Création d'une configuration de correctifs personnalisée

Cette zone vous permet de configurer les correctifs à déployer (Options de déploiement), et de préciser si et quand les périphériques cible doivent être redémarrés lors du processus de déploiement (Comportement de redémarrage). Vous pouvez configurer différents comportements de redémarrage pour différents systèmes d'exploitation dans la même configuration de correctifs.

Activation du déploiement pour un système d'exploitation

Vous pouvez activer ou désactiver le déploiement des correctifs pour chaque système d'exploitation séparément. Sous Comportement de déploiement, sélectionnez le système d'exploitation voulu, puis définissez Déployer les correctifs selon vos besoins.

Pour créer une configuration de correctifs qui effectue uniquement le scan, désactivez la bascule Déploiement pour tous les onglets de système d'exploitation.

Options de déploiement

Vous pouvez configurer jusqu'à trois options de déploiement, selon le système d'exploitation :

• Windows : Déployer par gravité, Déployer/Exclure par groupe de correctifs et Fournisseurs/Produits sélectionnés
• Mac : Déployer par gravité, Déployer par groupe de correctifs
• Linux : Déployer tous les correctifs manquants, Déployer par groupe de correctifs

Par défaut, seuls les correctifs de sécurité critiques pour Windows sont déployés. Fonctionnement :

• Si vous activez et configurez Déployer par gravité et que vous définissez les groupes de correctifs à inclure dans Déployer/Exclure par groupe de correctifs, ces options s'additionnent et tous les correctifs correspondant à chacune des options configurées sont déployés.
• Si vous activez et configurez Fournisseurs/Produits sélectionnés, cette option exclut les correctifs des deux autres options.
• Si vous définissez un groupe de correctifs sur Exclure dans Déployer/Exclure par groupe de correctifs, les correctifs membres d'un groupe de correctifs à Exclure sont toujours exclus même s'ils sont définis ailleurs sur Inclure.

Exemple 1 : Vous souhaitez déployer uniquement les correctifs membres d'un groupe de correctifs donné :

• Désactivez les options Déployer par gravité et Fournisseurs/Produits sélectionnés.
• Activez l'option Déployer/Exclure par groupe de correctifs et sélectionnez le groupe de correctifs voulu à inclure.

Exemple 2 : Supposons que vous configuriez ce qui suit :

• Déployer par gravité : Les options Sécurité - Critique et Sécurité - Important sont sélectionnées.
• Déployer/Exclure par groupe de correctifs : Vous définissez un seul groupe de correctifs à inclure, qui contient un correctif de sécurité Critique, un correctif de sécurité Important et deux correctifs de sécurité Modéré.
• Fournisseurs/Produits sélectionnés : Cette option est désactivée.

Dans ce cas :

• Les correctifs Sécurité - Critique et Sécurité - Important sont déployés pour tous les fournisseurs et tous les produits.
• Les quatre correctifs figurant dans le groupe de correctifs sont déployés, y compris les deux correctifs de sécurité Modéré.

Exemple 3 : Identique à l'exemple 2, mais :

• Vous utilisez aussi l'option Fournisseurs/Produits sélectionnés pour indiquer que seuls les correctifs Adobe doivent être déployés.

Dans ce cas, les seuls correctifs déployés sont :

• Les correctifs de sécurité Adobe de niveau Critique, les correctifs de sécurité Adobe de type Important et les éventuels correctifs Adobe figurant dans le groupe de correctifs.

Exemple 4 : Identique à l'exemple 3, mais :

• Vous utilisez également l'option Déployer/Exclure par groupe de correctifs pour exclure un groupe de correctifs contenant un correctif Adobe de type Sécurité - Critique spécifique.

Dans ce cas, les seuls correctifs déployés sont :

• Les correctifs de sécurité Adobe de type Sécurité - Critique (sauf ceux du groupe de correctifs exclu
• Les correctifs Adobe Sécurité - Important
• Les éventuels correctifs Adobe figurant dans le groupe de correctifs

Si un correctif est ajouté à un groupe de correctifs défini sur Exclure, ce correctif n'est pas déployé, même si d'autres paramètres suggèrent spécifiquement qu'il doit être déployé.

Exemple 5 (Cas Windows Edge) : Imaginons que vous ayez configuré Déployer par gravité avec uniquement l'option Sécurité - Critique, et configuré aussi Déployer par groupe de correctifs pour inclure Vantosi V3.

Si Vantosi V4 est ensuite publié sous la catégorie Sécurité - Critique et si, avant tout autre déploiement de correctifs, Vantosi V5 est publié sous la catégorie Sécurité - Important, alors ni Vantosi V4 ni Vantosi V5 n'est déployé pour Windows. En effet, la dernière version (Vantosi V5) ne répond pas au critère de gravité défini pour le déploiement, et que ni Vantosi V4 ni Vantosi V5 ne figurent dans le groupe de correctifs. Attention, si vous avez défini la même configuration de correctifs pour Mac, Vantosi V4 est déployé.

Nous vous recommandons d'utiliser régulièrement le composant Rapports de conformité pour vérifier l'état de conformité de vos périphériques, et d'ajouter tous les nouveaux correctifs Sécurité - Critique à un groupe de correctifs. Pour en savoir plus, reportez-vous à « Rapports de conformité » et à « Groupes de correctifs ».

Sélection d'options de déploiement

• Déployer tous les correctifs manquants/Déployer les correctifs sélectionnés (Linux uniquement) : Sous Linux, vous pouvez choisir de déployer tous les correctifs manquants. Sinon, sélectionnez Déployer les correctifs sélectionnés pour activer des contrôles supplémentaires permettant de limiter les correctifs déployés.

• Déployer par gravité (Windows et Mac) : Si vous activez cette option, vous pouvez spécifier les types de correctif et les niveaux de gravité à inclure dans le déploiement. Par défaut, seule l'option de correctifs Sécurité - Critique est sélectionnée.
  • Correctifs de sécurité : Correctifs liés aux bulletins de sécurité. Vous pouvez choisir de déployer un ou plusieurs niveaux de gravité spécifiques.
    • Critique : Vulnérabilités pouvant être exploitées par un attaquant distant non authentifié ou vulnérabilités qui brisent l'isolement du système d'exploitation invité/hôte. Cette exploitation met en danger la confidentialité, l'intégrité, la disponibilité des données utilisateur et des ressources de traitement sans intervention de l'utilisateur. Cette exploitation peut être utilisée pour propager un ver Internet, ou pour exécuter un code arbitraire entre les machines virtuelles et l'hôte.
    • Important : Vulnérabilités dont l'exploitation compromet la confidentialité, l'intégrité ou la disponibilité des données utilisateur et des ressources de traitement. Ces failles peuvent permettre à des utilisateurs locaux d'obtenir des privilèges, permettre à des utilisateurs distants authentifiés d'exécuter un code arbitraire, ou permettre à un utilisateur local ou distant de provoquer facilement un déni de service (DoS).
    • Modéré : Failles dans lesquelles les possibilités d'exploitation des vulnérabilités sont fortement atténuées par la configuration ou la difficulté d'utilisation de ces vulnérabilités, mais qui, dans certains scénarios de déploiement, peuvent tout de même compromettre la confidentialité, l'intégrité ou la disponibilité des données utilisateur et des ressources de traitement. Ce type de vulnérabilité peut avoir un impact important, voire essentiel, mais son exploitation est plus difficile en raison de l'évaluation technique de la faille ou affecte uniquement des configurations très rares.
    • Faible : Tous les autres incidents qui ont un impact sur la sécurité. Vulnérabilités dont l'exploitation est considérée comme extrêmement difficile ou dont l'exploitation aurait un impact vraiment minimal.
    • Non affecté : Correctifs de sécurité auxquels aucun niveau de gravité n'a été affecté.
  • Correctifs autres que sécurité : Correctifs de fournisseur servant à corriger des problèmes logiciels connus qui ne sont pas des problèmes de sécurité. Sous Windows, vous pouvez choisir de déployer un ou plusieurs niveaux de gravité fournisseur spécifiques. Pour consulter la description des niveaux de gravité disponibles, reportez-vous à « Correctifs de sécurité ».
• Déployer/Exclure par groupe de correctifs (Windows) ou Déployer par groupe de correctifs (Mac et Linux) : Si cette option est activée, vous pouvez spécifier un ou plusieurs groupes de correctifs contenant les correctifs à inclure dans un déploiement ou (Windows uniquement) à exclure du déploiement. C'est une bonne façon de s'assurer que seuls les correctifs approuvés sont déployés. Les correctifs manquants n'appartenant pas aux groupes de correctifs marqués Inclure ne sont pas déployés, sauf s'ils répondent aux exigences spécifiées pour l'option Déployer par gravité. Les correctifs des groupes de correctifs définis sur Exclure ne sont pas déployés même si d'autres paramètres suggèrent spécifiquement qu'ils devraient l'être. Vous pouvez afficher les détails des groupes de correctifs disponibles dans l'onglet Groupes de correctifs de la page Paramètres de correctifs. Les groupes de correctifs sont gérés depuis Patch Intelligence.

  Les périphériques Linux sont toujours mis à jour vers le paquet le plus récent disponible dans le référentiel, même si une version antérieure est ajoutée à un groupe de correctifs. De plus, les paquets sont non seulement associés aux conseils (Advisory) dans les groupes de correctifs installés, mais aussi aux conseils dépendants.

  Lorsque vous activez Déployer/Exclure par groupe de correctifs, vous voyez apparaître une grille de tous les groupes de correctifs, indiquant le nombre de correctifs pour chaque système d'exploitation, plus le nombre total de correctifs de chaque groupe. Cochez la case d'un groupe de correctifs, puis cliquez sur Inclure ou Exclure selon vos besoins. Cliquez sur Effacer pour désélectionner un groupe de correctifs.

  L'icône ou , en regard du nombre de correctifs du système d'exploitation que vous n'êtes pas en train de configurer, indique que la configuration inclut ou exclut déjà ces correctifs, respectivement.

  Il peut être intéressant de vérifier rapidement les correctifs qui figurent dans un groupe avant de sélectionner ce dernier. Pour ce faire, cliquez sur un lien numérique dans la grille pour afficher les correctifs correspondants sous la grille Groupes de correctifs. Utilisez la colonne Plateforme pour déterminer le système d'exploitation et la colonne État pour déterminer l'état de chaque correctif.

  L'état affiché est en fait une approximation, basée sur l'utilisation de ce groupe de correctifs avec la configuration de correctifs actuelle. Plusieurs facteurs peuvent affecter l'état des correctifs. Par exemple, si vous utilisez Fournisseurs/Produits sélectionnés en plus d'un groupe de correctifs, cela peut exclure un ou plusieurs correctifs membres du groupe.

  • Actif : Ce groupe de correctifs a été utilisé par cette configuration pour mettre le correctif à la disposition des périphériques des utilisateurs finaux. Les périphériques font partie des stratégies associées à cette configuration de correctifs.
  • Non actif : Cet état de correctif peut apparaître pour deux raisons. (1) Ce groupe de correctifs n'a pas été utilisé pour mettre le correctif à la disposition de périphériques. (2) La configuration de correctifs à laquelle ce groupe de correctifs est affecté n'a pas été activée sur des périphériques.
    Il existe une situation où un correctif marqué Non actif peut en réalité être actif. Si le correctif réside dans plusieurs groupes de correctifs, l'un des autres groupes peut avoir été utilisé pour activer ce correctif sur les périphériques.
• Fournisseurs/Produits sélectionnés (Windows uniquement) : Si cette option est désactivée, les correctifs de tous les fournisseurs et produits disponibles sont inclus dans le déploiement défini par les options Déployer par gravité et Déployer par groupe de correctifs. Au fur et à mesure que de nouveaux produits et correctifs sont publiés, ils sont ajoutés au déploiement.

