基本八个修补程序操作系统

下表概述了与修补操作系统相关的 ISM 控件。

ISM 控制 2024 年 9 月 成熟度级别 控制 评估
ISM-1694 1, 2, 3 当漏洞被供应商评估为非关键漏洞且不存在工作漏洞时,将在发布后的两周内应用针对面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施。 使用 Windows 更新 for Business 和定义的更新通道,这些修补程序在 2 周内发布后安装。
ISM-1695 1、2 工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统漏洞的修补程序、更新或其他供应商缓解措施在发布后的一个月内应用。 IT 管理员在 Microsoft Configuration Manager 中使用所需日期的截止时间配置来部署更新
ISM-1696 3 当供应商将漏洞评估为关键或存在工作漏洞时,在发布后的 48 小时内应用工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施。 IT 管理员在Microsoft Configuration Manager中部署截止时间配置为“尽快”的更新
ISM-1701 1, 2, 3 至少每天使用漏洞扫描程序来识别面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中漏洞的缺失修补程序或更新。 载入到 Defender for Endpoint 的设备。 Microsoft Defender 漏洞管理将持续监视和检测组织设备的风险。
ISM-1702 1, 2, 3 漏洞扫描程序至少每两周一次用于识别工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统中漏洞的缺失修补程序或更新。 IT 管理员将 Configuration Manager 的软件更新功能配置为至少每 14 天对系统上运行一次缺少的修补程序的扫描。
ISM-1877 1, 2, 3 当供应商评估漏洞严重或存在工作漏洞时,在发布后的 48 小时内,将针对面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中的漏洞应用修补程序、更新或其他供应商缓解措施。 使用 Windows 更新 for Business 快速修补程序部署方法,可在 48 小时内安装修补程序。
ISM-1501 1, 2, 3 将替换供应商不再支持的操作系统。 使用定义的 Ring,WUfB 会自动将设备更新到最新功能更新。
ISM-1879 3 当供应商将漏洞评估为关键或存在工作漏洞时,驱动程序中漏洞的修补程序、更新或其他供应商缓解措施在发布后的 48 小时内应用。 使用定义的 Ring,WUfB 会自动将设备更新到最新功能更新。
ISM-1900 3 漏洞扫描程序至少每两周一次用于识别固件中漏洞的缺失修补程序或更新。 设备将载入到 Defender for Endpoint。 Microsoft Defender 漏洞管理将持续监视和检测组织设备的风险。
ISM-1902 3 当漏洞被供应商评估为非关键漏洞且不存在工作漏洞时,工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施在发布后的一个月内应用。 IT 管理员将 Configuration Manager 的软件更新功能配置为至少每 14 天对系统上运行一次缺少的修补程序的扫描。
ISM-1903 3 当供应商将漏洞评估为严重漏洞或存在工作漏洞时,在发布后的 48 小时内应用固件漏洞的修补程序、更新或其他供应商缓解措施。 Intune的驱动程序和固件部署方法部署最新的安全驱动程序和固件版本。
ISM-1904 3 当漏洞被供应商评估为非关键漏洞并且不存在工作漏洞时,在发布后的一个月内应用针对固件中漏洞的修补程序、更新或其他供应商缓解措施。 Intune的驱动程序和固件部署方法将用于部署最新的安全驱动程序和固件版本。
ISM-1697 3 当漏洞被供应商评估为非关键漏洞并且不存在工作漏洞时,驱动程序中漏洞的修补程序、更新或其他供应商缓解措施在发布后的一个月内应用。 Intune驱动程序和固件部署方法将修补驱动程序和固件中的漏洞
ISM-1703 3 漏洞扫描程序至少每两周一次用于识别驱动程序中漏洞的缺失修补程序或更新。 设备将载入到 Defender for Endpoint。 Microsoft Defender 漏洞管理将持续监视和检测组织设备的风险。
ISM-17041 1, 2, 3 已删除供应商不再支持的 Office 生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件、Adobe Flash Player 和安全产品。 Intune应用程序部署方法用于删除不受支持的应用程序和扩展2
ISM-18071 1, 2, 3 至少每两周使用一次自动资产发现方法,以支持针对后续漏洞扫描活动检测资产。 使用扫描程序执行资产发现和维护资产清单2
ISM-18081 1, 2, 3 具有最新漏洞数据库的漏洞扫描程序用于漏洞扫描活动。 DVM 的漏洞数据库会持续更新,因为Microsoft和其他人发现安装在网络2 上的软件中的漏洞。

