Comportement de configuration

Cet onglet vous permet de configurer différentes options relatives au déploiement des correctifs.

Voir la vidéo associée (6:56)

Sélectionnez Afficher le récapitulatif pour voir un récapitulatif de vos options de configuration personnalisée des correctifs, avec un onglet pour chaque système d'exploitation. Ce récapitulatif est mis à jour en temps réel lorsque vous ajoutez, supprimez ou modifiez des options de configuration de correctifs.

Comportement de déploiement

La zone Comportement de déploiement vous permet de configurer le moment du déploiement des correctifs (Planification), les correctifs à déployer (Options de déploiement), et de préciser si et quand des demandes de redémarrage des périphériques cible doivent être envoyées lors du processus de déploiement (Comportement de redémarrage).

Vous pouvez configurer différents comportements de redémarrage pour différents systèmes d'exploitation dans la même configuration de correctifs. Le comportement de déploiement de chaque système d'exploitation comprend une ou plusieurs tâches de déploiement que vous pouvez activer ou désactiver :

  • Maintenance de routine : Généralement utilisé pour l'application mensuelle des correctifs d'OS et d'application, et nécessite souvent un redémarrage du poste client.
  • Mises à jour prioritaires (Windows uniquement) : Pour les applications dont les mises à jour sont publiées plus fréquemment, comme les navigateurs ou les applications télécom. Comme ces produits nécessitent rarement un redémarrage, en planifiant ces déploiements pour qu'ils s'exécutent plus souvent, vous réduisez vos vulnérabilités avec peu d'impact sur les utilisateurs.
  • Réponse Zero Day (Windows uniquement) : Permet une réponse urgente, comme en cas d'exploitation des vulnérabilités.

Vous pouvez utiliser ces tâches pour implémenter une stratégie d'application des correctifs basée sur les risques, en configurant le déploiement des différents types de correctif selon différentes planifications.

Pour créer une configuration de correctifs qui effectue uniquement le scan, désactivez la bascule Déploiement pour toutes les tâches de tous les systèmes d'exploitation. Le moteur de correctifs scanne le poste client dès qu'il est installé, puis tous les jours entre minuit et 2 h du matin, heure locale du poste client.

Pour lancer une tâche de correctif, activez-la, puis cliquez sur Configurer cette tâche pour afficher le volet de configuration correspondant.

Planification

Cette zone vous permet de configurer les déploiements exécutés de façon récurrente.

La section Choisir une planification permet de planifier régulièrement des opérations de déploiement à une heure spécifique, selon un modèle de récurrence précis. Par exemple, vous pouvez exécuter un déploiement toutes les nuits à minuit, tous les samedis à 21h, tous les jours de semaine à 23h, ou selon l'horaire et l'intervalle sélectionnés par l'utilisateur.

  • Exécuter au redémarrage si planification manquée : Si vous manquez un déploiement planifié parce que le périphérique est éteint, il est exécuté dans l'heure qui suit le rallumage du périphérique.
  • Déployer les correctifs : Vous pouvez planifier le déploiement des correctifs à l'aide des options suivantes :
    • Quotidien : Les déploiements sont exécutés chaque jour de la semaine à l'heure de votre choix.
    • Hebdomadaire : Les déploiements sont exécutés le jour de semaine spécifié, à l'heure de votre choix.
    • Mensuel : Les déploiements s'exécutent à la date spécifiée ou à l'occurrence d'un jour chaque mois, à l'heure de votre choix. Vous pouvez également utiliser cette option pour planifier un déploiement en conjonction avec le Patch Tuesday de Microsoft. Par exemple, vous pouvez planifier un déploiement de correctifs mensuel afin qu'il s'exécute le jour qui suit le Patch Tuesday, en cochant la case Déployer aussi après le Patch Tuesday et en spécifiant 1 comme nombre de jours après le Patch Tuesday pour retarder le déploiement.
      L'option Ajouter un retard vous offre davantage de flexibilité de planification, car elle vous permet d'ajouter un certain nombre de jours de retard à une planification mensuelle. Par exemple, si votre Conseil de changement se réunit le premier mercredi de chaque mois pour décider des correctifs à déployer le samedi suivant, vous pouvez choisir de les déployer le premier mercredi, en définissant un retard de 3 jours. Cela permet de gérer les cas où le samedi qui suit le premier mercredi est soit le premier, soit le deuxième samedi du mois.
    • Patch Tuesday : Planifiez les déploiements pour qu'ils s'exécutent le même jour que l'événement mensuel de Microsoft concernant les correctifs, que l'on appelle Patch Tuesday.
  • Préparer le contenu avant déploiement (Windows et Mac) : Demande au moteur de correctifs du poste client de télécharger les correctifs avant la tâche de déploiement. Cela s'avère particulièrement utile sur les postes client avec des fenêtres de maintenance, pour qu'aucun moment de la fenêtre de maintenance ne soit perdu pour le téléchargement. Vous pouvez préparer le contenu 1 à 23 heures avant l'exécution du déploiement. L'agent exécute automatiquement une analyse des correctifs au début du processus de préparation, pour réévaluer l'état de correctifs du périphérique avant le déploiement.

