Neuerungen

Der Erfolg von App Control ist in erster Linie der Funktion "Vertrauenswürdiger Besitz" geschuldet. Diese gewährleistet, dass ausführbare Dateien nur dann ausgeführt werden können, wenn sie einem vertrauenswürdigen Konto angehören wie einem Administratorkonto oder einem vertrauenswürdigen Installationsprogramm. Im Umkehrschluss bedeutet dies, dass alles, was von einem Benutzer installiert oder modifiziert wurde, nicht ausgeführt wird. In ausgereiften Organisationen könnte dies dazu führen, dass legitime, aber von einem Benutzer installierte Anwendungen blockiert werden. Um dies zu verhindern, bietet App Control Benutzern die Möglichkeit, potenziell blockierte Apps zu identifizieren und Ausnahmen für sie zu erstellen. Diese als Zulassungsregeln bezeichneten Ausnahmen gewährleisten, dass die Produktivität, ohne Abstriche bei der Sicherheit, erhalten bleibt. Diese Regeln können so konfiguriert werden, dass sie bei bestimmten Softwareversionen, Standorten, Personen, Geräten oder IP-Geräten greifen.

Um Software zu identifizieren, die möglicherweise von der Funktion "Vertrauenswürdiger Besitz" betroffen ist, empfiehlt es sich, eine Konfiguration im Modus Nur prüfen zu beginnen. Dadurch kann App Control Informationen über Ausführungen erfassen, ohne bereits Einschränkungen durchzusetzen. Die zusammengetragenen Daten werden grafisch dargestellt, sodass Administratoren einfacher bestimmen können, welche Zulassungsregeln zu erstellen sind.

Zusätzlich haben Sie die Möglichkeit, Verweigerungsregeln zu erstellen. Diese verhindern, dass eine Anwendung bei Vorliegen bestimmter Bedingungen ausgeführt werden kann, selbst wenn sie einem vertrauenswürdigen Besitzer gehören. Dies bietet sich beispielsweise an, wenn sensible Anwendungen automatisch auf allen Geräten installiert werden, aber nur für bestimmte Personen zugänglich sein sollen.

Video zum Thema vertrauenswürdiger Besitz ansehen (4:39)

Das zweite wesentliche Feature von App Control ist die Möglichkeit, die Anzahl der Administratoren in Ihrer Umgebung zu reduzieren, indem Rechte nur für bestimmte Aufgaben und Benutzer erhöht werden können. Ähnlich wie beim Blockieren von Apps kann App Control Daten dazu erfassen, wer derzeit Administratorrechte anfordert und wofür. Mit diesen Informationen ist es für Administratoren einfacher, Regeln zu erstellen, die es Benutzern, die erhöhte Rechte für bestimmte Aktivitäten anfordern, erlauben, bestimmte Aufgaben durchzuführen, ohne ihnen dauerhafte Administratorrechte einzuräumen.

Video zum Thema erhöhte Rechte ansehen (2:00)

Benutzer verfügen über einen freien Speicherplatz von 10 GB. Das Hochladen und Löschen von Dateien zu bzw. aus diesem Speicher wird über den Cloud-Speicher-Explorer verwaltet. Dieser kann über die Aktion "Herunterladen" in einem App-Paket aufgerufen werden.

Die App-Verteilung funktioniert jetzt fehlerfrei, wenn der Neurons-Agent für die Verwendung eines Proxyservers konfiguriert ist.

Benutzer können das App-Portal auf Windows-Geräten bereitstellen. Dieses enthält Apps, die dem Endbenutzer zugewiesen sind, und die dieser nach Bedarf installieren kann. Hierbei handelt es sich um ein gestaffeltes Rollout, das nur für eine begrenzte Anzahl von Kunden verfügbar ist. Wir gehen davon aus, Ende November einen vollständigen Rollout anbieten zu können.

Diese neuen Abfragen erzeugen eine Übersicht über alle Ivanti Application Control (AC)- und Environment Manager (EM)-Konfigurationen, die auf Geräten eingerichtet sind. Die Abfragen geben nur dann Daten zurück, wenn die AC/EM-Konfigurationen über Neurons AC/EM (Hybrid) Deployment bereitgestellt wurden.

Es wurden neue Sensoren hinzugefügt, mit denen Sie Environment Manager (EM)-Ereignisse auf Ihren Geräten abfragen können. Dazu gehören die Ivanti Environment Manager-Sensoren Ereigniszusammenfassung, Ereignisübersicht, Details, Aktionsleistung und Aktionsleistung – Details. Voraussetzung für die Verwendung dieser Sensoren ist die Installation des EM-Agenten auf den abzufragenden Geräten.

