Creación de una configuración de parches personalizada
Para crear su propia configuración de parches personalizados, haga clic en Crer configuración.
- Nombre de la configuración: el nombre que desee asignar a esta configuración.
- Comentario: proporcione un comentario que describa el motivo de esta configuración.
Enfoque sin contenido de la aplicación de parches en Linux
La solución de parches de Ivanti para Linux difiere de la que se utiliza para Windows y Mac. Es importante comprender las diferencias en el enfoque sin contenido para la aplicación de parches de Linux, ya que da lugar a diferencias en el momento en que los datos de los parches aparecen en los productos de Ivanti.
Para Windows y Mac, Ivanti organiza y prueba los datos de contenido de los parches antes de liberarlos a los productos para su uso. Para conocer todos los detalles de este proceso, consulte la Comunidad de Ivanti (se abre en una ventana nueva). Este enfoque es necesario porque estos sistemas operativos permiten instalar software de distintas fuentes.
Linux tiene un enfoque distinto, en el que el despliegue y mantenimiento del software instalado se controla mediante un Gestor de paquetes conectado a repositorios específicos de la distribución. Los productos de parches de Ivanti utilizan las fuentes de repositorio del dispositivo para rellenar el contenido del parche necesario durante el análisis de parches. Se trata del enfoque sin contenido y permite que los productos sean más flexibles. Le permite utilizar repositorios de terceros e internos sin necesidad de que Ivanti actualice su propio Contenido de Parches. Además, en cuanto las actualizaciones están disponibles en el repositorio, pueden instalarse sin necesidad de que Ivanti actualice el contenido de los parches. Inicialmente, no aparecen datos de parches Linux en Neurons hasta que se ha analizado un dispositivo y se han cargado y procesado los datos de ese dispositivo. A medida que se analizan más dispositivos, los datos adicionales se fusionan para proporcionar una imagen más completa.
Pestaña de Comportamiento de configuración
Esta pestaña le permite configurar un serie de opciones relacionadas con el despliegue de parches.
Sugerencia: seleccione Mostrar resumen para ver un resumen de sus opciones de configuración de parches personalizados, con una pestaña para cada sistema operativo. Este resumen se actualiza en tiempo real a medida que agrega, elimina o modifica las opciones de configuración de parches.
Esta área le permite configurar qué parches se desplegarán (opciones de despliegue), y si se enviarán solicitudes para reiniciar los equipos de destino durante el proceso de despliegue (comportamiento de reinicio) y en qué momento. Puede configurar distintos comportamientos de despliegue para distintos sistemas operativos en la misma configuración de parches.
Activación del despliegue de un sistema operativo
Puede activar y desactivar el despliegue de parches para cada sistema operativo por separado. En Comportamiento de despliegue, seleccione el sistema operativo necesario y, a continuación, configure Desplegar parches según sea necesario.
Para crear una configuración de parches de solo análisis, desactive el conmutador de despliegue para todas las pestañas del sistema operativo.
Opciones de despliegue
Existen hasta tres opciones de despliegue configurables, en función del sistema operativo:
- Windows: Despliegue por gravedad, Despliegue por grupo de parches y Proveedores/productos seleccionados
- Mac: Despliegue por gravedad, Despliegue por grupo de parches
- Linux: Parchear todo
Por defecto, solo se despliegan los parches de seguridad crítica para Windows. Si activa y configura Desplegar por gravedad y configura algunos grupos de parches en Incluir en Desplegar/Excluir por grupo de parches, el efecto es aditivo, desplegándose todos los parches de cada opción configurada. Si activa y configura Proveedores/Productos seleccionados, esa opción filtrará los parches de las otras dos opciones.Si configura un grupo de parches como Excluir en Despliegue/Excluir por grupo de parches, los parches que se encuentren en un grupo de parches configurado como Excluir se excluirán siempre, aunque estén configurados para incluirlos en otro lugar.
