Erste Schritte mit Patch Management

Diese Seite enthält eine Übersicht über die Schritte, die Sie zum Einrichten von Ivanti Neurons for Patch Management durchführen müssen. Es stehen zwei Hauptoptionen zur Verfügung:

  • Cloud-Workflow: Dies ist der primäre Workflow zum Durchführen der Patchmanagement-Funktionalität. Sämtliche Konfigurations- und Bewertungsaktivitäten werden in der Cloud durchgeführt. Die eigentlichen Scans und Bereitstellungen werden jedoch von Agenten durchgeführt, die auf den verwalteten Geräten installiert sind.
  • Hybrid-Workflow: Dieser Workflow gilt für Kunden, die einen Connector zu einem internen Patchmanagement-Produkt verwenden, wie Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security oder Ivanti Desktop and Server Management.

Einzelheiten dazu, welche Betriebssysteme und Linux-Distributionen gepatcht werden können, finden Sie unter Kompatibilität von Betriebssystemen – Matrix.

Das Patching zusätzlicher Linux-Distributionen wie Rocky, Alma und Debian sowie der erweiterte Support für Distributionen wie CentOS 6, CentOS 7, Oracle 6, Oracle 7, Ubuntu 16 und Ubuntu 18 sind über das Partnerprogramm verfügbar. Weitere Einzelheiten finden Sie unter KernelCare Enterprise im Ivanti Marketplace.

Cloud-Workflow

Dies ist der primäre Workflow zum Durchführen der Patchmanagement-Funktionalität. Sämtliche Konfigurations- und Bewertungsaktivitäten werden in der Cloud durchgeführt. Die eigentlichen Scans und Bereitstellungen werden jedoch von Agenten durchgeführt, die auf den verwalteten Geräten installiert sind.

1) Erstellen Sie eine benutzerdefinierte Richtliniengruppe. 2) Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe. 3) Warten Sie, bis die Änderungen auf den Agenten propagiert wurden. 4) Die Agenten scannen nach Patches und stellen diese bereit. 5) Die Ergebnisse werden an Ivanti Neurons gemeldet.

Objekte in der Abbildung

A

Agentengeräte

Cloud-Workflow

1

Erstellen Sie eine benutzerdefinierte Richtlinie.

2

Erstellen Sie eine Patchkonfiguration und ordnen Sie sie Ihrer Richtlinie zu.

3

Warten Sie, bis die Änderungen auf Ihren Agentengeräten übernommen werden.

4

Die Agenten scannen nach Patches und stellen diese auf den verwalteten Geräten bereit.

5

Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet.

Details zum Cloud-Workflow

Bedingungsabhängige Schritte

Falls Ihre Geräte bereits über einen Ivanti Neurons-Agenten verfügen, können Sie die bedingungsabhängigen Schritte überspringen.

  1. Laden Sie den Agenten herunter, der für Ihren Gerätetyp (Windows, Mac oder Linux) bestimmt ist.
    Der Download enthält zwei Dateien:
    • die ausführbare Agentendatei
    • eine Optionendatei, die die Mandanten-ID, den Registrierungsschlüssel und die Cloudhost-Informationen enthält, die Sie für den Installationsvorgang benötigen
  2. Installieren Sie den Agenten auf den gewünschten Zielgeräten.
    1. Doppelklicken Sie auf dem Zielgerät auf die ausführbare Datei, um den Installationsvorgang zu starten.
    2. Folgen Sie den Anweisungen des Installationsassistenten.
  3. Warten Sie, bis der Agent automatisch folgende Aktionen durchführt:
    • Registrieren und bei Ivanti Neurons einchecken
    • Laden Sie die zugewiesene Agentenrichtlinie herunter.
    • Führen Sie einen San auf dem Zielgerät durch, um fehlende Patches zu ermitteln und die Ergebnisse an Ivanti Neurons zu melden.
  4. Zeigen Sie Informationen zu den neu ermittelten Zielgeräten in der Geräteansicht von Ivanti Neurons an.

