Patchmanagement
Ivanti Neurons for Patch Management ist eine Cloud-Patching-Lösung. Die Lösung kombiniert Echtzeiteinblicke der Ivanti Neurons-Plattform mit den Asset-Informationen von Ivanti Neurons for Discovery und auswertbaren Daten und ermöglicht dadurch eine risikobasierte Priorisierung für eine flexible Sicherheitsstrategie. Für Ihre Windows-, macOS- und Linux-Geräte stehen umfassende Patchmanagement-Funktionen bereit. Dabei können Produkte von Microsoft, Apple aber auch die von Drittanbietern gepatcht werden.
Wechseln Sie zum Aufrufen von Ivanti Neurons for Patch Management in der Ivanti Neurons-Plattform zu Patchmanagement.
Ivanti Neurons for Patch Management umfasst je nach Lizenz die folgenden Komponenten:
- Compliance-Berichte: Bestimmen Sie Ihren derzeitigen Compliance-Status und prüfen Sie, wie sich die Compliance im Laufe der Zeit entwickelt hat.
- Endpunktanfälligkeit: Diese Komponente stellt eine zentrale Ansicht zum Gerätepatching für Ihre Umgebung bereit und informiert über Geräteszustand und risikobasierte Kennzahlen.
- Patch Intelligence: Diese Komponente erfasst und aggregiert Daten, um das Verwalten, Priorisieren und Optimieren von Patching in Ihrer Umgebung zu vereinfachen. Sie liefert ein genaues Bild Ihrer Bedrohungslandschaft und informiert über priorisierte, risikobasierte Kennzahlen.
- Bereitstellungsverlauf:Der Bereitstellungsverlauf ermöglicht das Anzeigen des Status kürzlich durchgeführter Bereitstellungsvorgänge. Auf diese Weise können Sie sich auf Ausnahmen konzentrieren und Probleme schnell beheben.
- Patcheinstellungen: Ermöglicht Ihnen das Erstellen von Patchkonfigurationen und Konfigurieren von Patchgruppen für den cloudbasierten Patchmanagement-Workflow. Anhand einer Standardkonfiguration lassen sich alle kritischen Sicherheitspatches beheben und Sie profitieren von einem schnellen Einstieg. Sie können jedoch auch eine benutzerdefinierte Patchkonfiguration erstellen, um spezifische Compliance-Schwellenwerte in Ihrem Unternehmen zu erreichen.
- Patch für Intune: Erweitert Microsoft Intune-Implementierungen um Produktverwaltungsfunktionen von Drittanbietern.
Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Verwendung von Patchmanagement verfügen.
Anforderungen
Für die Verwendung von Patch Management sind eine Reihe von Voraussetzungen erforderlich.
Erforderliche URLs, IP-Adressen und Ports
Sie müssen eine Reihe von Web-URLs zu Ihren Listen mit Firewalls, Proxys und Webfilterausnahmen hinzufügen. Die URLs werden zum Herunterladen von Patchinhalten von Drittanbietern verwendet.
Eine vollständige Liste der URLs, die Sie hinzufügen sollten, finden Sie unter Erforderliche URLs, IP-Adressen und Ports.
Microsoft Windows und Microsoft Office
Um mit dem Ivanti Neurons-Agenten erfolgreich Patches auf Windows-Geräten bereitzustellen, deaktivieren Sie den Windows Update-Dienst nicht, sondern setzen Sie ihn auf Manuell oder Automatisch. Setzen Sie zusätzlich die Windows Update-Einstellung auf jedem Zielgerät (über Systemsteuerung > System und Sicherheit > Windows Update > Einstellungen ändern) auf Nie nach Updates suchen. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community.
Wenn Sie Office 2019- oder Office 365-Produkte, die die Click-to-Run-Technologie verwenden, patchen möchten, lesen Sie den Artikel So patcht Ivanti Office Click-to-Run-Installationen in der Ivanti Community (wird in einem neuen Fenster geöffnet). Dort erfahren Sie, wie Patch for Neurons diese Installationen patcht.
macOS
Für Apple Silicon Macs und Intel Macs mit Apple T2-Chip benötigt Ivanti Neurons for Patch Management ein Rollenkonto für die Verwaltung von Betriebssystempatches auf dem Gerät. Wenn Ivanti Neurons for Patch Management erstmals einen Betriebssystempatch für ein Gerät dieses Typs bereitstellt, wird daher ein Dialogfeld angezeigt, in dem der lokale Administrator aufgefordert wird, ein Konto mit Administratorrolle zu erstellen, das von Ivanti Neurons auf dem Gerät verwendet werden kann. Die Anweisungen dazu werden im Bildschirm angezeigt. Wenn auf Ihrem System FileVault aktiviert ist, wird das von Ihnen erstellte Konto mit Administratorrolle nach dem Neustart auf dem Anmeldebildschirm angezeigt.
Cloud-Workflow
Dies ist der primäre Workflow zum Durchführen der Patchmanagement-Funktionalität. Sämtliche Konfigurations- und Bewertungsaktivitäten werden in der Cloud durchgeführt. Die eigentlichen Scans und Bereitstellungen werden jedoch von Agenten durchgeführt, die auf den verwalteten Geräten installiert sind.
|
Objekte in der Abbildung |
|
|---|---|
|
A |
Agentengeräte |
|
Cloud-Workflow |
|
|
1 |
Erstellen Sie eine benutzerdefinierte Richtlinie. |
|
2 |
Erstellen Sie eine Patchkonfiguration und ordnen Sie sie Ihrer Richtlinie zu. |
|
3 |
Warten Sie, bis die Änderungen auf Ihren Agentengeräten übernommen werden. |
|
4 |
Die Agenten scannen nach Patches und stellen diese auf den verwalteten Geräten bereit. |
|
5 |
Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet. |
Details zum Cloud-Workflow
Bedingungsabhängige Schritte
Falls Ihre Geräte bereits über einen Ivanti Neurons-Agenten verfügen, können Sie die bedingungsabhängigen Schritte überspringen.
- Laden Sie den Agenten herunter, der für Ihren Gerätetyp (Windows, Mac oder Linux) bestimmt ist.
Der Download enthält zwei Dateien:- die ausführbare Agentendatei
- eine Optionendatei, die die Mandanten-ID, den Registrierungsschlüssel und die Cloudhost-Informationen enthält, die Sie für den Installationsvorgang benötigen
- Installieren Sie den Agenten auf den gewünschten Zielgeräten.
- Doppelklicken Sie auf dem Zielgerät auf die ausführbare Datei, um den Installationsvorgang zu starten.
- Folgen Sie den Anweisungen des Installationsassistenten.
- Warten Sie, bis der Agent automatisch folgende Aktionen durchführt:
- Registrieren und bei Ivanti Neurons einchecken
- Laden Sie die zugewiesene Agentenrichtlinie herunter.
- Führen Sie einen San auf dem Zielgerät durch, um fehlende Patches zu ermitteln und die Ergebnisse an Ivanti Neurons zu melden.
- Zeigen Sie Informationen zu den neu ermittelten Zielgeräten in der Geräteansicht von Ivanti Neurons an.
Primäre Schritte
- Erstellen Sie eine benutzerdefinierte Agentenrichtlinie.
Die Standardrichtlinie, die anfangs mit einem Agenten installiert wird, ist nur für die Durchführung von Patchscans konfiguriert. Damit Sie Patchbereitstellungen durchführen können, benötigen Sie mindestens eine benutzerdefinierte Richtlinie. Die benutzerdefinierte Richtlinie muss aktiviert werden, damit sie Patchmanagement-Aktionen durchführt. Ferner muss sie mit einer Patchkonfiguration verknüpft werden, in der Ihre Bereitstellungseinstellungen definiert sind. Mithilfe der Option Geräte hinzufügen innerhalb der Richtlinie weisen Sie die Richtlinie den gewünschten Agentengeräten zu.
Aktivieren Sie beim Erstellen der Agentenrichtlinie unbedingt die Funktion Patchmanagement. Die Richtlinie definiert die Regeln, die dem Agenten den autonomen Betrieb auf einem Gerät, mit oder ohne menschliche Interaktion, ermöglichen.
In der benutzerdefinierten Agentenrichtlinie können Sie den Peer-to-Peer-Download auswählen. Peer-to-Peer unterstützt digital signierte und quergeladene Patches. Patches, die automatisch vom Anbieter heruntergeladen und nicht digital signiert wurden, werden in Peer-to-Peer-Szenarien, z. B. 7-Zip und Core FTP, nicht unterstützt. Der Server-Peer teilt nur die für das Betriebssystem geeigneten Patches mit dem Peer-Client. Beispiel: Ein Server 2019 teilt nur 2019er-Patches. - Konfiguieren Sie Ihre Patcheinstellungen.
Die Patcheinstellungen umfassen Folgendes:- Patchkonfiguration: Der primäre Zweck einer Patchkonfiguration besteht darin, zu definieren, wie Patches auf den Agentengeräten bereitgestellt werden. Eine bereits enthaltene Standard-Patchkonfiguration stellt alle fehlenden kritischen Sicherheitspatches wöchentlich in Ihrer Windows-Umgebung bereit. Sie werden vermutlich eine oder mehrere benutzerdefinierte Patchkonfigurationen erstellen wollen, um die spezifischen Anforderungen für die Patchbereitstellung in Ihrem Unternehmen zu definieren.
Verknüpfen Sie Ihre Patchkonfiguration auf der Registerkarte Zuordnungenmit einer benutzerdefinierten Agentenrichtlinie, die für die Durchführung von Patchmanagement-Aktionen aktiviert ist.
- (Optional) Patchgruppe: Sie können in einer Patchkonfiguration auf eine Patchgruppe verweisen. Eine Patchgruppe enthält eine Liste mit bestimmten Patches, die Sie bereitstellen möchten. Dies ist eine gute Methode, um sicherzustellen, dass nur genehmigte Patches bereitgestellt werden. Im Abschnitt Bereitstellungsverhalten unter dem Thema Patcheinstellungen finden Sie weitere Informationen zur ordnungsgemäßen Konfiguration dieses Szenarios.
- Patchkonfiguration: Der primäre Zweck einer Patchkonfiguration besteht darin, zu definieren, wie Patches auf den Agentengeräten bereitgestellt werden. Eine bereits enthaltene Standard-Patchkonfiguration stellt alle fehlenden kritischen Sicherheitspatches wöchentlich in Ihrer Windows-Umgebung bereit. Sie werden vermutlich eine oder mehrere benutzerdefinierte Patchkonfigurationen erstellen wollen, um die spezifischen Anforderungen für die Patchbereitstellung in Ihrem Unternehmen zu definieren.
- Warten Sie, bis die Änderungen auf Ihren Geräten propagiert wurden.
Ihre Geräte empfangen die aktualisierte Richtlinie und Patchkonfigurationsdaten, wenn die Agenten das nächste Mal bei Ivanti Neurons einchecken. - Stellen Sie fehlende Patches auf dem Agentengerät bereit.
Die Bereitstellung kann über vier verschiedene Methoden durchgeführt werden:- Über eine automatische, geplante Patchbereitstellung, die durch die Patchkonfiguration definiert ist.
- Über die Komponente Endpunktanfälligkeit in Ivanti Neurons for Patch Management. Sie können diese Komponente für die Bereitstellung aller Patches verwenden, die während des letzten Patchscans als fehlend identifiziert wurden.
Stellen Sie sicher, dass Sie über die benötigten Berechtigungen für Patch Management verfügen, um Patches über Endpunktanfälligkeit bereitzustellen.
- Über die Registerkarte Patches auf der Seite Gerätedetails. Sie können einzelne Patches für die Bereitstellung über diese Seite auswählen.
- Über die Agenten-Benutzeroberfläche auf dem Agentengerät können Sie eine Patchbereitstellung sofort einleiten.
Um die Agenten-Benutzeroberfläche zu installieren, müssen Sie die Funktion in der zugewiesenen Agentenrichtlinie aktivieren.
Wenn die Installation eines Patches fehlschlägt, wird in einem einzelnen Patchzyklus bis zu dreimal und für den Endpunkt insgesamt bis zu fünfmal ein neuer Versuch unternommen. Sie können die Bereitstellung auch so konfigurieren, dass sie im Rahmen des Konfigurationszeitplans beim Neustart ausgeführt wird, wenn das Gerät offline ist.
Nach erfolgter Patchbereitstellung wird das Agentengerät automatisch neu gescannt und die Ergebnisse werden an Ivanti Neurons gesendet. Dadurch können Sie den Bereitstellungsstatus überprüfen und den aktuellen Systemzustand des Agentengeräts beurteilen.
