Premiers pas avec Patch Management (Gestion des correctifs)

Cette page fournit un bref aperçu des étapes impliquées dans la configuration d'Ivanti Neurons for Patch Management. Vous disposez de deux options principales :

  • Workflow de Cloud : Principal workflow pour l'utilisation des fonctions de gestion des correctifs. Toutes les opérations de configuration et d'évaluation sont exécutées dans le Cloud, tandis que les analyses et déploiements proprement dits sont réalisés par les agents installés sur les périphériques gérés.
  • Workflow hybride : Pour les clients qui utilisent un connecteur de produit de gestion des correctifs sur site, comme Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security ou Ivanti Desktop and Server Management.

Pour en savoir plus sur les systèmes d'exploitation et distributions Linux pouvant recevoir des correctifs, reportez-vous à « Matrice de compatibilité des systèmes d'exploitation ».

Des correctifs pour des distributions Linux supplémentaires, comme Rocky, Alma et Debian, ainsi que le support étendu des distributions comme CentOS 6, CentOS 7, Oracle 6, Oracle 7, Ubuntu 16 et Ubuntu 18 sont disponibles via le programme de partenariat. Pour en savoir plus de détails, reportez-vous à « KernelCare Enterprise » sur Ivanti Marketplace.

Workflow de Cloud

Il s'agit du principal workflow pour l'utilisation des fonctions de gestion des correctifs. Toutes les opérations de configuration et d'évaluation sont exécutées dans le Cloud, tandis que les analyses et déploiements proprement dits sont réalisés par les agents installés sur les périphériques gérés.

1) Créez un groupe de stratégies personnalisé. 2) Créez une configuration de correctifs et associez-la à votre groupe de stratégies. 3) Attendez que les changements se propagent à vos agents. 4) Les agents analysent et déploient les correctifs. 5) Les résultats sont transmis à Ivanti Neurons.

Légende de la figure

A

Périphériques d'agent

Workflow de Cloud

1

Créez une stratégie personnalisée.

2

Créez une configuration de correctifs et associez-la à votre stratégie.

3

Attendez que les changements se propagent à vos périphériques d'agent.

4

Les agents analysent et déploient les correctifs sur les périphériques gérés.

5

Les résultats d'analyse et de déploiement sont communiqués à Ivanti Neurons.

Détails du workflow de Cloud

Étapes conditionnelles

Si un agent Ivanti Neurons est déjà installé sur vos périphériques, vous pouvez ignorer ces étapes conditionnelles.

  1. Téléchargez un agent adapté au type du périphérique (Windows, Mac ou Linux).
    Le téléchargement comprend deux fichiers :
    • Le fichier exécutable de l'agent.
    • Un fichier d'options qui contient l'ID de locataire, la clé d'inscription et des informations sur l'hôte Cloud (cloudhost), qui seront nécessaires au cours du processus d'installation.
  2. Installez l'agent sur les périphériques cible voulus.
    1. Sur le périphérique cible, lancez le processus d'installation en double-cliquant sur le fichier exécutable.
    2. Suivez les instructions de l'assistant d'installation.
  3. Attendez que l'agent exécute automatiquement les opérations suivantes :
    • Inscription et prise de contact avec Ivanti Neurons
    • Téléchargement de la stratégie d'agent affectée
    • Analyse du périphérique cible à la recherche de tous les correctifs manquants, et transmission des résultats à Ivanti Neurons
  4. Consultez les informations sur les nouveaux périphériques cible découverts dans la vue Périphériques d'Ivanti Neurons.

