Patchmanagement

Übersicht

Ivanti Neurons for Patch Management ist eine Cloud-Patching-Lösung. Die Lösung kombiniert Echtzeiteinblicke der Ivanti Neurons-Plattform mit den Asset-Informationen von Ivanti Neurons for Discovery und auswertbaren Daten und ermöglicht dadurch eine risikobasierte Priorisierung für eine flexible Sicherheitsstrategie. Für Ihre Windows- und macOS-Computer stehen umfassende Patchmanagement-Funktionen bereit. Dabei können Produkte von Microsoft, Apple aber auch die von Drittanbietern gepatcht werden.

Die macOS-Unterstützung für Ivanti Neurons for Patch Management ist derzeit als Betaversion verfügbar.
Für Kunden, die nicht am Betaprogramm teilnehmen, stehen Patchmanagement-Funktionen für macOS-Systeme über einen Hybridansatz zur Verfügung, der die Vorteile von Ivanti Endpoint Manager und die eines Ivanti Endpoint Manager Connectors bündelt.

Wechseln Sie zum Aufrufen von Ivanti Neurons for Patch Management in der Ivanti Neurons-Plattform zu Patchmanagement.

Ivanti Neurons for Patch Management umfasst die folgenden Komponenten:

  • Endpunktanfälligkeit: Diese Komponente stellt eine zentrale Ansicht zum Gerätepatching für Ihre Umgebung bereit und informiert über Geräteszustand und risikobasierte Kennzahlen.
  • Patch Intelligence: Diese Komponente erfasst und aggregiert Daten, um das Verwalten, Priorisieren und Optimieren von Patching in Ihrer Umgebung zu vereinfachen. Sie liefert ein genaues Bild Ihrer Bedrohungslandschaft und informiert über priorisierte, risikobasierte Kennzahlen.
  • Bereitstellungsverlauf:Der Bereitstellungsverlauf ermöglicht das Anzeigen des Status kürzlich durchgeführter Bereitstellungsvorgänge. Auf diese Weise können Sie sich auf Ausnahmen konzentrieren und Probleme schnell beheben.
  • Patcheinstellungen: Ermöglicht Ihnen das Erstellen von Patchkonfigurationen und Konfigurieren von Patchgruppen für den cloudbasierten Patchmanagement-Workflow. Anhand einer Standardkonfiguration lassen sich alle kritischen Sicherheitspatches beheben und Sie profitieren von einem schnellen Einstieg. Sie können jedoch auch eine benutzerdefinierte Patchkonfiguration erstellen, um spezifische Compliance-Schwellenwerte in Ihrem Unternehmen zu erreichen.

Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Verwendung von Patchmanagement verfügen.

Anforderungen

Sie müssen eine Reihe von Web-URLs zu Ihren Listen mit Firewalls, Proxys und Webfilterausnahmen hinzufügen. Die URLs werden zum Herunterladen von Patchinhalten von Drittanbietern verwendet.

Eine umfassende Liste der hinzuzufügenden URLs finden Sie in diesem Artikel der Ivanti Community.

Cloud-Workflow

Dies ist der primäre Workflow zum Durchführen der Patchmanagement-Funktionalität. Sämtliche Konfigurations- und Bewertungsaktivitäten werden in der Cloud durchgeführt. Die eigentlichen Scans und Bereitstellungen werden jedoch von Agenten durchgeführt, die auf den verwalteten Computern installiert sind.

1) Erstellen Sie eine benutzerdefinierte Richtliniengruppe. 2) Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe. 3) Warten Sie, bis die Änderungen auf den Agenten propagiert wurden. 4) Die Agenten scannen nach Patches und stellen diese bereit. 5) Die Ergebnisse werden an Ivanti Neurons gemeldet.

Objekte in der Abbildung

A

Agentencomputer

Cloud-Workflow

1

Erstellen Sie eine benutzerdefinierte Richtliniengruppe.

2

Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe.

3

Warten Sie, bis die Änderungen auf Ihren Agentencomputern propagiert wurden.

4

Agenten scannen nach Patches und stellen diese auf den verwalteten Computern bereit.

5

Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet.

Details zum Cloud-Workflow

Bedingungsabhängige Schritte

Falls Ihre Geräte bereits über einen Ivanti Neurons-Agenten verfügen, können Sie die bedingungsabhängigen Schritte überspringen.

