Administración de parches
Ivanti Neurons for Patch Management es una solución de parches en la nube. Combina la información en tiempo real de la plataforma de Ivanti Neurons con la información de activos de Ivanti Neurons for Discovery y la inteligencia accionable para la priorización basada en riesgos para dirigir una estrategia de seguridad adaptativa. Se proporcionan funciones integrales de gestión de parches para sus dispositivos Windows, macOS y Linux, e incluye la capacidad de aplicar parches a productos tanto de Microsoft como de Apple y de terceros.
Para acceder a Ivanti Neurons for Patch Management, vaya a Administración de parches en la plataforma de Ivanti Neurons.
Ivanti Neurons for Patch Management consta de los siguientes componentes, según su licencia:
- Informes de cumplimiento: le permite determinar su estado de cumplimiento actual y ver cómo evoluciona a lo largo del tiempo.
- Historial de despliegue: permite ver el estado de las operaciones de despliegue recientes. Puede centrarse en las excepciones y solucionar problemas rápidamente.
- Vulnerabilidad de Endpoint: proporciona una visión centralizada de la aplicación de parches a los dispositivos de su entorno con métricas basadas en el estado y el riesgo de los dispositivos.
- Patch Intelligence: recopila y agrega datos para ayudar a gestionar, priorizar y agilizar la aplicación de parches en su entorno. Proporciona una imagen clara del panorama de amenazas con métricas priorizadas por riesgo.
- Configuración del parche: permite configurar configuraciones de parches y grupos de parches para el flujo de trabajo de gestión de parches en la nube. Se puede usar una configuración predeterminada que soluciona todos los parches de seguridad críticos para empezar rápidamente, o puede crear una configuración de parches personalizada para cumplir con los umbrales de comprobación únicos de su empresa.
- Implementaciones de anillo: Le permite administrar implementaciones de anillo para que pueda probar el despliegue de parches en una cantidad menor de dispositivos de prueba antes de continuar con el despliegue en todos los dispositivos.
- Patch for Intune: amplía los despliegues de Microsoft Intune para incluir funciones de administración de productos de terceros.
- Informes: le permite crear informes que contienen datos extraídos de Ivanti Neurons que puede utilizar o distribuir como archivos PDF, CSV o Excel a personas que no tienen acceso al sistema.
Asegúrese de que dispone del Control de acceso necesario para utilizar la gestión de parches.
Requisitos
Hay una serie de requisitos para utilizar la gestión de parches.
URL, direcciones IP y puertos necesarios
Debe agregar una serie de URL web a su cortafuegos, proxy y a las listas de excepciones de filtros web. Las URL se usan para descargar contenido de parches de terceros.
Para ver la lista completa de URL que debe añadir, consulte URL, direcciones IP y puertos necesarios.
Microsoft Windows y Microsoft Office
Para desplegar correctamente los parches con el Agente Ivanti Neurons en los dispositivos Windows, no desactive el servicio Windows Update, sino configúrelo en Manual o Automático. Además, establezca la configuración de Actualización de Windows en cada dispositivo de destino (Panel de control > Sistema y seguridad > Actualización de Windows > Cambiar configuración) en No buscar nunca actualizaciones. Para más información, consulte este artículo en la Comunidad Ivanti.
Si está parcheando Office 2019 u Office 365 que utilizan la tecnología Click-to-Run, consulte Cómo parchea Ivanti las instalaciones Click-to-Run de Office en la Comunidad Ivanti (se abre en una ventana nueva) para obtener información sobre cómo parchea Patch for Neurons estas instalaciones.
La administración de parches ahora está disponible en Windows 11 IoT Enterprise LTSC.
macOS
En los Mac con chip Apple Silicon y en los Mac con procesador Intel que cuentan con el chip Apple T2, Ivanti Neurons for Patch Management requiere una cuenta de rol dedicada para administrar las actualizaciones del sistema operativo en el dispositivo.
Cuando Ivanti Neurons for Patch Management inicia la implementación de un parche del sistema operativo por primera vez, aparece un cuadro de diálogo del sistema que solicita al administrador local que cree una cuenta de rol. Las instrucciones en pantalla guían al administrador a través del proceso. Se requieren credenciales administrativas para autorizar la creación de la cuenta.