Premières étapes

  1. Créez une stratégie d'agent personnalisée.
    La stratégie par défaut initialement installée avec un agent est configurée pour effectuer uniquement des analyses des correctifs. Pour réaliser des déploiements de correctifs, vous devez créer au moins une stratégie personnalisée. Cette stratégie personnalisée doit être capable d'effectuer des actions de gestion des correctifs, et vous devez l'associer à une configuration de correctifs définissant vos paramètres de déploiement. Vous utilisez l'option Ajouter des périphériques dans la stratégie pour affecter cette stratégie aux périphériques d'agent voulus.
    N'oubliez pas d'activer la fonction Gestion des correctifs lorsque vous créez la stratégie d'agent. La stratégie définit les règles qui autorisent l'agent à fonctionner en mode autonome sur un périphérique, avec ou sans intervention humaine.
    Dans la stratégie d'agent personnalisée, vous pouvez choisir d'utiliser le téléchargement P2P (entre homologues). Le P2P (échange entre homologues) prend en charge les correctifs à signature numérique et en chargement transitoire. Les correctifs automatiquement téléchargés depuis le site du fournisseur sans signature numérique ne sont pas pris en charge par le P2P, notamment, 7-Zip et Core FTP. L'homologue serveur partage uniquement les correctifs applicables à l'OS avec l'homologue client. Par exemple, un poste Server 2019 partage uniquement les correctifs 2019.
  2. Configurez vos paramètres de correctifs.
    Vos paramètres de correctifs vont inclure les éléments suivants :
    • Configuration de correctifs : Le principal objectif d'une configuration de correctifs est de spécifier la façon dont les correctifs doivent être déployés vers les périphériques d'agent. La solution fournit une configuration de correctifs par défaut, qui déploie tous les correctifs de sécurité manquants de type Critique dans votre environnement Windows, toutes les semaines. Vous aurez probablement besoin de créer une ou plusieurs configurations de correctifs personnalisées pour répondre aux besoins de déploiement de correctifs spécifiques de votre entreprise.

      Dans l'onglet Associations, veillez à associer votre configuration de correctifs à une stratégie d'agent personnalisée, définie pour exécuter des opérations de gestion des correctifs.

    • (Facultatif) Groupe de correctifs : Vous pouvez choisir de référencer un groupe de correctifs dans une configuration de correctifs. Un groupe de correctifs contient la liste des correctifs spécifiques que vous voulez déployer. C'est une bonne façon de s'assurer que seuls les correctifs approuvés sont déployés. Consultez la section « Comportement de déploiement » de la rubrique « Paramètres de correctifs » pour savoir comment correctement configurer ce scénario.
  3. Attendez que les changements se propagent à vos périphériques.
    Vos périphériques reçoivent la stratégie mise à jour et les informations de configuration de correctifs la prochaine fois que les agents prennent contact avec Ivanti Neurons.
  4. Déployez les correctifs manquants sur le périphérique d'agent.
    Vous disposez de 4 méthodes pour effectuer le déploiement :
    • Via un déploiement de correctifs automatique, planifié, défini par la configuration de correctifs.
    • Depuis le composant Endpoint Vulnerability (Vulnérabilité du poste client) dans Ivanti Neurons for Patch Management. Vous pouvez utiliser ce composant pour déployer tous les correctifs identifiés comme manquants lors de la dernière analyse des correctifs.

      Vérifiez bien que vous disposez des permissions Patch Management nécessaires pour déployer des correctifs depuis Endpoint Vulnerability.

    • Dans l'onglet Correctifs de la page Détails du périphérique. Vous pouvez sélectionner dans cette page chacun des correctifs à déployer.
    • En utilisant l'interface d'agent du périphérique d'agent pour lancer immédiatement un déploiement de correctifs.

      • Pour installer l'interface d'agent, vous devez activer cette fonction dans la stratégie d'agent affectée.

    Si l'installation d'un correctif échoue, le système la retente (Windows : Un maximum de 3 fois sous forme de cycle de correctif individuel, et jusqu'à 5 fois au total sur le poste client. Mac : Jusqu'à 3 fois. Linux : Pas de nouvelle tentative). Vous pouvez également configurer le déploiement pour qu'il s'exécute au redémarrage dans le cadre de la planification de configuration si le périphérique est hors ligne.

