1    概要<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.1   补丁管理功能简介

Altiris7.1 版本可对多语言的 Windows 操作系统( XP Vista 7 2003 2008 ), Red Hat Linux SUSE Linux Mac OS X 以及第三方软件 Adobe 进行补丁管理。自定义类型软件的补丁管理可利用软件管理功能实现,具体请参考软件管理操作手册。

本文将介绍如果配置、使用 windows 补丁管理模块。

1.2   离线补丁管理说明

默认的补丁管理要求管理服务器能够访问互联网,补丁库由 Symantec 官方提供,并通过同步方式将补丁文件同步到本地。

如需针对于内网用户进行补丁管理,需要将补丁文件复制或共享到内网 NS 服务器,通过相应配置实现对内网的补丁管理。

2.1   补丁管理的相关设置

2.1.1  补丁管理策略设置

补丁管理需要进行一些先决条件的设置。

1 、设置语言,登录 Symantec Management Console (下文中的操作将默认已经登录该控制台),主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 设置 >Microsoft 语言 ,勾选英文中文(简体),点击保存更改

或者,设置 > 所有设置 ,左侧菜单设置 > 软件 >Patch Management> 核心服务

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

2 、更新漏洞信息,主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 设置 >Microsoft 导入 ,点击右侧下方的新建计划,勾选立即,点击计划按钮

或者,管理 > 作业和任务 ,左侧菜单栏,作业和任务 > 系统作业和任务 > 软件 >Patch Management> 导入 Microsoft 的修补程序数据

注意,补丁数据导入需要一定时间(虚拟机测试环境大概需要 2 个小时)。

2.1.2  补丁代理插件安装

需要安装补丁插件,才能实现终端的漏洞扫描和补丁更新。

1 、安装 QChain ,如果服务安装时即可接入互联网,则 QChain 在服务器安装完成后即已下载,如已经下载成功(下图的任务状态中已经有一个成功的任务)则无需进行以下操作。

管理 > 作业和任务 ,左侧菜单栏,作业和任务 > 系统作业和任务 > 软件 >Patch Management> 下载 QChain ,点击右侧下方的新建计划,勾选立即,点击计划按钮;

2 、安装补丁插件,主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 设置 > 软件更新插件安装 ,右侧页面右上侧设置状态为,点击保存更改按钮;

提示,插件的“应用于目标”默认是使用过滤器进行筛选的,系统通过信息同步来确认需要安装该插件的计算机,该信息同步需要一定的时间请耐心等待(也可尝试点击客户端的更新按钮)。你也可以手动添加一台计算机来实现快速的分发,但此方式不推荐使用。

3 、客户端插件安装成功确认,单击客户端 Altiris 托盘图标 >Altiris Management Agent 设置 ,查看是否有 Altiris Software Update Agent 插件信息。如果没有请点击“更新”按钮并耐心等待。

提示,在客户端 Altiris Management Agent 设置 中的配置中可以看到请求时间已更改时间,请求时间标记客户端向服务器发起通信的时间,如果服务器的策略配置有所更新,则已更新时间会发生更改。所以当点击更新按钮时如果发现已更改时间发生了变化(与请求时间非常接近)时则表明终端策略已经更新。

2.2   补丁分发策略设置及下载

2.2.1  漏洞扫描策略

服务器必须在获得终端漏洞扫描结果后才可以对其进行有效的补丁分发。

1 主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 设置 > 漏洞分析 ,右侧策略设置状态为,扫描间隔 20 分钟 (该值适合于测试环境,不建议将该值设置的过小,以免检测过于频繁造成额外压力),勾选发送清单摘要,点击保存更改按钮;

或者,设置 > 所有设置, 左侧菜单设置 > 软件 >Patch Management>Microsoft 设置 >Microsoft 漏洞分析 ;

2.2.2  安装和重启通知

设置补丁在客户端启动安装或需要重启时是否提示、用户可否延迟重启计划等内容。

1 主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 设置 > 安装和重新启动 ,右侧软件更新插件策略状态为,在通知标签页按需求设置相关通知消息——软件更新安装通知(客户端收到软件更新时会弹出提示框)、软件更新安装进度软件更新重新启动通知,点击保存更改按钮;

或者,设置 > 所有设置, 左侧菜单设置 > 代理 / 插件软件 >Patch Management>Windows> 默认软件更新插件策略 ;