    La seule exception concerne les déploiements de correctifs qui se produisent le premier jour du mois. Pour éviter les problèmes d'année bissextile et autres bizarreries du calendrier, l'interface vous empêche de préparer le contenu la veille du premier jour du mois. Par exemple, si vous planifiez un déploiement pour 8h00 le premier du mois, vous êtes autorisé à préparer le contenu seulement 1 à 8 heures avant le déploiement.

Déploiement par

Les options de déploiement disponibles dépendent du système d'exploitation :

  • Windows : Déployer par score de risque, Déployer par gravité, Déployer/Exclure par groupe de correctifs, Inclure les paquets d'activation et Fournisseurs/Produits sélectionnés
  • Mac : Déployer par gravité, Déployer par groupe de correctifs
  • Linux : Déployer tous les correctifs manquants, Déployer par gravité, Déployer par groupe de correctifs

Par défaut, seuls les correctifs de sécurité critiques pour Windows sont déployés. Fonctionnement :

  • Si vous activez et configurez Déployer par gravité et que vous définissez les groupes de correctifs à inclure dans Déployer/Exclure par groupe de correctifs, ces options s'additionnent et tous les correctifs correspondant à chacune des options configurées sont déployés.
  • Si vous activez et configurez Fournisseurs/Produits sélectionnés, cette option exclut les correctifs des deux autres options.
  • Si vous définissez un groupe de correctifs sur Exclure dans Déployer/Exclure par groupe de correctifs, les correctifs membres d'un groupe de correctifs à Exclure sont toujours exclus même s'ils sont définis ailleurs sur Inclure.

Exemple 1 : Vous souhaitez déployer uniquement les correctifs membres d'un groupe de correctifs donné :

  • Désactivez les options Déployer par gravité et Fournisseurs/Produits sélectionnés.
  • Activez l'option Déployer/Exclure par groupe de correctifs et sélectionnez le groupe de correctifs voulu à inclure.

Exemple 2 : Supposons que vous configuriez ce qui suit :

  • Déployer par gravité : Les options Sécurité - Critique et Sécurité - Important sont sélectionnées.
  • Déployer/Exclure par groupe de correctifs : Vous définissez un seul groupe de correctifs à inclure, qui contient un correctif de sécurité Critique, un correctif de sécurité Important et deux correctifs de sécurité Modéré.
  • Fournisseurs/Produits sélectionnés : Cette option est désactivée.

Dans ce cas :

  • Les correctifs Sécurité - Critique et Sécurité - Important sont déployés pour tous les fournisseurs et tous les produits.
  • Les quatre correctifs figurant dans le groupe de correctifs sont déployés, y compris les deux correctifs de sécurité Modéré.

Exemple 3 : Identique à l'exemple 2, mais :

  • Vous utilisez aussi l'option Fournisseurs/Produits sélectionnés pour indiquer que seuls les correctifs Adobe doivent être déployés.