  1. Laden Sie den Agenten herunter, der auf Ihren Gerätetyp (Windows oder Mac) ausgelegt ist.
    Der Download enthält zwei Dateien:
    • die ausführbare Agentendatei
    • eine Optionendatei, die die Mandanten-ID, den Aktivierungsschlüssel und Cloudhost-Informationen enthält, die Sie für den Installationsvorgang benötigen
  2. Installieren Sie den Agenten auf den gewünschten Zielcomputern.
    1. Doppelklicken Sie auf dem Zielcomputer auf die ausführbare Datei, um den Installationsvorgang zu starten.
    2. Folgen Sie den Anweisungen des Installationsassistenten.
  3. Warten Sie, bis der Agent automatisch folgende Aktionen durchführt:
    • Registrieren und bei Ivanti Neurons einchecken
    • Laden Sie die Standardagent-Richtliniengruppe herunter.
    • Führen Sie einen San auf dem Zielcomputer durch, um fehlende Patches zu ermitteln und die Ergebnisse an Ivanti Neurons zu melden.
  4. Zeigen Sie Informationen zu den neu ermittelten Zielcomputern in der Geräteansicht von Ivanti Neurons an.

Primäre Schritte

  1. Erstellen Sie eine benutzerdefinierte Agenten-Richtliniengruppe.
    Die Standard-Richtliniengruppe, die anfangs mit einem Agenten installiert wird, ist nur für die Durchführung von Patchscans konfiguriert. Damit Sie Patchbereitstellungen durchführen können, benötigen Sie mindestens eine benutzerdefinierte Richtliniengruppe. Die benutzerdefinierte Richtliniengruppe muss aktiviert werden, damit sie Patchmanagement-Aktionen durchführt. Ferner muss sie mit einer Patchkonfiguration verknüpft werden, in der Ihre Bereitstellungseinstellungen definiert sind. Mithilfe der Option Geräte hinzufügen innerhalb der Richtlinie weisen Sie die Richtlinie den gewünschten Agentencomputern zu.
    Aktivieren Sie beim Erstellen der Agenten-Richtliniengruppe unbedingt die Funktion Patchverwaltung. Die Richtliniengruppe definiert die Regeln, die dem Agenten den autonomen Betrieb auf einem Gerät, mit oder ohne menschliche Interaktion, ermöglichen.
    In der benutzerdefinierten Agentenrichtlinie können Sie den Peer-to-Peer-Download auswählen. Peer-to-Peer unterstützt digital signierte und quergeladene Patches. Patches, die automatisch vom Anbieter heruntergeladen und nicht digital signiert wurden, werden in Peer-to-Peer-Szenarien, z. B. 7-Zip und Core FTP, nicht unterstützt.
  2. Konfiguieren Sie Ihre Patcheinstellungen.
    Die Patcheinstellungen umfassen Folgendes:
    • Patchkonfiguration: Der primäre Zweck einer Patchkonfiguration besteht darin, zu definieren, wie Patches auf den Agentencomputern bereitgestellt werden. Eine bereits enthaltene Standard-Patchkonfiguration stellt alle fehlenden kritischen Sicherheitspatches auf wöchentlicher Basis bereit. Sie werden vermutlich eine oder mehrere benutzerdefinierte Patchkonfigurationen erstellen wollen, um die spezifischen Anforderungen für die Patchbereitstellung in Ihrem Unternehmen zu definieren.

      Verknüpfen Sie Ihre Patchkonfiguration auf der Registerkarte Zuordnungenmit einer benutzerdefinierten Agenten-Richtliniengruppe, die für die Durchführung von Patchmanagement-Aktionen aktiviert ist.

    • (Optional) Patchgruppe: Sie können in einer Patchkonfiguration auf eine Patchgruppe verweisen. Eine Patchgruppe enthält eine Liste mit bestimmten Patches, die Sie bereitstellen möchten. Dies ist eine gute Methode, um sicherzustellen, dass nur genehmigte Patches bereitgestellt werden. Im Abschnitt Bereitstellungsverhalten unter dem Thema Patcheinstellungen finden Sie weitere Informationen zur ordnungsgemäßen Konfiguration dieses Szenarios.
  3. Warten Sie, bis die Änderungen auf Ihren Geräten propagiert wurden.
    Ihre Geräte empfangen die aktualisierte Richtlinie und Patchkonfigurationsdaten, wenn die Agenten das nächste Mal bei Ivanti Neurons einchecken.
  4. Stellen Sie die fehlenden Patches auf dem Agentencomputer bereit.
    Die Bereitstellung kann über vier verschiedene Methoden durchgeführt werden:
    • Über eine automatische, geplante Patchbereitstellung, die durch die Patchkonfiguration definiert ist.
    • Über die Komponente Endpunktanfälligkeit in Ivanti Neurons for Patch Management. Sie können diese Komponente für die Bereitstellung aller Patches verwenden, die während des letzten Patchscans als fehlend identifiziert wurden.

