Patchmanagement
Ivanti Neurons for Patch Management ist eine Cloud-Patching-Lösung. Die Lösung kombiniert Echtzeiteinblicke der Ivanti Neurons-Plattform mit den Asset-Informationen von Ivanti Neurons for Discovery und auswertbaren Daten und ermöglicht dadurch eine risikobasierte Priorisierung für eine flexible Sicherheitsstrategie. Für Ihre Windows-, macOS- und Linux-Geräte stehen umfassende Patchmanagement-Funktionen bereit. Dabei können Produkte von Microsoft, Apple aber auch die von Drittanbietern gepatcht werden.
Wechseln Sie zum Aufrufen von Ivanti Neurons for Patch Management in der Ivanti Neurons-Plattform zu Patchmanagement.
Ivanti Neurons for Patch Management umfasst je nach Lizenz die folgenden Komponenten:
- Compliance-Berichte: Bestimmen Sie Ihren derzeitigen Compliance-Status und prüfen Sie, wie sich die Compliance im Laufe der Zeit entwickelt hat.
- Bereitstellungsverlauf: Der Bereitstellungsverlauf ermöglicht das Anzeigen des Status kürzlich durchgeführter Bereitstellungsvorgänge. Auf diese Weise können Sie sich auf Ausnahmen konzentrieren und Probleme schnell beheben.
- Endpunktanfälligkeit: Diese Komponente stellt eine zentrale Ansicht zum Gerätepatching für Ihre Umgebung bereit und informiert über Geräteszustand und risikobasierte Kennzahlen.
- Patch Intelligence: Diese Komponente erfasst und aggregiert Daten, um das Verwalten, Priorisieren und Optimieren von Patching in Ihrer Umgebung zu vereinfachen. Sie liefert ein genaues Bild Ihrer Bedrohungslandschaft und informiert über priorisierte, risikobasierte Kennzahlen.
- Patcheinstellungen: Ermöglicht Ihnen das Erstellen von Patchkonfigurationen und Konfigurieren von Patchgruppen für den cloudbasierten Patchmanagement-Workflow. Anhand einer Standardkonfiguration lassen sich alle kritischen Sicherheitspatches beheben und Sie profitieren von einem schnellen Einstieg. Sie können jedoch auch eine benutzerdefinierte Patchkonfiguration erstellen, um spezifische Compliance-Schwellenwerte in Ihrem Unternehmen zu erreichen.
- Ringbereitstellungen: Ermöglicht Ihnen das Verwalten von Ringbereitstellungen, sodass Sie die Bereitstellung von Patches auf einer kleineren Anzahl von Testgeräten testen können, bevor Sie mit der Bereitstellung auf allen Geräten fortfahren.
- Patch für Intune: Erweitert Microsoft Intune-Implementierungen um Produktverwaltungsfunktionen von Drittanbietern.
- Berichte: Ermöglicht Ihnen das Erstellen von Berichten mit Daten aus Ivanti Neurons, die Sie als PDF-, CSV- oder XLS-Datei an Personen verteilen können, die keinen Zugriff auf das System haben.
Stellen Sie sicher, dass Sie über die erforderliche Zugriffskontrolle für die Verwendung von Patch Management verfügen.
Anforderungen
Für die Verwendung von Patch Management sind eine Reihe von Voraussetzungen erforderlich.
Erforderliche URLs, IP-Adressen und Ports
Sie müssen eine Reihe von Web-URLs zu Ihren Listen mit Firewalls, Proxys und Webfilterausnahmen hinzufügen. Die URLs werden zum Herunterladen von Patchinhalten von Drittanbietern verwendet.
Eine vollständige Liste der URLs, die Sie hinzufügen müssen, finden Sie unter Erforderliche URLs, IP-Adressen und Ports.
Microsoft Windows und Microsoft Office
Um mit dem Ivanti Neurons-Agenten erfolgreich Patches auf Windows-Geräten bereitzustellen, deaktivieren Sie den Windows Update-Dienst nicht, sondern setzen Sie ihn auf Manuell oder Automatisch. Setzen Sie zusätzlich die Windows Update-Einstellung auf jedem Zielgerät (über Systemsteuerung > System und Sicherheit > Windows Update > Einstellungen ändern) auf Nie nach Updates suchen. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community.
Wenn Sie Office 2019- oder Office 365-Produkte, die die Click-to-Run-Technologie verwenden, patchen möchten, lesen Sie den Artikel So patcht Ivanti Office Click-to-Run-Installationen in der Ivanti Community (wird in einem neuen Fenster geöffnet). Dort erfahren Sie, wie Patch for Neurons diese Installationen patcht.
Die Patchverwaltuung ist jetzt auf Windows 11 IoT Enterprise LTSC verfügbar.
macOS
Auf Apple Silicon Macs und Intel Macs mit Apple T2-Chip benötigt Ivanti Neurons for Patch Management ein Rollenkonto für die Verwaltung der Betriebssystempatches auf dem Gerät.
Wenn Ivanti Neurons for Patch Management die Bereitstellung eines Betriebssystem-Patches zum ersten Mal initiiert, wird ein Systemdialogfeld angezeigt, in dem der lokale Administrator aufgefordert wird, ein Rollenkonto zu erstellen. Der Administrator wird anhand von Anweisungen im Bildschirm durch den Prozess geführt. Zum Autorisieren der Kontoerstellung sind Administrator-Anmeldeinformationen erforderlich.