    Après un déploiement de correctifs, le périphérique d'agent est automatiquement réanalysé et les résultats sont envoyés à Ivanti Neurons. Cela vous permet de vérifier l'état du déploiement et d'évaluer l'état de santé actuel du périphérique d'agent.

  5. Utilisez le composant Deployment History (Historique de déploiement) pour consulter les résultats du déploiement et identifier rapidement les éventuels problèmes.
  6. Utilisez le composant Endpoint Vulnerability (Vulnérabilité du poste client) pour évaluer l'état de santé des correctifs sur les périphériques de votre environnement.
  7. Utilisez le composant Patch Intelligence pour mieux comprendre les vulnérabilités détectées sur vos périphériques, d'après la priorisation sur la base des risques, la fiabilité des correctifs et la conformité des correctifs.

Workflow hybride

Ce workflow concerne nos clients actuels qui utilisent un connecteur de produit de gestion des correctifs sur site, comme Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security ou Ivanti Desktop and Server Management. Ces clients commencent leur migration vers le workflow de Cloud en utilisant simultanément les deux workflows. Par exemple, nos clients existants peuvent choisir de basculer la gestion de leurs postes de travail vers le workflow de Cloud, tout en continuant à fournir des fonctions de gestion des correctifs aux postes de travail hors connexion, serveurs et autres périphériques critiques ou sensibles à l'aide de leur workflow sur site. Cette approche vous permet d'effectuer la transition vers le workflow de Cloud à votre propre rythme.

La console sur site analyse et déploie les correctifs sur les machines gérées. Les résultats sont transmis à Ivanti Neurons.

Légende de la figure

A

Périphériques d'agent

B

Console de gestion des correctifs sur site (Endpoint Manager, Security Controls, etc.)

C

Périphériques gérés par la console

Workflow de Cloud

1

Créez une stratégie personnalisée.

2

Créez une configuration de correctifs et associez-la à votre stratégie.

3

Attendez que les changements se propagent à vos périphériques d'agent.

4

Les agents analysent et déploient les correctifs sur les périphériques gérés.

5

Les résultats d'analyse et de déploiement sont communiqués à Ivanti Neurons.

Workflow hybride

i

Connecteur

ii

La console analyse et déploie les correctifs sur les périphériques gérés.

iii

Les résultats de la console sont communiqués à Ivanti Neurons.

Ces résultats combinent les données de la plateforme Ivanti Neurons à la fois pour les périphériques gérés dans le Cloud et pour ceux gérés sur site. Les déploiements de correctifs sur les postes client gouvernés par le workflow de Cloud sont réalisés par l'agent Ivanti Neurons. Les déploiements sur les périphériques gouvernés par une solution sur site continuent à être réalisés par la console sur site.

Vous pouvez avoir des périphériques gérés à la fois par le Cloud Ivanti Neurons et par la solution sur site. Les deux solutions fonctionnent sans problème côte à côte. Les actions réalisées dans le Cloud Ivanti Neurons sont prioritaires, parce qu'elles constituent une interaction directe avec les périphériques.

Bien qu'il soit possible d'avoir des périphériques gérés par les deux solutions, cela n'est probablement pas recommandé, car la réception de plusieurs rapports issus de différents produits peut être source de confusion.

Les déploiements peuvent être lancés par un agent Ivanti Neurons, par une console sur site Ivanti Endpoint Manager or Ivanti Security Controls, ou depuis le Cloud avec les composants Détails du périphérique ou Endpoint Vulnerability (Vulnérabilité du poste client).

Si vous utilisez un profil d'analyse personnalisé dans Ivanti Security Controls, vous constaterez peut-être lors du déploiement d'un correctif manquant que le système signale qu'il est déjà installé sur le périphérique. Pour éviter cela, ajoutez une analyse régulière de tous les périphériques à l'aide de l'un des modèles prédéfinis Analyse des correctifs de sécurité ou Tous les correctifs. Pour en savoir plus, reportez-vous à l'article suivant sur le site de la communauté Ivanti (s'ouvre dans une nouvelle fenêtre).