چگونه پالیسی ها را در پنل مدیریتی بسازیم؟ (Patch management)

ماژول Patch Management بار به روز نگه داشتن نرم افزارهای کلاینت ها را از دوش شما بر می دارد. ماژول Patch Management به صورت خودکار آخرین پچ نرم افزارها را در انواع وسیعی از محصولات برروی کلاینت ها توزیع و نصب می کند.

این بخش از پالیسی شامل تنظیمات برای راه اندازی خودکار پچ می شود. ابتدا شما تنظیم می کنید که چگونه پچ ها در کلاینت ها دانلود شوند و سپس اینکه چه زمانی، کدوم پچ نصب شود.

پیکربندی تنظیمات مربوط به دانلود پچ:

فرآیند انتشار پچ از Patch Caching Servers استفاده میکند تا ترافیک شبکه را بهینه کند. کلاینت ها به این سرورها متصل می شوند و پچ ها را از طریق شبکه لوکال دانلود می کنند. برای دسترسی بیشتر پچ ها پیشنهاد می شود که بیشتر از یک سرور داشته باشید.

برای اختصاص Patch Caching Servers به کلاینت ها به روش زیر عمل کنید:

1. در زیر بخش Patch Download Settings برروی فیلد بالای جدول کلیک کنید. یک لیست از Patch Caching Servers های شناسایی شده نمایش داده می شود. اگر لیست خالی باشد، آن وقت شما نیاز دارید که رول Patch Cashing Server را برروی ریلی ها درشبکه نصب کنید.

2. سروری که می خواهید را از لیست انتخاب کنید.

3. برروی دکمه Add کلیک کنید.

4. در صورت نیاز، مراحل قبلی را تکرار کنید تا سرورهای بیشتری اضافه کنید.

5. از فلش های بالا و پایین در سمت راست جدول استفاده کنید تا اولویت سرورها را معین کنید. اولویت ها از بالا به پایین لیست کم می شود.

کلاینت به ترتیب اولویت سرورهای اختصاص داده شده، پچ را درخواست می کند. کلاینت پچ را از سروری که اول پیدا کند دانلود می کند. سروری که پچ درخواست شده را نداشته باشد به صورت خودکار آن را از شرکت ارایه دهنده دانلود می کند تا آن را برای درخواست های آینده در دسترس قرار دهد.

برای پاک کردن سرورهایی که دیگر نیازی ندارید، برروی دکمه Delete متناظر آن در سمت راست جدول کلیک کنید.

گزینه Use vendors websites as fallback location for downloading the patches را انتخاب کنید تا اطمینان حاصل کنید که کلاینت ها در مواردی که Patch Caching Servers در دسترس نیست، پچ نرم افزارها را دریافت کنند.

پیکربندی اسکن و نصب و راه اندازی پچ:

گرویتی زون توزیع پچ ها را در دو فاز مستقل انجام می دهد:

1. ارزیابی. به درخواست شما از طریق کنسول مدیریتی، کلاینتها برای پچ های مورد نیاز اسکن می شوند و گزارش آنها داده می شود.

2. نصب و راه اندازی. کنسول لیستی از پچ های که شما نیاز دارید نصب کنید را برای ایجنت ها ارسال می کند. کلاینت پچ ها را از Patch Caching Server دانلود می کند و سپس آنها را نصب می کند.

تنظیمات پالیسی این امکان را فراهم می آورد که این فرآیندها خودکار عمل کنند، نسبتا یا کاملا، به طوری که آنها به صورت دوره ای و براساس برنامه اجرا می شوند.

برای راه اندازی اسکن خودکار پچ به صورت زیر عمل کنید:

1. تیک مربوط به Automatic patch scan را انتخاب کنید.

2. از گزینه های زمانبندی برای پیکربندی اسکن های متناوب استفاده کنید. شما می توانید تنظیم کنید که اسکن به صورت روزانه، هفتگی یا در روزها و زمان های مشخصی اجرا شود.

برای پیکربندی خودکار مسیر نصب و راه اندازی به روش زیر عمل کنید:

1- تیک مربوط به Install patches automatically after scan را انتخاب کنید.

2- یکی از انواع پچ ها را برای نصب انتخاب کنید: پچ های امنیتی، غیر امنیتی یا هر دو.

3- برای پیکربندی اینکه چه زمانی نصب و راه اندازی اجرا شود، از گزینه های زمان بندی استفاده کنید. شما می توانید تنظیم کنید که اسکن بلافاصله بعد از اینکه اسکن پچ ها به پایان رسید، به صورت روزانه یا در روزهای مشخص از هفته یا در یک زمان مشخص اجرا شود. توصیه می شود که پچ های امنیتی بلافاصله بعد از اینکه کشف شدند، نصب شوند.

4- به صورت پیش فرض تمام محصولات واجد شرایط برای پچ کردن هستند. اگر می خواهید به صورت خودکار فقط مجموعه ای از محصولات به روز رسانی شوند، یا اینکه ترجیح می دهید محصولاتی که برای کسب و کار شما ضروری هستند به روز رسانی شوند، این مراحل را دنبال کنید:

a. تیک مربوط به Specific vendor and product را فعال کنید.

b. در قسمت بالای جدول برروی فیلد Vendor کلیک کنید. یک لیست از تمام Vendor هایی که پشتیبانی می شوند، نمایش داده می شود.

c. vendor محصولی که می خواهید پچ کنید را از داخل لیست انتخاب کنید.

d. برروی فیلد Products در بالای جدول کلیک کنید. یک لیست از تمام محصولات vendor انتخاب شده نمایش داده می شود.

e. تمام محصولاتی که می خواهید پچ کنید را انتخاب کنید.

f. برروی دکمه Add کلیک کنید.

g. قسمتهای قبلی را برای محصولات و vendor های باقیمانده تکرار کنید.

اگر فراموش کردید که یک محصول را اضافه کنید یا قصد دارید محصولی را حذف کنید، vendor را داخل جدول پیدا کنید و برروی فیلد Products دوبار کلیک کنید و محصول را داخل لیست انتخاب کنید یا لغو انتخاب کنید.

برای پاک کردن یک vendor و تمام محصولاتش، آن را داخل جدول پیدا کنید و برروی دکمه Delete متناظر آن در سمت راست لیست کلیک کنید.

5. به دلایل مختلفی ممکن است یک کلاینت در زمان نصب و راه اندازی پچ خاموش باشد. گزینه If missed, run as soon as possible را انتخاب کنید تا بلافاصله بعد از اینکه کلاینت روشن شد پچ نصب شود.

6. بعضی پچ ها ممکن است برای نصب نیاز به راه اندازی مجدد سیستم داشته باشند. اگر شما می خواهید که اینکار را دستی انجام دهید، گزینه Postpone reboot را انتخاب کنید.

برای ارزیابی و نصب موفق در ویندوز کلاینت ها شما باید اطمینان حاصل کنید که الزامات زیر برآورده شوند:

  • گواهینامه DigiCert Assured ID Root CA در داخل Trusted Root Certification Authorities نگهداری شود.

  • Intermediate Certification Authorities پیکربندی شده باشد تا DigiCert SHA2 Assured ID Code Signing CA را شامل شود.

  • همانطور که در مقالات مایکروسافت ذکر شده است، برروی کلاینت هایی که از ویندوز 7، ویستا، ویندوز سرور 2008 یا 2008 R2 استفاده می کنند باید پچ های مشخصی نصب شود: