Gestion des correctifs
Ivanti Neurons for Patch Management est une solution de gestion des correctifs dans le Cloud. Il combine les informations en temps réel de la plateforme Ivanti Neurons avec les informations de bien d'Ivanti Neurons for Discovery et une intelligence utile pour la priorisation sur la base des risques, pour mettre en place une stratégie de sécurité adaptative. La solution fournit des fonctions complètes de gestion des correctifs pour vos périphériques Windows, macOS et Linux, et vous pouvez appliquer des correctifs à la fois aux produits Microsoft ou Apple, et à ceux de fournisseurs tiers.
Pour accéder à Ivanti Neurons for Patch Management, naviguez jusqu'à Patch Management (Gestion des correctifs) dans la plateforme Ivanti Neurons.
Ivanti Neurons for Patch Management comprend les composants suivants, selon votre licence :
- Rapports de conformité (Rapports de conformité) : Vous permet de déterminer votre état de conformité actuel et vos tendances au fil du temps.
- Historique de déploiement (Historique de déploiement) : Permet de consulter l'état des récentes opérations de déploiement. Vous pouvez vous concentrer sur les exceptions et résoudre rapidement les problèmes.
- Endpoint Vulnerability (Vulnérabilité du poste client) : Fournit une vue centralisée de l'application de correctifs aux périphériques de votre environnement, avec des détails sur l'état de santé des périphériques et des mesures basées sur les risques.
- Patch Intelligence (Intelligence des correctifs) : Collecte et réunit des données pour faciliter la gestion, la priorisation et la rationalisation des correctifs dans votre environnement. Il offre une image claire de votre paysage de menaces, avec des mesures priorisées sur la base des risques.
- Paramètres de correctifs (Paramètres de correctifs) : Permet de définir des configurations de correctifs et des groupes de correctifs pour le workflow de gestion des correctifs dans le Cloud. Vous pouvez commencer très rapidement en utilisant une configuration par défaut qui applique tous les correctifs de sécurité critiques, ou bien créer une configuration de correctifs personnalisée adaptée aux seuils spécifiques de mise en conformité de votre entreprise.
- Déploiements par anneaux : Permet de gérer les déploiements par anneaux afin de pouvoir tester le déploiement des correctifs sur un plus petit nombre de périphériques de test avant de le poursuivre sur tous les périphériques.
- Patch for Intune : Étend les implémentations Microsoft Intune pour inclure des fonctions de gestion des produits tiers.
- Rapports : Permet de créer des rapports contenant des données tirées d'Ivanti Neurons, que vous pouvez utiliser ou distribuer au format PDF, CSV ou Excel aux personnes qui n'ont pas accès au système.
Vérifiez bien que vous disposez des permissions Access Control nécessaires pour utiliser Patch Management.
Configuration requise
Vous devez respecter plusieurs exigences pour utiliser Patch Management (Gestion des correctifs).
URL, adresses IP et ports requis
Vous devez ajouter un certain nombre d'URL Web à vos pare-feux, proxies et listes d'exceptions de filtre Web. Ces URL servent à télécharger le contenu de correctif depuis des fournisseurs tiers.
Pour consulter la liste complète des URL que vous devez ajouter, reportez-vous à « URL, adresses IP et ports requis ».
Microsoft Windows et Microsoft Office
Pour déployer avec succès des correctifs à l'aide de l'agent Ivanti Neurons sur des périphériques Windows, ne désactivez pas le service Mises à jour Windows, mais configurez-le sur Manuel ou sur Automatique. De plus, configurez le paramétrage Windows Update de chaque périphérique cible (Panneau de configuration > Système et sécurité > Windows Update > Modifier les paramètres) sur Ne jamais rechercher de mises à jour. Pour en savoir plus, reportez-vous à cet article sur le site de la communauté Ivanti.
Si vous appliquez des correctifs Office 2019 ou Office 365 qui utilisent la technologie Click-to-Run, reportez-vous à l'article « How Ivanti patches Office Click-to-Run installations » (Comment Ivanti applique des correctifs aux installations Office Click-to-Run) sur le site de la communauté Ivanti (s'ouvre dans une nouvelle fenêtre) pour en savoir plus sur la façon dont Patch for Neurons corrige ces installations.
Patch Management (Gestion des correctifs) est désormais disponible sous Windows 11 IoT Enterprise LTSC.
macOS
Pour Apple Silicon Mac et Intel Mac avec puce Apple T2, Ivanti Neurons for Patch Management a besoin d'un compte de rôle dédié pour gérer les correctifs de système d'exploitation sur le périphérique.
Lorsqu'Ivanti Neurons for Patch Management lance pour la première fois le déploiement d'un correctif d'OS, une boîte de dialogue système demande à l'administrateur local de créer un compte de rôle. Les instructions à l'écran guident l'administrateur tout au long du processus. Des références d'authentification Admin sont requises pour autoriser la création du compte.
Une fois que l'administrateur a rempli le formulaire, un nouveau compte d'utilisateur nommé _ivantiNeuronsMacPatchAgent est créé. Un mot de passe généré aléatoirement, propre au périphérique, est affecté au compte. Les références d'authentification sont stockées en toute sécurité dans le porte-clés macOS.
Lorsqu'un correctif macOS est requis, Ivanti Neurons utilise le compte _ivantiNeuronsMacPatchAgent pour exécuter l'utilitaire systemupdate (Mise à jour système). Cet utilitaire applique les dernières mises à jour d'OS à l'aide du paquet InstallAssist.pkg, récupéré depuis le réseau de diffusion de contenu (CDN) Apple.
Périphériques macOS gérés avec MDM
Un administrateur local disposant à la fois de permissions Propriétaire de volume et d'un jeton sécurisé peut créer des utilisateurs supplémentaires dotés des mêmes privilèges sur le périphérique. Cependant, ce n'est pas le cas pour les comptes provisionnés via Entra ID ou d'autres services Active Directory. Ces comptes ne sont pas considérés comme locaux pour la machine. Bien qu'ils puissent disposer d'un jeton sécurisé, ils n'ont généralement pas de permissions Propriétaire de volume.
Pour les périphériques gérés par MDM, les permissions Propriétaire de volume ne sont pas requises pour effectuer des tâches d'administration, comme la création d'utilisateurs ou l'application de correctifs d'OS. À la place, ces périphériques exploitent le jeton Bootstrap, mécanisme conçu pour faciliter les opérations sécurisées sans dépendre des privilèges Propriétaire de volume.
Pour en savoir plus, reportez-vous à « Utilisation d'un jeton sécurisé, d'un jeton Bootstrap et de l'option Propriétaire de volume dans les déploiements ».
Comme les comptes Admin gérés par MDM ne peuvent pas affecter de permissions Propriétaire de volume, nous vous recommandons d'utiliser MDM pour déployer et gérer les mises à jour macOS.
Bien que les détails de l'implémentation puissent varier selon les fournisseurs MDM, Ivanti Neurons for MDM prend en charge ce workflow. Pour en savoir plus, consultez la dernière version de la documentation Ivanti Neurons for MDM.
FAQ macOS
Pourquoi le compte _ivantiNeuronsMacPatchAgent est-il visible sur l'écran de connexion s'il s'agit d'un compte masqué ?
Si FileVault est activé sur le périphérique, le compte de rôle _ivantiNeuronsMacPatchAgent s'affiche sur l'écran de connexion après un redémarrage. Cela est dû à la façon dont FileVault gère l'authentification au démarrage.
Si FileVault n'est pas activé, le compte reste masqué et n'apparaît pas dans Paramètres système > Utilisateurs et groupes. Il s'agit d'un compte de rôle non interactif, ce qui signifie qu'il ne peut pas servir pour la connexion à l'environnement de bureau.
Pour en savoir plus sur les comptes de rôle, exécutez sysadminctl -h dans Terminal.
Qu'est-ce qu'un compte de rôle et pourquoi est-il requis pour déployer des mises à jour d'OS ?
Un compte de rôle est un compte d'utilisateur non interactif masqué, utilisé pour s'authentifier et exécuter des services d'arrière-plan comme un compte de service sur les systèmes Windows.
Sous macOS, seuls les utilisateurs dotés à la fois des permissions Jeton sécurisé et Propriétaire de volume peuvent effectuer des opérations au niveau du système, comme la modification des zones protégées du disque ou l'exécution de tâches d'administration. Ces permissions sont généralement accordées au premier utilisateur créé lors de la configuration initiale de macOS.
Comme l'application de correctifs d'OS nécessite des privilèges élevés, le compte de rôle doit être créé par un utilisateur existant avec des permissions Jeton sécurisé et Propriétaire de volume.
Pour en savoir plus, reportez-vous à « Utilisation d'un jeton sécurisé, d'un jeton Bootstrap et de l'option Propriétaire de volume dans les déploiements ».
Comment mettre à jour l'OS si je ne peux pas créer de compte de rôle et que mon périphérique est géré par MDM ?
Si votre périphérique macOS est géré via MDM (Gestion des périphériques mobiles), il est recommandé d'utiliser la solution MDM pour déployer les mises à jour d'OS. Utilisez Ivanti Neurons for Patch Management pour rechercher et déployer les correctifs d'application tierce.
Puis-je supprimer ou renommer le compte _ivantiNeuronsMacPatchAgent ?
Ce compte est géré automatiquement par Ivanti Neurons et ne doit pas être modifié ni supprimé. La modification ou la suppression de ce compte peut entraîner l'échec du déploiement des correctifs et la perturbation des fonctions de gestion des correctifs.
Si les références d'authentification ne sont pas valides ou si le compte est supprimé, l'invite système s'affiche au prochain déploiement d'un correctif d'OS.