Die Standorteinstellung bei den Edge Intelligence-Einstellungen wird jetzt auf Mac-Geräten unterstützt. Das heißt, dass die komplette Konfiguration der Standorteinstellung jetzt bei den Edge Intelligence-Einstellungen vorgenommen werden kann. Die alte Einstellung auf der Benutzeroberfläche von Edge Intelligence wurde entfernt, da sie nicht mehr benötigt wird.

Weitere Informationen finden Sie unter Edge Intelligence-Einstellungen.

Verschiedene Abfragen verwendeten zum Festlegen eines Zeitraums die Parameter "Ab Datum" und "Bis Datum". Dies wurde nun geändert. Es gibt nur noch den Parameter "Datumsbereich", der einige integrierte Optionen zum Angeben eines Datums-/Uhrzeitbereichs vom Typ "Letzte x Tage" unterstützt. Es kann weiterhin ein benutzerdefinierter Bereich festgelegt werden.

Verschiedene Abfragen wurden verbessert. Auf der Landingpage mit der Agentenübersicht ist nunmehr die zusätzliche Eigenschaft "Betriebssystem" verfügbar. Die Abfrage "Geräte-Dashboard" zeigt jetzt die lokale Geräteuhrzeit an. Die Abfrage "BIOS-Informationen" wurde umstrukturiert, sodass die Eigenschaften ersichtlicher sind.

Beim Verwenden von Bot-Eingaben steht jetzt der neue Typ "Liste mit Text/Zeichenfolgen" zur Verfügung. Dieser ermöglicht die Weitergabe einer Werteliste an einen Bot während der Laufzeit. Wenn die Phase "Webanfrage" auf eine API verweist, die im Rahmen der Antwort mehrere Arrays auf Feldebene zurückgibt, können darüber hinaus jetzt auch Bots genutzt werden, um die Antwort zu verarbeiten.

Die Phase "Webanfrage" versucht jetzt standardmäßig, eine JSON-Antwort einem get-Befehl in Kontrollkästchen zuzuordnen, um den Datentyp (Datum, Zahl, boolescher Wert usw.) automatisch zu bestimmen. Der Administrator muss lediglich die Datentypen auswählen, die im Bot verwendet werden sollen, um diese als Ausgabe zur Verfügung zu stellen.

Es wurde eine neue Abfragephase hinzugefügt, die Details zu kürzlich verwendeten Wechselspeichergeräten zurückgibt, die über den Edge Intelligence-Sensor aus dem Windows-Ereignisprotokoll abgerufen wurden. Dazu gehört auch eine Verlaufsansicht der Geräte, die je nach Bedarf nach Datum gefiltert werden kann.

Für eine flexiblere Handhabung von Listendaten wurde eine Reihe von neuen Listenphasen hinzugefügt, zusätzlich zur Unterstützung von Arrays auf Feldebene. Die neuen Phasen lauten Listendurchschnitt ermitteln, Liste filtern, In Liste suchen, Liste abflachen, Liste enthält, Listenlänge, Erstes Listenelement wählen, Liste sortieren und Liste summieren. Die "Für jedes"-Phase wurde ebenfalls optimiert und in den Listenabschnitt der Phase verschoben. Weitere Details zu Phasen können den Beschreibungen der Phaseninformationen entnommen werden.

Weitere Informationen finden Sie unter Phasen vom Typ "Listenfunktion".

Es wurde eine neue Funktion hinzugefügt, die das Generieren von menschenlesbaren Datumsangaben in relevanten Phasen ermöglicht. Diese befindet sich bei den erweiterten Einstellungen kompatibler Phasen und kann in Feldeinfügungen (Tokens) oder E-Mail-Textkörpern verwendet werden.

Beim Erstellen von Bots und Verwenden der Funktion "Jetzt ausführen" besteht nun die Möglichkeit, private Gruppen als Ziel festzulegen. Auf diese Weise wird der Erstellungsprozess optimiert und verhindert, dass öffentliche Gruppen durch Testgeräte belastet werden.

Der Bots-Startbildschirm verfügt über eine neue Funktionalität, die das Anzeigen ausgeführter Bots im Zeitverlauf ermöglicht. Dazu gehören Details zur Anzahl der auf dem Endpunkt durchgeführten Interaktionen nach Bot. Dies bietet außerdem Einblick in geplante High Impact-Bots, deren Ausführung verteilt wird und etwas länger dauert, mit dem Ziel, die Last zu optimieren und Spitzenbelastungen im Netzwerk zu reduzieren. Ein High Impact-Bot ist ein Bot, der mehrere Tausend Interaktionen innerhalb eines 5-Minuten-Zeitfensters durchführt. Der High Impact ergibt sich aus der Anzahl der verarbeiteten Phasen, multipliziert mit der Anzahl der Zielendpunkte. Menschlich ausgelöste Bots umgehen diesen Mechanismus.