Dans ce cas, les seuls correctifs déployés sont :

  • Les correctifs de sécurité Adobe de niveau Critique, les correctifs de sécurité Adobe de type Important et les éventuels correctifs Adobe figurant dans le groupe de correctifs.

Exemple 4 : Identique à l'exemple 3, mais :

  • Vous utilisez également l'option Déployer/Exclure par groupe de correctifs pour exclure un groupe de correctifs contenant un correctif Adobe de type Sécurité - Critique spécifique.

Dans ce cas, les seuls correctifs déployés sont :

  • Les correctifs de sécurité Adobe de type Sécurité - Critique (sauf ceux du groupe de correctifs exclu
  • Les correctifs Adobe Sécurité - Important
  • Les éventuels correctifs Adobe figurant dans le groupe de correctifs

Si un correctif est ajouté à un groupe de correctifs défini sur Exclure, ce correctif n'est pas déployé, même si d'autres paramètres suggèrent spécifiquement qu'il doit être déployé.

Exemple 5 (Cas Windows Edge) : Imaginons que vous ayez configuré Déployer par gravité avec uniquement l'option Sécurité - Critique, et configuré aussi Déployer par groupe de correctifs pour inclure Vantosi V3.

Si Vantosi V4 est ensuite publié sous la catégorie Sécurité - Critique et si, avant tout autre déploiement de correctifs, Vantosi V5 est publié sous la catégorie Sécurité - Important, alors ni Vantosi V4 ni Vantosi V5 n'est déployé pour Windows. En effet, la dernière version (Vantosi V5) ne répond pas au critère de gravité défini pour le déploiement, et que ni Vantosi V4 ni Vantosi V5 ne figurent dans le groupe de correctifs. Attention, si vous avez défini la même configuration de correctifs pour Mac, Vantosi V4 est déployé.

Nous vous recommandons d'utiliser régulièrement le composant Rapports de conformité pour vérifier l'état de conformité de vos périphériques, et d'ajouter tous les nouveaux correctifs Sécurité - Critique à un groupe de correctifs. Pour en savoir plus, reportez-vous à « Rapports de conformité » et à « Groupes de correctifs ».

Sélection d'options de déploiement

  • Déployer tous les correctifs manquants/Déployer les correctifs sélectionnés (Linux uniquement) : Sous Linux, vous pouvez choisir de déployer tous les correctifs manquants. Sinon, sélectionnez Déployer les correctifs sélectionnés pour activer des contrôles supplémentaires permettant de choisir les correctifs déployés.
  • Déployer par score de risque (Windows uniquement) : Si cette option est activée, vous pouvez spécifier les scores de risque associés aux correctifs à inclure dans un déploiement.
    • Score VRR : Déploie les correctifs dont le score VRR est supérieur ou égal à la valeur configurée. Le score VRR (Score de risque de la vulnérabilité) représente le risque que représente une vulnérabilité donnée, sous forme d'un score numérique compris entre 0 et 10.
    • Score CVSS : Déploie les correctifs pour lesquels la dernière version du score CVSS (Système de notation des vulnérabilités courantes) tiré de toutes les CVE associées au correctif est supérieure ou égale à la valeur configurée. Les scores vont de 0,1 à 10.

      • Pour en savoir plus sur VRR et CVSS, reportez-vous à « Menaces et risques ».

    • Déployer des correctifs pour les vulnérabilités exploitées : Activez cette option pour déployer des correctifs pour les vulnérabilités signalées comme exploitées.
  • Déployer par gravité : Si vous activez cette option, vous pouvez spécifier les types de correctif et les niveaux de gravité à inclure dans le déploiement. Par défaut, seule l'option de correctifs Sécurité - Critique est sélectionnée. Différents niveaux sont disponibles pour chaque système d'exploitation et distribution Linux. Les icônes indiquent les distributions Linux qui prennent en charge chaque niveau.
    • Sécurité : Correctifs liés aux bulletins de sécurité. Vous pouvez choisir de déployer un ou plusieurs niveaux de gravité spécifiques.
      • Critique : Vulnérabilités pouvant être exploitées par un attaquant distant non authentifié ou vulnérabilités qui brisent l'isolement du système d'exploitation invité/hôte. Cette exploitation met en danger la confidentialité, l'intégrité, la disponibilité des données utilisateur et des ressources de traitement sans intervention de l'utilisateur. Cette exploitation peut être utilisée pour propager un ver Internet, ou pour exécuter un code arbitraire entre les machines virtuelles et l'hôte.
      • Important : Vulnérabilités dont l'exploitation compromet la confidentialité, l'intégrité ou la disponibilité des données utilisateur et des ressources de traitement. Ces failles peuvent permettre à des utilisateurs locaux d'obtenir des privilèges, permettre à des utilisateurs distants authentifiés d'exécuter un code arbitraire, ou permettre à un utilisateur local ou distant de provoquer facilement un déni de service (DoS).
      • Modéré : Failles dans lesquelles les possibilités d'exploitation des vulnérabilités sont fortement atténuées par la configuration ou la difficulté d'utilisation de ces vulnérabilités, mais qui, dans certains scénarios de déploiement, peuvent tout de même compromettre la confidentialité, l'intégrité ou la disponibilité des données utilisateur et des ressources de traitement. Ce type de vulnérabilité peut avoir un impact important, voire essentiel, mais son exploitation est plus difficile en raison de l'évaluation technique de la faille ou affecte uniquement des configurations très rares.
      • Faible : Tous les autres incidents qui ont un impact sur la sécurité. Vulnérabilités dont l'exploitation est considérée comme extrêmement difficile ou dont l'exploitation aurait un impact vraiment minimal.
      • Non affecté (Windows et Mac) : Correctifs de sécurité auxquels aucun niveau de gravité n'a été affecté.
    • Autres que sécurité (Windows et Mac) : Correctifs de fournisseur servant à corriger des problèmes logiciels connus qui ne sont pas des problèmes de sécurité. Sous Windows, vous pouvez choisir de déployer un ou plusieurs niveaux de gravité fournisseur spécifiques. Pour consulter la description des niveaux de gravité disponibles, reportez-vous à « Correctifs de sécurité ».
    • Correction de bug (Linux uniquement) : Correctifs fournisseur qui corrigent les bugs.
    • Amélioration (Linux uniquement) : Correctifs fournisseur qui améliorent les fonctions.

      • L'option Amélioration n'est pas disponible pour Oracle v7 et Red Hat v7.

  • Déployer/Exclure par groupe de correctifs (Windows) ou Déployer par groupe de correctifs (Mac et Linux) : Si cette option est activée, vous pouvez spécifier un ou plusieurs groupes de correctifs contenant les correctifs à inclure dans un déploiement ou (Windows uniquement) à exclure du déploiement. C'est une bonne façon de s'assurer que seuls les correctifs approuvés sont déployés. Les correctifs manquants n'appartenant pas aux groupes de correctifs marqués Inclure ne sont pas déployés, sauf s'ils répondent aux exigences spécifiées pour l'option Déployer par gravité. Les correctifs des groupes de correctifs définis sur Exclure ne sont pas déployés même si d'autres paramètres suggèrent spécifiquement qu'ils devraient l'être. Vous pouvez afficher les détails des groupes de correctifs disponibles dans l'onglet Groupes de correctifs de la page Paramètres de correctifs. Les groupes de correctifs sont gérés depuis Patch Intelligence.

    Les périphériques Linux sont toujours mis à jour vers le paquet le plus récent disponible dans le référentiel, même si une version antérieure est ajoutée à un groupe de correctifs. De plus, les paquets sont non seulement associés aux conseils (Advisory) dans les groupes de correctifs installés, mais aussi aux conseils dépendants.

    Lorsque vous activez Déployer/Exclure par groupe de correctifs, vous voyez apparaître une grille de tous les groupes de correctifs, indiquant le nombre de correctifs pour chaque système d'exploitation, plus le nombre total de correctifs de chaque groupe. Cochez la case d'un groupe de correctifs, puis cliquez sur Inclure ou Exclure selon vos besoins. Cliquez sur Effacer pour désélectionner un groupe de correctifs.