备注

1 这些控件涵盖 Essential 8 中的修补程序应用程序和修补程序 OS。

2 有关如何实现这些控件的详细信息,请参阅 修补应用程序部分

适用于企业的 Windows 更新

Windows 更新 for Business (WUfB) 使 IT 管理员能够通过将这些终结点直接连接到Windows 更新,使其组织的 Windows 设备与最新的安全和质量更新以及 Windows 功能保持最新。 IT 管理员可以使用 Microsoft Intune 与 WUfB 之间的集成在设备上配置更新设置,并配置更新安装的延迟。

Windows 更新 for Business 为多种类型的更新提供管理策略:

  • 功能更新:这些更新不仅包含安全和质量修订,还包含重要的功能添加和更改。 从 Windows 10 21H2 开始,功能更新每年在日历年下半年发布。 此处记录了功能更新的发布信息:Windows 10 - 发布信息 |Microsoft Docs
  • 质量更新:传统操作系统更新,通常在每个月的第二个星期二发布, (但这些更新可以随时发布) 。 其中包括安全性、关键和驱动程序更新。 质量更新是累积的。
  • Windows 驱动程序:适用于托管设备的设备驱动程序。
  • Microsoft产品更新:其他Microsoft产品的汇报,例如Microsoft 365 应用的 MSI 版本和 .NET (Dot Net) Framework。 可以使用 Windows 更新 for Business 策略启用或禁用这些更新。

商业圈Windows 更新

WUfB 具有 Ring 的概念。 Ring 是面向特定设备组的 WUfB 设置和策略的集合。 组织可以根据需要使用任意数量的环,尽管大多数组织已确定的环数比以前与其他修补工具(如 Microsoft Endpoint Configuration Manager)配合使用的环数要少。 建议从 3 到 5 个 Ring 开始。

业务设置和术语的重要Windows 更新

WUfB 引入了管理员可能不熟悉的一些新概念和术语:

  • 检测:如果提供了任何更新,设备会定期检查Windows 更新服务,以检查。 此检查和确定更新是否可用于设备称为检测。
  • 延迟:Windows 更新 for Business 提供将更新推迟到设备指定天数的功能。
  • 截止时间:使用截止时间设置,管理员可以指定在设备上安装质量更新之前的天数。 经过指定的天数后,将自动安装更新。 截止时间倒计时从提供更新的时间开始 (即检测到通过设备) 延迟选项指定的更新时开始。
  • 宽限期:通过宽限期设置,管理员可以指定重启前的天数来应用和安装更新。 经过指定的天数后,将自动重新启动。 重新启动倒计时从成功安装更新时开始。

Windows 更新企业版设置时间线示例

截止时间值 宽限期值 强制更新安装时间 强制重启
0 0 检测后立即 安装后立即
2 2 检测后 2 天 更新安装后 2 天

Windows 更新商业圈配置

下面是示例 WUfB Ring 配置,总共有 5 个 Ring。 对于每个 Ring,将列出建议的延迟、截止时间和宽限期。 已为每个 Ring 提供了 完整的配置 ,以便于参考。

  • 环 0 – 测试设备:& 初始烟幕) 关键应用 (专用测试设备
  • 圈 1 - 试点设备:IT 管理员、早期采用者 (占设备总数的 1%)
  • 环 2 - 快速设备:随机分类的设备 (占设备总数的 9%)
  • 环 3 - 广泛设备:广泛部署 (由设备总数的 90% 组成)
  • 圈 4 - 关键设备:管理人员、业务关键设备等。

WUfB 5 环配置。

环 0:测试设备

  • 发布后 0 天安装更新。

组织应配置由专用测试设备组成的“环 0”。 环 0,测试设备。

这些设备可以毫无延迟地接收更新。 管理员可以将这些设备与最新更新配合使用,对关键应用程序和功能执行初始验证,并且仍可按预期工作。

质量更新延迟 功能更新延迟 截止时间值 宽限期值 强制质量更新安装时间 强制重启
0 0 0 0 发布和检测后立即 强制更新安装后立即

有关此 Ring 的完整配置,请参阅 business Ring 配置Windows 更新

圈 1:飞行员

  • 发布 2 天后安装更新 (1% 的设备)

IT 人员和选定的早期采用者包括圈 1,通常占托管设备总数的 1% 左右。 环形 1,试点设备。

除了使用 Ring 0 进行初始测试外,此 Ring 还提供第一行测试,用户执行其日常工作,以在越来越多的设备收到更新之前发现任何问题。

质量更新延迟 功能更新延迟 截止时间值 宽限期值 强制质量更新安装时间 强制重启
2 10 2 2 质量更新发布和检测后的 4 天 强制更新安装后的 2 天

有关此 Ring 的完整配置,请参阅 business Ring 配置Windows 更新

备注

排除用于排查和解决此 Ring 中出现的问题的特权访问工作站。 宽环是适用于这些设备的环。

圈 2:快

  • 发布 4 天后安装更新 (9% 的设备)