Una vez que el administrador completa el formulario, se crea una nueva cuenta de usuario llamada _ivantiNeuronsMacPatchAgent. Se asigna a la cuenta una contraseña generada aleatoriamente, única para el dispositivo. Las credenciales se almacenan de forma segura en el llavero de macOS.
Cuando se requiere un parche de macOS, Ivanti Neurons utiliza la cuenta _ivantiNeuronsMacPatchAgent para ejecutar la utilidad systemupdate. Esta utilidad aplica las últimas actualizaciones del sistema operativo mediante el paquete InstallAssist.pkg recuperado de la red de entrega de contenido de Apple (CDN).
Dispositivos macOS administrados con MDM
Un administrador local con permisos de propietario de volumen y un token seguro puede crear usuarios adicionales con los mismos privilegios en el dispositivo. No obstante, este no es el caso de las cuentas aprovisionadas a través de Entra ID u otros servicios de Active Directory. Estas cuentas no se consideran locales del equipo. Si bien pueden tener un token seguro, generalmente no tienen permisos de propietario de volumen.
Para los dispositivos administrados por MDM, no se requieren permisos de propietario de volumen para realizar tareas administrativas como creación de usuarios o aplicación de parches al sistema operativo. En cambio, estos dispositivos aprovechan el Bootstrap Token, un mecanismo diseñado para facilitar operaciones seguras sin depender de los privilegios del propietario del volumen.
Para obtener más información, consulte: Usar token seguro, token de arranque y propiedad del volumen en las implementaciones.
Como las cuentas de administrador administradas por MDM no pueden asignar permisos de propietario de volumen, recomendamos usar MDM para implementar y administrar actualizaciones de macOS.
Si bien los detalles de implementación pueden variar entre los proveedores de MDM, Ivanti Neurons for MDM admite este flujo de trabajo. Para obtener más información, consulte la última versión de la documentación de Ivanti Neurons for MDM.
Preguntas frecuentes sobre macOS
¿Por qué la cuenta _ivantiNeuronsMacPatchAgent está visible en la pantalla de inicio de sesión si es una cuenta oculta?
Si FileVault está habilitado en el dispositivo, la cuenta de rol _ivantiNeuronsMacPatchAgent aparece en la pantalla de inicio de sesión después de un reinicio. Esto se debe a la forma en que FileVault maneja la autenticación al inicio.
Si FileVault no está activado, la cuenta permanece oculta y no aparece en Configuración del sistema > Grupos de usuarios. Es una cuenta de rol no interactiva, lo que significa que no se puede utilizar para iniciar sesión en el entorno de escritorio.
Para obtener más detalles sobre las cuentas de rol, ejecute sysadminctl -h en la Terminal.
¿Qué es una cuenta de rol y por qué es necesaria para implementar actualizaciones del sistema operativo?
Una cuenta de rol es una cuenta de usuario oculta y no interactiva que se utiliza para autenticar y ejecutar servicios en segundo plano, como una cuenta de servicio en sistemas Windows.
En macOS, solo los usuarios con permisos de token seguro y propietario de volumen pueden realizar operaciones a nivel del sistema, como modificar áreas protegidas del disco o ejecutar tareas administrativas. Estos permisos normalmente se otorgan al primer usuario creado durante la configuración inicial de macOS.
Dado que la aplicación de parches del sistema operativo requiere privilegios elevados, la cuenta de rol debe ser creada por un usuario existente con permisos de token seguro y propietario de volumen.
Para obtener más información, consulte Usar token seguro, token de arranque y propiedad de volumen en implementaciones.
¿Cómo puedo actualizar el sistema operativo si no puedo crear una cuenta de rol y mi dispositivo está administrado por MDM?
Si su dispositivo macOS se administra a través de Administración de dispositivos móviles (MDM), se recomienda utilizar la solución MDM para implementar actualizaciones del sistema operativo. Utilice Ivanti Neurons for Patch Management para buscar e implementar parches de aplicaciones de terceros.
¿Puedo eliminar o cambiar el nombre de la cuenta _ivantiNeuronsMacPatchAgent?
Esta cuenta es administrada automáticamente por Ivanti Neurons y no debe modificarse ni eliminarse. Modificar o eliminar la cuenta puede provocar fallos en la implementación de parches y la interrupción de la funcionalidad de administración de parches.
Si las credenciales no son válidas o si se elimina la cuenta, el aviso del sistema aparecerá la próxima vez que se implemente un parche del sistema operativo.