Ejemplo 1: si quiere desplegar solo los parches que se encuentren en un grupo de parches:
- Desactive las opciones Desplegar por gravedad y Proveedores/Productos seleccionados
- Active la opción Desplegar/Excluir por grupo de parches y establezca el grupo de parches deseado en Incluir
Ejemplo 2: imagine que configura lo siguiente:
- Desplegar por gravedad: se seleccionan los parches de Seguridad crítica y de Seguridad importante.
- Desplegar/Excluir por grupo de parches: ee establece un grupo de parches en Incluir que contiene un parche de seguridad crítica, un parche de seguridad importante y dos parches de seguridad moderada.
- Proveedores/Productos seleccionados: esta opción está desactivada
En este caso, los parches de Seguridad crítica y de Seguridad importante se desplegarán para todos los proveedores y productos. Además, se desplegarán los cuatro parches del grupo de parches, incluidos los parches de Seguridad moderada.
Ejemplo 3: igual que el Ejemplo 2, pero también se usa la opción de Proveedores/Productos seleccionados para especificar que solo se deben desplegar parches de Adobe. En este caso, los únicos parches que se desplegarán serán los de Seguridad crítica de Adobe, los parches de Seguridad importante de Adobe y cualquier parche de Adobe que esté contenido en el grupo de parches.
Ejemplo 4: igual que en el ejemplo 3, pero también se utiliza la opción Desplegar/Excluir por Grupo de parches para excluir un grupo de parches que contenga un parche específico de Adobe Security Critical. En este caso, los únicos parches que se desplegarán serán los de Seguridad crítica de Adobe (excepto el que esté excluido en el grupo de parches), los parches de Seguridad importante de Adobe y cualquier parche de Adobe que esté contenido en el grupo de parches.
Si se agrega un parche a un grupo de parches configurados como Excluir no se desplegará el parche aunque otras configuraciones sugieran específicamente que debería desplegarse.
Ejemplo 5 (caso extremo de Windows): digamos que configura Desplegar por gravedad solo con Security Critical y que también configura Desplegar por Grupo de parches para incluir Vantosi V3.
Si Vantosi V4 se publica como Crítico para la seguridad y, antes del despliegue de otro parche, Vantosi V5 se publica como Importante para la seguridad, entonces para Windows no se despliegan ni Vantosi V4 ni Vantosi V5. Esto se debe a que la última versión (Vantosi V5) no cumple el requisito de Gravedad para su implantación y ni Vantosi V4 ni Vantosi V5 están incluidos en el grupo de parches. Tenga en cuenta que si configurara la misma configuración de parches para Mac, se desplegaría Vantosi V4.
Le recomendamos que utilice frecuentemente el componente Notificación de cumplimiento de normativas para comprobar el estado de cumplimiento de sus dispositivos y añadir cualquier nuevo parche de seguridad crítica a un grupo de parches. Para más información, consulte Informes de cumplimiento y Grupos de parches.
Selección de opciones de despliegue
- Desplegar por gravedad(Windows y Mac): si se activa, le permite especificar los tipos de parches y los niveles de gravedad que se deben incluir en el despliegue. Por defecto, solo se seleccionan los parches de seguridad crítica.
- Parches de seguridad: parches relacionados con boletines de seguridad. Puede elegir desplegar para uno o más niveles de importancia específicos.
- Crítico: vulnerabilidades que puede aprovechar un atacante remoto sin autenticar o vulnerabilidades que infringen el aislamiento invitado/host del sistema operativo. El abuso tiene como resultado que quedan en riesgo la confidencialidad, integridad o disponibilidad de los datos de usuario, o del procesamiento de los recursos sin interacción del usuario La vulnerabilidad de seguridad se podría aprovechar para propagar un gusano de Internet o ejecutar un código aleatorio entre equipos virtuales y el host.
- Importante: las vulnerabilidades cuya vulnerabilidad de seguridad resulte en riesgo de confidencialidad, integridad o disponibilidad de los datos de usuario y de los recursos de procesamiento. Esos errores podrían permitir a un usuario local obtener privilegios, que los usuarios remotos autenticados ejecuten código arbitrario o que usuarios locales o remotos provoquen con facilidad un rechazo del servicio.
