Comportamiento de configuración

Esta pestaña le permite configurar un serie de opciones relacionadas con el despliegue de parches.

Ver un vídeo relacionado (6:56)

Seleccione Mostrar resumen para ver un resumen de sus opciones de configuración de parches personalizados, con una pestaña para cada sistema operativo. Este resumen se actualiza en tiempo real a medida que agrega, elimina o modifica las opciones de configuración de parches.

Comportamiento de despliegue

El comportamiento de despliegue le permite configurar cuándo se desplegarán los parches (el cronograma), qué parches se desplegarán (las opciones de despliegue) y si se enviarán solicitudes para reiniciar los dispositivos de destino durante el proceso de despliegue (el comportamiento de reinicio) y cuándo.

Puede configurar distintos comportamientos de despliegue para distintos sistemas operativos en la misma configuración de parches. El comportamiento de despliegue de cada sistema operativo comprende una o más tareas de despliegue que puede activar o desactivar:

  • Mantenimiento de rutina: generalmente se utiliza para la aplicación de parches mensuales estándar de sistemas operativos y aplicaciones, y a menudo requiere reiniciar el endpoint.
  • Actualizaciones prioritarias (solo Windows): para aplicaciones que lanzan actualizaciones con mayor frecuencia, como navegadores y aplicaciones de telecomunicaciones. Como rara vez requieren reiniciarse, programar estos despliegues con mayor frecuencia puede reducir su vulnerabilidad con poco impacto en los usuarios.
  • Respuesta de día cero (solo Windows): para respuestas urgentes, como vulnerabilidades aprovechadas.

Puede utilizar estas tareas para desplegar una estrategia de aplicación de parches basada en riesgos configurando distintos tipos de parches para que se desplieguen en distintos cronogramas.

Para crear una configuración de parches de solo análisis, desactive el conmutador de despliegue para todas las pestañas del sistema operativo. El motor de parches escanea el endpoint en cuanto se instala y luego diariamente entre la medianoche y las 2 a. m. en la hora local del endpoint.

Para habilitar una tarea de parche, habilite su interruptor y luego haga clic en Configurar esta tarea para mostrar el panel de configuración de la tarea.

Programar

Esta área le permite configurar despliegues que se llevan a cabo de manera recurrente.

La sección Elegir una programación le permite programar regularmente operaciones de despliegue en un momento específico y utilizando un patrón de recurrencia especificado. Por ejemplo, se puede ejecutar un despliegue cada noche a medianoche, o cada sábado a las 21h, cada día de la semana a las 23h o en el intervalo y hora que seleccione cualquier otro usuario.

  • Ejecutar al reiniciar si se omitió la programación: si un despliegue programado se omite porque un equipo está apagado, se ejecutará una hora después de que el equipo se vuelva a encender.
  • Desplegar parches: puede programar el despliegue de un parche mediante las opciones siguientes:
    • A diario: los despliegues que se ejecutarán cada día de la semana a la hora de su elección.
    • Semanalmente: los despliegues se ejecutarán en el día de la semana especificado, a la hora de su elección.
    • Mensualmente: los despliegues se ejecutarán en la fecha u ocurrencia especificada el día de cada mes, a la hora de su elección. También puede usar esta opción para programar un despliegue junto con Patch Tuesday de Microsoft. Por ejemplo, puede programar un despliegue de parches mensual para que se produzca el día después de Patch Tuesday si habilita la casilla Desplegar también después de Patch Tuesday y luego especifica 1 como número de días después de Patch Tuesday que se retrasará el despliegue.
      La opción Agregar retraso añade más flexibilidad a la programación al permitirle añadir un retraso de un número de días a una programación mensual. Por ejemplo, si su Junta consultiva de cambios se reúne el primer miércoles de cada mes para acordar qué parches desplegar el sábado siguiente, podría seleccionar desplegar el primer miércoles con un retraso de tres días. De este modo, el sábado siguiente al primer miércoles puede ser el primer o el segundo sábado del mes.
    • Patch Tuesday: programe despliegues para que se ejecuten el mismo día que el evento de parches mensual de Microsoft, conocido como Patch Tuesday.
  • Preparar el contenido antes del despliegue: indica al motor de parches en el terminal que descargue parches antes de la tarea de despliegue. Esto es especialmente útil para terminales con ventanas de mantenimiento, de modo que no se desperdicie nada de la duración de la ventana de mantenimiento en la descarga. Puede crear el contenido de 1 a 23 horas antes de llevar a cabo el despliegue. Automáticamente el agente lleva a cabo un análisis de parches al iniciar el proceso provisional para reevaluar el estado del parche del equipo antes del despliegue.