Die Berichtsoberfläche kann nach Trigger filtern und bietet sich an, um die Nutzung benutzerdefinierter Aktionen in einem bestimmten Zeitraum über die Geräte- oder Personenansicht anzuzeigen.

Weitere Informationen finden Sie unter Endpunktinteraktionen.

Die Bots-Startseite verfügt über einen neuen Bereich "Einstellungen". Darüber können Administratoren Benutzer oder Rollen auswählen, deren Mitglieder unter Berücksichtigung der Optionen geplanter Bots E-Mail-Benachrichtigungen erhalten sollen(laufende Ausführung, erfolgreiche und/oder fehlerhafte Ausführung).

Es wurden neue Inventarphasen für Geräte und Personen angelegt, die das Anreichern von Daten für Geräte und Personen ermöglichen, die den Bot durchlaufen. Diese Daten werden anschließend in Filtern zum Verzweigen oder Einfügen in andere Phasen verwendet, z. B. E-Mail-Berichte, Webanfragen oder ITSM-Tickets. Diese sind für Early Access verfügbar und werden basierend auf dem Feedback auf breiterer Ebene ausgerollt werden.

ServiceNow-Benutzer können jetzt mithilfe von Bots Tickets erstellen oder aktualisieren. Dies unterstützt die Option, Assets mit Tickets zu verknüpfen und verhindert, dass Tickets doppelt erstellt werden, die bereits für das Gerät oder den Anwendungsfall existieren. Es ist auch möglich, den kompletten Lebenszyklus eines Tickets innerhalb eines Bots zu verwalten, z. B. Problem erkennen, Ticket öffnen, Diagnose durchführen und Aufzeichnung im Ticket. Führen Sie eine Aktion durch, erfassen Sie das Ergebnis im Ticket und versetzen Sie das Ticket in den Status "Geschlossen", wenn das Problem behoben wurde. Alternativ können Sie das Ticket ggf. erneut im Workflow zuweisen oder Metadaten wie die Priorität modifizieren.

Es wurde eine neue Phase hinzugefügt, die es Administratoren ermöglicht, ein Entra ID-Konto unter Verwendung von Bots zu deaktivieren (Personenmodus). Dies ist die erste von zahlreichen neuen Phasen für Aktionen an Personen, die eine leistungsstarke Behebung für eine Reihe von Szenarien ermöglichen.

Einführung neuer Berichtsfunktionen für Patch Management, darunter drei sofort einsatzfähige Berichtsvorlagen: Patch-bezogen, Gerätebezogen und Bereitstellungsverlauf.

Benutzer können eine Reihe von Filtern anwenden, um die Berichte anzupassen und in das Format PDF, XLS oder CSV zu exportieren. Diese Features bieten eine einfache Methode, um die Compliance zu überwachen und Sicherheitsfragen effizient anzugehen.

Weitere Informationen finden Sie unter Berichte.

Hinzufügung von zwei Patch Management Datasets zu Dashboard Designer. Ein Dataset befasst sich mit dem Bereitstellungsverlauf, während der andere Daten zu Geräte-Patchscans bereitstellt. Mithilfe dieser neuen Datasets können Benutzer interaktive und umfassende Dashboards zu wichtigen Patching-Aspekten erstellen, darunter Geräte, Patches, Anfälligkeiten und Bereitstellungsverlauf.

Bislang ergab sich der Status der Patchinstallation aus dem zuletzt ausgeführten Connector-Bericht. Der Patchinstallationsstatus wird jetzt dem neuesten Scan des Neurons-Patchmoduls entnommen, sofern verfügbar. Der Scan eines Ivanti Endpoint Manager Connectors wird verwendet, falls dieser neuer ist als der Neurons-Scan. Scans anderer Connectors werden nur dann verwendet, wenn der vorherige Neurons-Scan länger als 7 Tage zurückliegt.

Das Risiko für Anfälligkeiten und Exploits nimmt im Verlauf der Zeit zu und das kontinuierliche Patchen ganzen Geräteflotten in einer Organisation wird immer mehr zur Herausforderung. Deshalb müssen die Teams aus Informationstechnologie und Informationssicherheit sicherstellen, dass zuerst die kritischsten Patches und dann die wichtigsten Patches bereitgestellt werden.