随机分类(由 9% 的组织终结点组成)应添加到环 2。 环 2,快环。

这些设备配置为在发布后 4 天接收更新,允许在广泛部署到组织其余部分之前,由更多的用户进行更多测试。

质量更新延迟 功能更新延迟 截止时间值 宽限期值 强制质量更新安装时间 强制重启
4 30 2 2 质量更新发布和检测后的 6 天 强制更新安装后的 2 天

有关此 Ring 的完整配置,请参阅 business Ring 配置Windows 更新

环 3:宽

  • (90% 的设备发布后 7 天安装更新)

所有剩余设备应配置为环 3 的一部分。 环 3,宽环。

到此阶段,组织可以确信可以在其设备中广泛安装更新。 环 3 将更新配置为在自动安装之前在发布后延迟 7 天。

质量更新延迟 功能更新延迟 截止时间值 宽限期值 强制质量更新安装时间 强制重启
7 60 2 2 质量更新发布和检测后的 9 天 强制更新安装后的 2 天

有关此 Ring 的完整配置,请参阅 business Ring 配置Windows 更新

圈 4:关键系统

  • 发布后 14 天安装更新

某些组织拥有少量的关键设备,例如执行人员使用的设备。 环 4,关键环。

对于此类设备,组织可能希望进一步推迟质量和功能更新的安装,以尽量减少任何潜在的中断。 这些设备是环 4 的一部分,专用于这些关键设备。

质量更新延迟 功能更新延迟 宽限期值 截止时间值 更新安装时间 强制重启
10 90 2 2 质量更新发布和检测后的 12 天 强制更新安装后的 2 天

有关此 Ring 的完整配置,请参阅附录中的 business Ring 配置Windows 更新。

ISM 控制 2024 年 9 月 成熟度级别 Control Measure
1694 1, 2, 3 当漏洞被供应商评估为非关键漏洞且不存在工作漏洞时,将在发布后的两周内应用针对面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施。 使用 Windows 更新 for Business 和定义的更新通道,这些修补程序在 2 周内发布后安装。
1501 1, 2, 3 将替换供应商不再支持的操作系统。 使用定义的 Ring,WUfB 会自动将设备更新到最新功能更新。

加快质量更新

Intune提供加速质量更新、加快质量更新的安装(例如,最新补丁星期二版本或针对零日缺陷的带外安全更新)的功能。 为了加快安装速度,加速更新使用可用的服务(如 Windows 推送通知服务 (WNS) 和推送通知通道)将消息传递到需要安装快速更新的设备。 此过程使设备能够尽快开始下载和安装快速更新,而无需等待设备检查更新。

实现详细信息 - 加快质量更新

若要加快质量更新,请执行以下操作:

  1. “设备>>”下为Windows 10及更高版本的 Windows质量更新 (预览版) 创建Windows 10及更高版本的配置文件的质量更新
  2. 提供名称。 建议策略的名称与加速的质量更新版本保持一致,以便于参考。
  3. 定义Windows 更新在设备操作系统版本低于 的情况下加快安装的质量更新。
  4. 定义强制重启设备之前的天数
  5. 将配置文件分配给包含所有适用 Windows 设备的组

备注

如果强制重启前等待的天数设置为 0,则设备将在收到更新后立即重启。 用户不会收到用于延迟重新启动的选项。

ISM 控制 2024 年 9 月 成熟度级别 Control Measure
1877 1, 2, 3 当供应商评估漏洞严重或存在工作漏洞时,在发布后的 48 小时内,将针对面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中的漏洞应用修补程序、更新或其他供应商缓解措施。 使用 Windows 更新 for Business 快速修补程序部署方法,可在 48 小时内安装修补程序。
1879 3 当供应商将漏洞评估为关键或存在工作漏洞时,驱动程序中漏洞的修补程序、更新或其他供应商缓解措施在发布后的 48 小时内应用。 使用定义的 Ring,WUfB 将设备自动更新为最新功能更新。

备注

建议最终删除加速质量更新策略,通常一旦确认修补程序已成功部署到所有设备,或者它被下个月的更新所取代。

传递优化

传递优化是一种云托管解决方案,它允许客户端从备用源 (下载更新,例如网络) 上的其他对等方,以及传统的基于 Internet 的服务器。 通过 Intune 进行配置时,可以为 Windows 设备配置传递优化设置,以便在下载更新二进制文件时减少 Internet 带宽消耗。

