Konfigurationsverhalten

Diese Registerkarte ermöglicht Ihnen die Konfiguration unterschiedlicher Optionen für die Bereitstellung von Patches.

Video zu diesem Thema ansehen (6:56)

Wählen Sie Übersicht anzeigen aus, um eine Übersicht mit den Optionen für Ihre benutzerdefinierte Patchkonfiguration mit einer Registerkarte für jedes Betriebssystem anzuzeigen. Diese Übersicht wird in Echtzeit aktualisiert, während Sie Optionen für die Patchkonfiguration hinzufügen, löschen oder ändern.

Bereitstellungsverhalten

Über das Bereitstellungsverhalten konfigurieren Sie, wann Patches bereitgestellt werden (Zeitplan), welche Patches bereitgestellt werden (Bereitstellungsoptionen) und ob und wann während des Bereitstellungsprozesses Neustartanforderungen an Ihre Zielgeräte gesendet werden (Neustartverhalten).

Sie können innerhalb einer einzigen Patchkonfiguration unterschiedliche Verhaltensweisen für die Bereitstellung für die verschiedenen Betriebssysteme konfigurieren. Das Bereitstellungsverhalten für jedes Betriebssystem umfasst eine oder mehrere Bereitstellungaufgaben, die Sie ein- und ausschalten können:

  • Routinewartung: Wird in der Regel für das standardmäßige monatliche Patching von Betriebssystemen und Anwendungen verwendet und erfordert meist einen Neustart des Endpunkts.
  • Prioritätsupdates (nur Windows): Für Anwendungen, die häufiger Updates herausgeben, wie Browser- und Telekomanwendungen. Da diese selten einen Neustart erfordern, können Sie durch häufigeres Planen solcher Bereitstellungen die Anfälligkeit reduzieren, ohne die Benutzer zu sehr zu beeinträchtigen.
  • Zero-day-Reaktion (nur Windows): Für dringende Reaktionen wie ausgenutzte Anfälligkeiten.

Sie können mithilfe dieser Aufgaben eine risikobasierte Patchingstrategie implementieren, indem Sie die Bereitstellung unterschiedlicher Arten von Patches zu unterschiedlichen Zeitpunkten konfigurieren.

Um eine Patchkonfiguration nur zum Scannen zu erstellen, deaktivieren Sie den Umschalter für die Bereitstellung für alle Betriebssystemregisterkarten. Das Patchmodul scannt den Endpunkt unmittelbar nach der Installation und dann täglich zwischen Mitternacht und 2:00 Uhr Lokalzeit auf dem Endpunkt.

Aktivieren Sie zum Initiieren einer Patchaufgabe den zugehörigen Schalter und klicken Sie dann auf Aufgabe konfigurieren, um den Konfigurationsbereich der Aufgabe aufzurufen.

Zeitplan

In diesem Bereich konfigurieren Sie Bereitstellungen, die nach einem regelmäßigen Zeitplan durchgeführt werden.

Im Abschnitt Zeitplan wählen können Sie Bereitstellungsvorgänge regelmäßig zu einer bestimmten Uhrzeit und unter Verwendung eines Wiederholungsmusters planen. Sie können beispielsweise festlegen, dass eine Bereitstellung jede Nacht um Mitternacht, jeden Sonntag um 9:00 Uhr, an jedem Wochentag um 23:00 Uhr oder zu jedem anderen Zeitpunkt in dem angegebenen Intervall durchgeführt wird.

