Patch Management

Ivanti Neurons for Patch Management est une solution de gestion des correctifs dans le Cloud. Il combine les informations en temps réel de la plateforme Ivanti Neurons avec les informations de bien d'Ivanti Neurons for Discovery et une intelligence utile pour la priorisation sur la base des risques, pour mettre en place une stratégie de sécurité adaptative. La solution fournit des fonctions complètes de gestion des correctifs pour vos machines Windows, macOS et Linux, et vous pouvez appliquer des correctifs à la fois aux produits Microsoft ou Apple, et à ceux de fournisseurs tiers.

Pour Apple Silicon Mac et Intel Mac avec puce Apple T2, Ivanti Neurons for Patch Management a besoin d'un compte de rôle pour gérer les correctifs de système d'exploitation sur le périphérique. Cela signifie que, lorsqu'Ivanti Neurons for Patch Management déploie pour la première fois un correctif de système d'exploitation sur un périphérique de ce type, une boîte de dialogue demande à l'administrateur local de créer un compte de rôle Administrateur à destination d'Ivanti Neurons sur le périphérique. Des instructions apparaissent à l'écran. Si vous avez activé FileVault, le compte de rôle Administrateur que vous créez apparaît dans l'écran de connexion après le redémarrage.

Pour accéder à Ivanti Neurons for Patch Management, naviguez jusqu'à Patch Management (Gestion des correctifs) dans la plateforme Ivanti Neurons.

Ivanti Neurons for Patch Management comprend les composants suivants, selon votre licence :

  • Rapports de conformité : (Compliance Reporting) Vous permet de déterminer votre état de conformité actuel et vos tendances au fil du temps.
  • Vulnérabilité du poste client : (Endpoint Vulnerability) Fournit une vue centralisée de l'application de correctifs aux périphériques de votre environnement, avec des détails sur l'état de santé des périphériques et des mesures basées sur les risques.
  • Intelligence des correctifs : (Patch Intelligence) Collecte et réunit des données pour faciliter la gestion, la priorisation et la rationalisation des correctifs dans votre environnement. Il offre une image claire de votre paysage de menaces, avec des mesures priorisées sur la base des risques.
  • Historique de déploiement : (Deployment History) Permet de consulter l'état des récentes opérations de déploiement. Vous pouvez vous concentrer sur les exceptions et résoudre rapidement les problèmes.
  • Paramètres de correctifs : (Patch Settings) Permet de définir des configurations de correctifs et des groupes de correctifs pour le workflow de gestion des correctifs dans le Cloud. Vous pouvez commencer très rapidement en utilisant une configuration par défaut qui applique tous les correctifs de sécurité critiques, ou bien créer une configuration de correctifs personnalisée adaptée aux seuils spécifiques de mise en conformité de votre entreprise.
  • Patch for Intune : Étend les implémentations Microsoft Intune pour inclure des fonctions de gestion des produits tiers.

Vérifiez bien que vous disposez des permissions nécessaires pour utiliser Patch Management.

Configuration requise

Vous devez ajouter un certain nombre d'URL Web à vos pare-feux, proxies et listes d'exceptions de filtre Web. Ces URL servent à télécharger le contenu de correctif depuis des fournisseurs tiers.

Pour consulter la liste complète des URL à ajouter, reportez-vous à « URL, adresses IP et ports requis ».

Pour déployer avec succès des correctifs à l'aide de l'agent Ivanti Neurons sur des périphériques Windows, ne désactivez pas le service Mises à jour Windows, mais configurez-le sur Manuel ou sur Automatique. De plus, configurez le paramétrage Windows Update de chaque machine cible (Panneau de configuration > Système et sécurité > Windows Update > Modifier les paramètres) sur Ne jamais rechercher de mises à jour.Pour en savoir plus, reportez-vous à cet article sur le site de la communauté Ivanti.

Si vous appliquez des correctifs Office 2019 ou Office 365 qui utilisent la technologie Click-to-Run, reportez-vous à l'article « How Ivanti patches Office Click-to-Run installations » (Comment Ivanti applique des correctifs aux installations Office Click-to-Run) sur le site de la communauté Ivanti (s'ouvre dans une nouvelle fenêtre) pour en savoir plus sur la façon dont Patch for Neurons corrige ces installations.

Workflow de Cloud

Il s'agit du principal workflow pour l'utilisation des fonctions de gestion des correctifs. Toutes les opérations de configuration et d'évaluation sont exécutées dans le Cloud, tandis que les analyses et déploiements proprement dits sont réalisés par les agents installés sur les machines gérées.

1) Créez un groupe de stratégies personnalisé. 2) Créez une configuration de correctifs et associez-la à votre groupe de stratégies. 3) Attendez que les changements se propagent à vos agents. 4) Les agents analysent et déploient les correctifs. 5) Les résultats sont transmis à Ivanti Neurons.