Primäre Schritte

  1. Erstellen Sie eine benutzerdefinierte Agentenrichtlinie.
    Die Standardrichtlinie, die anfangs mit einem Agenten installiert wird, ist nur für die Durchführung von Patchscans konfiguriert. Damit Sie Patchbereitstellungen durchführen können, benötigen Sie mindestens eine benutzerdefinierte Richtlinie. Die benutzerdefinierte Richtlinie muss aktiviert werden, damit sie Patchmanagement-Aktionen durchführt. Ferner muss sie mit einer Patchkonfiguration verknüpft werden, in der Ihre Bereitstellungseinstellungen definiert sind. Mithilfe der Option Geräte hinzufügen innerhalb der Richtlinie weisen Sie die Richtlinie den gewünschten Agentengeräten zu.
    Aktivieren Sie beim Erstellen der Agentenrichtlinie unbedingt die Funktion Patchmanagement. Die Richtlinie definiert die Regeln, die dem Agenten den autonomen Betrieb auf einem Gerät, mit oder ohne menschliche Interaktion, ermöglichen.
    In der benutzerdefinierten Agentenrichtlinie können Sie den Peer-to-Peer-Download auswählen. Peer-to-Peer unterstützt digital signierte und quergeladene Patches. Patches, die automatisch vom Anbieter heruntergeladen und nicht digital signiert wurden, werden in Peer-to-Peer-Szenarien, z. B. 7-Zip und Core FTP, nicht unterstützt. Der Server-Peer teilt nur die für das Betriebssystem geeigneten Patches mit dem Peer-Client. Beispiel: Ein Server 2019 teilt nur 2019er-Patches.
  2. Konfiguieren Sie Ihre Patcheinstellungen.
    Die Patcheinstellungen umfassen Folgendes:
    • Patchkonfiguration: Der primäre Zweck einer Patchkonfiguration besteht darin, zu definieren, wie Patches auf den Agentengeräten bereitgestellt werden. Eine bereits enthaltene Standard-Patchkonfiguration stellt alle fehlenden kritischen Sicherheitspatches wöchentlich in Ihrer Windows-Umgebung bereit. Sie werden vermutlich eine oder mehrere benutzerdefinierte Patchkonfigurationen erstellen wollen, um die spezifischen Anforderungen für die Patchbereitstellung in Ihrem Unternehmen zu definieren.

      Verknüpfen Sie Ihre Patchkonfiguration auf der Registerkarte Zuordnungenmit einer benutzerdefinierten Agentenrichtlinie, die für die Durchführung von Patchmanagement-Aktionen aktiviert ist.

    • (Optional) Patchgruppe: Sie können in einer Patchkonfiguration auf eine Patchgruppe verweisen. Eine Patchgruppe enthält eine Liste mit bestimmten Patches, die Sie bereitstellen möchten. Dies ist eine gute Methode, um sicherzustellen, dass nur genehmigte Patches bereitgestellt werden. Im Abschnitt Bereitstellungsverhalten unter dem Thema Patcheinstellungen finden Sie weitere Informationen zur ordnungsgemäßen Konfiguration dieses Szenarios.
  3. Warten Sie, bis die Änderungen auf Ihren Geräten propagiert wurden.
    Ihre Geräte empfangen die aktualisierte Richtlinie und Patchkonfigurationsdaten, wenn die Agenten das nächste Mal bei Ivanti Neurons einchecken.
  4. Stellen Sie fehlende Patches auf dem Agentengerät bereit.
    Die Bereitstellung kann über vier verschiedene Methoden durchgeführt werden:
    • Über eine automatische, geplante Patchbereitstellung, die durch die Patchkonfiguration definiert ist.
    • Über die Komponente Endpunktanfälligkeit in Ivanti Neurons for Patch Management. Sie können diese Komponente für die Bereitstellung aller Patches verwenden, die während des letzten Patchscans als fehlend identifiziert wurden.

      Stellen Sie sicher, dass Sie über die benötigten Berechtigungen für Patch Management verfügen, um Patches über Endpunktanfälligkeit bereitzustellen.

    • Über die Registerkarte Patches auf der Seite Gerätedetails. Sie können einzelne Patches für die Bereitstellung über diese Seite auswählen.
    • Über die Agenten-Benutzeroberfläche auf dem Agentengerät können Sie eine Patchbereitstellung sofort einleiten.

      • Um die Agenten-Benutzeroberfläche zu installieren, müssen Sie die Funktion in der zugewiesenen Agentenrichtlinie aktivieren.

    Wenn die Installation eines Patches fehlschlägt, wird in einem einzelnen Patchzyklus (Windows) bis zu dreimal und für den Endpunkt insgesamt bis zu fünfmal ein neuer Versuch unternommen. Mac: bis zu 3 Versuche. Linux: kein erneuter Versuch). Sie können die Bereitstellung auch so konfigurieren, dass sie im Rahmen des Konfigurationszeitplans beim Neustart ausgeführt wird, wenn das Gerät offline ist.