实现详细信息 - 传递优化策略

  1. “设备”>“Windows>配置文件”“创建配置文件>平台>”下创建传递>优化策略Windows 10及更高版本的>配置文件类型模板>传递优化
  2. 提供策略的名称
  3. “配置设置” 页中,根据附录中的“传递优化策略设置”使用值并创建策略。
  4. 将配置文件分配给包含所有适用 Windows 设备的组。

Intune驱动程序和固件更新管理

借助 Microsoft Intune 中的 Windows 驱动程序更新管理,你可以监督、授权部署,并暂时停止跨托管Windows 10和Windows 11设备推出驱动程序更新。 Intune与 Windows 更新 for Business (WUfB) Deployment Service (DS) 一起,处理在驱动程序更新策略下为设备标识相关驱动程序更新的复杂过程。 这些更新按Intune和 WUfB-DS 进行分类,简化了区分适用于所有设备的推荐更新和针对特定需求定制的可选更新的过程。 通过 Windows 驱动程序更新策略,可以完全控制设备上驱动程序更新的安装。

以下是可执行的操作:

  • 为建议的驱动程序启用自动审批汇报:为自动审批配置的策略立即绿灯,并将每个新的推荐驱动程序更新版本部署到分配给策略的设备。 建议的驱动程序通常表示驱动程序发布者标记为必要的最新更新。 此外,未指定为当前推荐版本的驱动程序将编录为其他驱动程序,提供可选更新。 随后,当发布来自 OEM 的较新驱动程序更新并将其标识为当前推荐的驱动程序更新时,Intune会自动将其添加到策略,并将以前推荐的驱动程序移到其他驱动程序列表中。
  • 将策略配置为要求手动批准所有更新:此策略可确保管理员必须先批准驱动程序更新,然后才能部署驱动程序更新。 具有此策略的设备驱动程序更新的较新版本会自动添加到策略,但在获得批准之前保持非活动状态。
  • 管理已批准部署的驱动程序:可以编辑任何驱动程序更新策略,以修改已批准部署的驱动程序。 可以暂停部署任何单个驱动程序更新以停止部署到新设备,然后重新提供暂停的更新,使Windows 更新能够继续在适用的设备上安装它。

通过Intune驱动程序和固件管理功能部署驱动程序和固件更新的步骤

步骤 1:创建驱动程序更新配置文件和部署通道

创建驱动程序策略更新策略后,IT 管理员可以在自动更新和手动更新之间进行选择。

  • 自动:自动批准所有建议的驱动程序,并设置发现后多长时间开始提供它们。
  • 手动:手动批准驱动程序,并选择批准驱动程序时开始提供更新的日期。 使用此选项,在手动批准之前,不会提供驱动程序。 若要创建一组部署圈,建议使用以下设置组合:
    • 审批方法:自动批准所有建议的驱动程序更新
    • 使更新在 (天后可用)

步骤 2:查看可用的驱动程序

创建策略后,让设备扫描大约一天左右的更新。 “ 要审阅的驱动程序 ”列包括准备进行手动审批的新建议驱动程序更新的计数。 在自动策略中,要评审的驱动程序将保持为 0,因为建议的驱动程序会自动获得批准。 这是一个很好的指标,表明已发现新的驱动程序,并正在等待是批准还是拒绝部署这些驱动程序的决定。

步骤 3:批准驱动程序

当 IT 管理员批准驱动程序时,还可以提供将来的批准日期。 驱动程序获得批准后,Intune托管 Windows 设备将在下一个策略同步周期(通常每 8 小时)收到这些驱动程序。

ISM 控制 2024 年 9 月 成熟度级别 Control Measure
ISM-1697 3 当漏洞被供应商评估为非关键漏洞并且不存在工作漏洞时,驱动程序中漏洞的修补程序、更新或其他供应商缓解措施在发布后的一个月内应用。 Intune的驱动程序和固件部署方法将用于批准和部署可缓解漏洞的驱动程序的最新版本
ISM-1903 3 当供应商将漏洞评估为严重漏洞或存在工作漏洞时,在发布后的 48 小时内应用固件漏洞的修补程序、更新或其他供应商缓解措施。 当供应商将固件漏洞评估为严重时,IT 管理员批准Intune控制台中较新版本的固件
ISM-1904 3 当漏洞被供应商评估为非关键漏洞并且不存在工作漏洞时,在发布后的一个月内应用针对固件中漏洞的修补程序、更新或其他供应商缓解措施。 Intune的驱动程序和固件部署方法部署最新的安全驱动程序和固件版本。

监视更新安装

备注

从 2023 年 3 月起,更新符合性已弃用。

使用更新符合性报告 (Log Analytics)

更新合规性允许监视Windows 10或Windows 11专业版、教育版和企业版的质量和功能更新。 更新符合性将 Windows 客户端诊断数据整理到 Log Analytics 工作区中,以报告 Windows 设备上的更新状态。 “更新符合性”显示载入到服务的所有设备的信息,以帮助确定它们是否为最新版本,并满足以下条件:

  • 安全更新:只要设备安装了最新的适用质量更新,设备的质量更新就处于最新状态。 质量更新是特定于 Windows 客户端版本的每月累积更新。
  • 功能更新:每当设备安装了最新的适用功能更新时,其功能更新就处于最新状态。 在确定更新适用性时,更新符合性会考虑服务通道。

有关为更新合规性预配 Log Analytics 工作区的先决条件的详细信息,请参阅 更新符合性入门 - Windows 部署

载入设备以更新符合性

  1. 创建更新符合性解决方案后,导航到 Log Analytics 工作区的“解决方案”选项卡,然后选择“WaaSUpdateInsights”解决方案,检索商业 ID。 CommercialID 是分配给特定 Log Analytics 工作区的全局唯一标识符。
  2. 配置策略以匹配更新符合性策略
  3. 在控制台中,将 CommercialID 的值更改为在步骤 1 期间收集的唯一 CommercialID ()
  4. 将配置文件分配给包含所有适用 Windows 设备的组。

使用更新符合性报告

合并诊断数据显示在更新合规性中随时可用的各种报告部分中。 收集的数据在更新符合性内存储 28 天。

需要注意合规性报告部分

本部分提供所有 Windows 客户端设备和更新符合性检测到的更新问题的细目。 本部分的摘要磁贴统计有问题的设备数,而部分中的边栏选项卡对遇到的问题进行细分,例如操作系统版本不受支持和缺少安全更新的设备。 这些报表中显示的设备需要管理员进行修正。 还有一个预定义的查询列表,这些查询提供值,但不适合任何其他main部分,例如挂起重启的设备、已暂停的配置等。

需要注意部分。

安全更新状态符合性报告部分

本部分列出了设备正在运行的 Windows 版本的最新安全更新中的设备百分比。 选择此部分将提供边栏选项卡,这些边栏选项卡汇总了所有设备之间的安全更新的总体状态,并汇总了其针对最近两个安全更新的部署进度。

安全更新状态。

功能更新状态合规性报告部分

本部分列出了适用于给定设备的最新功能更新中的设备的百分比。 选择此部分将提供边栏选项卡,用于汇总所有设备的总体功能更新状态,以及环境中不同版本的 Windows 客户端的部署状态摘要。

功能更新状态。

传递优化状态符合性报告部分

本部分汇总了在环境中利用传递优化所节省的带宽。 它提供了跨设备的传递优化配置的细分,并汇总了跨多个内容类型的带宽节省和利用率。

传递优化状态。

Windows Autopatch

软件更新管理过程最昂贵的方面之一是确保 (物理和虚拟) 的设备始终正常运行,以接收和报告每个软件更新发布周期的软件更新。 在正在进行的变更管理流程出现问题时,有一种测量、快速检测和修正的方法非常重要:它有助于缓解支持人员票证数量过高、降低成本并改进整体更新管理结果。

Windows 自动修补是一项云服务,可自动修补 Windows、Microsoft 365 应用版 for Enterprise、Microsoft Edge、Microsoft Teams、Surface 驱动程序/固件、Windows 更新存储中标记为“必需”的已发布驱动程序/固件、Windows 365和 Azure 虚拟桌面 (AVD) 。 Windows 自动修补为组织提供了一个额外的层,以缓解部署 Windows 汇报 时出现的问题。 Windows 自动修补部署圈在设备级别是分离的,这意味着,在 Windows 自动修补设备注册过程中,我们会将设备分配给其中一个部署圈:“测试”、“第一”、“快速”或“广泛”。

Windows Autopatch 包含在 Windows 10/11 企业版 E3 或更高版本中。 使用自动修补还有其他 先决条件 ,包括一些 网络配置 ,应将其视为推出过程中的一部分。

自动修补注册步骤

步骤 1:就绪情况评估

就绪情况评估工具会检查 Microsoft Intune 中的设置,并Microsoft Entra ID,以确保它在注册租户过程中与 Windows 自动修补配合使用。

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。

若要启用就绪情况评估,请执行以下操作:

  1. 作为全局管理员,请转到Intune
  2. 在左窗格中,选择“ 租户管理 ”,然后导航到 “Windows 自动修补>租户注册”。

就绪情况评估工具检查Intune设置,以确认Windows 10或更高版本的部署圈,以及最低管理员要求和未授权的管理员。 它还会检查Microsoft Entra设置,包括共同管理和许可证。

