Patchmanagement

Ivanti Neurons for Patch Management ist eine Cloud-Patching-Lösung. Die Lösung kombiniert Echtzeiteinblicke der Ivanti Neurons-Plattform mit den Asset-Informationen von Ivanti Neurons for Discovery und auswertbaren Daten und ermöglicht dadurch eine risikobasierte Priorisierung für eine flexible Sicherheitsstrategie. Für Ihre Windows-, macOS- und Linux-Computer stehen umfassende Patchmanagement-Funktionen bereit. Dabei können Produkte von Microsoft, Apple aber auch die von Drittanbietern gepatcht werden.

Für Apple Silicon Macs und Intel Macs mit Apple T2-Chip benötigt Ivanti Neurons for Patch Management ein Rollenkonto für die Verwaltung von Betriebssystempatches auf dem Gerät. Wenn Ivanti Neurons for Patch Management erstmals einen Betriebssystempatch für ein Gerät dieses Typs bereitstellt, wird daher ein Dialogfeld angezeigt, in dem der lokale Administrator aufgefordert wird, ein Konto mit Administratorrolle zu erstellen, das von Ivanti Neurons auf dem Gerät verwendet werden kann. Die Anweisungen dazu werden im Bildschirm angezeigt. Wenn auf Ihrem System FileVault aktiviert ist, wird das von Ihnen erstellte Konto mit Administratorrolle nach dem Neustart auf dem Anmeldebildschirm angezeigt.

Wechseln Sie zum Aufrufen von Ivanti Neurons for Patch Management in der Ivanti Neurons-Plattform zu Patchmanagement.

Ivanti Neurons for Patch Management umfasst je nach Lizenz die folgenden Komponenten:

  • Compliance-Berichte: Bestimmen Sie Ihren derzeitigen Compliance-Status und prüfen Sie, wie sich die Compliance im Laufe der Zeit entwickelt hat.
  • Endpunktanfälligkeit: Diese Komponente stellt eine zentrale Ansicht zum Gerätepatching für Ihre Umgebung bereit und informiert über Geräteszustand und risikobasierte Kennzahlen.
  • Patch Intelligence: Diese Komponente erfasst und aggregiert Daten, um das Verwalten, Priorisieren und Optimieren von Patching in Ihrer Umgebung zu vereinfachen. Sie liefert ein genaues Bild Ihrer Bedrohungslandschaft und informiert über priorisierte, risikobasierte Kennzahlen.
  • Bereitstellungsverlauf:Der Bereitstellungsverlauf ermöglicht das Anzeigen des Status kürzlich durchgeführter Bereitstellungsvorgänge. Auf diese Weise können Sie sich auf Ausnahmen konzentrieren und Probleme schnell beheben.
  • Patcheinstellungen: Ermöglicht Ihnen das Erstellen von Patchkonfigurationen und Konfigurieren von Patchgruppen für den cloudbasierten Patchmanagement-Workflow. Anhand einer Standardkonfiguration lassen sich alle kritischen Sicherheitspatches beheben und Sie profitieren von einem schnellen Einstieg. Sie können jedoch auch eine benutzerdefinierte Patchkonfiguration erstellen, um spezifische Compliance-Schwellenwerte in Ihrem Unternehmen zu erreichen.
  • Patch für Intune: Erweitert Microsoft Intune-Implementierungen um Produktverwaltungsfunktionen von Drittanbietern.

Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Verwendung von Patchmanagement verfügen.

Anforderungen

Sie müssen eine Reihe von Web-URLs zu Ihren Listen mit Firewalls, Proxys und Webfilterausnahmen hinzufügen. Die URLs werden zum Herunterladen von Patchinhalten von Drittanbietern verwendet.

Eine vollständige Liste der URLs, die Sie hinzufügen sollten, finden Sie unter Erforderliche URLs, IP-Adressen und Ports.

Um mit dem Ivanti Neurons-Agenten erfolgreich Patches auf Windows-Geräten bereitzustellen, deaktivieren Sie den Windows Update-Dienst nicht, sondern setzen Sie ihn auf Manuell oder Automatisch. Setzen Sie zusätzlich die Windows Update-Einstellung auf jedem Zielcomputer (über Systemsteuerung > System und Sicherheit > Windows Update > Einstellungen ändern) auf Nie nach Updates suchen. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community.

Wenn Sie Office 2019- oder Office 365-Produkte, die die Click-to-Run-Technologie verwenden, patchen möchten, lesen Sie den Artikel So patcht Ivanti Office Click-to-Run-Installationen in der Ivanti Community (wird in einem neuen Fenster geöffnet). Dort erfahren Sie, wie Patch for Neurons diese Installationen patcht.

Cloud-Workflow

Dies ist der primäre Workflow zum Durchführen der Patchmanagement-Funktionalität. Sämtliche Konfigurations- und Bewertungsaktivitäten werden in der Cloud durchgeführt. Die eigentlichen Scans und Bereitstellungen werden jedoch von Agenten durchgeführt, die auf den verwalteten Computern installiert sind.

1) Erstellen Sie eine benutzerdefinierte Richtliniengruppe. 2) Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe. 3) Warten Sie, bis die Änderungen auf den Agenten propagiert wurden. 4) Die Agenten scannen nach Patches und stellen diese bereit. 5) Die Ergebnisse werden an Ivanti Neurons gemeldet.

Objekte in der Abbildung

A

Agentencomputer

Cloud-Workflow

1

Erstellen Sie eine benutzerdefinierte Richtliniengruppe.

2

Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe.

3

Warten Sie, bis die Änderungen auf Ihren Agentencomputern propagiert wurden.

4

Agenten scannen nach Patches und stellen diese auf den verwalteten Computern bereit.

5

Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet.

Details zum Cloud-Workflow

Bedingungsabhängige Schritte

Falls Ihre Geräte bereits über einen Ivanti Neurons-Agenten verfügen, können Sie die bedingungsabhängigen Schritte überspringen.

  1. Laden Sie den Agenten herunter, der auf Ihren Gerätetyp (Windows, Mac oder Linux) ausgelegt ist.
    Der Download enthält zwei Dateien:
    • die ausführbare Agentendatei
    • eine Optionendatei, die die Mandanten-ID, den Aktivierungsschlüssel und Cloudhost-Informationen enthält, die Sie für den Installationsvorgang benötigen
  2. Installieren Sie den Agenten auf den gewünschten Zielcomputern.
    1. Doppelklicken Sie auf dem Zielcomputer auf die ausführbare Datei, um den Installationsvorgang zu starten.
    2. Folgen Sie den Anweisungen des Installationsassistenten.
  3. Warten Sie, bis der Agent automatisch folgende Aktionen durchführt:
    • Registrieren und bei Ivanti Neurons einchecken
    • Laden Sie die Standardagent-Richtliniengruppe herunter.
    • Führen Sie einen San auf dem Zielcomputer durch, um fehlende Patches zu ermitteln und die Ergebnisse an Ivanti Neurons zu melden.
  4. Zeigen Sie Informationen zu den neu ermittelten Zielcomputern in der Geräteansicht von Ivanti Neurons an.

Primäre Schritte

  1. Erstellen Sie eine benutzerdefinierte Agenten-Richtliniengruppe.
    Die Standard-Richtliniengruppe, die anfangs mit einem Agenten installiert wird, ist nur für die Durchführung von Patchscans konfiguriert. Damit Sie Patchbereitstellungen durchführen können, benötigen Sie mindestens eine benutzerdefinierte Richtliniengruppe. Die benutzerdefinierte Richtliniengruppe muss aktiviert werden, damit sie Patchmanagement-Aktionen durchführt. Ferner muss sie mit einer Patchkonfiguration verknüpft werden, in der Ihre Bereitstellungseinstellungen definiert sind. Mithilfe der Option Geräte hinzufügen innerhalb der Richtlinie weisen Sie die Richtlinie den gewünschten Agentencomputern zu.
    Aktivieren Sie beim Erstellen der Agenten-Richtliniengruppe unbedingt die Funktion Patchverwaltung. Die Richtliniengruppe definiert die Regeln, die dem Agenten den autonomen Betrieb auf einem Gerät, mit oder ohne menschliche Interaktion, ermöglichen.
    In der benutzerdefinierten Agentenrichtlinie können Sie den Peer-to-Peer-Download auswählen. Peer-to-Peer unterstützt digital signierte und quergeladene Patches. Patches, die automatisch vom Anbieter heruntergeladen und nicht digital signiert wurden, werden in Peer-to-Peer-Szenarien, z. B. 7-Zip und Core FTP, nicht unterstützt. Der Server-Peer teilt nur für das Betriebssystem geeignete Patches mit dem Peer-Client. Beispiel: Ein Server 2019 teilt nur 2019er-Patches (und keine späteren) mit einem Windows 11-Client.
  2. Konfiguieren Sie Ihre Patcheinstellungen.
    Die Patcheinstellungen umfassen Folgendes:
    • Patchkonfiguration: Der primäre Zweck einer Patchkonfiguration besteht darin, zu definieren, wie Patches auf den Agentencomputern bereitgestellt werden. Eine bereits enthaltene Standard-Patchkonfiguration stellt alle fehlenden kritischen Sicherheitspatches wöchentlich in Ihrer Windows-Umgebung bereit. Sie werden vermutlich eine oder mehrere benutzerdefinierte Patchkonfigurationen erstellen wollen, um die spezifischen Anforderungen für die Patchbereitstellung in Ihrem Unternehmen zu definieren.

      Verknüpfen Sie Ihre Patchkonfiguration auf der Registerkarte Zuordnungenmit einer benutzerdefinierten Agenten-Richtliniengruppe, die für die Durchführung von Patchmanagement-Aktionen aktiviert ist.

    • (Optional) Patchgruppe: Sie können in einer Patchkonfiguration auf eine Patchgruppe verweisen. Eine Patchgruppe enthält eine Liste mit bestimmten Patches, die Sie bereitstellen möchten. Dies ist eine gute Methode, um sicherzustellen, dass nur genehmigte Patches bereitgestellt werden. Im Abschnitt Bereitstellungsverhalten unter dem Thema Patcheinstellungen finden Sie weitere Informationen zur ordnungsgemäßen Konfiguration dieses Szenarios.
  3. Warten Sie, bis die Änderungen auf Ihren Geräten propagiert wurden.
    Ihre Geräte empfangen die aktualisierte Richtlinie und Patchkonfigurationsdaten, wenn die Agenten das nächste Mal bei Ivanti Neurons einchecken.
  4. Stellen Sie die fehlenden Patches auf dem Agentencomputer bereit.
    Die Bereitstellung kann über vier verschiedene Methoden durchgeführt werden:
    • Über eine automatische, geplante Patchbereitstellung, die durch die Patchkonfiguration definiert ist.
    • Über die Komponente Endpunktanfälligkeit in Ivanti Neurons for Patch Management. Sie können diese Komponente für die Bereitstellung aller Patches verwenden, die während des letzten Patchscans als fehlend identifiziert wurden.

      Stellen Sie sicher, dass Sie über die benötigten Berechtigungen für Patch Management verfügen, um Patches über Endpunktanfälligkeit bereitzustellen.

    • Über die Registerkarte Patches auf der Seite Gerätedetails. Sie können einzelne Patches für die Bereitstellung über diese Seite auswählen.
    • Durch die Verwendung des Agent-Client auf dem Agentencomputer können Sie eine Patchbereitstellung sofort einleiten.
    Nach erfolgter Patchbereitstellung wird der Agentencomputer automatisch neu gescannt und die Ergebnisse werden an Ivanti Neurons gesendet. Dadurch können Sie den Bereitstellungsstatus überprüfen und den aktuellen Systemzustand des Agentencomputers beurteilen.
  5. Mithilfe der Komponente Bereitstellungsverlauf können Sie die Ergebnisse der Bereitstellung auf einen Blick erkennen und etwaige Probleme schnell identifizieren.
  6. Mit der Komponente Endpunktanfälligkeit lässt sich der Patchzustand der Computer in Ihrer Umgebung beurteilen.
  7. Mit Patch Intelligence erhalten Sie ein umfassendes Verständnis der auf Ihren Computern ermittelten Anfälligkeiten, basierend auf risikobasierter Priorisierung, Patchzuverlässigkeit und Patchcompliance.

