Administración de parches

Ivanti Neurons for Patch Management es una solución de parches en la nube. Combina la información en tiempo real de la plataforma de Ivanti Neurons con la información de activos de Ivanti Neurons for Discovery y la inteligencia accionable para la priorización basada en riesgos para dirigir una estrategia de seguridad adaptativa. Se proporcionan funciones de administración de parches completas para los equipos de Windows, macOS y Linux e incluye la función de parchear productos de Microsoft, Apple y otros proveedores.

Para los Mac de Apple Silicon y los Mac de Intel con el chip Apple T2, Ivanti Neurons for Patch Management necesita una cuenta de rol para gestionar los parches del sistema operativo en el dispositivo. Esto significa que cuando Ivanti Neurons for Patch Management despliega por primera vez un parche del sistema operativo en un dispositivo de este tipo, aparece un cuadro de diálogo solicitando al administrador local que cree una cuenta de rol administrativo para que Ivanti Neurons la utilice en el dispositivo. Las instrucciones aparecen en pantalla. Si tiene activado FileVault, la cuenta de rol administrativo que cree aparecerá en la pantalla de inicio de sesión después de reiniciar.

Para acceder a Ivanti Neurons for Patch Management, vaya a Administración de parches en la plataforma de Ivanti Neurons.

Ivanti Neurons for Patch Management consta de los siguientes componentes, según su licencia:

  • Informes de cumplimiento: le permite determinar su estado de cumplimiento actual y ver su tendencia en el tiempo.
  • Vulnerabilidad de Endpoint: proporciona una vista central del parcheado de dispositivos para su entorno, con condición del dispositivo y métricas basadas en el riesgo.
  • Patch Intelligence: recopila y agrega datos para ayudar a administrar, priorizar y simplificar los parches de su entorno. Proporciona una imagen clara del panorama de amenazas con métricas priorizadas por riesgo.
  • Historial de despliegue: proporciona una manera de ver el estado de operaciones de despliegue recientes. Puede centrarse en las excepciones y solucionar problemas rápidamente.
  • Ajustes de parches: le permite configurar las configuraciones de parches y los grupos de parches para el flujo de trabajo de la gestión de parches en la nube. Se puede usar una configuración predeterminada que soluciona todos los parches de seguridad críticos para empezar rápidamente, o puede crear una configuración de parches personalizada para cumplir con los umbrales de comprobación únicos de su empresa.
  • Patch for Intune: amplía los despliegues de Microsoft Intune para incluir funciones de administración de productos de terceros.

Asegúrese de que tiene los permisos necesario para usar Patch Management.

Requisitos

Debe agregar una serie de URL web a su cortafuegos, proxy y a las listas de excepciones de filtros web. Las URL se usan para descargar contenido de parches de terceros.

Para ver la lista completa de URL que debe añadir, consulte URL, direcciones IP y puertos necesarios.

Para desplegar correctamente los parches con el Agente Ivanti Neurons en los dispositivos Windows, no desactive el servicio Windows Update, sino configúrelo en Manual o Automático. Además, establezca la configuración de Actualización de Windows en cada equipo de destino (Panel de control > Sistema y seguridad > Actualización de Windows > Cambiar configuración) en No buscar nunca actualizaciones. Para más información, consulte este artículo en la Comunidad Ivanti.

Si está parcheando Office 2019 u Office 365 que utilizan la tecnología Click-to-Run, consulte Cómo parchea Ivanti las instalaciones Click-to-Run de Office en la Comunidad Ivanti (se abre en una ventana nueva) para obtener información sobre cómo parchea Patch for Neurons estas instalaciones.

Flujo de trabajo en la nube

Este es el flujo de trabajo principal para llevar a cabo la función de administración de parches. Todas las actividades de configuración y evaluación se llevan a cabo en la nube, mientras que los análisis y despliegues los llevan a cabo agentes instalados en los equipos administrados.

1) Cree un grupo de políticas personalizado 2) Cree una configuración de parches y asóciela con su grupo de políticas 3) Espere a que los cambio se difundan por sus agentes 4) Los agentes analizan en buscar de parches y los despliegan 5) Los resultados se notifican a Ivanti Neurons.

Elementos en la figura

A

Equipos del agente

Flujo de trabajo en la nube

1

Crear un grupo de políticas personalizado.

2

Crear una configuración de parches y asociarla con el grupo de políticas.