  • Beim Neustart ausführen, wenn Zeitplan nicht eingehalten wurde: Wenn eine geplante Bereitstellung versäumt wurde, weil das Gerät ausgeschaltet war, wird die Bereitstellung innerhalb einer Stunde nach dem Einschalten des Geräts ausgeführt.
  • Patches bereitstellen: Sie können die Patchbereitstellung anhand der folgenden Optionen planen:
    • Täglich: Die Bereitstellungen erfolgen an jedem Tag der Woche zur Uhrzeit Ihrer Wahl.
    • Wöchentlich: Die Bereitstellungen erfolgen am festgelegten Wochentag zur Uhrzeit Ihrer Wahl.
    • Monatlich: Die Bereitstellungen erfolgen am festgelegten Datum oder am festgelegten Tag eines Monats zur Uhrzeit Ihrer Wahl. Sie können diese Option auch verwenden, um eine Bereitstellung in Verbindung mit dem Patch-Dienstag von Microsoft zu planen. Angenommen, Sie möchten eine monatliche Patchbereitstellung planen, die einen Tag nach dem Patch-Dienstag stattfindet. Markieren Sie dazu das Kontrollkästchen Auch nach Patch-Dienstag bereitstellen und geben Sie 1 für die Anzahl der Tage ein, um die die Bereitstellung nach dem Patch-Dienstag verzögert werden soll.
      Mit der Option Verzögerung hinzufügen können Sie den Zeitplan noch flexibler gestalten, indem Sie einem monatlichen Zeitplan eine bestimmte Anzahl von Verzögerungstagen hinzufügen. Beispiel: Wenn sich das Change Advisory Board Ihres Unternehmens an jedem ersten Mittwoch des Monats trifft, um sich über die am darauffolgenden Samstag bereitzustellenden Patches zu verständigen, können Sie die Bereitstellung für den ersten Mittwoch im Monat plus 3 Tage Verzögerung festlegen. Dabei kann für den Samstag nach dem ersten Mittwoch der erste oder der zweite Samstag im Monat festgelegt werden.
    • Patch-Dienstag: Planen Sie die Bereitstellungen so, dass sie zeitgleich mit dem regelmäßigen monatlichen Patchereignis von Microsoft, dem so genannten Patch-Dienstag, erfolgen.
  • Inhalt vor der Bereitstellung staffeln (Windows und Mac): Weist das Patchmodul auf dem Endpunkt an, die Patches vor der Bereitstellungsaufgabe herunterzuladen. Dies bietet sich insbesondere für Endpunkte mit Wartungsfenstern an, damit die Dauer des Wartungsfensters nicht für den Download verloren geht. Sie können den Inhalt 1 bis 23 Stunden vor der Bereitstellung staffeln. Der Agent führt zu Beginn der Staffelung automatisch einen Patchscan durch, um den Patchstatus des Geräts vor der Bereitstellung noch einmal zu bewerten.

    Es gibt eine Ausnahme für Patchbereitstellungen, die am ersten Tag eines Monats durchgeführt werden. Um Probleme mit Schaltjahren und ähnlichen Unregelmäßigkeiten im Kalender zu vermeiden, verhindert das System, dass Sie Inhalt am Tag vor dem ersten Tag eines Monats staffeln. Beispiel: Wenn Sie eine Bereitstellung für 8:00 Uhr am ersten Tag eines Monats geplant haben, können Sie Inhalt nur 1 bis 8 Stunden vor der Bereitstellung staffeln.

Bereitstellung

Welche Bereitstellungsoptionen verfügbar sind, richtet sich nach dem Betriebssystem:

  • Windows: Nach Risikobewertung bereitstellen, Nach Schweregrad bereitstellen, Nach Patchgruppe bereitstellen/ausschließen, Aktivierungspakete einschließen und Ausgewählte Anbieter/Produkte
  • Mac: Nach Schweregrad bereitstellen, Nach Patchgruppe bereitstellen
  • Linux: Alle fehlenden Patches bereitstellen, Nach Schweregrad bereitstellen, Nach Patchgruppe bereitstellen

Standardmäßig werden nur kritische Sicherheitspatches für Windows bereitgestellt. Wenn Sie ...

  • Nach Schweregrad bereitstellen aktivieren und konfigurieren und einige Patchgruppen bei Nach Patchgruppe bereitstellen/ausschließen auf Einschließen setzen, erzielen Sie einen zusätzlichen Effekt, da alle Patches für jede konfigurierte Option bereitgestellt werden.
  • Ausgewählte Anbieter/Produkte aktivieren und konfigurieren, werden Patches aus den beiden anderen Optionen herausgefiltert.
  • eine Patchgruppe bei Nach Patchgruppe bereitstellen/ausschließen auf Ausschließen setzen, werden die Patches in dieser auf Ausschließen gesetzten Patchgruppe immer ausgeschlossen, auch wenn sie an anderer Stelle auf "Einschließen" gesetzt wurden.

