Creazione di una configurazione patch personalizzata

Quest'area consente di configurare le patch da distribuire (opzioni di distribuzione) e se e quando le richieste di riavvio dei computer di destinazione verranno inviate durante il processo di distribuzione (comportamento di riavvio). È possibile configurare comportamenti di distribuzione diversi per sistemi operativi diversi nella stessa configurazione di patch.

Abilitazione della distribuzione per un sistema operativo

È possibile attivare e disattivare la distribuzione delle patch per ogni sistema operativo separatamente. In Comportamento di distribuzione, selezionare il sistema operativo richiesto, quindi impostare Distribuzione delle patch come richiesto.

Per creare una configurazione di patch di sola scansione, disattivare il selettore di distribuzione per tutte le schede del sistema operativo.

Opzioni di distribuzione

Esistono fino a tre opzioni di distribuzione configurabili, a seconda del sistema operativo:

• Windows: Distribuisci per gravità, Distribuisci/Escludi per gruppo di patch e Fornitori/prodotti selezionati
• Mac: Distribuzione per gravità, Distribuzione per gruppo di patch
• Linux: Applica patch a tutto

Per impostazione predefinita, vengono distribuite solo le patch di sicurezza critiche per Windows. Se si abilita e si configura Distribuisci per gravità e si impostano alcun gruppi di patch su Includi in Distribuisci/Escludi per gruppo di patch, l'effetto è aggiuntivo, pertanto verranno distribuite tutte le patch per ciascuna opzione configurata. Se si abilita e si configura Fornitori/prodotti selezionati, questa opzione filtrerà le patch dalle altre due opzioni.Se si imposta un gruppo di patch su Escludi in Distribuisci/Escludi per gruppo di patch, le patch che si trovano in un gruppo di patch impostato su Escludi sono sempre escluse anche se sono state impostate per essere incluse altrove.

Esempio 1: se si desidera distribuire solo tali patch contenute all'interno di un gruppo di patch:

• Disattivare le opzioni Distribuzione per gravità e Fornitori/prodotti selezionati.
• Abilitare l'opzione Distribuisci/Escludi per gruppo di patch e selezionare il gruppo di patch desiderato da Includere

Esempio 2: ipotizziamo di configurare quanto segue:

• Distribuisci per gravità: Critica per la sicurezza e Importante per la sicurezza sono selezionate
• Distribuisci/Escludi per gruppo di patch: si imposta un gruppo di patch da Includere contenente una patch Critica per la sicurezza, una patch Importante per la sicurezza e due patch con Sicurezza moderata
• Fornitori/Prodotti selezionati: questa opzione è disattivata

In tal caso, le patch Critiche per la sicurezza e Importanti per la sicurezza verranno distribuite per tutti i fornitori e i prodotti. Inoltre, verranno distribuite tutte le quattro patch contenute nel gruppo di patch, incluse le due patch con Sicurezza moderata.

Esempio 3: come nell'esempio 2, ma si utilizza anche l'opzione Venditori/prodotti selezionati per specificare che devono essere distribuite solo le patch Adobe.In questo caso, le uniche patch che verranno distribuite saranno patch Critiche per la sicurezza Adobe, patch Importanti per la sicurezza Adobe e qualsiasi patch Adobe contenuta nel gruppo di patch.

Esempio 4: come nell'esempio 3, ma si utilizza anche l'opzione Distribuisci/Escludi per gruppo di patch per escludere un gruppo di patch che contiene una specifica patch Adobe critica per la sicurezza. In questo caso, le uniche patch che verranno distribuite saranno patch Critiche per la sicurezza Adobe (eccetto quella contenuta nel gruppo di patch escluse), patch Importanti per la sicurezza Adobe e qualsiasi patch Adobe contenuta nel gruppo di patch.

Se una patch viene aggiunta a un gruppo di patch impostato su Escludi, la patch non verrà distribuita, anche se altre impostazioni suggeriscono specificamente di distribuirla.

Esempio 5 (caso limite di Windows): supponiamo di configurare Distribuisci per gravità con le sole patch Critiche per la sicurezza e di configurare anche Distribuisci per gruppo di patch per includere Vantosi V3.

Se Vantosi V4 viene rilasciato come Critico per la sicurezza e, prima della distribuzione di un'altra patch, Vantosi V5 viene rilasciato come Importante per la sicurezza, per Windows non vengono distribuiti né Vantosi V4 né Vantosi V5. Questo perché l'ultima versione (Vantosi V5) non soddisfa i requisiti di gravità per la distribuzione e né Vantosi V4 né Vantosi V5 sono inclusi nel gruppo di patch. Si noti che se si configura la stessa configurazione patch per Mac, verrebbe distribuito Vantosi V4.