- Moderado: los defectos donde la capacidad de vulnerar la seguridad se ve mitigada, en gran medida, por la configuración o por la dificultad de vulnerar la seguridad, pero en algunos escenarios de despliegue podrían llegar a comprometer la confidencialidad, integridad o disponibilidad de los datos de usuario y del procesamiento de los recursos. Estas son el tipo de vulnerabilidades que pueden tener un impacto crítico o importante pero se vulneran con menos facilidad debido a una evaluación técnica del error, o afectan pocas configuraciones.
- Bajo: todos los demás problemas que tengan un impacto en la seguridad. Las vulnerabilidades donde se cree que la infracción de seguridad es extremadamente difícil tendrían un impacto mínimo.
- Sin asignar: parches de seguridad que no se han asignado a un nivel de gravedad.
- Parches no relacionados con la seguridad: los parches del proveedor que solucionan problemas de software conocidos que no son problemas de seguridad. Para Windows, puede elegir desplegar para uno o más niveles de gravedad específicos del proveedor. Consulte Parches de seguridad para obtener una descripción de los niveles de gravedad disponibles.
- Parches de seguridad: parches relacionados con boletines de seguridad. Puede elegir desplegar para uno o más niveles de importancia específicos.
- Desplegar/Excluir por grupo de parches (Windows) o Desplegar por grupo de parches (Mac): si está activada esta opción, le permite especificar uno o más grupos de parches que contengan los parches que desea incluir en un despliegue o (solo Windows) que desea excluir del despliegue. Esta es una buena manera de asegurarse de que solo se despliegan los parches aprobados. Los parches que no estén incluidos en los grupos de parches configurados como Incluir no se desplegarán a menos que cumplan el requisito especificado en la opción Desplegar por gravedad. Los parches de los grupos de parches configurados en Excluir no se desplegarán aunque otras configuraciones sugieran específicamente que deberían desplegarse. La información sobre los grupos de parches disponibles se puede ver mediante la pestaña Grupos de parches de la página Ajustes de parches. Los grupos de parches se administran desde Patch Intelligence.
Cuando activa Desplegar Grupo de parches, aparece una cuadrícula de todos los grupos de parches que muestra el número de parches para cada sistema operativo, además del número total de parches en cada grupo de parches. Seleccione la casilla junto a un grupo de parches y, a continuación, haga clic en Incluir o Excluir, según proceda. Haga clic en Borrar para anular la selección de un grupo de parches.
Un o junto al número de parches para el sistema operativo que no se está configurando indica que la configuración ya incluye o excluye esos parches respectivamente.
Es posible que desee recordarse rápidamente cuáles son los parches que hay en un grupo antes de seleccionarlo. Para ello, haga clic en un enlace numérico de la cuadrícula para mostrar los patches correspondientes debajo de la cuadrícula Grupos de patches. Utilice la columna Plataforma para determinar el sistema operativo, y la columna Estado para determinar el estado de cada parche individual.
El estado que se muestra es un estado aproximado basado en el uso de este grupo de parches con la configuración de parches actual. Una serie de factores pueden afectar al estado del parche. Por ejemplo, si usa Proveedores/Productos seleccionados junto con un grupo de parches, es posible que se filtre uno o más parches del grupo.
- Activo: esta configuración ha usado este grupo de parches para hacer que los parches estén disponibles para los dispositivos de los usuario finales. Los dispositivos forman parte de los grupos de políticas que se asocian con esta configuración de parches.
- No activo: hay dos motivos posibles para este estado de parche. (1) Este grupo de parches no se ha usado para hacer que el parche esté disponible para otros dispositivos. (2) La configuración de parches a la que se asigna este grupo de parches no se ha activado en los dispositivos.
Hay una situación en la que un parche que se lista como No activo podría estar realmente activo. Si el parche se encuentra en más de un grupo de parches, es posible que uno de esos grupos se haya usado para activar este parche en los dispositivos.