Beispiel 1: Wenn Sie nur diejenigen Patches bereitstellen möchten, die in einer Patchgruppe enthalten sind:

  • Deaktivieren Sie die Optionen Nach Schweregrad bereitstellen und Ausgewählte Anbieter/Produkte.
  • Aktivieren Sie die Option Nach Patchgruppe bereitstellen/ausschließen und setzen Sie die gewünschte Patchgruppe auf Einschließen.

Beispiel 2: Sie möchten Folgendes konfigurieren:

  • Nach Schweregrad bereitstellen: "Sicherheit - kritisch" und "Sicherheit - wichtig" werden ausgewählt.
  • Nach Patchgruppe bereitstellen/ausschließen: Sie setzen eine Patchgruppe auf Einschließen, die einen Patch vom Schweregrad "Sicherheit – kritisch", einen vom Schweregrad "Sicherheit – wichtig" und zwei vom Schweregrad "Sicherheit – mittel" enthält.
  • Ausgewählte Anbieter/Produkte: Diese Option ist deaktiviert.

In diesem Fall geschieht Folgendes:

  • Die Patches mit den Schweregraden "Sicherheit - kritisch" und "Sicherheit - wichtig" werden für alle Anbieter und Produkte bereitgestellt.
  • Alle vier Patches der Patchgruppe werden bereitgestellt, einschließlich der beiden Patches mit dem Schweregrad "Sicherheit – mittel".

Beispiel 3: Wie Beispiel 2, wobei Sie zusätzlich:

  • über die Option Ausgewählte Anbieter/Produkte angeben, dass nur Adobe-Patches bereitgestellt werden sollen.

In diesem Fall werden nur die folgenden Patches bereitgestellt:

  • Patches für Adobe mit dem Schweregrad "Sicherheit – kritisch", "Sicherheit – wichtig" und Patches für Adobe, die in der Patchgruppe enthalten sind.

Beispiel 4: Wie Beispiel 3, wobei Sie zusätzlich:

  • über die Option Nach Patchgruppe bereitstellen/ausschließen eine Patchgruppe ausschließen, die einen bestimmten sicherheitskritischen Adobe-Patch enthält.

In diesem Fall werden nur die folgenden Patches bereitgestellt:

  • Patches für Adobe mit dem Schweregrad "Sicherheit –kritisch" (mit Ausnahme des Patches in der ausgeschlossenen Patch-Gruppe)
  • Patches für Adobe mit dem Schweregrad "Sicherheit – wichtig"
  • alle in der Patchgruppe enthaltenen Patches für Adobe

Wird ein Patch zu einer auf Ausschließen gesetzten Patchgruppe hinzugefügt, dann wird der Patch nicht bereitgestellt, auch wenn er gemäß anderen Einstellungen explizit bereitgestellt werden sollte.

Beispiel 5 (Windows Edge): Angenommen, Sie konfigurieren Nach Schweregrad bereitstellen mit "Sicherheit – kritisch" und zusätzlich Nach Patchgruppe bereitstellen, um Vantosi V3 aufzunehmen.

Falls Vantosi V4 anschließend mit 'Sicherheit - kritisch' veröffentlicht und vor einer weiteren Patchbereitstellung Vantosi V5 mit 'Sicherheit - wichtig' veröffentlicht wird, dann werden für Windows weder Vantosi V4 noch Vantosi V5 bereitgestellt. Der Grund dafür ist, dass die neueste Version (Vantosi V5) die Schweregradanforderung für die Bereitstellung nicht erfüllt und dass weder Vantosi V4 noch Vantosi V5 in der Patchgruppe enthalten sind. Sollten Sie die gleiche Patchkonfiguration für Mac eingerichtet haben, würde Vantosi V4 bereitgestellt werden.

Wir empfehlen Ihnen, mithilfe der Komponente Compliance-Berichte regelmäßig den Compliance-Status Ihrer Geräte zu prüfen und etwaige neue Patches vom Typ 'Sicherheit - kritisch' zu einer Patchgruppe hinzuzufügen. Weitere Informationen finden Sie unter Compliance-Berichte und Patchgruppen.