    Hay una excepción de los despliegues de parches que se producirá el primer día del mes. Para evitar problemas con los años bisiestos y otras peculiaridades similares del calendario, la interfaz no le permitirá crear contenido el día anterior al primer día del mes. Por ejemplo, si programa un despliegue para las 8:00 del primer día del mes, solo podrá preparar el contenido de 1 a 8 horas antes del despliegue.

Despliegue por

Las opciones de despliegue disponibles dependen del sistema operativo:

  • Windows: Implantación por puntuación de riesgo, Implantación por gravedad, Implantación/Exclusión por grupo de parches, Inclusión de paquetes de habilitación y Proveedores/productos seleccionados
  • Mac: Despliegue por gravedad, Despliegue por grupo de parches
  • Linux: Despliegue de todos los parches que faltan, Despliegue por severidad, Despliegue por grupo de parches

Por defecto, solo se despliegan los parches de seguridad crítica para Windows. Si usted:

  • active y configure Desplegar por gravedad y configure algunos grupos de parches en Incluir en Desplegar/Excluir por grupo de parches, el efecto es aditivo, desplegándose todos los parches de cada opción configurada.
  • active y configure Proveedores/Productos seleccionados, esa opción filtrará los parches de las otras dos opciones.
  • Si configura un grupo de parches como Excluir en Desplegar/Excluir por grupo de parches, los parches que se encuentren en un grupo de parches configurado como Excluir se excluirán siempre, aunque estén configurados para incluirlos en otro lugar.

Ejemplo 1: si quiere desplegar solo los parches que se encuentren en un grupo de parches:

  • Desactive las opciones Desplegar por gravedad y Proveedores/Productos seleccionados
  • Active la opción Desplegar/Excluir por grupo de parches y establezca el grupo de parches deseado en Incluir

Ejemplo 2: imagine que configura lo siguiente:

  • Desplegar por gravedad: se seleccionan los parches de Seguridad crítica y de Seguridad importante.
  • Desplegar/Excluir por grupo de parches: se establece un grupo de parches en Incluir que contiene un parche de seguridad crítica, un parche de seguridad importante y dos parches de seguridad moderada.
  • Proveedores/Productos seleccionados: esta opción está desactivada

En este caso:

  • En este caso, los parches de Seguridad crítica y de Seguridad importante se desplegarán en todos los proveedores y productos.
  • se desplegarán los cuatro parches contenidos en el grupo de parches, incluidos los dos parches de seguridad moderada

Ejemplo 3: igual que en el ejemplo 2, pero además:

  • utilice la opción Proveedores/productos seleccionados para especificar que solo se deben desplegar parches de Adobe.

En este caso, los únicos parches que se desplegarán son:

  • parches críticos de seguridad de Adobe, parches importantes de seguridad de Adobe y cualquier parche de Adobe incluido en el grupo de parches

Ejemplo 4: igual que en el ejemplo 3, pero además:

  • utilice la opción Desplegar/Excluir por Grupo de parches para excluir un grupo de parches que contenga un parche específico de Adobe Security Critical.

En este caso, los únicos parches que se desplegarán son:

  • Parches críticos de seguridad de Adobe (excepto el del grupo de parches excluidos)
  • Parches importantes de seguridad de Adobe
  • cualquier parche de Adobe contenido en el grupo de parches

Si se agrega un parche a un grupo de parches configurados como Excluir no se desplegará el parche aunque otras configuraciones sugieran específicamente que debería desplegarse.

Ejemplo 5 (caso extremo de Windows): digamos que configura Desplegar por gravedad solo con Security Critical y que también configura Desplegar por Grupo de parches para incluir Vantosi V3.

Si Vantosi V4 se publica como Crítico para la seguridad y, antes del despliegue de otro parche, Vantosi V5 se publica como Importante para la seguridad, entonces para Windows no se despliegan ni Vantosi V4 ni Vantosi V5. Esto se debe a que la última versión (Vantosi V5) no cumple el requisito de Gravedad para su implantación y ni Vantosi V4 ni Vantosi V5 están incluidos en el grupo de parches. Tenga en cuenta que si configurara la misma configuración de parches para Mac, se desplegaría Vantosi V4.