- Proveedores/Productos seleccionados (solo Windows:) si se desactiva, los parches de todos los proveedores y productos disponibles se incluirán en el despliegue definido por las opciones de Desplegar por gravedad y Desplegar por grupo de parches.A medida que los nuevos productos y parches van estando disponibles, se agregarán al despliegue.
- Seleccionar todo: si se marca esta casilla, se seleccionan todos los parches disponibles actualmente para todos los proveedores y productos de la lista. Los nuevos parches de proveedor y producto que van estando disponibles más adelante, se agregarán al despliegue.
- Seleccionar proveedores y productos individuales: solo se desplegarán los parches de los proveedores, familias de productos o versiones de productos seleccionados. Los proveedores y productos sin seleccionar se filtran y se sacan del despliegue.
Si se activa, permite especificar los proveedores, familias de productos y versiones de productos que pueden desplegarse en los puntos terminales. Los proveedores y productos sin seleccionar se excluirán del despliegue. Los elementos se presentan en una lista jerárquica. Si marca la casilla en un nivel, se marcarán también todas las casillas de los niveles inferiores.
SUGERENCIA: si quiere excluir un número pequeño de elementos, puede activar Seleccionar todo y desmarcar las casilla de los elementos que quiere excluir.
Comportamiento de reinicio
Esta área le permite configurar si y cuando se solicitan reinicios de las máquinas de destino durante el proceso de despliegue. La plataforma de Ivanti Neurons gestiona las solicitudes de reinicio de forma centralizada para evitar conflictos entre las distintas funciones de Ivanti Neurons. Esto significa que el reinicio puede no ser instantáneo cuando se solicita.
macOS siempre se reinicia tras la implementación de parches del sistema operativo, después de solicitar al usuario que implemente las actualizaciones del sistema operativo. También puede elegir Reiniciar siempre después de una actualización (aunque no se apliquen parches al sistema operativo) para configuraciones de Mac.
- Reiniciar antes del despliegue (solo Windows): si se activa, especifica que los equipos de destino se reinicien antes de desplegar los parches. Es conveniente reiniciar los equipos antes de instalar nuevo software, especialmente para cambios grandes de software, como niveles de productos del sistema operativo.Si elige reiniciar los equipos, puede especificar la cantidad de advertencias que recibirá el usuario activo y puede elegir el grado de control que el usuario tendrá sobre el proceso de reinicio. Puede:
- Elegir para forzar el reinicio después de transcurra una cantidad de minutos
- Avise al usuario de que se producirá un reinicio cuando cierren la sesión
- Seleccione el tiempo que se mostrará un mensaje de cuenta atrás cuando se inicie la secuencia de apagado. Para una vista previa del cuadro de diálogo que verá el usuario, consulte Cuanta atrás de ejemplo.
- Permitir al usuario ampliar la cuenta de tiempo de espera hasta un máximo especificado.
- Permitir al usuario cancelar el tiempo de espera. Si se cancela el tiempo de espera, el parche no se desplegará hasta que el usuario cierre sesión o reinicie el equipo manualmente.
- Permitir al usuario cancelar el reinicio. Los parches no se instalarán hasta que se reinicie el equipo.
- Reinicio después del despliegue (solo Windows): si se activa, especifica que los equipos de destino se reinicien después de desplegar los parches. Hay dos opciones:
- Siempre: especifica que se debe reiniciar cada equipo después de desplegar los parches. Esta es la opción más segura al desplegar parches, puesto que la mayoría requiere un reinicio para completarse, pero es posible que haya veces que los equipos se reinicien sin necesidad.
- Cuando sea necesario: especifica que el agente de Ivanti Neurons determinará si es necesario o no reiniciar cada equipo, basándose en los parches que se incluyen en el despliegue.
Si elige reiniciar los equipos, puede especificar más opciones, como la cantidad de advertencias que recibirá el usuario activo y el grado de control que el usuario tendrá sobre el proceso de reinicio mediante los grupos de políticas asociados. Para obtener más información, consulte Información del grupo de políticas.
Esta área le permite configurar despliegues que se llevan a cabo de manera recurrente.