Auswählen von Bereitstellungsoptionen

  • Alle fehlenden Patches bereitstellen/Ausgewählte Patches bereitstellen (Nur Linux): Unter Linux können Sie Alle fehlenden Patches bereitstellen wählen. Alternativ können Sie durch Auswahl von Ausgewählte Patches bereitstellen weitere Kontrollen aktivieren, sodass Sie einschränken können, welche Patches bereitgestellt werden.
  • Nach Risikobewertung bereitstellen (nur Windows): Wenn diese Option aktiviert ist, können Sie die Risikobewertungen angeben, die mit den Patches verknüpft sind, die Sie für die Bereitstellung berücksichtigen möchten.
    • VRR-Bewertung: Stellt Patches bereit, deren VRR-Bewertung mindestens dem konfigurierten Wert entspricht. Die VRR-Bewertung (Vulnerability Risk Rating) stellt das Risiko, das von einer bestimmten Anfälligkeit ausgeht, als Zahl zwischen 1 und 10 dar.
    • CVSS-Bewertung: Stellt diejenigen Patches bereit, deren letzte Version der CVSS-Bewertung (Common Vulnerability Scoring System), die aus allen mit dem Patch verknüpften CVEs abgeleitet wurde, mindestens dem konfigurierten Wert entspricht. Der Scorebereich liegt zwischen 0,1 und 10.

      • Weitere Informationen zu VRR und CVSS finden Sie unter Bedrohung und Risiko.

    • Patches für ausgenutzte Anfälligkeiten bereitstellen: Wenn aktiviert, werden Patches für Anfälligkeiten bereitgestellt, die als ausgenutzt gemeldet wurden.
  • Nach Schweregrad bereitstellen: Über diese Option geben Sie die Patchtypen und die Schweregrade an, die in die Bereitstellung aufgenommen werden sollen. Standardmäßig sind nur kritische Sicherheitspatches ausgewählt. Für jedes Betriebssystem und jede Linux-Distribution sind unterschiedliche Stufen verfügbar. Symbole zeigen an, welche Linux-Distributionen die einzelnen Stufen unterstützen.
    • Sicherheit: Patches, die im Zusammenhang mit Sicherheits-Bulletins stehen. Sie können einen oder mehrere konkrete Schweregrade für die Bereitstellung wählen.
      • Kritisch: Anfälligkeiten, die von einem nicht authentifizierten Remote-Angreifer ausgenutzt werden können oder die Isolation des Gast-/Hostbetriebssystems überwinden. Die Ausnutzung führt zu einer Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit von Benutzerdaten oder Verarbeitungsressourcen ohne Interaktion durch einen Benutzer. Die Ausnutzung kann zur Propagierung eines Internetwurms oder Ausführung von willkürlichem Code zwischen virtuellen Maschinen und dem Host genutzt werden.
      • Wichtig: Anfälligkeiten, deren Ausnutzung zu einer Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit von Benutzerdaten oder Verarbeitungsressourcen führt. Derartige Schwachstellen könnten beispielsweise lokalen Benutzern die Erlangung von Berechtigungen ermöglichen, authentifizierten Remote-Benutzern die Ausführung von willkürlichem Code ermöglichen oder lokalen oder Remote-Benutzern die Initiierung von Denial-of-Service-Angriffen ermöglichen.
      • Mittel: Schwachstellen, deren Ausnutzungspotenzial per Konfiguration oder durch Erschwernisse erheblich reduziert ist, die aber dennoch in bestimmten Bereitstellungsszenarien zu einer gewissen Kompromittierung der Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten und Verarbeitungsressourcen führen können. Dies sind die Arten von Anfälligkeiten, die eine kritische oder wichtige Auswirkung haben könnten, die jedoch aufgrund der technischen Überprüfung der Schwachstelle weniger einfach ausgenutzt werden können oder die sich auf unwahrscheinliche Konfigurationen beziehen.
      • Gering: Alle anderen Probleme mit Auswirkungen auf die Sicherheit. Anfälligkeiten, deren Ausnutzung als extrem schwierig gilt oder deren erfolgreiche Ausnutzung nur minimale Auswirkungen hätte.
      • Nicht zugewiesen (Windows und Mac): Sicherheitspatches, denen kein Schweregrad zugewiesen wurde.
    • Nicht sicherheitsbezogen (Windows und Mac): Patches vom Anbieter, die bekannte Softwareprobleme reparieren, die keine Sicherheitsprobleme darstellen. Für Windows können Sie einen oder mehrere konkrete Schweregrade laut Anbieter für die Bereitstellung wählen. Eine Beschreibung der verfügbaren Schweregrade finden Sie unter Sicherheitspatches.
    • Bugfix (nur Linux): Patches vom Anbieter, die Fehler beheben.
    • Verbesserung (nur Linux): Patches vom Anbieter, die funktionale Verbesserungen bieten.