Le recomendamos que utilice frecuentemente el componente Notificación de cumplimiento de normativas para comprobar el estado de cumplimiento de sus dispositivos y añadir cualquier nuevo parche de seguridad crítica a un grupo de parches. Para más información, consulte Informes de cumplimiento y Grupos de parches.

Selección de opciones de despliegue

  • Despliegue todos los parches que faltan / Despliegue los parches seleccionados (solo Linux): para Linux, puede elegir Desplegar todos los parches que faltan. Además, si selecciona Desplegar parches seleccionados, se habilitan más controles para que pueda limitar los parches que se despliegan.
  • Despliegue por puntuación de riesgo (solo Windows): si está activada, permite especificar las puntuaciones de riesgo asociadas a los parches que se desean incluir en un despliegue.
    • Puntuación VRR: despliega parches con una puntuación VRR mayor o igual al valor configurado. El índice de riesgo de vulnerabilidad (VRR) representa el riesgo que plantea una vulnerabilidad determinada, y se proporciona como una puntuación numérica entre 0 y 10.
    • Puntuación CVSS: implanta parches en los que la última versión de la puntuación CVSS (Common Vulnerability Scoring System) obtenida de todos los CVE asociados al parche es mayor o igual que el valor configurado. El rango de puntuación es de 0,1 a 10.

      • Para obtener más información sobre VRR y CVSS, consulte Amenazas y riesgos.

    • Despliegue de parches para vulnerabilidades explotadas: si está activado, despliega parches para vulnerabilidades que han sido notificadas como explotadas.
  • Despliegue por gravedad: si se activa, permite especificar los tipos de parches y los niveles de gravedad que se desean incluir en un despliegue. Por defecto, solo se seleccionan los parches de seguridad crítica. Hay distintos niveles disponibles para cada sistema operativo y distribución de Linux. Los iconos muestran qué distribuciones de Linux soportan cada nivel.
    • Seguridad: parches relacionados con boletines de seguridad. Puede elegir desplegar para uno o más niveles de importancia específicos.
      • Crítico: vulnerabilidades que puede aprovechar un atacante remoto sin autenticar o vulnerabilidades que infringen el aislamiento invitado/host del sistema operativo. El abuso tiene como resultado que quedan en riesgo la confidencialidad, integridad o disponibilidad de los datos de usuario, o del procesamiento de los recursos sin interacción del usuario La vulnerabilidad de seguridad se podría aprovechar para propagar un gusano de Internet o ejecutar un código aleatorio entre equipos virtuales y el host.
      • Importante: las vulnerabilidades cuya vulnerabilidad de seguridad resulte en riesgo de confidencialidad, integridad o disponibilidad de los datos de usuario y de los recursos de procesamiento. Esos errores podrían permitir a un usuario local obtener privilegios, que los usuarios remotos autenticados ejecuten código arbitrario o que usuarios locales o remotos provoquen con facilidad un rechazo del servicio.
      • Moderado: los defectos donde la capacidad de vulnerar la seguridad se ve mitigada, en gran medida, por la configuración o por la dificultad de vulnerar la seguridad, pero en algunos escenarios de despliegue podrían llegar a comprometer la confidencialidad, integridad o disponibilidad de los datos de usuario y del procesamiento de los recursos. Estas son el tipo de vulnerabilidades que pueden tener un impacto crítico o importante pero se vulneran con menos facilidad debido a una evaluación técnica del error, o afectan pocas configuraciones.
      • Bajo: todos los demás problemas que tengan un impacto en la seguridad. Las vulnerabilidades donde se cree que la infracción de seguridad es extremadamente difícil tendrían un impacto mínimo.
      • Sin asignar (Windows y Mac): parches de seguridad a los que no se ha asignado un nivel de gravedad.
    • No relacionados con la seguridad (Windows y Mac): parches de proveedores que solucionan problemas conocidos de software que no son problemas de seguridad. Para Windows, puede elegir desplegar para uno o más niveles de gravedad específicos del proveedor. Consulte Parches de seguridad para obtener una descripción de los niveles de gravedad disponibles.
    • Corrección de errores (solo Linux): parches de proveedores que corrigen errores.
    • Mejora (solo Linux): parches de proveedores que proporcionan mejoras de funciones.