La pestaña de Establecer repetición le permite programar operaciones de despliegue recurrentes a una hora específica y usar un patrón de repetición especificado. Por ejemplo, se puede ejecutar un despliegue cada noche a medianoche, o cada sábado a las 21h, cada día de la semana a las 23h o en el intervalo y hora que seleccione cualquier otro usuario.
- Ejecutar al reiniciar si se omitió la programación: si un despliegue programado se pierde porque un equipo está apagado, se ejecutará una hora después de que el equipo se vuelva a encender.
- Desplegar parches: puede programar el despliegue de un parche mediante las opciones siguientes:
- A diario: los despliegues que se ejecutarán cada día de la semana a la hora de su elección.
- Semanalmente: los despliegues se ejecutarán en el día de la semana especificado, a la hora de su elección.
- Mensualmente: los despliegues se ejecutarán en la fecha u ocurrencia especificada el día de cada mes, a la hora de su elección. También puede usar esta opción para programar un despliegue junto con Patch Tuesday de Microsoft. Por ejemplo, puede programar un despliegue de parches mensual para que se produzca el día después de Patch Tuesday si habilita la casilla Desplegar también después de Patch Tuesday y luego especifica 1 como número de días después de Patch Tuesday que se retrasará el despliegue.
La opción Agregar retraso añade más flexibilidad a la programación al permitirle añadir un retraso de un número de días a una programación mensual. Por ejemplo, si su Junta consultiva de cambios se reúne el primer miércoles de cada mes para acordar qué parches desplegar el sábado siguiente, podría seleccionar desplegar el primer miércoles con un retraso de tres días. De este modo, el sábado siguiente al primer miércoles puede ser el primer o el segundo sábado del mes. - Patch Tuesday: programe despliegues para que se ejecuten el mismo día que el evento de parches mensual de Microsoft, conocido como Patch Tuesday.
- Contenido de etapa antes del despliegue: especifica si quiere crear un paquete de despliegue y copiarlo en los equipos de destino antes del despliegue. Puede crear el contenido de 1 a 23 horas antes de llevar a cabo el despliegue. Automáticamente el agente lleva a cabo un análisis de parches al iniciar el proceso provisional para reevaluar el estado del parche del equipo antes del despliegue.
Hay una excepción de los despliegues de parches que se producirá el primer día del mes. Para evitar problemas con los años bisiestos y otras peculiaridades similares del calendario, la interfaz no le permitirá crear contenido el día anterior al primer día del mes. Por ejemplo, si programa un despliegue para las 8:00 del primer día del mes, solo podrá preparar el contenido de 1 a 8 horas antes del despliegue.
- Próximas tareas: esta tabla muestra una lista de próximas tareas. Le permite ver todos los eventos que van a ocurrir en los 60 días siguientes, mediante la configuración seleccionada actualmente. Tenga en cuenta que la información que se proporciona en esta tabla es una proyección, podrían suceder muchas cosas que evitarían que se produjeran uno o más eventos.
Pestaña Asociaciones
Esta pestaña le permite asociar la configuración de parches con uno o más grupos de política de parches. La asociación de la configuración de parches con un grupo de políticas define los puntos terminales en los que se desplegará la configuración. Todos los dispositivos que usan una política específica se regirán por la configuración de parches que asocio con esa política.
¡Importante! El grupo del agente de la política debe tener habilitada la capacidad de Gestión de parches para poder usar la configuración del parche.
Puede asociar una configuración de parches con múltiples grupos de políticas de agente.
- Puede crear una configuración de parches para todos los proveedores y productos que utilicen los equipos de soporte de TI de su empresa. A continuación, puede asociar esta configuración con los grupos de políticas del agente que cubren sus equipos regionales, como AMER IT Support, EMEA IT Support y APAC IT Support.
- Puede crear una configuración de parches para parches que se publiquen en Patch Tuesday. A continuación, puede asociar esta configuración con el grupo de política del agente piloto que desee usar para probar los despliegues de parches. Si los despliegues se completan correctamente, puede asociar la configuración con su grupo principal de política de agente para una distribución más amplia.
