none
отчет по обновлениям(KB) RRS feed

  • Вопрос

  • Добрый день,

    есть такая процедура - служба безопастности переодически присылает таблицу с найдеными уязвимостями. В таблице есть номера KB.

    Выполнение задачи это проставить под кажой KB пометку - установлена\заменена и т.п.

    Таких KB может быть под 50 штук, причем для каждого сервера разные. А самих серверов порядка 200.

    Начинаю с того, что бы вообще понять, есть ли в моем SUP такое KB, потом смотрю кому он развернулся, если вообще развернулся. и так по каждой KB.

    Кто как поступает в такой ситуации? В идеале хотелось бы сформировать отчет по каждой KB, загнав сразу все KB списком.

    2 октября 2018 г. 8:06

Ответы

  • Добрый день!

    SCCM не может скачивать сами обновления, он может стягивать только метаданные из Microsoft Update. Для этого ему нужен WSUS.

    Подробно можно почитать тут:

    https://blogs.technet.microsoft.com/scpferublog/2017/11/22/configmgr-update-management-part-1/ 

    При установке SUP вы как раз конфигурируете в автоматическом порядке WSUS который был установлен ранее на сайт- сервер

    А безопасникам дайте роль Read-only Analyst и пуст мониторят сколько их душе угодно через консоль. Есть вполне вменяемые дашборды.

    2 октября 2018 г. 12:46
  • Временем сканирования СБ ни как вообще не рулю. Но в принципе и не об этом речь.

    Интересно про WSUS, это тот же WSUS который использует SCCM? 

    Про замененые отделльная тема, очень много KB в списке от СБ которые уже на самом деле уже заменены, тоже приходится поштучно это вычленять.

    речь то не о рулении временем, а о ненужной работе (все выше сказанное было из личного опыта)

    да wsus это тот же sup для sccm, у него есть api и их можно дергать для проверки тех же вещей которые проверяете руками.

    замененные так же можно по идее выдергивать из wsus

    Находил такую же штуку только в виде таблицы excel, по ней можете сделать простую формулу и найти актуальные обновы, а уже их проверять на WSUS


    The opinion expressed by me is not an official position of Microsoft

    2 октября 2018 г. 12:30
    Модератор
  • Чтоб не делать не нужную работу, нужно смочь указать СБ когда им сканировать, а этим как раз я и не рулю.

    Вопрос про WSUS в том плане, что это именно тот WSUS который стоит на SUP? или рядом еще один какой-то поднят?(я малек понимаю, что для работы SCCM нужен WSUS)

    это финансовый вопрос, так как проводя сканирования за день до обнов они тратят время впустую и разгребая неактуальные отчеты вы тратите свое время в результате компания платит и вам и им деньги за работу которая никому не нужна...

    The opinion expressed by me is not an official position of Microsoft

    2 октября 2018 г. 13:09
    Модератор
  • Чтоб не делать не нужную работу, нужно смочь указать СБ когда им сканировать, а этим как раз я и не рулю.

    Вопрос про WSUS в том плане, что это именно тот WSUS который стоит на SUP? или рядом еще один какой-то поднят?(я малек понимаю, что для работы SCCM нужен WSUS)

    2 октября 2018 г. 12:42

Все ответы

  • сб сканирует сеть и выдает список по найденным уязвимостях на конкретных хостах. Делают они это поле установки обновлений, в связи с чем фопл позитивы минимальны.

    Далее есть wsus и api которых позволяют загнать список и получить отчет (сразу в отчете сб). 2-5% проверяются руками  и устраняются неутановленные обновы.

    Если вам не нравятся api то я встречал ексель со списком всех обнов и  указанием тех которые были заменены и чем. Но это вам не даст знания установлено обновление или нет на конкретный хост


    The opinion expressed by me is not an official position of Microsoft

    2 октября 2018 г. 8:33
    Модератор
  • Временем сканирования СБ ни как вообще не рулю. Но в принципе и не об этом речь.

    Интересно про WSUS, это тот же WSUS который использует SCCM? 

    Про замененые отделльная тема, очень много KB в списке от СБ которые уже на самом деле уже заменены, тоже приходится поштучно это вычленять.


    2 октября 2018 г. 8:45
  • Временем сканирования СБ ни как вообще не рулю. Но в принципе и не об этом речь.

    Интересно про WSUS, это тот же WSUS который использует SCCM? 

    Про замененые отделльная тема, очень много KB в списке от СБ которые уже на самом деле уже заменены, тоже приходится поштучно это вычленять.

    речь то не о рулении временем, а о ненужной работе (все выше сказанное было из личного опыта)

    да wsus это тот же sup для sccm, у него есть api и их можно дергать для проверки тех же вещей которые проверяете руками.

    замененные так же можно по идее выдергивать из wsus

    Находил такую же штуку только в виде таблицы excel, по ней можете сделать простую формулу и найти актуальные обновы, а уже их проверять на WSUS


    The opinion expressed by me is not an official position of Microsoft

    2 октября 2018 г. 12:30
    Модератор
  • Чтоб не делать не нужную работу, нужно смочь указать СБ когда им сканировать, а этим как раз я и не рулю.

    Вопрос про WSUS в том плане, что это именно тот WSUS который стоит на SUP? или рядом еще один какой-то поднят?(я малек понимаю, что для работы SCCM нужен WSUS)

    2 октября 2018 г. 12:42
  • Добрый день!

    SCCM не может скачивать сами обновления, он может стягивать только метаданные из Microsoft Update. Для этого ему нужен WSUS.

    Подробно можно почитать тут:

    https://blogs.technet.microsoft.com/scpferublog/2017/11/22/configmgr-update-management-part-1/ 

    При установке SUP вы как раз конфигурируете в автоматическом порядке WSUS который был установлен ранее на сайт- сервер

    А безопасникам дайте роль Read-only Analyst и пуст мониторят сколько их душе угодно через консоль. Есть вполне вменяемые дашборды.

    2 октября 2018 г. 12:46
  • Чтоб не делать не нужную работу, нужно смочь указать СБ когда им сканировать, а этим как раз я и не рулю.

    Вопрос про WSUS в том плане, что это именно тот WSUS который стоит на SUP? или рядом еще один какой-то поднят?(я малек понимаю, что для работы SCCM нужен WSUS)

    это финансовый вопрос, так как проводя сканирования за день до обнов они тратят время впустую и разгребая неактуальные отчеты вы тратите свое время в результате компания платит и вам и им деньги за работу которая никому не нужна...

    The opinion expressed by me is not an official position of Microsoft

    2 октября 2018 г. 13:09
    Модератор