    L'icône Coche ou icône x, en regard du nombre de correctifs du système d'exploitation que vous n'êtes pas en train de configurer, indique que la configuration inclut ou exclut déjà ces correctifs, respectivement.

    Il peut être intéressant de vérifier rapidement les correctifs qui figurent dans un groupe avant de sélectionner ce dernier. Pour ce faire, cliquez sur un lien numérique dans la grille pour afficher les correctifs correspondants sous la grille Groupes de correctifs. Utilisez la colonne Plateforme pour déterminer le système d'exploitation et la colonne État pour déterminer l'état de chaque correctif.

    L'état affiché est en fait une approximation, basée sur l'utilisation de ce groupe de correctifs avec la configuration de correctifs actuelle. Plusieurs facteurs peuvent affecter l'état des correctifs. Par exemple, si vous utilisez Fournisseurs/Produits sélectionnés en plus d'un groupe de correctifs, cela peut exclure un ou plusieurs correctifs membres du groupe.

    • Actif : Ce groupe de correctifs a été utilisé par cette configuration pour mettre le correctif à la disposition des périphériques des utilisateurs finaux. Les périphériques font partie des stratégies associées à cette configuration de correctifs.
    • Non actif : Cet état de correctif peut apparaître pour deux raisons. (1) Ce groupe de correctifs n'a pas été utilisé pour mettre le correctif à la disposition de périphériques. (2) La configuration de correctifs à laquelle ce groupe de correctifs est affecté n'a pas été activée sur des périphériques.
      Il existe une situation où un correctif marqué Non actif peut en réalité être actif. Si le correctif réside dans plusieurs groupes de correctifs, l'un des autres groupes peut avoir été utilisé pour activer ce correctif sur les périphériques.
  • Inclure les paquets d'activation (Windows uniquement, Maintenance de routine uniquement) : Si cette option est activée, le système déploie les paquets d'activation sélectionnés. Un paquet d'activation est un jeu limité de mises à jour cumulatives qui vous permettent d'effectuer la mise à niveau d'une version de Windows vers une autre. Utilisez Afficher les paquets remplacés pour afficher ou masquer les éléments qui ont été remplacés.
  • Fournisseurs/Produits sélectionnés (Windows uniquement) : Si cette option est désactivée, les correctifs de tous les fournisseurs et produits disponibles sont inclus dans le déploiement défini par les options Déployer par gravité et Déployer par groupe de correctifs. Au fur et à mesure que de nouveaux produits et correctifs sont publiés, ils sont ajoutés au déploiement.

    • Si cette option est activée, elle permet de spécifier les fournisseurs, familles de produits et versions de produit à déployer sur les postes client. Les fournisseurs et produits non sélectionnés sont exclus du déploiement. Les éléments sont affichés dans une liste hiérarchique. Si vous cochez une case à un niveau, toutes les cases des niveaux subordonnés sont également cochées.

    • Sélectionner tout : Cochez cette case pour sélectionner tous les correctifs actuellement disponibles pour tous les fournisseurs et produits de la liste. Les nouveaux fournisseurs et correctifs de produit qui deviennent disponibles ultérieurement sont ajoutés au déploiement.

      • Pour exclure seulement quelques éléments, vous pouvez activer Sélectionner tout, puis désélectionner la case à cocher des éléments à exclure.

    • Choix de fournisseurs et produits spécifiques : Seuls les correctifs des fournisseurs, familles de produits et/ou versions de produit sélectionnés sont déployés. Les fournisseurs et produits non sélectionnés sont exclus du déploiement.

Comportement de redémarrage

Cette zone vous permet de préciser si et quand le redémarrage de vos périphériques cible est demandé lors du processus de déploiement. La plateforme Ivanti Neurons gère les demandes de redémarrage de façon centralisée pour éviter les conflits entre les différents modules Ivanti Neurons. Par conséquent, le redémarrage n'est pas toujours immédiat quand vous le demandez.

macOS redémarre toujours après le déploiement de correctifs d'OS, après avoir invité l'utilisateur à déployer les mises à jour d'OS. Vous pouvez aussi choisir Toujours redémarrer après une mise à jour (même si aucun correctif d'OS n'a été appliqué) pour les configurations Mac.