Si consiglia di utilizzare regolarmente il componente Reportistica di conformità per controllare lo stato di conformità dei dispositivi e aggiungere eventuali nuove patch Critiche per la sicurezza a un gruppo di patch. Per ulteriori informazioni, consultare Reportistica di conformità e Gruppi di patch.

Selezione opzioni di distribuzione

• Distribuisci per gravità (Windows e Mac): se attivata, consente di specificare i tipi di patch e i livelli di gravità da includere nella distribuzione. Per impostazione predefinita, sono selezionate solo le patch di sicurezza critiche.
  • Patch di sicurezza: le patch associate ai bollettini di sicurezza. È possibile scegliere di distribuire uno o più livelli specifici di gravità.
    • Critico: vulnerabilità sfruttabili da un utente remoto non autenticato o vulnerabilità che violano l'isolamento del sistema operativo guest/host. L'exploit compromette la riservatezza, l'integrità e la disponibilità dei dati degli utenti o comporta l'elaborazione delle risorse senza l'interazione degli utenti. Può inoltre essere sfruttato per propagare un worm via Internet o eseguire codice arbitrario tra le macchine virtuali e l'host.
    • Importante: vulnerabilità il cui exploit compromette la riservatezza, l'integrità o la disponibilità dei dati degli utenti e comporta l'elaborazione delle risorse. Tali difetti possono comportare l'acquisizione di privilegi da parte di utenti locali, consentire agli utenti remoti autenticati di eseguire codice arbitrario o permettere a utenti locali o remoti di lanciare facilmente un attacco Denial of Service.
    • Moderato: difetti in cui la capacità di eseguire un exploit viene mitigata a un livello significativo mediante la configurazione o la difficoltà di eseguire un exploit, tuttavia in determinati scenari di distribuzione possono comunque compromettere la riservatezza, l'integrità o la disponibilità dei dati degli utenti e l'elaborazione delle risorse. Questi sono i tipi di vulnerabilità che pur potendo avere un impatto critico o importante sono più difficili da sfruttare in base a una valutazione tecnica del difetto o perché interessano configurazioni poco diffuse.
    • Basso: tutti gli altri problemi con un impatto sulla sicurezza. Vulnerabilità il cui exploit è ritenuto estremamente difficile o che avrebbe comunque un impatto minimo.
    • Non assegnate: le patch di sicurezza che non sono state assegnate ad alcun livello di gravità.
  • Patch non di sicurezza: patch di fornitori che risolvono problemi software noti che non rappresentano problemi di sicurezza. Per Windows, è possibile scegliere di effettuare la distribuzione per uno o più livelli specifici di gravità dei fornitori. Consultare la sezione Patch di sicurezza per una descrizione dei livelli di gravità disponibili.
• Distribuisci/Escludi per gruppo di patch (Windows) o Distribuisci per gruppo di patch (Mac): se abilitato, consente di specificare uno o più gruppi di patch che contengono le patch da includere in una distribuzione o (solo per Windows) da escludere dalla distribuzione. Questo rappresenta un buon modo per assicurarsi che vengano distribuite solo le patch approvate. Le patch mancanti non contenute nei gruppi di patch impostati su Includi non vengono distribuite, a meno che non soddisfino i requisiti specificati nell'opzione Distribuisci per gravità. Le patch nei gruppi di patch impostate su Escludi non verranno distribuite anche se altre impostazioni suggeriscono specificamente di farlo. I dettagli relativi ai gruppi di patch disponibili possono essere visualizzati usando la scheda Gruppi di patch all'interno della pagina Impostazioni patch. I gruppi di patch sono gestiti dall'interno di Patch Intelligence.

  Quando si abilita Distribuisci/Escludi per gruppo di patch, viene visualizzata una griglia di tutti i gruppi di patch che mostra il numero di patch per ogni sistema operativo e il numero totale di patch in ogni gruppo di patch. Selezionare la casella di controllo accanto a un gruppo di patch, quindi fare clic su Includi o Escludi a seconda dei casi. Fare clic su Cancella per deselezionare un gruppo di patch.

  La presenza di o di accanto al conteggio delle patch per il sistema operativo non configurato indica, rispettivamente, che la configurazione include o esclude già tali patch.

  Si potrebbe voler ricordare rapidamente quali patch sono contenute in un gruppo prima di selezionarlo. A tal fine, fare clic su un collegamento numerico nella griglia per visualizzare le patch corrispondenti sotto la griglia dei gruppi di patch. Utilizzare la colonna Piattaforma per determinare il sistema operativo e la colonna Stato per determinare lo stato di ogni singola patch.

  Lo stato mostrato è attualmente uno stato approssimativo basato sull'uso di questo gruppo di patch con la configurazione patch corrente. Esistono svariati fattori che possono influire sullo stato della patch. Ad esempio, se si utilizza Venditori/Prodotti selezionati insieme a un gruppo di patch, è possibile che vengano filtrate una o più patch dal gruppo.