Légende de la figure

A

Machines d'agent

Workflow de Cloud

1

Créez un groupe de stratégies personnalisé.

2

Créez une configuration de correctifs et associez-la à votre groupe de stratégies.

3

Attendez que les changements se propagent à vos machines d'agent.

4

Les agents analysent et déploient les correctifs sur les machines gérées.

5

Les résultats d'analyse et de déploiement sont communiqués à Ivanti Neurons.

Détails du workflow de Cloud

Étapes conditionnelles

Si un agent Ivanti Neurons est déjà installé sur vos périphériques, vous pouvez ignorer ces étapes conditionnelles.

  1. Téléchargez un agent adapté au type du périphérique (Windows, Mac ou Linux).
    Le téléchargement comprend deux fichiers :
    • Le fichier exécutable de l'agent.
    • Un fichier d'options qui contient l'ID de locataire, la clé d'activation et des informations sur l'hôte de Cloud (cloudhost), qui seront nécessaires au cours du processus d'installation.
  2. Installez l'agent sur les machines cible voulues.
    1. Sur la machine cible, lancez le processus d'installation en double-cliquant sur le fichier exécutable.
    2. Suivez les instructions de l'assistant d'installation.
  3. Attendez que l'agent exécute automatiquement les opérations suivantes :
    • Inscription et prise de contact avec Ivanti Neurons
    • Téléchargement du groupe de stratégies d'agent par défaut
    • Analyse de la machine cible à la recherche de tous les correctifs manquants, et transmission des résultats à Ivanti Neurons
  4. Consultez les informations sur les nouvelles machines cible découvertes dans la vue Périphériques d'Ivanti Neurons.

Premières étapes

  1. Créez un groupe de stratégies d'agent personnalisé.
    Le groupe de stratégies par défaut initialement installé avec un agent est configuré uniquement pour effectuer des analyses des correctifs. Pour réaliser des déploiements de correctifs, vous devez créer au moins un groupe de stratégies personnalisé. Ce groupe de stratégies personnalisé doit être capable d'effectuer des actions de gestion des correctifs, et vous devez l'associer à une configuration de correctifs définissant vos paramètres de déploiement. Vous utilisez l'option Ajouter des périphériques dans la stratégie pour affecter cette stratégie aux machines d'agent voulues.
    N'oubliez pas d'activer la fonction Gestion des correctifs lorsque vous créez le groupe de stratégies d'agent. Le groupe de stratégies définit les règles qui autorisent l'agent à fonctionner en mode autonome sur un périphérique, avec ou sans intervention humaine.
    Dans la stratégie d'agent personnalisée, vous pouvez choisir d'utiliser le téléchargement P2P (entre homologues). Le P2P (échange entre homologues) prend en charge les correctifs à signature numérique et en chargement transitoire. Les correctifs automatiquement téléchargés depuis le site du fournisseur sans signature numérique ne sont pas pris en charge par le P2P, notamment, 7-Zip et Core FTP. L'homologue serveur partage uniquement les correctifs applicables à l'OS avec l'homologue client. Par exemple, un poste Server 2019 partage uniquement les correctifs 2019 (et pas plus récents) avec un client Windows 11.
  2. Configurez vos paramètres de correctifs.
    Vos paramètres de correctifs vont inclure les éléments suivants :
    • Configuration de correctifs : Le principal objectif d'une configuration de correctifs est de spécifier la façon dont les correctifs doivent être déployés vers les machines d'agent. La solution fournit une configuration de correctifs par défaut, qui déploie tous les correctifs de sécurité manquants de type Critique dans votre environnement Windows, toutes les semaines. Vous aurez probablement besoin de créer une ou plusieurs configurations de correctifs personnalisées pour répondre aux besoins de déploiement de correctifs spécifiques de votre entreprise.

      Dans l'onglet Associations, veillez à associer votre configuration de correctifs à un groupe de stratégies d'agent personnalisé, défini pour exécuter des opérations de gestion des correctifs.

    • (Facultatif) Groupe de correctifs : Vous pouvez choisir de référencer un groupe de correctifs dans une configuration de correctifs. Un groupe de correctifs contient la liste des correctifs spécifiques que vous voulez déployer. C'est une bonne façon de s'assurer que seuls les correctifs approuvés sont déployés. Consultez la section « Comportement de déploiement » de la rubrique « Paramètres de correctifs » pour savoir comment correctement configurer ce scénario.
  3. Attendez que les changements se propagent à vos périphériques.
    Vos périphériques reçoivent la stratégie mise à jour et les informations de configuration de correctifs la prochaine fois que les agents prennent contact avec Ivanti Neurons.
  4. Déployez les correctifs manquants sur la machine d'agent.
    Vous disposez de 4 méthodes pour effectuer le déploiement :
    • Via un déploiement de correctifs automatique, planifié, défini par la configuration de correctifs.
    • Depuis le composant Endpoint Vulnerability (Vulnérabilité du poste client) dans Ivanti Neurons for Patch Management. Vous pouvez utiliser ce composant pour déployer tous les correctifs identifiés comme manquants lors de la dernière analyse des correctifs.