Si cette option est activée, elle permet de spécifier les fournisseurs, familles de produits et versions de produit à déployer sur les postes client. Les fournisseurs et produits non sélectionnés sont exclus du déploiement. Les éléments sont affichés dans une liste hiérarchique. Si vous cochez une case à un niveau, toutes les cases des niveaux subordonnés sont également cochées.

• Sélectionner tout : Cochez cette case pour sélectionner tous les correctifs actuellement disponibles pour tous les fournisseurs et produits de la liste. Les nouveaux fournisseurs et correctifs de produit qui deviennent disponibles ultérieurement sont ajoutés au déploiement.

Pour exclure seulement quelques éléments, vous pouvez activer Sélectionner tout, puis désélectionner la case à cocher des éléments à exclure.

• Choix de fournisseurs et produits spécifiques : Seuls les correctifs des fournisseurs, familles de produits et/ou versions de produit sélectionnés sont déployés. Les fournisseurs et produits non sélectionnés sont exclus du déploiement.
  

Comportement de redémarrage

Cette zone vous permet de préciser si et quand le redémarrage de vos périphériques cible est demandé lors du processus de déploiement. La plateforme Ivanti Neurons gère les demandes de redémarrage de façon centralisée pour éviter les conflits entre les différents modules Ivanti Neurons. Par conséquent, le redémarrage n'est pas toujours immédiat quand vous le demandez.

macOS redémarre toujours après le déploiement de correctifs d'OS, après avoir invité l'utilisateur à déployer les mises à jour d'OS. Vous pouvez aussi choisir Toujours redémarrer après une mise à jour (même si aucun correctif d'OS n'a été appliqué) pour les configurations Mac.

• Redémarrage avant déploiement (Windows uniquement) : Si vous activez cette option, cela indique que les périphériques cible doivent être redémarrés avant le déploiement des correctifs. Le redémarrage des périphériques avant d'installer de nouveaux logiciels importants fait partie des meilleures pratiques, particulièrement en cas de changement majeur de logiciel, comme avec des niveaux de produit de système d'exploitation. Si vous choisissez de redémarrer les périphériques, vous pouvez à ce stade préciser les avertissements que l'utilisateur connecté doit recevoir, et indiquer l'étendue du contrôle de cet utilisateur sur le processus de redémarrage. Vous pouvez réaliser les opérations suivantes :
  • Choisir de forcer le redémarrage après un certain nombre de minutes
  • Alerter l'utilisateur qu'un redémarrage va se produire lorsqu'il se déconnectera.
  • Sélectionner la durée d'affichage du message de compte à rebours lorsque la séquence d'arrêt commence. Pour afficher un aperçu de la boîte de dialogue telle que l'utilisateur la verra, cliquez sur Exemple de compte à rebours.
  • Autoriser l'utilisateur à augmenter le délai de temporisation du redémarrage jusqu'au maximum spécifié.
  • Autoriser l'utilisateur à annuler la temporisation. Si la temporisation est annulée, les correctifs sont déployés uniquement lorsque l'utilisateur se déconnecte ou qu'il redémarre manuellement le périphérique.
  • Autoriser l'utilisateur à annuler le redémarrage. Les correctifs sont installés uniquement au redémarrage du périphérique.
• Redémarrage après déploiement (Windows et Linux) : Si vous activez cette option, cela indique que les périphériques cible doivent être redémarrés après le déploiement des correctifs. Vous disposez de deux options :
  • Toujours : Spécifie que chaque périphérique doit être redémarré après le déploiement des correctifs. Il s'agit de l'option la plus sûre pour le déploiement des correctifs car la plupart des correctifs nécessitent un redémarrage pour être correctement déployés, mais elle peut redémarrer les périphériques inutilement.
  • Si nécessaire : Indique que l'agent Ivanti Neurons doit déterminer s'il est utile ou non de redémarrer chaque périphérique, en fonction des correctifs inclus dans le déploiement.

  Sous Linux, si vous sélectionnez l'option de déploiement Déployer les correctifs sélectionnés, les paquets sont non seulement associés aux conseils (Advisory) dans les groupes de correctifs sélectionnés, mais aussi aux conseils dépendants. Si vous sélectionnez alors l'option de redémarrage Si nécessaire, ces dépendances peuvent provoquer un redémarrage supplémentaire.

Si vous choisissez de redémarrer les périphériques, vous pouvez à ce stade préciser d'autres options, comme les avertissements que l'utilisateur connecté doit recevoir et de degré de contrôle que cet utilisateur possède sur le processus de redémarrage, à l'aide des stratégies associées. Pour en savoir plus, reportez-vous à « Expérience de redémarrage Agent Policy (Stratégie d'agent) ».

Cette zone vous permet de configurer les déploiements exécutés de façon récurrente.

L'onglet Définir la récurrence permet de planifier régulièrement des opérations de déploiement à une heure spécifique, selon un modèle de récurrence précis. Par exemple, vous pouvez exécuter un déploiement toutes les nuits à minuit, tous les samedis à 21h, tous les jours de semaine à 23h, ou selon l'horaire et l'intervalle sélectionnés par l'utilisateur.

• Exécuter au redémarrage si planification manquée : Si vous manquez un déploiement planifié parce que le périphérique est éteint, il est exécuté dans l'heure qui suit le rallumage du périphérique.
• Déployer les correctifs : Vous pouvez planifier le déploiement des correctifs à l'aide des options suivantes :
  • Quotidien : Les déploiements sont exécutés chaque jour de la semaine à l'heure de votre choix.
  • Hebdomadaire : Les déploiements sont exécutés le jour de semaine spécifié, à l'heure de votre choix.
  • Mensuel : Les déploiements s'exécutent à la date spécifiée ou à l'occurrence d'un jour chaque mois, à l'heure de votre choix. Vous pouvez également utiliser cette option pour planifier un déploiement en conjonction avec le Patch Tuesday de Microsoft. Par exemple, vous pouvez planifier un déploiement de correctifs mensuel afin qu'il s'exécute le jour qui suit le Patch Tuesday, en cochant la case Déployer aussi après le Patch Tuesday et en spécifiant 1 comme nombre de jours après le Patch Tuesday pour retarder le déploiement.
    L'option Ajouter un retard vous offre davantage de flexibilité de planification, car elle vous permet d'ajouter un certain nombre de jours de retard à une planification mensuelle. Par exemple, si votre Conseil de changement se réunit le premier mercredi de chaque mois pour décider des correctifs à déployer le samedi suivant, vous pouvez choisir de les déployer le premier mercredi, en définissant un retard de 3 jours. Cela permet de gérer les cas où le samedi qui suit le premier mercredi est soit le premier, soit le deuxième samedi du mois.
  • Patch Tuesday : Planifiez les déploiements pour qu'ils s'exécutent le même jour que l'événement mensuel de Microsoft concernant les correctifs, que l'on appelle Patch Tuesday.

• Préparer le contenu avant déploiement : Indiquez si vous souhaitez créer le paquet de déploiement et le copier vers les périphériques cible avant le déploiement proprement dit. Vous pouvez préparer le contenu 1 à 23 heures avant l'exécution du déploiement. L'agent exécute automatiquement une analyse des correctifs au début du processus de préparation, pour réévaluer l'état de correctifs du périphérique avant le déploiement.

  La seule exception concerne les déploiements de correctifs qui se produisent le premier jour du mois. Pour éviter les problèmes d'année bissextile et autres bizarreries du calendrier, l'interface vous empêche de préparer le contenu la veille du premier jour du mois. Par exemple, si vous planifiez un déploiement pour 8h00 le premier du mois, vous êtes autorisé à préparer le contenu seulement 1 à 8 heures avant le déploiement.

• Tâches à venir : Cette table affiche la liste des tâches à venir. Cela vous permet de connaître tous les événements qui doivent se produire dans les 60 prochains jours avec la configuration sélectionnée. Attention, les informations de cette table constituent une projection. De nombreuses raisons peuvent empêcher les événements de la liste de se produire.

• Vous pouvez créer une configuration de correctifs pour tous les fournisseurs et produits utilisés par les équipes Support IT dans votre entreprise. Vous pouvez ensuite associer cette configuration aux stratégies d'agent qui couvrent vos équipes locales, par exemple Support IT AMER, Support IT EMEA et Support IT APAC.
• Vous pouvez créer une configuration de correctifs pour les correctifs publiés lors du Patch Tuesday. Vous pouvez ensuite associer cette configuration à une stratégie d'agent pilote, que vous utilisez pour tester le déploiement des correctifs. Si ces déploiements réussissent, vous pouvez associer la configuration à votre principale stratégie d'agent pour une distribution plus large.
• Vous pouvez créer une configuration de correctifs pour vos postes de travail et ordinateurs portables, et une autre pour vos serveurs. Vous associez ensuite la configuration de correctifs appropriée à la stratégie d'agent qui gouverne chaque type de périphérique.
  

Pour associer la configuration de correctifs actuelle à une ou plusieurs stratégies d'agent :

1. Cliquez sur Sélectionner des stratégies.
2. Choisissez les stratégies d'agent voulues.
   Pour vous aider à faire votre choix, l'écran fournit les informations suivantes sur les stratégies disponibles :
   • Stratégie : Nom de la stratégie d'agent.
   • Postes client : Indique le nombre des postes client qui utilisent actuellement cette stratégie.
   • Configuration de correctifs actuelle : Affiche le nom de la configuration de correctifs actuellement associée à la stratégie d'agent.
3. Cliquez sur Confirmer.

La liste de toutes les stratégies d'agent actuellement associées à la configuration de correctifs figure dans la page Associations.

La table affiche toutes les versions de la configuration. Par défaut, la table contient les colonnes suivantes et est triée sur la colonne Version.

• Version : Valeur numérique indiquant la version. Le premier enregistrement d'une configuration constitue la version 1. Chaque fois que la configuration est modifiée et enregistrée, la valeur Version est incrémentée de 1. Cliquez sur une valeur de version pour ouvrir les détails de la configuration portant ce numéro de version.
• Nom de configuration : Nom de la configuration de correctifs.
• Date d'enregistrement : Date et heure d'enregistrement de la modification de la configuration.
• Dernier enregistrement par : Nom du membre de l'équipe qui a modifié en dernier cette version de la configuration. Si vous modifiez un groupe de correctifs associé à une configuration de correctifs, cela est considéré comme une modification de la configuration.

• Disponibilité : Indique l'état actuel de la configuration. Les valeurs disponibles sont Nouveau, En attente, Actif, Précédemment actif, Brouillon et Échec.

• Description : Commentaire entré lors de l'enregistrement de la modification de la configuration.

• Rétablir la version sélectionnée : Permet de rétablir une version précédente de la configuration de correctifs. N'oubliez pas de mettre à jour la description de la configuration et de cliquer sur Enregistrer après l'opération. Les stratégies associées à la configuration après le rétablissement sont les stratégies les plus récentes. Les groupes de correctifs ne sont pas inclus dans l'opération de rétablissement. Les groupes de correctifs inclus dans la configuration de correctifs actuelle figurent dans la configuration rétablie. Vous ne pouvez pas revenir à une version archivée.

Vous pouvez exporter le contenu de la table vers un fichier CSV. Vous pouvez choisir d'exporter tout le contenu de la table ou seulement les entrées sélectionnées.

Le fichier CSV est créé selon les normes ISO et stocké dans votre dossier Téléchargements local. Si vous utilisez Excel pour afficher ce fichier, les données peuvent être converties dans les paramètres de langue du périphérique pour que vous puissiez les consulter dans un format plus lisible pour l'humain.

Toutes les options de tri et de filtre appliquées aux configurations sont conservées dans la sortie exportée. Toutes les colonnes sont incluses, quelle que soit votre sélection dans Sélecteur de colonnes.

Cochez dans la première colonne la case des configurations à exporter. Vous pouvez aussi cliquer sur la case figurant dans l'en-tête de cette colonne pour sélectionner toutes les configurations.

Cliquez sur Exporter pour créer le fichier CSV.