Visão Geral


Este artigo fornece informações detalhadas relacionadas ao processo de implantação de patch no GFI LanGuard, a função dos arquivos deploy_patches.bat / agent_execute.bat envolvidos e descreve as comunicações entre o servidor LanGuard e as máquinas de destino.


Informação


A implantação remota de patches com LanGuard pode ser iniciada de duas maneiras diferentes:


  1. Manualmente a partir da IU do LanGuard
  2. Por meio do módulo de implantação de patch agendado do serviço LanGuard Attendant quando:
    • A implantação do patch está agendada para um estágio posterior ou
    • A implantação automática de patch foi configurada para uma verificação agendada ou
    • A implantação automática de patch foi configurada para qualquer um dos Agentes

Embora o Agente lide com a carga durante a varredura, ele NÃO executará nenhuma implantação de patch. Em vez disso, o resultado da verificação é retornado ao servidor LanGuard, que implanta todos os patches necessários. Isso é feito para evitar que vários repositórios de patches se espalhem pela rede.


É possível acompanhar o processo e cancelar operações conforme descrito em Monitoramento de operações de correção. Cancelar um processo de implantação só é possível por meio de Cancelar implantação selecionada, que é habilitado em apenas duas situações:


  • O status da tarefa de implantação é “Agendado” (a tarefa de implantação ainda está aguardando para iniciar a execução)

  • O status da tarefa de implantação é “Executando…” ou “Incompleto” (a tarefa começou a execução, mas ainda não foi concluída) E há computadores nos quais a implantação foi reagendada E não há nenhum computador no qual o status da implantação é “Incompleto”


Em qualquer outro status de tarefa de implementação, a opção Cancelar implementação selecionada é desativada.


Independentemente do tipo - manual ou automático, e seja implantação de patch, instalação de software personalizado ou qualquer outro trabalho de correção, o processo de correção real sempre segue as mesmas etapas descritas abaixo.


  1. GFI LanGuard faz login na máquina de destino e acessa o registro remoto.
  2. Todos os arquivos necessários para implantação são copiados para a máquina de destino. Isso inclui PatchAgent.exe e qualquer executável de patch. Por padrão, isso é feito por meio dos compartilhamentos administrativos padrão para C:\Windows\Patches. No entanto, o local pode ser alterado para um compartilhamento personalizado por meio das configurações de implantação.
    Dependendo das várias configurações do trabalho de correção, mais arquivos podem ser copiados. Por exemplo, se a correção foi configurada para permitir a escolha do horário de reinicialização, um arquivo adicional rebootattendant.exe também seria copiado.

    Quando o computador de destino tem um GFI LanGuard Agent configurado para usar um Relay Agent, somente PatchAgent.exe e deploy_patches.bat são copiados inicialmente. O Patch Agent Service, uma vez iniciado, solicitaria executáveis do instalador de patch do Relay Agent atribuído.

    Cada uma das etapas acima deve ser concluída para que o trabalho de correção continue. Verificar a conectividade de rede necessária e as permissões de segurança do servidor LanGuard para a máquina de destino pode ajudar com o registro remoto e a solução de problemas de compartilhamentos administrativos.
  3. O arquivo batch deploy_patches.bat contendo os comandos com parâmetros para instalar todos os patches selecionados silenciosamente é criado e copiado para o computador de destino.
  4. Um serviço chamado GFI LanGuard Patch Agent Service (PatchAgent.exe) é então instalado e iniciado na máquina. As credenciais para este serviço, especificadas nas configurações de implantação, devem ter permissões de administrador local na máquina de destino e os direitos de fazer logon como um serviço.

    Serviço de Agente de Patch:
    • Chama e executa cada comando no arquivo deploy_patches.bat
    • Monitora o status de cada implantação de patch
    • Cria/grava no PatchAgent.log
    • Envia atualizações de status, como implantação de <patch> inicial, implantação de <patch> concluída, etc., via HTTP para a porta de comunicação 1072 do servidor GFI LanGuard (por padrão)
  5. Para cada comando no arquivo deploy_patches.bat principal, um arquivo em lote temporário agent_execute.bat separado é criado imediatamente e executa apenas aquele comando/patch.
  6. O GFI LanGuard Patch Agent Service retorna o resultado final (sucesso ou falha) de cada implantação de patch individual para o servidor GFI LanGuard por meio da porta de comunicação 1072 (por padrão). Esta porta precisa estar aberta no servidor LanGuard para que receba o status final.
  7. Após a implantação do patch, o serviço é desinstalado e o sistema continua executando quaisquer ações ou gatilhos adicionais definidos no arquivo de lote, como reinicializar a máquina etc.


Notas:

  • Todas as configurações necessárias devem ser definidas para a implantação de patch bem-sucedida.

  • A porta padrão para comunicação (1072) pode ser alterada.

  • Ao usar um script em lote em uma instalação de software personalizada, que aciona um instalador em um compartilhamento de rede, certifique-se de que o serviço Patch Agent tenha permissões suficientes para acessar o compartilhamento de rede. Por padrão, o serviço Patch Agent é executado no contexto do sistema local. Se isso não for adequado, especifique um usuário específico nas opções de implantação.


É possível receber a mensagem de erro Timed out: PatchAgent did not respond in the permitted time interval ao implantar patches, mas isso não significa que o processo realmente falhou. Consulte o erro de correção: "Tempo esgotado: o PatchAgent não respondeu no intervalo de tempo permitido" ao tentar implantar patches para obter mais informações e a solução.