1 概要
1.1 补丁管理功能简介
Altiris7.1版本可对多语言的Windows操作系统(XP,Vista,7,2003,2008),Red Hat Linux,SUSE Linux,Mac OS X以及第三方软件Adobe进行补丁管理。自定义类型软件的补丁管理可利用软件管理功能实现,具体请参考软件管理操作手册。
本文将介绍如果配置、使用windows补丁管理模块。
1.2 离线补丁管理说明
默认的补丁管理要求管理服务器能够访问互联网,补丁库由Symantec官方提供,并通过同步方式将补丁文件同步到本地。
如需针对于内网用户进行补丁管理,需要将补丁文件复制或共享到内网NS服务器,通过相应配置实现对内网的补丁管理。
2 补丁管理
2.1 补丁管理的相关设置
2.1.1 补丁管理策略设置
补丁管理需要进行一些先决条件的设置。
1、设置语言,登录Symantec Management Console(下文中的操作将默认已经登录该控制台),
主页>
Patch Management,在左侧菜单栏选择
Microsoft 设置 语言,勾选
英文、
中文(简体),点击
保存更改;
或者,
所有设置,左侧菜单
软件 核心服务。
2、更新漏洞信息,
导入,点击右侧下方的
新建计划 立即,点击
计划按钮 管理 作业和任务,左侧菜单栏,
系统作业和任务 的修补程序数据注意,补丁数据导入需要一定时间(虚拟机测试环境大概需要2个小时)。
2.1.2 补丁代理插件安装
需要安装补丁插件,才能实现终端的漏洞扫描和补丁更新。
1、安装QChain,如果服务安装时即可接入互联网,则QChain在服务器安装完成后即已下载,如已经下载成功(下图的任务状态中已经有一个成功的任务)则无需进行以下操作。
下载 QChain 计划按钮;
2、安装补丁插件,
软件更新插件安装,右侧页面右上侧设置状态为
开提示,插件的“应用于目标”默认是使用过滤器进行筛选的,系统通过信息同步来确认需要安装该插件的计算机,该信息同步需要一定的时间请耐心等待(也可尝试点击客户端的更新按钮)。你也可以手动添加一台计算机来实现快速的分发,但此方式不推荐使用。
3、客户端插件安装成功确认,单击客户端
Altiris 托盘图标 Altiris Management Agent,查看是否有Altiris Software Update Agent插件信息。如果没有请点击“更新”按钮并耐心等待。
提示,在客户端Altiris Management Agent设置中的配置中可以看到请求时间和已更改时间,请求时间标记客户端向服务器发起通信的时间,如果服务器的策略配置有所更新,则已更新时间会发生更改。所以当点击更新按钮时如果发现已更改时间发生了变化(与请求时间非常接近)时则表明终端策略已经更新。
2.2 补丁分发策略设置及下载
2.2.1 漏洞扫描策略
服务器必须在获得终端漏洞扫描结果后才可以对其进行有效的补丁分发。
1、
漏洞分析,右侧
策略设置状态为
,扫描间隔
20 分钟(该值适合于测试环境,不建议将该值设置的过小,以免检测过于频繁造成额外压力),勾选
发送清单摘要 所有设置,左侧菜单
;
2.2.2 安装和重启通知
设置补丁在客户端启动安装或需要重启时是否提示、用户可否延迟重启计划等内容。
安装和重新启动 软件更新插件策略,在
通知标签页按需求设置相关通知消息——
软件更新安装通知(客户端收到软件更新时会弹出提示框)、
软件更新安装进度 软件更新重新启动通知 代理 / 插件软件 Windows 默认软件更新插件策略2.2.3 启用补丁下载
根据相关微软公告号启用补丁下载,下载完成后的补丁才可用于补丁策略制定。
软件公告,在右侧
软件布告细节中选择所需下载的公告号(可多选),单击鼠标右键>
启用,弹出任务执行窗口可勾选
任务完成后关闭窗口(下载任务完成后该窗口自动关闭)或点击
关闭按钮关闭该窗口,补丁下载完成后
已启用状态变为
真 操作 修补程序补救中心 策略 patch Management2.3 补丁分发
2.3.1 软件更新策略向导
通过该向导可将多个补丁“公告”制作成一个策略分发给客户端。
中选择已启用状态为真的公告号(可多选),单击鼠标右键>
软件更新策略向导2、
分发软件更新 运行 尽快 下一步3、
,状态设置为
软件分发策略制作完成后,可在
软件更新策略,中查看所制定的补丁更新策略;
2.3.2 客户端补丁信息查看
在客户端,单击客户端Altiris托盘图标>软件更新,可以查看已经下发的软件更新策略。如果没有请点击“更新”按钮并耐心等待。
注意:7.X版本客户端界面软件更新信息只能保留24小时,24小时后的补丁更新信息请查看C:\Program Files\Altiris\Altiris Agent\Agents\PatchMgmtAgent\ 、InstallLog.csv文件。
2.4 加快补丁分发任务执行效率
默认情况下服务器每30分钟分发一次补丁下载策略,可以通过手动运行Windows 2008 R2系统>
开始 所有程序 管理工具 任务计划程序(Task Scheduler)>
NS.Microsoft.{1bf89561-394a-42e1-88b2-bae5f42874cc},快速实现策略的下发。
3 补丁离线管理
针对内网环境需要提供补丁的离线更新管理方式,首先在能够访问互联网的NS服务器上继续补丁信息更新和补丁文件下载,然后将补丁信息和补丁文件复制到内网NS服务器的磁盘上或者可以访问的网络目录上。
3.1 复制离线文件
3.1.1 Microsoft补丁信息
首先将已经下载好补丁的NS服务器的“C:\Program Files\Altiris\Patch Management\Downloads”文件夹备份出来,其中包含如下文件(根据所选语言的不同文件也会有所不同):
将以上文件保存在NS服务器可以访问的网络位置上或者是NS服务器本地,以保存在本地为例,将以上文件放在“C: \Patch Management\Downloads”下。
注:以上文件
不能直接放在NS服务器的“C:\Program Files\Altiris\Patch Management\Downloads”目录下。
3.1.2 Microsoft补丁文件
复制已经下载好补丁的NS服务器上的C:\Program Files\Altiris\Patch Management\Packages\
Updates 目录,将该文件夹复制到内网NS服务器上,例如C:\Patch Manager\
3.2 补丁离线更新设置
3.2.1 设置补丁下载目录
1、将已经下载好的补丁文件放置可访问的目录中,如:C:\Patch Manager\Updates。
2、设置补丁类型及下载路径,
,在右侧的功能栏中,勾选从启用的位置下载并填入C:\Patch Manager(离线补丁的存放路径)。
3.2.2 在控制台上进行相关设置:
1、下载QChain
a、
>下载QChain;
b、在右侧编辑框,
文件下载设置 位置,输入
C:\Patch Manager\Downloads\Q815062_W2K_spl_X86_EN.exec、保存设置;
d、任务状态中点击新建计划,新建计划窗口中,在计划中选择立即,点击计划。
e、运行成功会在任务状态中有相应的显示。
2、下载Microsoft修补程序导入
修补程序导入b、在右侧修补程序管理导入设置栏中,
软件包位置 替代位置输入 C:\Patch Manager\Downloads\pmimport.cab,点击保存更改;
c、任务状态中,点击新建计划,新建计划窗口中,在计划中选择立即,点击计划。