完成初始評估後,便可以修復在評估中偵測到的建議。在修復期間,屬於該建議的所有套件均會套用至所選節點。您可以一次修復所有建議,也可以根據需要修復特定建議、特定部屬節點或一組部屬節點。
SaltStack SecOps Vulnerability 一律安裝廠商提供的最新可用版本,即使該建議已在較早版本中修正。
修復建議後,必須再次執行評估以確認修復是否成功。
修復所有建議
執行全部修復時,SaltStack SecOps Vulnerability 將對您原則中的所有部屬節點修復所有建議,這可能會導致處理時間過長。您可以一次修復所有建議,也可以根據需要修復特定建議、特定部屬節點或一組部屬節點。
對原則中的所有部屬節點修復所有建議:
- 在 [漏洞] 工作區中,按一下原則。
按一下原則可開啟所選原則的儀表板,其中還包括最新的評估結果和部屬節點。
- 在原則儀表板的右上方,按一下全部修復。
- 在確認對話方塊中按一下全部修復。
可以在原則的活動索引標籤中追蹤修復的狀態。
依建議進行修復
依特定建議進行修復:
- 在 [漏洞] 工作區中,按一下原則。
按一下原則可開啟所選原則的儀表板,其中還包括最新的評估結果和部屬節點。
- 在原則儀表板中,按一下要修復的所有建議旁邊的核取方塊。
如果需要,可依資料行篩選建議。例如,可依嚴重性篩選建議,以選擇要修復的建議。如果資料行標頭包含篩選器圖示
,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。可以透過按一下清除篩選器來移除作用中篩選器。若要查看有關建議的更多詳細資料 (例如說明和 CVE),請按一下雙箭頭圖示
以開啟詳細資料窗格。如需有關執行建議掃描的詳細資訊,請參閱〈執行評估〉。
- 按一下修復。
依部屬節點進行修復
修復特定節點:
- 在 [漏洞] 工作區中,按一下原則。
按一下原則可開啟所選原則的儀表板,其中還包括最新的評估結果和部屬節點。
- 在原則儀表板中,移至部屬節點索引標籤,然後按一下部屬節點。
-
選取要針對作用中部屬節點進行修復的所有建議。
如果需要,可依資料行篩選建議。例如,可依嚴重性篩選建議,以選擇要修復的建議。如果資料行標頭包含篩選器圖示
,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。可以透過按一下清除篩選器來移除作用中篩選器。 - 按一下修復。
依建議和部屬節點進行修復
針對特定部屬節點或一組部屬節點修復特定建議:
- 在 [漏洞] 工作區中,按一下原則。
按一下原則可開啟所選原則的儀表板,其中還包括最新的評估結果和部屬節點。
- 在原則儀表板中,按一下建議識別碼。
按一下建議識別碼可開啟建議的詳細資料頁面。將在此頁面底部列出受此建議影響的部屬節點清單。
- 按一下要針對作用中建議修復的所有部屬節點旁邊的核取方塊。
如果需要,可依資料行篩選建議。例如,可依嚴重性篩選建議,以選擇要修復的建議。如果資料行標頭包含篩選器圖示
,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。可以透過按一下清除篩選器來移除作用中篩選器。 - 按一下修復。
修復 Windows 建議
SaltStack SecOps Vulnerability 會觸發 Windows 節點以接收來自 Microsoft 的最新建議。Windows 節點可以透過以下兩種方式之一接收這些更新:
- Windows Update 代理程式 (WUA) - 依預設,Windows 節點使用將自動安裝在所有 Windows 節點上的 WUA 直接連線至 Microsoft。WUA 支援自動化修補程式交付和安裝。它會掃描節點以確定未安裝的安全性更新,然後從 Microsoft 的更新網站搜尋並下載更新。
- Windows Server Update Services (WSUS) - WSUS 伺服器充當 Microsoft 與部屬節點之間的仲介。WSUS 伺服器允許 IT 管理員戰略性地將更新部署至網路,以將停機時間和中斷次數降至最低。如需詳細資訊,請參閱 Microsoft 官方說明文件中的 Windows Server Update Services (WSUS)。