Mit Ivanti Neurons for Patch Management können Sie jetzt Bereitstellungskriterien festlegen, die auf verschiedenen Risikomodellen basieren:

• VRR (Vulnerability Risk Rating) – Dieses Bewertungsmodell berücksichtigt das Risiko der Ausnutzung oder die Möglichkeit eines aktiven Exploits zusätzlich zu Common Vulnerability Scoring System (CVSS)-Daten, Common Weakness Enumeration (CWE)-Daten, Open Web Application Security Project (OWASP)-Daten, Open-Source-Bedrohungsdaten, Expertisen von Fachleuten, Trenddaten usw. Sie können die VRR-Bewertung während der Patchkonfiguration als Auswahlkriterium eingeben.
• CVSS (Common Vulnerability Scoring System) – Dieses Bewertungssystem gilt als allgemein akzeptierter Standard für die Bewertung von Anfälligkeiten. Dabei werden verschiedenste Faktoren herangezogen, um die Bewertung zu bestimmen. Die Bewertung ist jedoch weitestgehend statisch und berücksichtigt nicht die allmähliche Weiterentwicklung der Angriffs- und Exploit-Szenarien. Sie können die CVSS-Bewertung während der Patchkonfiguration als Auswahlkriterium eingeben.
• Ausgenutzte Anfälligkeiten – Dieses Kriterium ermöglicht die primäre Fokussierung der Patches auf bekannte Anfälligkeiten, die aktiv ausgenutzt werden, und basiert auf Bedrohungsdaten.

Sie können auch alle drei Kriterien gleichzeitig anwenden.

Weitere Informationen finden Sie unter Konfigurationsverhalten.

Sie können jetzt innerhalb einer Patchkonfiguration Bereitstellungskriterien festlegen, die auf Linux-Schweregraden basieren: kritisch, wichtig, mittel usw. Dies ist für Patches mit und ohne Sicherheitsrelevanz möglich.

Weitere Informationen finden Sie unter Konfigurationsverhalten.

Mehrere Versionen von Windows 10 und Windows 11 verwenden das gleiche Core-Betriebssystem und die gleichen Systemdateien. Einige Features in neueren Versionen existieren in einem deaktivierten Status auch in den früheren Versionen. Durch Bereitstellen eines Aktivierungspakets lassen sich diese Features mit nur einem Neustart aktivieren.

Für ein Windows-Gerät können Sie jetzt ein solches Aktivierungspaket direkt über die Routinewartung der Konsole bereitstellen. Es können mehrere Pakete je nach Betriebssystemversion der Geräte ausgewählt werden, mit der Option, ersetzte Patches anzuzeigen und zu wählen.

Beispiel: Durch Verwenden des Aktivierungspakets MSNS20-12-W10-4562830 lassen sich neuere Features, die in Windows 10, Version 20H2 veröffentlicht wurden, auf Windows 10, Version 2004 aktivieren.

Weitere Informationen finden Sie unter Konfigurationsverhalten.

Der Bereitstellungsverlauf wurde um interaktive Filter und Statuskarten ergänzt, die sich auf die erfolgreiche, fehlgeschlagene und laufende Bereitstellung beziehen. Der Zeitraum für die Patchansicht und die Geräteansicht kann über ein Dropdownmenü geändert werden. Dieses bietet zahlreiche Optionen: Letzte Stunde, Letzte 4 Stunden, Letzte 24 Stunden, Letzte 7 Tage und Benutzerdefiniert. Die im Raster angezeigten Daten zum Bereitstellungsverlauf ändern sich dynamisch, je nach gewähltem Zeitraum.

Die Top 10 Bereitstellungsfehler mit dem jeweiligen Grund werden in einem interaktiven Balkendiagramm angezeigt, während die betroffenen Geräte im Raster darunter angezeigt werden.

Weitere Informationen finden Sie unter Bereitstellungsverlauf.

Neustarts sind eine gemeinsam verwendete Ressource in Ivanti Neurons Agent. Die Agentenplattform stattet jedes Modul mit der Möglichkeit aus, die Verschiebung von Neustarts anzufordern oder den sofortigen Neustart eines Endpunkts durchzuführen.

Der Effekt davon ist, dass mehrere Neustartanforderungen gestapelt und Neustarts verhindert werden können. In einem solchen Fall löst der Agent nur einen Neustart aus und erfüllt damit alle gestapelten Anforderungen.

