完成初始評估後,便可以修復在評估中偵測到的建議。

開始之前

Automation for Secure Hosts Vulnerability 會觸發 Windows 節點以接收來自 Microsoft 的最新建議。Windows 節點可以透過以下兩種方式之一接收這些更新:

  • Windows Update 代理程式 (WUA) - 依預設,Windows 節點使用將自動安裝在所有 Windows 節點上的 WUA 直接連線至 Microsoft。WUA 支援自動化修補程式交付和安裝。它會掃描節點以確定未安裝的安全性更新,然後從 Microsoft 的更新網站搜尋並下載更新。
  • Windows Server Update Services (WSUS) - WSUS 伺服器充當 Microsoft 與部屬節點之間的仲介。WSUS 伺服器允許 IT 管理員戰略性地將更新部署至網路,以將停機時間和中斷次數降至最低。如需詳細資訊,請參閱 Microsoft 官方說明文件中的 Windows Server Update Services (WSUS)。
在 Windows 節點上使用 Automation for Secure Hosts Vulnerability 之前,請確認您的環境目前正在使用這兩種方法中的哪一個。如果您的環境使用的是 WSUS 伺服器方法,則必須:
  • 確保 WSUS 已啟用且正在執行中。如果需要,可以設定 Windows 部屬節點以使用 Automation Config 提供的 Salt 狀態檔案連線至 WSUS。有關此狀態檔案,請參閱〈啟用 Windows Server Update Services (WSUS)〉。執行此狀態檔案後,請確認您的部屬節點已成功連線至 WSUS 伺服器並且正在接收更新。
  • 在 WSUS 伺服器上核准 Microsoft 提供的建議相關更新。WSUS 伺服器收到來自 Microsoft 的更新時,WSUS 管理員必須檢閱並核准這些更新,才能在環境中部署更新。為了使 Automation for Secure Hosts Vulnerability 能夠偵測並修復建議,必須核准包含建議的任何更新。
如果不滿足這兩個必要條件中的任何一個, Automation for Secure Hosts Vulnerability 無法準確地掃描和修復建議。對於透過 WSUS 伺服器接收 Microsoft 更新的系統,評估可能會傳回誤判,指出 Windows 部屬節點可以免於遭受所有 CVE,即使實際上可能並不安全。

修復支援的建議

在原則首頁中,[活動] 索引標籤顯示已完成評估或進行中的評估、修復及其狀態的清單:

狀態 說明
已排入佇列 作業已準備好執行,但部屬節點尚未啟動該作業。
已完成 作業已完成執行。
部分 作業已完成執行,但仍在等待某些部屬節點傳回。

在修復期間,屬於該建議的所有套件均會套用至所選節點。您可以一次修復所有建議,也可以根據需要修復特定建議、特定部屬節點或一組部屬節點。

Automation for Secure Hosts Vulnerability 一律安裝廠商提供的最新可用版本,即使該建議已在較早版本中修正。

修復建議後,必須再次執行評估以確認修復是否成功。

您可以根據需要選擇要修復的建議或節點。這些選項包括:
  • 一次修復所有建議
  • 修復特定部屬節點
  • 修復一組部屬節點

在原則儀表板中,執行全部修復時,Automation for Secure Hosts Vulnerability 將對您原則中的所有部屬節點修復所有建議,這可能會導致處理時間過長。

  1. 在 [漏洞] 工作區中,按一下某個原則以開啟該原則的儀表板。
  2. 在原則的儀表板中:
    1. 若要按原則進行修復,請按一下要修復的所有建議旁邊的核取方塊。
    2. 若要按部屬節點進行修復,請選取目標索引標籤,按一下某個部屬節點,然後選取要為作用中部屬節點修復的所有建議。
    3. 若要同時按建議和部屬節點進行修復,請按一下建議識別碼,然後按一下要為作用中建議修復的所有部屬節點旁邊的核取方塊。
  3. 按一下修復

結果:現在,您的漏洞建議已修復。有時,修復可能需要將整個系統或部屬節點重新開機。如需詳細資訊,請參閱〈如何在修復過程中將部屬節點重新開機〉

自訂修復

如果從第三方匯入廠商掃描,則可能存在不支援的建議,並需要對其進行修復。若要修復不支援的建議,必須新增自己的自訂修復檔案,方法為:從不支援的建議原則頁面中選取 新增檔案,然後在原則中連結自訂狀態檔案或全域連結自訂狀態檔案。
  • 在原則中連結 - 修復檔案僅用於修復目前原則中的指定建議。例如,如果建立具有相同不受支援建議的重複原則,則修復檔案將僅修復第一個原則中的建議,而不會修復複本中的建議。
  • 全域連結到建議 - 修復檔案用於修復所有原則中的指定建議。
備註: 如果原則中的建議既在原則中連結又全域連結修復檔案,則 Automation for Secure Hosts 使用在原則中連結的檔案。如果刪除在原則中連結的檔案,則 Automation for Secure Hosts 預設使用全域連結的檔案。在 [連結修復] 視窗中檢閱檔案預覽,以確認是否選取了所需檔案來修復建議。