方案:更新第三方软件
本节提供了更新客户端设备上安装的第三方软件的方案。第三方软件包括 Microsoft 和其他软件供应商的应用程序。Microsoft 应用程序的更新由 Windows Update 服务提供。
先决条件
管理服务器必须连接到互联网才能安装除 Microsoft 软件之外的第三方软件的更新。
默认情况下,管理服务器不需要互联网连接就可以在受管理设备上安装 Microsoft 软件更新。例如,受管理设备可以直接从 Microsoft 更新服务器下载 Microsoft 软件更新,也可以从组织的网络中部署了 Microsoft Windows Server Update Services (WSUS) 的 Windows Server 下载。将管理服务器用作 WSUS 服务器时,管理服务器必须连接到互联网。
阶段
更新第三方软件分阶段进行:
- 搜索所需更新
要查找受管理设备所需的第三方软件更新,请运行“查找漏洞和所需更新”任务。完成此任务后,Kaspersky Security Center 会收到检测到的漏洞列表,以及在任务属性中指定的设备上安装的第三方软件的所需更新。
“查找漏洞和所需更新”任务由管理服务器快速启动向导自动创建。如果未运行向导,请立即创建任务或运行快速启动向导。
说明:
- 管理控制台:扫描应用程序中的漏洞,安排“查找漏洞和所需更新”任务
- Kaspersky Security Center Web Console:创建“查找漏洞和所需更新”任务,“查找漏洞和所需更新”任务设置
- 分析找到的更新列表
查看“软件更新”列表并决定要安装哪些更新。要查看有关每个更新的详细信息,请单击列表中的更新名称。对于列表中的每个更新,您还可以查看客户端设备上更新安装的统计信息。
说明:
- 管理控制台:查看有关可用更新的信息
- Kaspersky Security Center Web Console:查看有关可用的第三方软件更新的信息
- 配置更新安装
当 Kaspersky Security Center 收到第三方软件更新列表后,您可以使用“安装所需更新并修复漏洞”任务或“安装 Windows Update 更新”任务将它们安装在客户端设备上。创建这些任务之一。您可以在“任务”选项卡上或使用“软件更新”列表创建这些任务。
“安装所需更新并修复漏洞”任务用于安装 Microsoft 应用程序的更新,包括 Windows Update 服务提供的更新以及其他供应商产品的更新。请注意,仅当您具有漏洞和补丁管理功能的授权许可时,才能创建此任务。
“安装 Windows Update 更新”任务不需要授权许可,但只能用于安装 Windows Update 更新。
要安装某些软件更新,您必须接受最终用户授权许可协议 (EULA) 才能安装软件。如果您拒绝 EULA,则不会安装该软件更新。
您可以按计划启动更新安装任务。指定任务计划时,请确保更新安装任务在“查找漏洞和所需更新”任务完成后启动。
说明:
- 管理控制台:修复应用程序中的漏洞,查看有关可用更新的信息
- Kaspersky Security Center Web Console:创建“安装所需更新并修复漏洞”任务,创建“安装 Windows Update 更新”任务,查看有关可用的第三方软件更新的信息
- 安排任务
为确保更新列表始终是最新的,请计划“查找漏洞和所需更新”任务以不时自动运行该任务。默认情况下,“查找漏洞和所需更新”任务设置为手动启动。
如果已创建“安装所需更新并修复漏洞”任务,则可以将其运行频率计划成与“查找漏洞和所需更新”任务相同或更少。在计划“安装 Windows Update 更新”任务时,请注意,对于此任务,您在每次启动此任务之前都必须定义更新列表。
计划任务时,请确保更新安装任务在“查找漏洞和所需更新”任务完成后启动。
- 批准和拒绝软件更新(可选)
如果已创建“安装所需更新并修复漏洞”任务,则可以在任务属性中指定更新安装的规则。如果已创建“安装 Windows Update 更新”任务,请跳过此步骤。
对于每条规则,都可以根据更新状态定义要安装的更新:“未定义”、“已批准”或“已拒绝”。例如,您可能想为服务器创建一个特定任务,并为该任务设置一条规则,以仅允许安装 Windows Update 更新以及状态为“已批准”的更新。之后,手动为要安装的更新设置“已批准”状态。在这种情况下,状态为“未定义”或“已拒绝”的 Windows Update 更新将不会安装到任务中指定的服务器上。
使用“已批准”状态管理更新安装对于少量更新来说非常有效。要安装多个更新,请使用可以在“安装所需更新并修复漏洞”任务中配置的规则。我们建议仅为那些不符合规则中指定的条件的特定更新设置“已批准”状态。当手动批准大量更新时,管理服务器的性能会下降,这可能导致服务器过载。
默认下,下载的软件更新具有未定义状态。您可以在“软件更新”列表(“操作”→“补丁管理”→“软件更新”)中将状态更改为“已批准”或“已拒绝”。
说明:
- 管理控制台:批准和拒绝软件更新
- Kaspersky Security Center Web Console:批准和拒绝第三方软件更新
- 将管理服务器配置为用作 Windows Server Update Services (WSUS) 服务器(可选)
默认情况下,Windows Update 更新从 Microsoft 服务器下载到受管理设备。您可以更改此设置以将管理服务器用作 WSUS 服务器。在这种情况下,管理服务器以指定频率将更新数据与 Windows Update 同步,并以集中模式向联网设备上的 Windows Update 提供更新。
要将管理服务器用作 WSUS 服务器,请创建“执行 Windows Update 同步”任务,然后选中网络代理策略中的“将管理服务器用作 WSUS 服务器”复选框。
说明:
- 管理控制台:将 Windows Update 中的更新与管理服务器同步,在网络代理策略中配置 Windows 更新
- Kaspersky Security Center Web Console:创建“执行 Windows Update 同步”任务
- 运行更新安装任务
启动“安装所需更新并修复漏洞”任务或“安装 Windows Update 更新”任务。启动这些任务后,更新将下载并安装到受管理设备上。任务完成后,请确保它在任务列表中具有“已成功完成”状态。
- 创建有关第三方软件更新安装结果的报告(可选)
要查看有关更新安装的详细统计信息,请创建第三方软件更新安装结果报告。
说明:
结果
如果已创建并配置了“安装所需更新并修复漏洞”任务,则更新将自动安装到受管理设备上。新更新下载到管理服务器存储库后,Kaspersky Security Center 会检查更新是否满足更新规则中指定的条件。符合条件的所有新更新都将在任务下次运行时自动安装。
如果已创建“安装 Windows Update 更新”任务,则仅安装在安装 Windows Update 更新任务属性中指定的更新。将来,如果您要安装已下载到管理服务器存储库的新更新,必须将所需更新添加到现有任务中的更新列表,或创建新的“安装 Windows Update 更新”任务。