HIP 修补程序管理的配置

什么是主机信息配置文件 HIP （ ） ？

GlobalProtect主机信息配置文件 HIP （） 功能可用于收集有关端点的安全状态的信息， 例如它们是否安装了最新的安全修补程序和防病毒定义，是否启用了磁盘加密功能，或者它是否运行了您在组织内需要的特定软件，包括自定义应用程序。 然后, 可以在安全策略中使用此信息来决定是否允许端点访问特定资源。

用于配置检查的设置 HIP

本文档提供了可用于配置 HIP 修补程序管理检查的各种设置的概述，以及这些设置如何协同工作以确定 HIP 修补程序管理检查的状态。 有关主机信息配置文件以及如何在安全执行中使用主 Policy 机信息的更多详细信息，请参阅 Policy 在执行中使用主机信息

配置1

当对象 HIP 配置为 "无 "的严重度且未列出任何修补程序时，报告报告中至少缺少一个修补程序的任何端点 HIP 都将与 HIP 图 1 中的对象匹配。

图 1

使用此配置, 缺少的修补程序的严重性不会影响结果。 此外，检查值（有-any，有-无，或全部）不会影响结果。 例如，图 2 中主机状态的端点将匹配此 HIP 对象，因为此端点至少缺少一个修补程序。

图 2

配置 2
当 HIP 对象配置为任何严重值（除了 无）， 并且未列出任何修补程序时，则报告至少一个与该严重度匹配的缺失修补程序的端点将匹配此 HIP 对象。 请参阅图 3。
 

图 3

使用此配置, 缺少的修补程序的严重性会影响结果。 （严重程度应与对象中定义的严重程度相匹配 HIP ）。 但是， 检查 值（有-任何， 没有，或 有所有）不影响结果。 例如，图 4 中显示的主机状态的端点将匹配此 HIP 对象。 我们可以告诉这一点，而不必查看端点上其他缺失修补程序的严重程度，因为图 4 中突出显示的修补程序具有严重性 0， 并且与 HIP 对象定义匹配。

图 4

配置3a

当 HIP 对象配置如下：

• 任何严重性值（除无 外）
• "检查" 值为"任何"
• 补丁 id 如图5所示。

图 5

然后，一个端点与至少一个缺失的修补程序匹配严重性，并且缺少列出的任何修补程序，将匹配此 HIP 对象。 

由于设置严重性并列出修补程序 ID，检查值（如任何、 已无或 已全部）确实具有效果。 当支票值 具有任何值时，如果满足以下两个条件，则有匹配项：

• 客户端上至少有一个缺少的修补程序与严重性匹配
• 为匹配项配置的任何缺失修补程序 firewall ，客户端报告的缺失修补程序。

例如，图 6 中主机状态的端点将匹配此 HIP 对象。 此端点至少有一个严重程度为大等于 0的修补程序，端点也缺少列出的修补程序之一（KB2592687）。

（如果你想添加补丁"KB2592687"到列表中，你需要跳过 KB "和注册"2592687"。

图 6


同一端点将 NOT 匹配 HIP 图 7 中的对象。 即使端点缺少至少一个严重度为 0的补丁，但它不会缺少列出的任何修补程序（KB00000和KB00001）。

图7

配置3b

当 Check 值为 all 时，如果满足这两个条件，则匹配项：

• 端点上的所有缺失修补程序都与严重性匹配。
• 所配置的所有缺失修补程序 firewall 都包含在端点报告的缺失修补程序中。

 
配置 3c
当 HIP 对象配置如下：

• 任何严重性值（除无 外）。
• "检查"值 为"无"。
• 补丁 id 如图8所示。

图8

然后，任何符合以下两个条件的端点都将匹配 HIP 对象：

• 端点不遗漏与严重性匹配的任何修补程序。
• 端点不遗漏列出的任何修补程序。

在此配置中，当设置严重性并列出修补程序 ID 时，则 Check 值（有 -any，has-none，have-all）确实会产生影响。

当 Check 值为 "无"时，如果满足以下两个条件，则匹配项：

• 端点上缺少的任何修补程序都与严重性匹配。
• 其中列出的修补程序均 firewall 未包含在端点报告的缺失修补程序中。

例如，图 9 中主机状态的端点与此 HIP 对象匹配。 此端点缺少任何严重性为大等于 100的修补程序，此端点也没有同时缺少修补程序KB00000 和修补程序KB00001。

结论
基本上，对客户端报告的缺失修补程序进行了两种评估 GlobalProtect 。 如果其中一个评估失败, 则匹配失败。

• 严重性--此条件应用于终结点上缺少的修补程序列表。
• 检查（有所有， 有-任何， 没有）-此条件适用于对象中列出的补丁 HIP 。