3

Espere a que los cambio se propaguen por sus equipos de agentes.

4

Los agentes realizan un análisis y despliegan los parches en los equipos administrados.

5

Los resultados de los análisis y despliegues se notifican a Ivanti Neurons.

Detalles del flujo de trabajo en la nube

Pasos condicionales

Si sus dispositivos ya contienen un agente de Ivanti Neurons, puede omitir estos pasos condicionales.

  1. Descargar un agente para el tipo de dispositivo adecuado (Windows, Mac o Linux).
    Se incluyen dos archivos en la descarga:
    • El archivo ejecutable del agente
    • Un archivo de opciones que contiene de teniente, la clave de activación y la información de cloudhost que será necesaria durante el proceso de instalación
  2. Instalar el agente en los equipos de destino deseados.
    1. En el equipo de destino, haga doble clic sobre el archivo ejecutable para empezar el proceso de instalación.
    2. Siga las instrucciones del asistente de instalación.
  3. Espere a que el agente haga lo siguiente automáticamente:
    • Regístrese y conéctese con Ivanti Neurons.
    • Descargar el grupo de políticas de agente predeterminado
    • Lleve a cabo un análisis del equipo de destino en busca de todos los parches que faltan y notifique los resultados a Ivanti Neurons
  4. Ver información sobre los equipos de destino detectados en la vista Dispositivos de Ivanti Neurons.

Pasos principales

  1. Crear un grupo de políticas de agente personalizado.
    El grupo de políticas predeterminado que se instaló inicialmente con un agente solo se configura para llevar a cabo análisis de parches. Para llevar a cabo despliegues de parches, deberá crear, al menos, un grupo de políticas personalizado. El grupo de política personalizada debe etar habilitado para llevar a cabo acciones de gestión de parches y se debe asociar con una configuración de parches que defina los ajustes de despliegue. Usará la opción Agregar dispositivos de la política para asignar la política a los equipos de los agentes que desee.
    Asegúrese de habilitar la capacidad Gestión de parches cuando cree un grupo de políticas de agente. El grupo de políticas define las reglas que permiten al agente operar de manera autónoma un dispositivo, con o sin interacción humana.
    En la política de agente personalizada puede seleccionar el uso de la descarga entre pares. Peer-to-peer es compatible con los parches firmados digitalmente y con instalación de prueba. Los parches descargados automáticamente del proveedor que no están firmados digitalmente, no son compatibles con peer-to-peer, por ejemplo, 7-Zip y Core FTP. El par del servidor compartirá solo los parches aplicables al SO con el cliente par, por ejemplo un Servidor 2019 solo compartirá parches 2019, no posteriores, con un cliente de Windows 11.
  2. Configure sus ajustes de parches.
    Los ajustes de parches constan de:
    • Configuración de parches: el objetivo principal de una configuración de parches es definir el modo en que se desplegarán los parches en los equipos del agente. Se proporciona una configuración de parches predeterminada que, semanalmente, desplegará todos los parches de seguridad crítica. Es probable que quiera crear una o más configuraciones de parches personalizadas para definir los requisitos de despliegue de parches únicos para su empresa.

      En la pestaña Asociaciones, asegúrese de asociar su configuración de parches con un grupo de políticas de agente personalizado que esté habilitado para que lleve a cabo acciones de administración de parches.

    • (Opcional) Grupo de parches: puede elegir hacer referencia a un grupo de parches en una configuración de parches. Un grupo de parches contiene una lista de parches específicos que quiere desplegar. Esta es una buena manera de asegurarse de que solo se despliegan los parches aprobados. Consulte la sección Comportamiento de despliegue del tema Ajustes de parches para obtener información sobre cómo configurar correctamente este escenario.
  3. Espere a que los cambio se propaguen por sus dispositivos.
    Sus dispositivos recibirán la política actualizada y la información de configuración de parches la siguiente vez que el agente se conecte a Ivanti Neurons.
  4. Desplegar los parches ausentes en el equipo del agente.
    El despliegue se puede conseguir de cuatro maneras distintas:
    • Mediante un despliegue de parches programado y automático que se define en la configuración de parches.
    • Desde el componente Vulnerabilidad de Endpoint de Ivanti Neurons for Patch Management. Puede usar este componente para desplegar todos los parches que se identificaron como ausentes durante el análisis de parches más reciente.

