузка, но она еще не началась.
    • В настоящее время на служебном сервере выполняется перезагрузка, которая еще не закончилась.
    • На служебном сервере завершена перезагрузка, но ему требуется еще одна перезагрузка, чтобы применить дополнительные изменения.

Если вы решите, что в процессе исправления нужна перезагрузка, выполните следующие действия для перезагрузки служебного сервера.

  1. На панели управления политики на вкладке Служебные серверы установите флажок рядом со служебным сервером, для которого в столбце Требуется перезагрузка отображается состояние true.
  2. Нажмите кнопку Выполнить команду.
  3. В меню Функция выберите команду system.reboot.
  4. В поле Аргументы добавьте необходимые аргументы.

    При обработке узлов Windows для команды system.reboot требуются два аргумента: timeout и in_seconds. Установите для первого аргумента значение 0, а для второго — true. Дополнительные сведения об этих аргументах см. в документации по модулю win_system.reboot.

    Для узлов Linux в команде system.reboot указывается один аргумент: at_time. Дополнительные сведения об этих аргументах см. в документации по модулю system.reboot.

  5. (Необязательно.) Если вы хотите запланировать перезагрузку на конкретное время, создайте задание, которое выполнит перезагрузку служебного сервера, а затем установите для него необходимое время выполнения. Дополнительные сведения см. в разделе Рабочий процесс заданий SaltStack Config.
  6. Щелкните Выполнить команду, чтобы выполнить эту команду на выбранном служебном сервере.

После запуска перезагрузки служебному серверу может понадобиться несколько минут на выполнение перезагрузки и повторное подключение к сети. Следует иметь в виду, что на вкладке Действие в рабочей области «Уязвимость» отражается только один показатель: была ли запущена перезагрузка. Состояние «Завершено» не всегда означает, что выполнена перезагрузка целевого служебного сервера и он снова подключен к сети. Это состояние означает только то, что операция была запущена.

Чтобы убедиться, что служебный сервер снова подключен к сети после перезагрузки, обновите вкладку Служебные серверы в рабочей области «Уязвимость» и проверьте присутствие служебного сервера. Дополнительные сведения см. в разделе Присутствие служебного сервера.

После перезагрузки служебного сервера в ходе исправления необходимо выполнить еще одну оценку и убедиться, что исправление выполнено успешно.