- Puede crear una configuración de parches para sus dispositivos de escritorio y estaciones de trabajo y una separada para sus dispositivos del servidor. A continuación, asocie la configuración de parches adecuada con el grupo de políticas de agente que rija cada tipo de dispositivo.
Para asociar la configuración de parches actual con uno o más grupos de política de parches:
- Haga clic en Seleccionar grupos de políticas.
- Elija los grupos de políticas de agentes deseados.
Para ayudarle a elegir, se proporciona la información siguiente sobre los grupos de políticas disponibles:- Grupo de políticas: el nombre del grupo de políticas del agente.
- Endpoints: muestra el número de endpoints que actualmente usan el grupo de políticas del agente.
- Configuración de parche actual: muestra el nombre de la configuración de parches asociada actualmente con el grupo de políticas del agente.
- Haga clic en Confirmar.
La lista de todos los grupos de políticas del agente asociados con la configuración de parches se muestra en la página Asociaciones.
Pestaña de Historial
Esta pestaña le permite realizar el seguimiento de los cambios que se han realizado a la configuración de parches.
La tabla muestra todas las versiones de la configuración. Por defecto, la tabla contiene las columnas siguientes y se clasifican por la columna Versión.
- Versión: el valor numérico de la versión. La primera versión que se guarde de la configuración será la 1. Cada vez que se edita y se guarda la configuración, el valor de la versión se aumentará en uno. Haciendo clic en el valor de versión, se abrirán los detalles de configuración de esa versión.
- Nombre de configuración: el nombre de la configuración de parches.
- Guardar fecha: la fecha y la hora a la que se guardó la edición de la configuración.
- Guardado por última vez por: el nombre del miembro del equipo que editó por última vez la versión de la configuración. Si modifica un grupo de parches que esté asociado con una configuración de parches, eso cumple los requisitos de revisión de la configuración.
-
Disponibilidad: muestra el estado actual de la configuración. Los valores posibles son Nuevo, Pendiente, Activo, Previamente activo, Borrador y Fallido
- Descripción: el comentario que se proporcionó en el momento de la edición de la configuración se guardó.
- Revertir a la versión seleccionada: le permite revertir la configuración del parche a una versión anterior. Asegúrese de actualizar la descripción de la configuración y de hacer clic en Guardar después de llevar a cabo la acción. Los grupos de parches no se incluyen en la acción de reversión. Los grupos de parches que se incluyan en la configuración de parches actual se incluirán en la configuración de parches revertida.
Le permite exportar el contenido de la tabla a un archivo CSV. Puede elegir exportar todos los elementos de la tabla o solo los que estén seleccionados.
El archivo CSV se crea usando los estándares ISO y se almacena en la carpeta de Descargas local. Si usa Excel para ver el archivo, los datos se pueden convertir a la configuración regional del equipo, para que se pueda ver en un formato más legible.
Cualquier orden o filtrado aplicado a las configuraciones se mantendrá en los resultados exportados. Se incluirán todas las columnas, independientemente de lo que se haya seleccionado en el Selector de columnas.
Seleccione la casilla de la primera columna de las configuraciones que desee exportar. Además, seleccione la casilla de la celda del encabezado para seleccionar todas las configuraciones.
Haga clic en Exportar para crear el archivo CSV.
Guardar y activar su configuración de parches personalizada
Los botones siguientes están disponibles mientras se use cualquiera de las tres pestañas de configuración de parches.
- Guardar y activar: guarda la configuración del parche y la activa para los dispositivos asignados a los grupos de políticas asociados. Cada dispositivo recibirá la nueva configuración la siguiente vez que el agente del dispositivo se conecte con Ivanti Neurons.
- Guardar: guarda la configuración del parche sin cerrar la página, lo que le permite seguir trabajando.
- Deshacer cambios: deshace los cambio, devolviendo la configuración de parches a su estado anterior.
- Cerrar: cierra la página sin guardar los últimos cambio hechos a la configuración del parche.