Wenn unterschiedliche Module unterschiedliche Neustartzeitpläne anfordern, kann dies bei Modulen, die Neustarts im Rahmen ihres Betriebs erfordern, zu verborgenen Fehlern führen.

Deshalb haben wir Kritikalitätsstufen eingeführt. Über sie lässt sich angeben, wann ein Neustart Vorrang hat.

Jede Produktfunktion oder Konfiguration informiert den zentralen Neustartmechanismus über die jeweilige Kritikalitätsstufe.

Mögliche Stufen:

• Kritisch: Für Elemente, die einen sofortigen Neustart erfordern, um kritische Abhängigkeiten zu beheben (z. B. Zero-Day-Patch).
• Obligatorisch: Wählen Sie diese Option aus, wenn ein Neustart für das Funktionieren neuer oder aktualisierter Funktionen erforderlich ist (etwa nach einem Modulupdate).
• Empfohlen: Wenn ein Neustart angefordert werden kann aber nicht muss (keine Dringlichkeit).

Innerhalb einer Agentenrichtlinie können Kunden entscheiden, wie jede Kritikalitätsstufe gehandhabt werden soll, was das Konfigurieren von Verschiebungen, Meldungen und Neustartzeitpunkten anbelangt.

Es kann für jede Richtlinie eine minimale Kritikalitätsstufe konfiguriert werden, um Neustarts auf das gewünschte Dringlichkeitsmaß zu begrenzen. Alternativ kann die Voreinstellung "Nicht neu starten" gewählt werden.

Dadurch verfügen Benutzer über einen zentralen, standardisierten Neustartmechanismus, der vorhandene bekannte Neustarteinschränkungen berücksichtigt, darunter folgende:

• Benutzer von Patch Management müssen Neustarts vor und nach der Bereitstellung über denselben Bereich der Benutzeroberfläche konfigurieren, vorzugsweise mit unterschiedlichen Neustartoptionen.
• Die Einstellungen für Zero-Day-Patches erfordern einen sofortigen Neustart und müssen bereits angeforderte Neustartverschiebungen übersteuern.
• Viele Benutzer sind darauf angewiesen, dass kritische Server wie Domänencontroller oder SQL-Cluster jederzeit online bleiben. Deshalb brauchen sie die Option, Neustarts für solche Geräte vollständig zu verhindern.

Weitere Informationen finden Sie unter Agentenrichtlinie Neustart.

Zur einfacheren Identifizierung von relevantem Inhalt verfügen die Hilfethemen Erforderliche URLs, IP-Adressen und Ports und Kompatibilität von Betriebssystemen – Matrix jetzt über einen Versionsverlauf.

In unseren vorherigen Version war die Gerätegruppierung nur für eine Ebene der Gruppierung möglich. Jetzt wird das Gruppieren von Bedingungen oder das Gruppieren innerhalb einer Gruppe unterstützt. Dadurch ist die Gruppierungsfunktion wirkungsvoller und die gewünschten Geräte lassen sich besser filtern.

In früheren Versionen konnte bei der Gruppenfilterung nur ein Datum in den Filter eingegeben werden. Mit unserer neuen Filterfunktion können Sie jetzt eine Anzahl von Tagen eingeben. Dadurch ist der Filter dynamischer.

Es gibt jetzt eine Berechtigung, über die sich die Schaltfläche "Löschen" ausblenden lässt. Dadurch verbessert sich Ihr Sicherheitsstatus, denn es wird eingeschränkt, wer Geräte aus der Geräteansicht löschen kann und wer nicht.

Mitgliedern kann jetzt eine Berechtigung zugewiesen werden, mit der sie eine öffentliche Gruppe erstellen/ändern können. Damit lässt sich einschränken, wer in Ihrer Organisation öffentliche Gruppen erstellen und ändern kann und wer nicht.

Sie können jetzt eine Einstellung für die Energieverwaltung erstellen und sie über eine Richtlinie auf Ihren Geräten bereitstellen. Mögliche Einstellungen:

• Festplatte ausschalten
• Energiesparmodus nach
• Ruhemodus nach
• Reaktivierungstimer zulassen

Es wurden drei Datasets für die DEX-Bewertung zu Dashboard Designer hinzugefügt: DEX-Bewertung für Geräte, DEX-Bewertung für Personen und DEX-Bewertung für Unternehmen. Für alle drei Datasets sind auch Bewertungen aus Umfragen verfügbar, die über Neurons Bots durchgeführt wurden. Für "DEX-Bewertung für Unternehmen" verfolgen wir die Bewertung nun auch täglich, sodass Trendanalysen für einen bestimmten Zeitraum möglich sind.