      Stellen Sie sicher, dass Sie über die benötigten Patchmanagement-Berechtigungen verfügen, um Patches über die Endpunktanfälligkeit bereitzustellen.

    • Über die Registerkarte Patches auf der Seite Gerätedetails. Sie können einzelne Patches für die Bereitstellung über diese Seite auswählen.
    • Durch die Verwendung des Agent-Client auf dem Agentencomputer können Sie eine Patchbereitstellung sofort einleiten.
    Nach erfolgter Patchbereitstellung wird der Agentencomputer automatisch neu gescannt und die Ergebnisse werden an Ivanti Neurons gesendet. Dadurch können Sie den Bereitstellungsstatus überprüfen und den aktuellen Systemzustand des Agentencomputers beurteilen.
  5. Mithilfe der Komponente Bereitstellungsverlauf können Sie die Ergebnisse der Bereitstellung auf einen Blick erkennen und etwaige Probleme schnell identifizieren.
  6. Mit der Komponente Endpunktanfälligkeit lässt sich der Patchzustand der Computer in Ihrer Umgebung beurteilen.
  7. Mit Patch Intelligence erhalten Sie ein umfassendes Verständnis der auf Ihren Computern ermittelten Anfälligkeiten, basierend auf risikobasierter Priorisierung, Patchzuverlässigkeit und Patchcompliance.

Hybrid-Workflow

Dieser Workflow gilt für aktuelle Kunden, die einen Connector zu einem internen Patchmanagement-Produkt wie Ivanti Endpoint Manager, Ivanti Patch for Microsoft Endpoint Manager (MEM), Ivanti Security Controls, Ivanti Endpoint Security oder Ivanti Desktop and Server Management verwenden. Diese Kunden starten die Migration in den Cloud-Workflow, indem sie beide Workflows gleichzeitig verwenden. Beispiel: Vorhandene Kunden entscheiden sich dafür, die Verwaltung ihrer Workstations in den Cloud-Workflow zu verlagern, möchten aber weiterhin Patchmanagement-Funktionen für getrennte Workstations, Server und andere wichtige oder vertrauliche Geräte unter Verwendung ihres internen Workflows anbieten. Mit dieser Strategie bewerkstelligen Sie den Umstieg in den Cloud-Workflow in Ihrem eigenen Tempo.

Die interne Konsole scannt nach Patches und stellt diese auf verwalteten Computern bereit. Die Ergebnisse werden an Ivanti Neurons gemeldet.

Objekte in der Abbildung

A

Agentencomputer

B

Interne Patchmanagement-Konsole (Endpoint Manager, Security Controls usw.)

C

Über die Konsole verwaltete Computer

Cloud-Workflow

1

Erstellen Sie eine benutzerdefinierte Richtliniengruppe.

2

Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe.

3

Warten Sie, bis die Änderungen auf Ihren Agentencomputern propagiert wurden.

4

Agenten scannen nach Patches und stellen diese auf den verwalteten Computern bereit.

5

Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet.

Hybrid-Workflow

i

Connector

ii

Die Konsole scannt nach Patches und stellt diese auf den verwalteten Computern bereit.

iii

Die Konsolenergebnisse werden an Ivanti Neurons gemeldet.

Das Ergebnis ist eine Kombination von Daten auf der Ivanti Neurons-Plattform für in der Cloud und intern verwaltete Geräte. Patchbereitstellungen für Endpunkte, die vom Cloud-Workflow gesteuert werden, werden vom Ivanti Neurons-Agenten durchgeführt. Bereitstellungen auf Geräten, die von einer internen Lösung gesteuert werden, werden weiterhin von der internen Konsole durchgeführt.

Sie können also Geräte haben, die sowohl von der Ivanti Neurons-Cloud als auch einer internen Lösung verwaltet werden. Beide Lösungen können problemlos parallel verwendet werden. Aktionen, die von der Ivanti Neurons-Cloud durchgeführt werden, haben Vorrang, da sie eine direkte Interaktion mit den Geräten implizieren.

Es ist zwar möglich, dass Geräte von beiden Lösungen gleichzeitig verwaltet werden, jedoch kann es schnell unübersichtlich werden, wenn mehrere Berichte von unterschiedlichen Produkten empfangen werden.

Die Bereitstellungen können über einen Ivanti Neurons-Agenten, einen Ivanti Endpoint Manager oder die lokale Konsole für Ivanti Security Controls oder aus der Cloud heraus über die Komponenten Gerätedetails oder Endunktanfälligkeit eingeleitet werden.

Verwandte Themen

Endpunktanfälligkeit

Patch Intelligence

Bereitstellungsverlauf

Patcheinstellungen