      • Verbesserung ist nicht verfügbar für Oracle v7 und Red Hat v7.

  • Nach Patchgruppe bereitstellen/ausschließen (Windows) oder Nach Patchgruppe bereitstellen (Mac und Linux): Falls aktiviert, können Sie hierüber eine oder mehrere Patchgruppen angeben, in denen die Patches enthalten sind, die Sie in die Bereitstellung einschließen oder (nur Windows) von der Bereitstellung ausschließen möchten. Dies ist eine gute Methode, um sicherzustellen, dass nur genehmigte Patches bereitgestellt werden. Fehlende Patches, die nicht in den auf Einschließen gesetzten Patchgruppen enthalten sind, werden nur dann bereitgestellt, wenn sie die in der Option Nach Schweregrad bereitstellen angegebene Anforderung erfüllen. Patches in auf Ausschließen gesetzten Patchgruppen werden nicht bereitgestellt, auch wenn sie gemäß anderen Einstellungen explizit bereitgestellt werden sollten. Details zu den verfügbaren Patchgruppen finden Sie auf der Registerkarte Patchgruppen der Seite Patcheinstellungen. Patchgruppen werden innerhalb von Patch Intelligence verwaltet.

    Linux-Geräte werden immer auf das neueste im Repository verfügbare Paket aktualisiert, selbst wenn einer Patchgruppe eine frühere Version hinzugefügt wird. Es werden nicht nur die mit den Advisories in den installierten Patchgruppen verknüpften Pakete installiert, sondern auch die mit abhängigen Advisories verknüpften Pakete.

    Wenn Sie Nach Patchgruppe bereitstellen/ausschließen aktivieren, wird ein Raster mit allen Patchgruppen angezeigt. Daraus geht die Anzahl der Patches für jedes Betriebssystem sowie die Gesamtzahl der Patches in jeder Patchgruppe hervor. Markieren Sie das Kontrollkästchen neben einer Patchgruppe und wählen Sie je nach Fall Einschließen oder Ausschließen aus. Klicken Sie auf Löschen, um die Auswahl einer Patchgruppe aufzuheben.

    Das Symbol Häkchen bzw. Symbol x neben der Zahl der Patches für das nicht konfigurierte Betriebssystem zeigt an, dass die Konfiguration die betreffenden Patches bereits beinhaltet bzw. ausschließt.

    Es bietet sich an, die in einer Gruppe enthaltenen Patches noch einmal zu überprüfen, bevor Sie die Gruppe auswählen. Klicken Sie dazu auf eine Zahlenverknüpfung im Raster, um die zugehörigen Patches unter dem Raster "Patchgruppen" anzuzeigen. Mit der Spalte Plattform bestimmen Sie das Betriebssystem und mit der Spalte Status den Status der einzelnen Patches.

    Bei dem angezeigten Status handelt es sich tatsächlich um einen ungefähren Status, der auf der Verwendung der Patchgruppe mit der aktuellen Patchkonfiguration basiert. Viele Faktoren können sich auf den Patchstatus auswirken. Beispiel: Wenn Sie Ausgewählte Anbieter/Produkte in Verbindung mit einer Patchgruppe verwenden, werden eventuell ein oder mehrere Patches aus der Gruppe herausgefiltert.