在 Windows 節點上使用 SaltStack SecOps Vulnerability 之前,請確認您的環境目前正在使用這兩種方法中的哪一個。如果您的環境使用的是 WSUS 伺服器方法,則必須:
- 確保 WSUS 已啟用且正在執行中。如果需要,可以設定 Windows 部屬節點以使用 SaltStack 提供的 Salt 狀態檔案連線至 WSUS。有關此狀態檔案,請參閱〈啟用 Windows Server Update Services (WSUS)〉。執行此狀態檔案後,請確認您的部屬節點已成功連線至 WSUS 伺服器並且正在接收更新。
- 在 WSUS 伺服器上核准 Microsoft 提供的建議相關更新。 - 當 WSUS 伺服器收到來自 Microsoft 的更新時,WSUS 管理員必須檢閱並核准這些更新,才能在環境中部署更新。為了使 SaltStack SecOps Vulnerability 能夠偵測並修復建議,必須核准包含建議的任何更新。
如果不滿足這兩個必要條件中的任何一個,SaltStack SecOps Vulnerability 無法準確地掃描和修復建議。對於透過 WSUS 伺服器接收 Microsoft 更新的系統,評估可能會傳回誤判,指出 Windows 部屬節點可以免於遭受所有 CVE,即使實際上可能並不安全。
設定 WSUS 伺服器或確保 WUA 在所有目標 Windows 部屬節點上正常運作後,可以使用 SaltStack SecOps Vulnerability 修復 Windows 節點。可以使用修復其他建議或部屬節點的相同程序來修復 Windows 節點。但是,某些 Windows 修復可能需要執行完整的系統重新開機,修補程式或更新才會生效。如需詳細資訊,請參閱〈在修復過程中將部屬節點重新開機〉。
在修復過程中將部屬節點重新開機
修復可能需要執行完整的系統重新開機,修補程式或更新才會生效。有時,修復甚至可能需要第二次重新開機。
若要確定建議或部屬節點是否需要在修復過程中重新開機,請先執行評估。檢查是否需要重新開機的方法,取決於您要查看特定建議還是部屬節點是否需要重新開機:
| 對於 | 參閱 |
|---|---|
| 建議 | 在原則儀表板中的建議索引標籤上,檢查安裝行為資料行以查看建議的狀態。此資料行具有以下可能的狀態:
|
| 部屬節點 | 在原則儀表板中的部屬節點索引標籤上,檢查需要重新開機資料行以查看部屬節點的狀態。此資料行具有以下可能的狀態:
|
如果確定在修復過程中需要重新開機,請遵循以下步驟將部屬節點重新開機:
- 在原則儀表板中的部屬節點索引標籤中,按一下在需要重新開機資料行中顯示 true 的部屬節點旁邊的核取方塊。
- 按一下執行命令按鈕。
- 在函數功能表中,選取
system.reboot命令。 - 在引數欄位中,新增必要的引數。
對於 Windows 節點,
system.reboot命令需要兩個引數:timeout和in_seconds。將第一個引數設定為0,將第二個引數設定為true。如需有關這些引數的詳細資訊,請參閱 win_system.reboot 模組說明文件。對於 Linux 節點,
system.reboot命令採用一個引數:at_time。如需有關這些引數的詳細資訊,請參閱 system.reboot 模組說明文件。 - (可選) 如果要將重新開機排程在特定的時間進行,請建立一個將部屬節點重新開機的工作,然後將該工作設定為在排定的時間執行。如需詳細資訊,請參閱〈SaltStack Config 工作流程〉。
- 按一下執行命令,以對選取的部屬節點執行此命令。
起始重新開機後,部屬節點可能需要幾分鐘才能完成重新開機並重新上線。請注意,[漏洞] 工作區中的活動索引標籤僅指示重新開機命令是否已啟動。[完成] 狀態不一定表示部屬節點已重新開機並重新上線;僅表示已在目標部屬節點上執行作業。
若要檢查部屬節點在重新開機後是否重新上線,請重新整理 [漏洞] 工作區中的部屬節點索引標籤並檢查部屬節點的目前狀態。如需詳細資訊,請參閱〈部屬節點目前狀態〉。
在修復過程中將部屬節點重新開機後,必須再次執行評估以確認修復是否成功。