就绪情况评估工具提供有关必须解决的任何问题的报告和建议,以及 需要执行哪些步骤 才能进入就绪状态。 解决问题后,可以转到下一步。

步骤 2:验证管理员联系人

此步骤的目的是确认你的组织在每个重点领域都有管理员,以便 Windows 自动修补服务工程团队可以在将来就你的支持请求联系你的组织的管理员,并在注册过程中扩展最小管理员集。

重点领域 说明
设备 设备注册
设备运行状况
更新 Windows 质量更新
Microsoft 365 企业应用版更新
Microsoft Edge 更新
Microsoft Teams 更新

完成以下步骤以添加管理员联系人:

  1. 登录到 Intune
  2. “Windows 自动修补”部分中的“租户管理”下,选择“管理员联系人”。
  3. 选择“添加”。
  4. 输入联系人详细信息,包括姓名、电子邮件、电话号码和首选语言。 对于支持票证,票证的主要联系人的首选语言决定了用于电子邮件通信的语言。
  5. 选择 焦点区域 ,并在指定焦点区域中输入联系人的知识和权限的详细信息。
  6. 选择“ 保存” 以添加联系人。
  7. 对每个重点领域重复此操作。

备注

管理员可能有多个重点领域,尤其是在较小的组织中。

步骤 3:设备注册

Windows 自动修补设备注册过程对最终用户是透明的。

Windows 自动修补中的设备注册。

Windows 自动修补必须将现有设备注册到其服务中,才能代表你管理更新部署。 执行设备注册:

  • 向 Windows 自动修补注册设备 之前,IT 管理员查看 Windows 自动修补设备注册先决条件
  • IT 管理员标识由 Windows 自动修补管理的设备,并将其添加到 Windows 自动修补设备注册Microsoft Entra组中
  • 然后,Windows 自动修补:
    • 在注册前执行设备就绪情况 (先决条件检查)
    • 计算部署环分布
    • 根据前面的计算将设备分配到部署环
    • 将设备分配给管理所需的其他Microsoft Entra组
    • 将设备标记为活动进行管理,以便应用其更新部署策略
  • 然后,IT 管理员监视设备注册趋势和更新部署报告 可 在此处找到详细的设备注册工作流。

Windows 自动修补设备类型

任何包含Microsoft Entra设备 ID 的物理或虚拟) (都可以添加到 Windows 自动修补设备注册Microsoft Entra组中。 这可以通过直接成员身份或作为另一个Microsoft Entra组的一部分, (动态或已分配) 嵌套到此组,以便将其注册到 Windows 自动修补。 唯一的例外是Windows 365云电脑,因为这些虚拟设备必须从Windows 365预配策略注册到 Windows 自动修补。

Windows 365的自动修补

Windows 365 企业版为 IT 管理员提供了在Windows 365预配策略创建过程中向 Windows 自动修补服务注册设备的选项。 此选项为管理员和用户提供无缝体验,以确保云电脑始终处于最新状态。 当 IT 管理员决定使用 Windows 自动修补管理其Windows 365云电脑时,Windows 365预配策略创建过程会调用 Windows 自动修补设备注册 API 以代表 IT 管理员注册设备。若要从Windows 365预配策略向 Windows 自动修补注册新的Windows 365 云电脑设备,请执行以下操作:

  1. 转到Intune
  2. 在左窗格中,选择“ 设备”。
  3. 导航到“预配>Windows 365”。
  4. 选择“ 预配策略>”“创建策略”。
  5. 提供策略名称,然后选择“ 联接类型”。
  6. 选择 下一步
  7. 选择所需的图像,然后选择“ 下一步”。
  8. “Microsoft托管服务 ”部分下,选择“ Windows 自动修补”。 然后,选择“下一步”
  9. 相应地分配策略,然后选择“ 下一步”。
  10. 选择“创建”。

现在,Windows 自动修补会自动注册和管理新预配的 Windows 365 企业版 云电脑。

Azure 虚拟桌面上的 Windows 自动修补

Windows 自动修补适用于 Azure 虚拟桌面。 企业管理员可以根据物理机使用现有设备注册过程预配其 Azure 虚拟桌面工作负载,由 Windows 自动修补进行管理。 Windows 自动修补为虚拟机提供与 物理设备相同的服务范围。 但是,除非另行指定,否则 Windows 自动修补会推迟对Azure 支持的任何 Azure 虚拟桌面特定支持。

自动修补仪表板和报告

Autopatch 提供当前状态和历史 (纵向) 的摘要仪表板和各种报告, (最多 90 天) 注册到 Autopatch 的所有设备,如果需要,这些设备可以导出到 CSV 文件中。 若要查看所有已注册设备的当前更新状态,请执行以下操作:

  1. 登录到Intune
  2. 导航到“报表>”“Windows 自动修补>Windows 质量汇报”。

“所有设备”报表包含:

信息 说明
设备名称 设备的名称。
Microsoft Entra设备 ID 设备的当前Microsoft Entra ID记录的设备 ID。
序列号 设备的当前Intune记录的序列号。
部署圈 当前为设备分配的 Windows 自动修补部署圈。
更新状态 设备的当前更新状态
更新子状态 设备的当前更新子状态
OS 版本 设备上安装的当前版本的 Windows。
OS 修订版 设备上安装的 Windows 的当前版本。
Intune最后检查时间 设备上次签入到Intune的时间。
ISM 控制 2024 年 9 月 成熟度级别 Control Measure
1694 1, 2, 3 当漏洞被供应商评估为非关键漏洞且不存在工作漏洞时,将在发布后的两周内应用针对面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施。 对于注册到 Windows 自动修补的设备,更新会在 2 周内安装。
1877 1, 2, 3 当供应商评估漏洞严重或存在工作漏洞时,在发布后的 48 小时内,将针对面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中的漏洞应用修补程序、更新或其他供应商缓解措施。 自动修补组使组织能够根据需要灵活地在 48 小时内将截止时间提前到 48 小时内。
1879 3 当供应商将漏洞评估为关键或存在工作漏洞时,驱动程序中漏洞的修补程序、更新或其他供应商缓解措施在发布后的 48 小时内应用。 自动修补组使组织能够根据需要灵活地在 48 小时内将截止时间提前到 48 小时内。

使用Microsoft Defender 漏洞管理识别漏洞

Microsoft Defender 漏洞管理 (DVM) 为 Windows、macOS、Linux、Android、iOS 和网络设备提供资产可见性、智能评估和内置修正工具。

作为先决条件,需要将终结点加入到Microsoft Defender for Endpoint。 使用 DVM 还有其他 先决条件 。 加入后,DVM 能够评估漏洞是否适用于单个设备,并提供建议的操作。

实现详细信息 - 将终结点载入到 Microsoft Defender for Endpoint

  1. 使用模板类型>创建新的 Windows 配置文件Microsoft Defender for Endpoint (运行Windows 10或更高版本) 的桌面设备。
  2. “加速 遥测报告频率”设置为 “启用”。
  3. 将配置文件分配给包含所有适用 Windows 设备的组。

使用 Microsoft Defender 漏洞管理 发现漏洞

将设备载入 Defender for Endpoint 后,DVM 可以确定是否有任何设备可能暴露在漏洞中,并为每个识别的漏洞提供安全建议。

在漏洞管理>清单下的Microsoft安全门户中,会显示跨载入 Defender for Endpoint 的终结点确定的软件产品,包括供应商名称、发现的弱点、与其关联的威胁以及公开的设备。

软件清单。

还可以导航到“设备清单”页,查看特定设备上的软件清单。 选择设备名称以打开设备页 (,例如 Computer1) ,然后选择“软件清单”选项卡以查看设备上存在的所有已知软件的列表。 选择特定的软件条目以打开包含详细信息的浮出控件。

软件详细信息。

打开特定软件页提供有关应用程序的更多详细信息,如以下屏幕截图所示。 显示的详细信息包括:

  • 针对识别的弱点和漏洞的相应安全建议。
  • 已发现漏洞的命名 CVE。
  • 安装了软件的设备 (设备名称、域、OS 等) 。
  • 软件版本列表 (包括安装版本的设备数、发现的漏洞数以及) 已安装设备的名称。

请求修正所选漏洞屏幕 1。

使用Microsoft Intune修正漏洞

DVM 功能旨在通过修正请求工作流来弥合安全性和 IT 管理员之间的差距。 DVM 修正操作可以使用本机集成在 Intune 中生成修正任务。 此外,DVM API 还可用于根据需要使用第三方工具协调修正过程和操作。 以下步骤介绍了使用 DVM 和 Intune 的修正工作流:

若要使用此功能,请启用Microsoft Intune连接。

  1. Microsoft Defender门户中。
  2. 导航到 “设置>终结点>常规>高级功能”。
  3. 向下滚动并查找Microsoft Intune连接
  4. 默认情况下,开关处于关闭状态。 将“Microsoft Intune连接”切换为“打开”。

备注

在 DVM 中创建修正请求时,需要启用与Microsoft Intune的连接才能创建相应的Intune安全任务。 如果未启用连接,则不会显示用于创建Intune安全任务的选项。

  1. 转到Microsoft Defender门户中的“漏洞管理”导航菜单,然后选择“建议”。
  2. 选择要请求修正的安全建议,然后选择“ 修正 选项”。
  3. 填写表单,包括请求修正的内容、适用的设备组、优先级、截止日期和可选备注。