      • La mejora no está disponible para Oracle v7 y Red Hat v7.

  • Desplegar/Excluir por grupo de parches (Windows) o Desplegar por grupo de parches (Mac y Linux): si está activada esta opción, puede especificar uno o más grupos de parches que contengan los parches que desea incluir en un despliegue o (solo Windows) que desea excluir del despliegue. Esta es una buena manera de asegurarse de que solo se despliegan los parches aprobados. Los parches que no estén incluidos en los grupos de parches configurados como Incluir no se desplegarán a menos que cumplan el requisito especificado en la opción Desplegar por gravedad. Los parches de los grupos de parches configurados en Excluir no se desplegarán aunque otras configuraciones sugieran específicamente que deberían desplegarse. La información sobre los grupos de parches disponibles se puede ver mediante la pestaña Grupos de parches de la página Ajustes de parches. Los grupos de parches se administran desde Patch Intelligence.

    Los dispositivos Linux siempre se actualizan al último paquete disponible en el repositorio, aunque se añada una versión anterior a un grupo de parches. Además, no solo se instalan los paquetes asociados a los avisos de los grupos de parches, sino también los paquetes asociados a avisos dependientes.

    Cuando activa Desplegar Grupo de parches, aparece una cuadrícula de todos los grupos de parches que muestra el número de parches para cada sistema operativo, además del número total de parches en cada grupo de parches. Seleccione la casilla junto a un grupo de parches y, a continuación, haga clic en Incluir o Excluir, según proceda. Haga clic en Borrar para anular la selección de un grupo de parches.

    Un marca de verificación o Icono X junto al número de parches para el sistema operativo que no se está configurando indica que la configuración ya incluye o excluye esos parches respectivamente.

    Es posible que desee recordarse rápidamente cuáles son los parches que hay en un grupo antes de seleccionarlo. Para ello, haga clic en un enlace numérico de la cuadrícula para mostrar los patches correspondientes debajo de la cuadrícula Grupos de patches. Utilice la columna Plataforma para determinar el sistema operativo, y la columna Estado para determinar el estado de cada parche individual.

    El estado que se muestra es un estado aproximado basado en el uso de este grupo de parches con la configuración de parches actual. Una serie de factores pueden afectar al estado del parche. Por ejemplo, si usa Proveedores/Productos seleccionados junto con un grupo de parches, es posible que se filtre uno o más parches del grupo.

    • Activo: esta configuración ha usado este grupo de parches para hacer que los parches estén disponibles para los dispositivos de los usuario finales. Los dispositivos forman parte de las políticas que se asocian con esta configuración de parches.
    • No activo: hay dos motivos posibles para este estado de parche. (1) Este grupo de parches no se ha usado para hacer que el parche esté disponible para otros dispositivos. (2) La configuración de parches a la que se asigna este grupo de parches no se ha activado en los dispositivos.
      Hay una situación en la que un parche que se lista como No activo podría estar realmente activo. Si el parche se encuentra en más de un grupo de parches, es posible que uno de esos grupos se haya usado para activar este parche en los dispositivos.
  • Incluir paquetes de habilitación (solo Windows, Solo mantenimiento rutinario): si se activa, despliega los paquetes de habilitación seleccionados. Los paquetes de habilitación son un conjunto limitado de actualizaciones acumulativas que permiten actualizar de una versión de Windows a otra. Utilice Mostrar paquetes sustituidos para mostrar u ocultar los elementos que han sido sustituidos.
  • Proveedores/Productos seleccionados (solo Windows:) si se desactiva, los parches de todos los proveedores y productos disponibles se incluirán en el despliegue definido por las opciones de Desplegar por gravedad y Desplegar por grupo de parches. A medida que los nuevos productos y parches van estando disponibles, se agregarán al despliegue.

    • Si se activa, permite especificar los proveedores, familias de productos y versiones de productos que pueden desplegarse en los puntos terminales. Los proveedores y productos sin seleccionar se excluirán del despliegue. Los elementos se presentan en una lista jerárquica. Si marca la casilla en un nivel, se marcarán también todas las casillas de los niveles inferiores.

    • Seleccionar todo: si se marca esta casilla, se seleccionan todos los parches disponibles actualmente para todos los proveedores y productos de la lista. Los nuevos parches de proveedor y producto que van estando disponibles más adelante, se agregarán al despliegue.