      Vérifiez bien que vous disposez des permissions Patch Management nécessaires pour déployer des correctifs depuis Endpoint Vulnerability.

    • Dans l'onglet Correctifs de la page Détails du périphérique. Vous pouvez sélectionner dans cette page chacun des correctifs à déployer.
    • En utilisant le client d'agent de la machine d'agent pour lancer immédiatement un déploiement de correctifs.
    Après un déploiement de correctifs, la machine d'agent est automatiquement réanalysée et les résultats sont envoyés à Ivanti Neurons. Cela vous permet de vérifier l'état du déploiement et d'évaluer l'état de santé actuel de la machine d'agent.
  5. Utilisez le composant Deployment History (Historique de déploiement) pour consulter les résultats du déploiement et identifier rapidement les éventuels problèmes.
  6. Utilisez le composant Endpoint Vulnerability (Vulnérabilité du poste client) pour évaluer l'état de santé des correctifs sur les machines de votre environnement.
  7. Utilisez le composant Patch Intelligence pour mieux comprendre les vulnérabilités détectées sur vos machines, d'après la priorisation sur la base des risques, la fiabilité des correctifs et la conformité des correctifs.

Workflow hybride

Ce workflow concerne nos clients actuels qui utilisent un connecteur de produit de gestion des correctifs sur site, comme Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security ou Ivanti Desktop and Server Management. Ces clients commencent leur migration vers le workflow de Cloud en utilisant simultanément les deux workflows. Par exemple, nos clients existants peuvent choisir de basculer la gestion de leurs postes de travail vers le workflow de Cloud, tout en continuant à fournir des fonctions de gestion des correctifs aux postes de travail hors connexion, serveurs et autres périphériques critiques ou sensibles à l'aide de leur workflow sur site. Cette approche vous permet d'effectuer la transition vers le workflow de Cloud à votre propre rythme.

La console sur site analyse et déploie les correctifs sur les machines gérées. Les résultats sont transmis à Ivanti Neurons.

Légende de la figure

A

Machines d'agent

B

Console de gestion des correctifs sur site (Endpoint Manager, Security Controls, etc.)

C

Machines gérées par la console

Workflow de Cloud

1

Créez un groupe de stratégies personnalisé.

2

Créez une configuration de correctifs et associez-la à votre groupe de stratégies.

3

Attendez que les changements se propagent à vos machines d'agent.

4

Les agents analysent et déploient les correctifs sur les machines gérées.

5

Les résultats d'analyse et de déploiement sont communiqués à Ivanti Neurons.

Workflow hybride

i

Connecteur

ii

La console analyse et déploie les correctifs sur les machines gérées.

iii

Les résultats de la console sont communiqués à Ivanti Neurons.

Ces résultats combinent les données de la plateforme Ivanti Neurons à la fois pour les périphériques gérés dans le Cloud et pour ceux gérés sur site. Les déploiements de correctifs sur les postes client gouvernés par le workflow de Cloud sont réalisés par l'agent Ivanti Neurons. Les déploiements sur les périphériques gouvernés par une solution sur site continuent à être réalisés par la console sur site.

Vous pouvez avoir des périphériques gérés à la fois par le Cloud Ivanti Neurons et par la solution sur site. Les deux solutions fonctionnent sans problème côte à côte. Les actions réalisées dans le Cloud Ivanti Neurons sont prioritaires, parce qu'elles constituent une interaction directe avec les périphériques.

Bien qu'il soit possible d'avoir des périphériques gérés par les deux solutions, cela n'est probablement pas recommandé, car la réception de plusieurs rapports issus de différents produits peut être source de confusion.

Les déploiements peuvent être lancés par un agent Ivanti Neurons, par une console sur site Ivanti Endpoint Manager or Ivanti Security Controls, ou depuis le Cloud avec les composants Détails du périphérique ou Endpoint Vulnerability (Vulnérabilité du poste client).

Si vous utilisez un profil d'analyse personnalisé dans Ivanti Security Controls, vous constaterez peut-être lors du déploiement d'un correctif manquant que le système signale qu'il est déjà installé sur le périphérique. Pour éviter cela, ajoutez une analyse régulière de tous les périphériques à l'aide de l'un des modèles prédéfinis Analyse des correctifs de sécurité ou Tous les correctifs. Pour en savoir plus, reportez-vous à l'article suivant sur le site de la communauté Ivanti (s'ouvre dans une nouvelle fenêtre).

Rubriques connexes

Vulnérabilité du poste client

Patch Intelligence

Historique de déploiement

Paramètres de correctifs