  • Redémarrage avant déploiement (Windows uniquement) : Si vous activez cette option, cela indique que les périphériques cible doivent être redémarrés avant le déploiement des correctifs. Le redémarrage des périphériques avant d'installer de nouveaux logiciels importants fait partie des meilleures pratiques, particulièrement en cas de changement majeur de logiciel, comme avec des niveaux de produit de système d'exploitation. Si vous choisissez de redémarrer les périphériques, vous pouvez à ce stade préciser les avertissements que l'utilisateur connecté doit recevoir, et indiquer l'étendue du contrôle de cet utilisateur sur le processus de redémarrage. Vous pouvez réaliser les opérations suivantes :
    • Choisir de forcer le redémarrage après un certain nombre de minutes
    • Alerter l'utilisateur qu'un redémarrage va se produire lorsqu'il se déconnectera.
    • Sélectionner la durée d'affichage du message de compte à rebours lorsque la séquence d'arrêt commence. Pour afficher un aperçu de la boîte de dialogue telle que l'utilisateur la verra, cliquez sur Exemple de compte à rebours.
    • Autoriser l'utilisateur à augmenter le délai de temporisation du redémarrage jusqu'au maximum spécifié.
    • Autoriser l'utilisateur à annuler la temporisation. Si la temporisation est annulée, les correctifs sont déployés uniquement lorsque l'utilisateur se déconnecte ou qu'il redémarre manuellement le périphérique.
    • Autoriser l'utilisateur à annuler le redémarrage. Les correctifs sont installés uniquement au redémarrage du périphérique.
  • Redémarrage après déploiement (Windows) ou Redémarrer après déploiement si nécessaire (Linux) : Si vous activez cette option, cette zone indique si les périphériques cible doivent être redémarrés après le déploiement des correctifs. Linux redémarre uniquement si nécessaire mais il existe deux options pour Windows :
    • Toujours : Spécifie que chaque périphérique doit être redémarré après le déploiement des correctifs. Il s'agit de l'option la plus sûre pour le déploiement des correctifs car la plupart des correctifs nécessitent un redémarrage pour être correctement déployés, mais elle peut redémarrer les périphériques inutilement.
    • Si nécessaire : Indique que l'agent Ivanti Neurons doit déterminer s'il est utile ou non de redémarrer chaque périphérique, en fonction des correctifs inclus dans le déploiement.

      • Sous Linux, si vous sélectionnez l'option de déploiement Déployer les correctifs sélectionnés, les paquets sont non seulement associés aux conseils (Advisory) dans les groupes de correctifs sélectionnés, mais aussi aux conseils dépendants. Si vous sélectionnez alors l'option Redémarrer après déploiement si nécessaire, ces dépendances peuvent provoquer un redémarrage supplémentaire.

    • Si vous choisissez de redémarrer les périphériques, vous pouvez à ce stade préciser d'autres options, comme les avertissements que l'utilisateur connecté doit recevoir et de degré de contrôle que cet utilisateur possède sur le processus de redémarrage, à l'aide des stratégies associées. Pour en savoir plus, reportez-vous à « Expérience de redémarrage Agent Policy (Stratégie d'agent) ».

Paramètres - Aperçu des correctifs Microsoft

À des fins de test, Microsoft fournit un aperçu du jeu de correctifs pour Windows avant la sortie officielle du Patch Tuesday. Ces correctifs n'incluent pas les mises à jour de sécurité. Vous ne les déployez donc généralement pas sur tous vos périphériques. La recherche de ces correctifs est donc désactivée par défaut. Pour permettre la recherche de l'aperçu des correctifs, activez Rechercher les correctifs d'aperçu Microsoft.

Si vous choisissez de déployer des aperçus de correctifs, nous vous recommandons de les déployer uniquement sur un groupe de test limité au sein de votre entreprise.