    • Aktiv: Diese Patchgruppe wurde von der Konfiguration verwendet, um den Patch für Endbenutzergeräte zur Verfügung zu stellen. Die Geräte sind Teil der Richtlinien, die dieser Patchkonfiguration zugeordnet sind.
    • Nicht aktiv: Für diesen Patchstatus gibt es zwei mögliche Gründe. (1) Diese Patchgruppe wurde nicht verwendet, um Geräten den Patch zur Verfügung zu stellen. (2) Die Patchkonfiguration, der diese Patchgruppe zugewiesen ist, wurde für Geräte nicht als aktiv festgelegt.
      Es gibt eine Situation, in der ein als Nicht aktiv aufgeführter Patch tatsächlich aktiv sein kann. Ist der Patch in mehreren Patchgruppen enthalten, wurde möglicherweise eine der anderen Gruppen verwendet, um den Patch auf Geräten zu aktivieren.
  • Aktivierungspakete einschließen (nur Windows, nur Routinewartung): Wenn diese Option aktiviert ist, werden die ausgewählten Aktivierungspakete bereitgestellt. Aktivierungspakete sind begrenzte Sätze mit kumulierten Updates, die es Ihnen ermöglichen, ein Upgrade auf eine andere Windows-Version durchzuführen. Mithilfe von Ersetzte Pakete anzeigen blenden Sie ersetzte Elemente ein oder aus.
  • Ausgewählte Anbieter/Produkte (nur Windows): Wenn diese Option deaktiviert ist, werden Patches für alle verfügbaren Anbieter und Produkte in die Bereitstellung aufgenommen, die über die Optionen Nach Schweregrad bereitstellen und Nach Patchgruppe betreitstellen definiert wurde. Sobald neue Produkte und Patches zur Verfügung stehen, werden sie der Bereitstellung hinzugefügt.

    • Wenn diese Option aktiviert ist, können Sie die Anbieter, Produktfamilien und Produktversionen festlegen, die auf den Endpunkten bereitgestellt werden können. Nicht ausgewählte Anbieter und Produkte werden von der Bereitstellung ausgeschlossen. Die Objekte werden in einer hierarchischen Liste dargestellt. Sobald Sie ein Kontrollkästchen auf einer Ebene aktivieren, werden alle Kontrollkästchen auf den darunter liegenden Ebenen ebenfalls aktiviert.

    • Alle auswählen: Durch Markieren dieses Kontrollkästchens werden alle derzeit verfügbaren Patches für alle Anbieter und Produkte der Liste ausgewählt. Neue Anbieter und Produktpatches, die zu einem späteren Zeitpunkt zur Verfügung stehen, werden zur Bereitstellung hinzugefügt.

      • Wenn Sie nur sehr wenige Objekte ausschließen möchten, markieren Sie zuerst Alle auswählen und deaktivieren Sie anschließend die Kontrollkästchen der auszuschließenden Objekte.

    • Auswählen einzelner Anbieter und Produkte: Es werden nur Patches für die ausgewählten Anbieter, Produktreihen und/oder Produktversionen bereitgestellt. Nicht ausgewählte Anbieter und Produkte werden aus der Bereitstellung herausgefiltert.

Neustartverhalten

In diesem Bereich konfigurieren Sie, ob und wann Neustarts Ihrer Zielgeräte während des Bereitstellungsvorgangs angefordert werden. Die Ivanti Neurons-Plattform verarbeitet Neustartanforderungen zentral, um Konflikte zwischen unterschiedlichen Ivanti Neurons-Komponenten zu verhindern. Der Neustart wird mitunter nicht sofort bei Anforderung ausgeführt.

macOS führt nach jeder Bereitstellung eines Betriebssystempatches einen Neustart durch, nachdem der Benutzer aufgefordert wurde, Betriebssystemupdates zu installieren. Für Mac-Konfigurationen können Sie auch Nach einem Update immer Neustart durchführen (auch wenn keine Betriebssystempatches angewendet wurden) wählen.