- Mithilfe der Komponente Bereitstellungsverlauf können Sie die Ergebnisse der Bereitstellung auf einen Blick erkennen und etwaige Probleme schnell identifizieren.
- Mit der Komponente Endpunktanfälligkeit lässt sich der Patchzustand der Geräte in Ihrer Umgebung beurteilen.
- Mit Patch Intelligence erhalten Sie ein umfassendes Verständnis der auf Ihren Geräten ermittelten Anfälligkeiten, basierend auf risikobasierter Priorisierung, Patchzuverlässigkeit und Patchcompliance.
Hybrid-Workflow
Dieser Workflow gilt für bestehende Kunden, die einen Connector zu einem internen Patchmanagement-Produkt verwenden, wie Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security oder Ivanti Desktop and Server Management. Diese Kunden starten die Migration in den Cloud-Workflow, indem sie beide Workflows gleichzeitig verwenden. Beispiel: Vorhandene Kunden entscheiden sich dafür, die Verwaltung ihrer Workstations in den Cloud-Workflow zu verlagern, möchten aber weiterhin Patchmanagement-Funktionen für getrennte Workstations, Server und andere wichtige oder vertrauliche Geräte unter Verwendung ihres internen Workflows anbieten. Mit dieser Strategie bewerkstelligen Sie den Umstieg in den Cloud-Workflow in Ihrem eigenen Tempo.
|
Objekte in der Abbildung |
|
|---|---|
|
A |
Agentengeräte |
|
B |
Interne Patchmanagement-Konsole (Endpoint Manager, Security Controls usw.) |
|
C |
Über die Konsole verwaltete Geräte |
|
Cloud-Workflow |
|
|
1 |
Erstellen Sie eine benutzerdefinierte Richtlinie. |
|
2 |
Erstellen Sie eine Patchkonfiguration und ordnen Sie sie Ihrer Richtlinie zu. |
|
3 |
Warten Sie, bis die Änderungen auf Ihren Agentengeräten übernommen werden. |
|
4 |
Die Agenten scannen nach Patches und stellen diese auf den verwalteten Geräten bereit. |
|
5 |
Die Scan- und Bereitstellungsergebnisse werden an Ivanti Neurons gemeldet. |
|
Hybrid-Workflow |
|
|
i |
Connector |
|
ii |
Die Konsole scannt nach Patches und stellt diese auf den verwalteten Geräten bereit. |
|
iii |
Die Konsolenergebnisse werden an Ivanti Neurons gemeldet. |
Das Ergebnis ist eine Kombination von Daten auf der Ivanti Neurons-Plattform für in der Cloud und intern verwaltete Geräte. Patchbereitstellungen für Endpunkte, die vom Cloud-Workflow gesteuert werden, werden vom Ivanti Neurons-Agenten durchgeführt. Bereitstellungen auf Geräten, die von einer internen Lösung gesteuert werden, werden weiterhin von der internen Konsole durchgeführt.
Sie können also Geräte haben, die sowohl von der Ivanti Neurons-Cloud als auch einer internen Lösung verwaltet werden. Beide Lösungen können problemlos parallel verwendet werden. Aktionen, die von der Ivanti Neurons-Cloud durchgeführt werden, haben Vorrang, da sie eine direkte Interaktion mit den Geräten bieten.
Es ist zwar möglich, dass Geräte von beiden Lösungen gleichzeitig verwaltet werden, jedoch kann es schnell unübersichtlich werden, wenn mehrere Berichte von unterschiedlichen Produkten empfangen werden.
Die Bereitstellungen können über einen Ivanti Neurons-Agenten, einen Ivanti Endpoint Manager oder die lokale Konsole für Ivanti Security Controls oder aus der Cloud heraus über die Komponenten Gerätedetails oder Endunktanfälligkeit eingeleitet werden.
Wenn Sie ein benutzerdefiniertes Scanprofil in Ivanti Security Controls verwenden, kann es vorkommen, dass Sie beim Bereitstellen eines fehlenden Patches darüber informiert werden, dass dieser bereits auf dem Gerät installiert ist. Um dies zu vermeiden, fügen Sie einen regelmäßigen Scan aller Geräte durch, indem Sie die vordefinierten Vorlagen Sicherheitspatchscan oder Alle Patches verwenden. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community (wird in einem neuen Fenster geöffnet).