      Asegúrese de que tiene los permisos necesario de Patch Management para desplegar parches desde Endpoint Vulnerability.

    • Desde la pestaña Parches de la página Detalles del dispositivo. Puede seleccionar parches individuales que desplegar desde esta página.
    • Usar el cliente del agente del equipo del agente para iniciar inmediatamente un despliegue de parches.
    Tras el despliegue de un parche, el equipo del agente se volverá a analizar automáticamente y los resultados se enviarán a Ivanti Neurons. Esto le permitirá verificar el estado del despliegue y evaluar la condición actual del equipo del agente.
  5. Utilice el componente Historial de despliegue para ver los resultados del despliegue e identificar rápidamente los problemas.
  6. Utilice el componente Endpoint Vulnerability para evaluar la condición de los parches de los equipos de su entorno.
  7. Utilice el componente Patch Intelligence para obtener un nivel de comprensión mayor sobre las vulnerabilidades detectadas en sus equipos, basándose en la priorización de riesgo, la fiabilidad de los parches y la legalidad.

Flujo de trabajo híbrido

Este flujo de trabajo se aplica a los clientes actuales que usan un conector de un producto de gestión de parches de las instalaciones como Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security o Ivanti Desktop and Server Management. Estos clientes empezarán la migración al flujo de trabajo en la nube utilizando simultáneamente ambos flujos de trabajo. Por ejemplo, los clientes existentes podrían elegir transicionar la administración de sus estaciones de trabajo al flujo de trabajo en la nube, al mismo tiempo que siguen proporcionando capacidades de administración de parches en estaciones de trabajo, servidores y otros dispositivos de alto perfil o confidenciales desconectados que usen su flujo de trabajo en las instalaciones. Esta estrategia le permite transicionar al flujo de trabajo en la nube a su propio ritmo.

La consola de las instalaciones realiza un análisis en busca de parches y los despliega en los equipos administrados. Los resultados se notifican a Ivanti Neurons.

Elementos en la figura

A

Equipos del agente

B

Consola de administración de parches en las instalaciones (Endpoint Manager, Security Controls, etc.)

C

Equipos administrados con la consola

Flujo de trabajo en la nube

1

Crear un grupo de políticas personalizado.

2

Crear una configuración de parches y asociarla con el grupo de políticas.

3

Espere a que los cambio se propaguen por sus equipos de agentes.

4

Los agentes realizan un análisis y despliegan los parches en los equipos administrados.

5

Los resultados de los análisis y despliegues se notifican a Ivanti Neurons.

Flujo de trabajo híbrido

i

Conector

ii

La consola realiza un análisis en busca de parches en los equipos administrados.

iii

Los resultados de la consola se notifican a Ivanti Neurons.

El resultado será una combinación de datos en la plataforma de Ivanti Neurons para los dispositivos administrados en la nube y en las instalaciones. Los despliegues de parches para puntos terminales regidos por el flujo de trabajo en la nube los llevará a cabo el agente de Ivanti Neurons. Los despliegues en dispositivos controlados por una solución local seguirá llevándose a cabo con la consola local.

Es posible que quiera que los dispositivos sean administrados por Ivanti Neurons Cloud y por una solución en las instalaciones. Ambas soluciones funcionará juntas. Las acciones que se llevan a cabo desde Ivanti Neurons Cloud tendrán prioridad porque proporcionan una interacción directa con los dispositivos.

Aunque es posible que los dispositivos se administren con ambas soluciones, no es deseable, puesto que recibir múltiples informes de productos distintos puede resultar confuso.

Los despliegues se pueden iniciar con un agente de Ivanti Neurons, con un Administrador de puntos terminales de Ivanti o con la consola de controles de seguridad de Ivanti en las instalaciones, o desde dentro de la nube mediante los componentes de Detalles del dispositivo o Vulnerabilidad de Endpoint.

Si está utilizando un perfil de análisis personalizado en Ivanti Security Controls, al desplegar un parche ausente puede encontrarse con que se le indica que ya está instalado en el dispositivo. Para evitarlo, añada un análisis periódico de todos los dispositivos mediante una de las plantillas predefinidas Análisis de parches de seguridad o Todos los parches . Para más información, consulte este artículo en la Comunidad Ivanti (se abre en una ventana nueva).

Temas relacionados

Vulnerabilidad de Endpoint

Patch Intelligence

Historial de despliegue

Configuración del parche