    Nach erfolgter Patchbereitstellung wird das Agentengerät automatisch neu gescannt und die Ergebnisse werden an Ivanti Neurons gesendet. Dadurch können Sie den Bereitstellungsstatus überprüfen und den aktuellen Systemzustand des Agentengeräts beurteilen.

  5. Mithilfe der Komponente Bereitstellungsverlauf können Sie die Ergebnisse der Bereitstellung auf einen Blick erkennen und etwaige Probleme schnell identifizieren.
  6. Mit der Komponente Endpunktanfälligkeit lässt sich der Patchzustand der Geräte in Ihrer Umgebung beurteilen.
  7. Mit Patch Intelligence erhalten Sie ein umfassendes Verständnis der auf Ihren Geräten ermittelten Anfälligkeiten, basierend auf risikobasierter Priorisierung, Patchzuverlässigkeit und Patchcompliance.

Hybrid-Workflow

Dieser Workflow gilt für bestehende Kunden, die einen Connector zu einem internen Patchmanagement-Produkt verwenden, wie Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security oder Ivanti Desktop and Server Management. Diese Kunden starten die Migration in den Cloud-Workflow, indem sie beide Workflows gleichzeitig verwenden. Beispiel: Vorhandene Kunden entscheiden sich dafür, die Verwaltung ihrer Workstations in den Cloud-Workflow zu verlagern, möchten aber weiterhin Patchmanagement-Funktionen für getrennte Workstations, Server und andere wichtige oder vertrauliche Geräte unter Verwendung ihres internen Workflows anbieten. Mit dieser Strategie bewerkstelligen Sie den Umstieg in den Cloud-Workflow in Ihrem eigenen Tempo.

Die interne Konsole scannt nach Patches und stellt diese auf verwalteten Computern bereit. Die Ergebnisse werden an Ivanti Neurons gemeldet.

Objekte in der Abbildung

A

Agentengeräte

B

Interne Patchmanagement-Konsole (Endpoint Manager, Security Controls usw.)

C

Über die Konsole verwaltete Geräte

Cloud-Workflow

1

Erstellen Sie eine benutzerdefinierte Richtlinie.

2

Erstellen Sie eine Patchkonfiguration und ordnen Sie sie Ihrer Richtlinie zu.

3

Warten Sie, bis die Änderungen auf Ihren Agentengeräten übernommen werden.

4

Die Agenten scannen nach Patches und stellen diese auf den verwalteten Geräten bereit.

5

Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet.

Hybrid-Workflow

i

Connector

ii

Die Konsole scannt nach Patches und stellt diese auf den verwalteten Geräten bereit.

iii

Die Konsolenergebnisse werden an Ivanti Neurons gemeldet.

Das Ergebnis ist eine Kombination von Daten auf der Ivanti Neurons-Plattform für in der Cloud und intern verwaltete Geräte. Patchbereitstellungen für Endpunkte, die vom Cloud-Workflow gesteuert werden, werden vom Ivanti Neurons-Agenten durchgeführt. Bereitstellungen auf Geräten, die von einer internen Lösung gesteuert werden, werden weiterhin von der internen Konsole durchgeführt.

Sie können also Geräte haben, die sowohl von der Ivanti Neurons-Cloud als auch einer internen Lösung verwaltet werden. Beide Lösungen können problemlos parallel verwendet werden. Aktionen, die von der Ivanti Neurons-Cloud durchgeführt werden, haben Vorrang, da sie eine direkte Interaktion mit den Geräten bieten.

Es ist zwar möglich, dass Geräte von beiden Lösungen gleichzeitig verwaltet werden, jedoch kann es schnell unübersichtlich werden, wenn mehrere Berichte von unterschiedlichen Produkten empfangen werden.

Die Bereitstellungen können über einen Ivanti Neurons-Agenten, einen Ivanti Endpoint Manager oder die lokale Konsole für Ivanti Security Controls oder aus der Cloud heraus über die Komponenten Gerätedetails oder Endunktanfälligkeit eingeleitet werden.

Wenn Sie ein benutzerdefiniertes Scanprofil in Ivanti Security Controls verwenden, kann es vorkommen, dass Sie beim Bereitstellen eines fehlenden Patches darüber informiert werden, dass dieser bereits auf dem Gerät installiert ist. Um dies zu vermeiden, fügen Sie einen regelmäßigen Scan aller Geräte durch, indem Sie die vordefinierten Vorlagen Sicherheitspatchscan oder Alle Patches verwenden. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community (wird in einem neuen Fenster geöffnet).