      • Si quiere excluir un número pequeño de elementos, puede activar Seleccionar todo y desmarcar las casilla de los elementos que quiere excluir.

    • Seleccionar proveedores y productos individuales: solo se desplegarán los parches de los proveedores, familias de productos o versiones de productos seleccionados. Los proveedores y productos sin seleccionar se filtran y se sacan del despliegue.

Comportamiento de reinicio

Esta área le permite configurar si se solicitan reinicios de los equipos de destino durante el proceso de despliegue y en qué momento. La plataforma de Ivanti Neurons gestiona las solicitudes de reinicio de forma centralizada para evitar conflictos entre las distintas funciones de Ivanti Neurons. Esto significa que el reinicio puede no ser instantáneo cuando se solicita.

macOS siempre se reinicia tras la implementación de parches del sistema operativo, después de solicitar al usuario que implemente las actualizaciones del sistema operativo. También puede elegir Reiniciar siempre después de una actualización (aunque no se apliquen parches al sistema operativo) para configuraciones de Mac.

  • Reiniciar antes del despliegue (solo Windows): si se activa, especifica que los equipos de destino se reinicien antes de desplegar los parches. Conviene reiniciar los equipos antes de instalar software nuevo, especialmente para cambios grandes de software, como niveles de productos del sistema operativo. Si elige reiniciar los equipos, puede especificar la cantidad de advertencias que recibirá el usuario activo y puede elegir el grado de control que el usuario tendrá sobre el proceso de reinicio. Puede:
    • Elegir para forzar el reinicio después de transcurra una cantidad de minutos
    • Avise al usuario de que se producirá un reinicio cuando cierren la sesión
    • Seleccione el tiempo que se mostrará un mensaje de cuenta atrás cuando se inicie la secuencia de apagado. Para una vista previa del cuadro de diálogo que verá el usuario, consulte Cuanta atrás de ejemplo.
    • Permitir al usuario ampliar la cuenta de tiempo de espera hasta un máximo especificado.
    • Permitir al usuario cancelar el tiempo de espera. Si se cancela el tiempo de espera, los parches no se desplegarán hasta que el usuario cierre la sesión o reinicie manualmente el dispositivo.
    • Permitir al usuario cancelar el reinicio. Los parches no se instalarán hasta que se reinicie el equipo.
  • Reiniciar después del despliegue (Windows) o Reiniciar después del despliegue cuando sea necesario (Linux): si está habilitado, especifica si se solicita un reinicio de los dispositivos de destino después de desplegar los parches. Linux se reinicia solo si es necesario, pero para Windows hay dos opciones:
    • Siempre: especifica que se debe reiniciar cada equipo después de desplegar los parches. Esta es la opción más segura de desplegar parches, puesto que la mayoría requiere un reinicio para completarse, pero es posible que a veces los equipos se reinicien sin necesidad.
    • Cuando sea necesario: especifica que el agente de Ivanti Neurons determinará si es necesario o no reiniciar cada equipo, basándose en los parches que se incluyen en el despliegue.

      • Para Linux, si ha seleccionado la opción de despliegue Desplegar parches seleccionados, no solo se instalan los paquetes asociados a los avisos de los grupos de parches seleccionados, sino también los paquetes asociados a los avisos dependientes. Si después activa Reiniciar después de la implementación en caso necesario, estas dependencias pueden causar adicionalmente un reinicio.

    • Si decide reiniciar los dispositivos, puede especificar otras opciones, como la cantidad de advertencia que recibirá un usuario conectado y el grado de control que tendrá el usuario sobre el proceso de reinicio mediante las políticas asociadas. Para obtener más información, consulte Experiencia de reinicio de la política de agentes.

Configuración: parches de vista previa de Microsoft

Para fines de prueba, Microsoft proporciona un conjunto de parches de vista previa para Windows antes de su lanzamiento oficial el martes de parches. Estos parches no incluyen las actualizaciones de seguridad, por lo que generalmente no los desplegará en todos sus dispositivos y, por eso, la búsqueda de estos parches está deshabilitada de manera predeterminada. Para habilitar la búsqueda de parches de vista previa, habilite Buscar parches de vista previa de Microsoft.

Si decide desplegar parches de vista previa, le recomendamos que los despliegue solo en un grupo de prueba limitado en su organización.