  • Neustart vor Bereitstellung (nur Windows): Gibt an, dass die Zielgeräte vor der Patchbereitstellung neu gestartet werden. Es gilt als bewährtes Verfahren, Geräte vor dem Installieren von größtenteils neuer Software neu zu starten. Dies betrifft vor allem umfassende Änderungen an der Software wie das Installieren neuer Produktebenen eines Betriebssystems. Wenn Sie sich für einen Neustart der Geräte entscheiden, können Sie angeben, wie viel Vorwarnzeit einem angemeldeten Benutzer eingeräumt werden soll. Ferner können Sie festlegen, in welchem Umfang der Benutzer die Kontrolle über den Neustartprozess erhalten soll. Sie können Folgendes festlegen:
    • Der Neustart wird nach Ablauf einer bestimmten Anzahl von Minuten erzwungen.
    • Der Benutzer wird informiert, dass beim Abmelden ein Neustart durchgeführt wird.
    • Sie können festlegen, wie lange die Countdown-Meldung angezeigt wird, wenn die Sequenz zum Herunterfahren gestartet wird. Klicken Sie auf Beispiel für Countdown, um das dem Benutzer angezeigte Dialogfeld in einer Vorschau anzuzeigen.
    • Sie können dem Benutzer das Verlängern des Countdowns bis zur Zeitüberschreitung um einen bestimmten Maximalwert erlauben.
    • Sie können dem Benutzer erlauben, die Zeitüberschreitung zu stornieren. Wird eine Zeitüberschreitung storniert, werden die Patches erst bereitgestellt, wenn sich der Benutzer abmeldet oder das Gerät manuell neustartet.
    • Sie können dem Benutzer erlauben, den Neustart zu stornieren. Erst nach einem Neustart des Geräts werden die Patches installiert.
  • Neustart nach Bereitstellung (Windows) oder Neustart nach Bereitstellung, wenn erforderlich (Linux): Gibt an, ob der Neustart der Zielgeräte nach der Patchbereitstellung angefordert wird. Linux führt nur bei Erfordernis einen Neustart durch, bei Windows gibt es zwei Optionen:
    • Immer: Gibt an, dass jedes Gerät nach dem Bereitstellen der Patches neu gestartet wird. Dies ist die sicherste Option für die Bereitstellung von Patches, da die meisten Patches einen Neustart für den Abschluss des Vorgangs erfordern. Es kann aber auch vorkommen, dass Geräte unnötigerweise neu gestartet werden.
    • Wenn erforderlich: Gibt an, dass der Ivanti Neurons-Agent anhand der in der Bereitstellung enthaltenen Patches bestimmt, ob ein Neustart der einzelnen Geräte erforderlich ist oder nicht.

      • Wenn Sie bei Linux die Bereitstellungsoption Ausgewählte Patches bereitstellen gewählt haben, werden nicht nur die mit den Advisories in den installierten Patchgruppen verknüpften Pakete installiert, sondern auch die mit abhängigen Advisories verknüpften Pakete. Wenn Sie anschließend die Option Neustart nach Bereitstellung, wenn erforderlich festlegen, können diese Abhängigkeiten zusätzlich einen Neustart bewirken.

    • Wenn Sie sich für einen Neustart der Geräte entscheiden, können Sie unter Verwendung der zugeordneten Richtlinien weitere Optionen festlegen, etwa die Anzahl der Warnungen, die ein angemeldeter Benutzer erhält, oder den Umfang der Kontrolle eines Benutzers über den Neustartprozess. Weitere Informationen finden Sie unter Agentenrichtlinie Neustart.

Einstellungen – Microsoft Vorschau-Patches

Zu Testzwecken stellt Microsoft bereits vor dem offiziellen Patch-Dienstag-Release einen Satz mit Vorschau-Patches für Windows bereit.Diese Patches beinhalten keine Sicherheitsupdates, weshalb Sie Vorschau-Patches in der Regel nicht auf all Ihren Geräten bereitstellen würden. Das Scannen nach diesen Patches ist daher standardmäßig deaktiviert. Wählen Sie zum Aktivieren von Scans nach Vorschau-Patches die Option Nach Microsoft-Vorschau-Patches scannen aus.

Falls Sie Vorschau-Patches bereitstellen möchten, empfehlen wir Ihnen, zuerst eine Pilotgruppe zu definieren und die Patches nur für eine begrenzte Testgruppe innerhalb Ihres Unternehmens zu implementieren.