Hybrid-Workflow

Dieser Workflow gilt für bestehende Kunden, die einen Connector zu einem internen Patchmanagement-Produkt verwenden, wie Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security oder Ivanti Desktop and Server Management. Diese Kunden starten die Migration in den Cloud-Workflow, indem sie beide Workflows gleichzeitig verwenden. Beispiel: Vorhandene Kunden entscheiden sich dafür, die Verwaltung ihrer Workstations in den Cloud-Workflow zu verlagern, möchten aber weiterhin Patchmanagement-Funktionen für getrennte Workstations, Server und andere wichtige oder vertrauliche Geräte unter Verwendung ihres internen Workflows anbieten. Mit dieser Strategie bewerkstelligen Sie den Umstieg in den Cloud-Workflow in Ihrem eigenen Tempo.

Die interne Konsole scannt nach Patches und stellt diese auf verwalteten Computern bereit. Die Ergebnisse werden an Ivanti Neurons gemeldet.

Objekte in der Abbildung

A

Agentencomputer

B

Interne Patchmanagement-Konsole (Endpoint Manager, Security Controls usw.)

C

Über die Konsole verwaltete Computer

Cloud-Workflow

1

Erstellen Sie eine benutzerdefinierte Richtliniengruppe.

2

Erstellen Sie eine Patchkonfiguration und verknüpfen Sie sie mit Ihrer Richtliniengruppe.

3

Warten Sie, bis die Änderungen auf Ihren Agentencomputern propagiert wurden.

4

Agenten scannen nach Patches und stellen diese auf den verwalteten Computern bereit.

5

Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet.

Hybrid-Workflow

i

Connector

ii

Die Konsole scannt nach Patches und stellt diese auf den verwalteten Computern bereit.

iii

Die Konsolenergebnisse werden an Ivanti Neurons gemeldet.

Das Ergebnis ist eine Kombination von Daten auf der Ivanti Neurons-Plattform für in der Cloud und intern verwaltete Geräte. Patchbereitstellungen für Endpunkte, die vom Cloud-Workflow gesteuert werden, werden vom Ivanti Neurons-Agenten durchgeführt. Bereitstellungen auf Geräten, die von einer internen Lösung gesteuert werden, werden weiterhin von der internen Konsole durchgeführt.

Sie können also Geräte haben, die sowohl von der Ivanti Neurons-Cloud als auch einer internen Lösung verwaltet werden. Beide Lösungen können problemlos parallel verwendet werden. Aktionen, die von der Ivanti Neurons-Cloud durchgeführt werden, haben Vorrang, da sie eine direkte Interaktion mit den Geräten bieten.

Es ist zwar möglich, dass Geräte von beiden Lösungen gleichzeitig verwaltet werden, jedoch kann es schnell unübersichtlich werden, wenn mehrere Berichte von unterschiedlichen Produkten empfangen werden.

Die Bereitstellungen können über einen Ivanti Neurons-Agenten, einen Ivanti Endpoint Manager oder die lokale Konsole für Ivanti Security Controls oder aus der Cloud heraus über die Komponenten Gerätedetails oder Endunktanfälligkeit eingeleitet werden.

Wenn Sie ein benutzerdefiniertes Scanprofil in Ivanti Security Controls verwenden, kann es vorkommen, dass Sie beim Bereitstellen eines fehlenden Patches darüber informiert werden, dass dieser bereits auf dem Gerät installiert ist. Um dies zu vermeiden, fügen Sie einen regelmäßigen Scan aller Geräte durch, indem Sie die vordefinierten Vorlagen Sicherheitspatchscan oder Alle Patches verwenden. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community (wird in einem neuen Fenster geöffnet).

Verwandte Themen

Endpunktanfälligkeit

Patch Intelligence

Bereitstellungsverlauf

Patcheinstellungen