完成初始評估後,便可以修復在評估中偵測到的建議。
開始之前
SaltStack SecOps Vulnerability 會觸發 Windows 節點以接收來自 Microsoft 的最新建議。Windows 節點可以透過以下兩種方式之一接收這些更新:
- Windows Update 代理程式 (WUA) - 依預設,Windows 節點使用將自動安裝在所有 Windows 節點上的 WUA 直接連線至 Microsoft。WUA 支援自動化修補程式交付和安裝。它會掃描節點以確定未安裝的安全性更新,然後從 Microsoft 的更新網站搜尋並下載更新。
- Windows Server Update Services (WSUS) - WSUS 伺服器充當 Microsoft 與部屬節點之間的仲介。WSUS 伺服器允許 IT 管理員戰略性地將更新部署至網路,以將停機時間和中斷次數降至最低。如需詳細資訊,請參閱 Microsoft 官方說明文件中的 Windows Server Update Services (WSUS)。
在 Windows 節點上使用
SaltStack SecOps Vulnerability 之前,請確認您的環境目前正在使用這兩種方法中的哪一個。如果您的環境使用的是 WSUS 伺服器方法,則必須:
- 確保 WSUS 已啟用且正在執行中。如果需要,可以設定 Windows 部屬節點以使用 SaltStack 提供的 Salt 狀態檔案連線至 WSUS。有關此狀態檔案,請參閱〈啟用 Windows Server Update Services (WSUS)〉。執行此狀態檔案後,請確認您的部屬節點已成功連線至 WSUS 伺服器並且正在接收更新。
- 在 WSUS 伺服器上核准 Microsoft 提供的建議相關更新。WSUS 伺服器收到來自 Microsoft 的更新時,WSUS 管理員必須檢閱並核准這些更新,才能在環境中部署更新。為了使 SaltStack SecOps Vulnerability 能夠偵測並修復建議,必須核准包含建議的任何更新。
修復支援的建議
在原則首頁中,[活動] 索引標籤顯示已完成評估或進行中的評估、修復及其狀態的清單:
狀態 | 說明 |
---|---|
已排入佇列 | 作業已準備好執行,但部屬節點尚未啟動該作業。 |
已完成 | 作業已完成執行。 |
部分 | 作業已完成執行,但仍在等待某些部屬節點傳回。 |
在修復期間,屬於該建議的所有套件均會套用至所選節點。您可以一次修復所有建議,也可以根據需要修復特定建議、特定部屬節點或一組部屬節點。
SaltStack SecOps Vulnerability 一律安裝廠商提供的最新可用版本,即使該建議已在較早版本中修正。
修復建議後,必須再次執行評估以確認修復是否成功。
您可以根據需要選擇要修復的建議或節點。這些選項包括:
- 一次修復所有建議
- 修復特定部屬節點
- 修復一組部屬節點
在原則儀表板中,執行全部修復時,SaltStack SecOps Vulnerability 將對您原則中的所有部屬節點修復所有建議,這可能會導致處理時間過長。
- 在 [漏洞] 工作區中,按一下某個原則以開啟該原則的儀表板。
- 在原則的儀表板中:
- 若要按原則進行修復,請按一下要修復的所有建議旁邊的核取方塊。
- 若要按部屬節點進行修復,請選取部屬節點索引標籤,按一下某個部屬節點,然後選取要為作用中部屬節點修復的所有建議。
- 若要同時按建議和部屬節點進行修復,請按一下建議識別碼,然後按一下要為作用中建議修復的所有部屬節點旁邊的核取方塊。
- 按一下修復。
結果:現在,您的漏洞建議已修復。有時,修復可能需要將整個系統或部屬節點重新開機。如需詳細資訊,請參閱〈如何在修復過程中將部屬節點重新開機〉。
自訂修復
如果從第三方匯入廠商掃描,則可能存在不支援的建議,並需要對其進行修復。若要修復不支援的建議,必須新增自己的自訂修復檔案,方法為:從不支援的建議原則頁面中選取
新增檔案,然後在原則中連結自訂狀態檔案或全域連結自訂狀態檔案。
- 在原則中連結 - 修復檔案僅用於修復目前原則中的指定建議。例如,如果建立具有相同不受支援建議的重複原則,則修復檔案將僅修復第一個原則中的建議,而不會修復複本中的建議。
- 全域連結到建議 - 修復檔案用於修復所有原則中的指定建議。
備註: 如果原則中的建議既在原則中連結又全域連結修復檔案,則
SaltStack SecOps 使用在原則中連結的檔案。如果刪除在原則中連結的檔案,則
SaltStack SecOps 預設使用全域連結的檔案。在 [連結修復] 視窗中檢閱檔案預覽,以確認是否選取了所需檔案來修復建議。