Sobald der Administrator das Formular ausgefüllt hat, wird ein neues Benutzerkonto mit dem Namen _ivantiNeuronsMacPatchAgent erstellt. Dem Konto wird ein zufällig generiertes, für das Gerät eindeutiges Kennwort zugewiesen. Die Anmeldeinformationen werden sicher im macOS-Schlüsselbund gespeichert.
Wenn ein macOS-Patch erforderlich ist, verwendet Ivanti Neurons das Konto _ivantiNeuronsMacPatchAgent, um das Dienstprogramm systemupdate auszuführen. Dieses Dienstprogramm wendet die neuesten Betriebssystem-Updates mithilfe des Pakets InstallAssist.pkg an, das vom Apple Content Delivery Network (CDN) abgerufen wurde.
Mit MDM verwaltete macOS-Geräte
Ein lokaler Administrator mit Volume-Eigentümerberechtigungen und einem Secure Token kann zusätzliche Benutzer mit denselben Berechtigungen auf dem Gerät erstellen. Dies ist jedoch nicht der Fall für Konten, die über Entra ID oder andere Active Directory-Dienste bereitgestellt werden. Diese Konten gelten nicht als lokal auf dem Computer. Sie verfügen zwar möglicherweise über ein Secure Token, haben jedoch normalerweise keine Volume-Eigentümerberechtigung.
Für mit MDM verwaltete Geräte sind keine Volume-Eigentümerberechtigungen erforderlich, damit administrative Aufgaben wie die Benutzererstellung oder das Patchen des Betriebssystems durchgeführt werden können. Diese Geräte nutzen stattdessen den Bootstrap Token, einen Mechanismus, der darauf ausgelegt ist, sichere Vorgänge durchzuführen, ohne auf die Berechtigungen des Volume-Eigentümers angewiesen zu sein.
Weitere Informationen finden Sie unter Verwenden von sicheren Tokens, Bootstrap-Tokens und Volume-Eigentum in Bereitstellungen.
Da über MDM verwaltete Administratorkonten keine Volume-Eigentümerberechtigungen zuweisen können, empfehlen wir die Verwendung von MDM zum Bereitstellen und Verwalten von macOS-Updates.
Wenngleich die Implementierungsdetails je nach MDM-Anbieter unterschiedlich sein können, unterstützt Ivanti Neurons for MDM diesen Workflow. Weitere Informationen finden Sie in der neuesten Version der Ivanti Neurons for MDM-Dokumentation.
FAQs zu macOS
Warum ist das Konto _ivantiNeuronsMacPatchAgent auf dem Anmeldebildschirm sichtbar, obwohl es ein ausgeblendetes Konto ist?
Wenn FileVault auf dem Gerät aktiviert ist, wird das Rollenkonto _ivantiNeuronsMacPatchAgent nach einem Neustart auf dem Anmeldebildschirm angezeigt. Dies ist davon abhängig, wie FileVault die Authentifizierung beim Starten handhabt.
Wenn FileVault nicht aktiviert ist, bleibt das Konto ausgeblendet und wird nicht in den Systemeinstellungen > Benutzergruppen angezeigt. Es handelt sich um ein nicht interaktives Rollenkonto, d. h. es kann nicht zum Anmelden an der Desktop-Umgebung verwendet werden.
Weitere Informationen zu Rollenkonten erhalten Sie, indem Sie sysadminctl -h im Terminal ausführen.
Was ist ein Rollenkonto und warum wird es für die Bereitstellung von Betriebssystemupdates benötigt?
Ein Rollenkonto ist ein ausgeblendetes, nicht interaktives Benutzerkonto, das zur Authentifizierung und Ausführung von Hintergrunddiensten (wie einem Dienstkonto) auf Windows-Systemen verwendet wird.
Unter macOS können nur Benutzer mit den Berechtigungen "Secure Token" und "Volume-Eigentümer" Vorgänge auf Systemebene durchführen, z. B. geschützte Bereiche der Festplatte ändern oder administrative Aufgaben ausführen. Diese Berechtigungen werden normalerweise dem ersten Benutzer erteilt, der während der Ersteinrichtung von macOS erstellt wird.
Da für das Patchen des Betriebssystems erhöhte Berechtigungen erforderlich sind, muss das Rollenkonto von einem vorhandenen Benutzer erstellt werden, der sowohl die Berechtigung "Secure Token" als auch "Volume-Eigentümer" besitzt.
Weitere Informationen finden Sie unter Verwenden von sicheren Tokens, Bootstrap-Tokens und Volume-Eigentum in Bereitstellungen.
Wie kann ich das Betriebssystem aktualisieren, wenn ich kein Rollenkonto erstellen kann und mein Gerät von MDM verwaltet wird?
Wenn Ihr macOS-Gerät über Mobile Device Management (MDM) verwaltet wird, wird empfohlen, die MDM-Lösung zum Bereitstellen von Betriebssystemupdates zu verwenden. Verwenden Sie Ivanti Neurons for Patch Management, um nach Anwendungspatches von Drittanbietern zu suchen und diese bereitzustellen.
Kann ich das Konto _ivantiNeuronsMacPatchAgent entfernen oder umbenennen?
Dieses Konto wird automatisch von Ivanti Neurons verwaltet und sollte nicht geändert oder gelöscht werden. Das Ändern oder Entfernen des Kontos kann zum fehlschlagen von Patchbereitstellungen und einer Unterbrechung der Patchmanagement-Funktionalität führen.
Wenn die Anmeldeinformationen ungültig sind oder das Konto gelöscht wird, wird die Systemaufforderung beim nächsten Bereitstellen eines Betriebssystem-Patches angezeigt.