2.2.3  启用补丁下载

根据相关微软公告号启用补丁下载,下载完成后的补丁才可用于补丁策略制定。

1 主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 软件公告 ,在右侧软件布告细节中选择所需下载的公告号(可多选),单击鼠标右键 > 启用 ,弹出任务执行窗口可勾选任务完成后关闭窗口(下载任务完成后该窗口自动关闭)或点击关闭按钮关闭该窗口,补丁下载完成后已启用状态变为

或者,操作 > 软件 > 修补程序补救中心

或者,管理 > 策略 > 软件 >patch Management> 修补程序补救中心

2.3   补丁分发

2.3.1  软件更新策略向导

通过该向导可将多个补丁“公告”制作成一个策略分发给客户端。

1 主页 >Patch Management ,在左侧菜单栏选择 Microsoft > 软件公告 ,在右侧软件布告细节中选择已启用状态为真的公告号(可多选),单击鼠标右键 > 软件更新策略向导

2 分发软件更新,勾选运行 > 尽快 ,点击下一步按钮;

3 分发软件更新,状态设置为,点击分发软件更新按钮;

软件分发策略制作完成后,可在管理 > 策略 > 软件 >Patch Management> 软件更新策略 >Microsoft ,中查看所制定的补丁更新策略;

2.3.2  客户端补丁信息查看

在客户端,单击客户端 Altiris 托盘图标 > 软件更新,可以查看已经下发的软件更新策略。如果没有请点击“更新”按钮并耐心等待。

注意: 7.X 版本客户端界面软件更新信息只能保留 24 小时, 24 小时后的补丁更新信息请查看 C:\Program Files\Altiris\Altiris Agent\Agents\PatchMgmtAgent\ InstallLog.csv 文件。

2.4   加快补丁分发任务执行效率

默认情况下服务器每 30 分钟分发一次补丁下载策略,可以通过手动运行 Windows 2008 R2 系统 > 开始 > 所有程序 > 管理工具 > 任务计划程序 Task Scheduler >NS.Microsoft.{1bf89561-394a-42e1-88b2-bae5f42874cc} ,快速实现策略的下发。

针对内网环境需要提供补丁的离线更新管理方式,首先在能够访问互联网的 NS 服务器上继续补丁信息更新和补丁文件下载,然后将补丁信息和补丁文件复制到内网 NS 服务器的磁盘上或者可以访问的网络目录上。

3.1   复制离线文件

3.1.1  Microsoft补丁信息

首先将已经下载好补丁的 NS 服务器的“ C:\Program Files\Altiris\Patch Management\Downloads ”文件夹备份出来,其中包含如下文件(根据所选语言的不同文件也会有所不同):

将以上文件保存在 NS 服务器可以访问的网络位置上或者是 NS 服务器本地,以保存在本地为例,将以上文件放在“ C: \Patch Management\Downloads ”下。

注:以上文件 不能 直接放在 NS 服务器的“ C:\Program Files\Altiris\Patch Management\Downloads ”目录下。

3.1.2  Microsoft补丁文件

复制已经下载好补丁的 NS 服务器上的 C:\Program Files\Altiris\Patch Management\Packages\Updates 目录 ,将该文件夹复制到内网 NS 服务器上,例如 C:\Patch Manager\Updates

3.2   补丁离线更新设置

3.2.1  设置补丁下载目录

1 、将已经下载好的补丁文件放置可访问的目录中,如: C:\Patch Manager\Updates

2 、设置补丁类型及下载路径,设置 > 软件 >Patch Management> 核心服务 ,在右侧的功能栏中,勾选从启用的位置下载并填入 C:\Patch Manager (离线补丁的存放路径)。

3.2.2  在控制台上进行相关设置:

1 、下载 QChain

a 管理 > 系统作业和任务 > 软件 >Patch Management> 下载 QChain

b 、在右侧编辑框,文件下载设置 > 位置 ,输入 C:\Patch Manager\Downloads\Q815062_W2K_spl_X86_EN.exe

c 、保存设置;

d 、任务状态中点击新建计划,新建计划窗口中,在计划中选择立即,点击计划。

e 、运行成功会在任务状态中有相应的显示。

2 、下载 Microsoft 修补程序导入

a 管理 > 系统作业和任务 > 软件 >Patch Management> 下载 Microsoft 修补程序导入

b 、在右侧修补程序管理导入设置栏中,软件包位置 > 替代位置输入 C:\Patch Manager\Downloads\pmimport.cab ,点击保存更改;

c 、任务状态中,点击新建计划,新建计划窗口中,在计划中选择立即,点击计划。