请求修正所选漏洞屏幕 2。 针对所选漏洞屏幕 3 请求修正。

提交修正请求会在 DVM 中创建修正活动项,可用于监视任何修正进度。 当管理员从“安全建议”页提交修正请求时,会创建可在“修正”页上跟踪的安全任务,并在 Microsoft Intune 中创建修正票证。 这不会触发修正,也不会对设备应用任何更改。

下图显示了在 Intune 中创建的安全任务:

Intune中的安全任务。

  1. Intune管理员选择安全任务以查看有关该任务的详细信息。 然后,管理员选择“接受”,这将Intune和 Defender for Endpoint 中的状态更新为“已接受”。

然后,Intune管理员根据提供的指导修正任务。 指导因所需的修正类型而异。 修正指导(如果有)包括可在 Intune 中打开配置的相关窗格的链接。

有关 DVM 的其他信息,请参阅 修补应用程序部分。

ISM 控制 2024 年 9 月 成熟度级别 Control Measure
1701 1, 2, 3 至少每天使用漏洞扫描程序来识别面向 Internet 的服务器和面向 Internet 的网络设备的操作系统中漏洞的缺失修补程序或更新。 设备将载入到 Defender for Endpoint。 Microsoft Defender 漏洞管理将持续监视和检测组织设备的风险。
1703 3 漏洞扫描程序至少每两周一次用于识别驱动程序中漏洞的缺失修补程序或更新。 设备将载入到 Defender for Endpoint。 Microsoft Defender 漏洞管理将持续监视和检测组织设备的风险。
1900 3 漏洞扫描程序至少每两周一次用于识别固件中漏洞的缺失修补程序或更新。 设备将载入到 Defender for Endpoint。 Microsoft Defender 漏洞管理将持续监视和检测组织设备的风险。

基于设备的操作系统版本符合性

Intune中的符合性策略提供了根据设备是否可以满足一个或多个配置要求来确定设备是否合规的功能。 访问受条件访问保护的公司资源以允许或拒绝对资源的访问时,会评估设备的此符合性状态。

Intune可以根据设备的当前操作系统版本确定设备是否合规。 使用条件访问中的设备符合性授予控制,用户只能访问满足或超过最低操作系统版本的设备上的公司资源。

实现详细信息:Windows 更新合规性策略

  1. 在“设备”下创建 Windows 合规性策略“”Windows > 符合性策略>“”创建策略>平台>Windows 10及更高版本”。>
  2. 提供策略的名称。
  3. 选择“ 设备属性”,输入在最低操作系统版本中被视为合规的最低操作系统版本。
  4. 将配置文件分配给包含所有适用 Windows 设备的组。

提供了一个典型的合规性策略,用于根据设备的操作系统值评估设备。

备注

Windows 11Windows 10 提供的最低 OS 版本的值需要随时间推移而递增。

ISM 控制 2024 年 9 月 成熟度级别 Control Measure
1407 3 使用操作系统的最新版本或早期版本。 与条件访问结合使用时,使用不符合分配的符合性策略中定义的 OS 版本的设备的用户将无法访问公司资源。

修补非面向 Internet 的系统

Microsoft建议使用云服务(例如Microsoft IntuneAzure 更新管理器)来维护系统的 OS 版本并修补漏洞。

但是,对于脱机的系统和服务器,Microsoft建议使用 Microsoft Configuration Manager 的修补程序管理功能。 有关详细信息,请参阅Microsoft Configuration Manager

ISM 控制 2024 年 9 月 成熟度级别 Control Measure
ISM-1695 1、2 工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统漏洞的修补程序、更新或其他供应商缓解措施在发布后的一个月内应用。 IT 管理员在 Microsoft Configuration Manager 中使用所需日期的截止时间配置来部署更新
ISM-1696 3 当供应商将漏洞评估为关键或存在工作漏洞时,在发布后的 48 小时内应用工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施。 IT 管理员在Microsoft Configuration Manager中部署截止时间配置为“尽快”的更新
ISM-1702 1, 2, 3 漏洞扫描程序至少每两周一次用于识别工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统中漏洞的缺失修补程序或更新。 IT 管理员将 Configuration Manager 的软件更新功能配置为至少每 14 天对系统上运行一次缺少的修补程序的扫描。
ISM-1902 3 当漏洞被供应商评估为非关键漏洞且不存在工作漏洞时,工作站、非面向 Internet 的服务器和非面向 Internet 的网络设备的操作系统中的漏洞的修补程序、更新或其他供应商缓解措施在发布后的一个月内应用。 IT 管理员在 Microsoft Configuration Manager 中使用所需日期的截止时间配置来部署更新。