  • Attivo: questo gruppo di patch è stato utilizzato da questa configurazione per rendere la patch disponibile ai dispositivi degli utenti finali. I dispositivi fanno parte dei gruppi di criteri associati a questa configurazione patch.
  • Non attivo: sono presenti due possibili motivi per questo stato patch. (1) Questo gruppo di patch non è stato utilizzato per rendere la patch disponibile a qualsiasi dispositivo. (2) La configurazione patch a cui è assegnato questo gruppo di patch non è stata resa attiva ai dispositivi.
    Esiste uno scenario in cui una patch elencata come Non attiva potrebbe in realtà essere attiva. Se la patch risiede in più di un gruppo di patch, uno di tali altri gruppi di patch potrebbe essere stato usato per rendere questa patch attiva per i dispositivi.
• Fornitori/prodotti selezionati: (solo Windows) se disattivato, le patch per tutti i fornitori e i prodotti disponibili saranno incluse nella distribuzione definita dalle opzioni Distribuzione per gravità e Distribuzione per gruppo di patch. Mano a mano che diventano disponibili nuovi prodotti e patch, verranno aggiunti alla distribuzione.

Se abilitata, consente di specificare i fornitori, le famiglie di prodotti e le versioni dei prodotti che possono essere distribuiti agli endpoint. I fornitori e i prodotti non selezionati saranno esclusi dalla distribuzione. Gli elementi vengono presentati in un elenco gerarchico. Se si abilita una casella di controllo a un livello, tutte le caselle di controllo relative ai livelli inferiori verranno anch'esse selezionate.

• Seleziona tutto: l'abilitazione di questa casella di controllo seleziona tutte le patch attualmente disponibili per tutti i fornitori e i prodotti nell'elenco. Le patch di nuovi fornitori e prodotti che diventano disponibili in un secondo momento non saranno aggiunte alla distribuzione.

SUGGERIMENTO: se si desidera escludere un numero limitato di elementi, è possibile attivare Seleziona tutto e deselezionare le caselle di controllo degli elementi che si desidera escludere.

• Selezione di singoli fornitori e prodotti: verranno distribuite solo le patch per i fornitori, le famiglie di prodotti e/o le versioni di prodotti selezionati. I fornitori e i prodotti non selezionati vengono filtrati dalla distribuzione.
  

Comportamento di riavvio

Questa area consente di configurare se e quando i riavvii dei propri computer di destinazione verranno richiesti durante la procedura di distribuzione. Ivanti Neurons Platform gestisce le richieste di riavvio in modo centralizzato per evitare conflitti tra le diverse funzioni di Ivanti Neurons. Ciò significa che il riavvio potrebbe non essere immediato quando richiesto.

macOS si riavvia sempre dopo la distribuzione delle patch del sistema operativo, dopo aver chiesto all'utente di distribuire gli aggiornamenti del sistema operativo. È inoltre possibile scegliere Riavvia sempre dopo un aggiornamento (anche se non sono state applicate patch del sistema operativo) per le configurazioni Mac.

• Riavvia prima della distribuzione (solo Windows): specifica se i computer di destinazione verranno riavviati prima della distribuzione delle patch. Riavviare i computer prima di installare un nuovo software significativo viene considerata una procedura raccomandata, specialmente in caso di profonde modifiche ai software, come i livelli di prodotti dei sistemi operativi.Se si sceglie di riavviare i computer, è possibile specificare la quantità di avvisi inviati a un utente registrato, inoltre è possibile scegliere il grado di controllo che l'utente avrà sul processo di riavvio. È possibile:
  • Scegliere di forzare un riavvio dopo un determinato numero di minuti.
  • Avvisare l'utente che avrà luogo un riavvio a seguito della sua disconnessione.
  • Selezionare la durata di visualizzazione del messaggio di conto alla rovescia in caso di inizializzazione della sequenza di arresto. Per visualizzare un'anteprima della finestra di dialogo così come apparirà all'utente, fare clic su Conto alla rovescia di esempio.
  • Consente all'utente di estendere il conto alla rovescia di timeout fino a un massimo specificato.
  • Consentire all'utente di annullare il timeout. Se viene annullato un timeout, le patch verranno distribuite solo dopo la disconnessione dell'utente o il riavvio manuale del computer.
  • Consentire all'utente di annullare il riavvio. Le patch non verranno installate fino al riavvio del computer.
• Riavvio post distribuzione: (Windows e Linux) specifica se un riavvio dei computer di destinazione risulta richiesto dopo la distribuzione delle patch. Vi sono due opzioni:
  • Sempre: specifica che ciascun computer verrà riavviato dopo che le patch saranno state distribuite. Si tratta dell'opzione più sicura quando si distribuiscono le patch, dato che gran parte delle patch richiede un riavvio al fine di completare l'operazione, tuttavia vi possono essere situazioni in cui i computer vengono riavviati in modo non necessario.
  • Quando richiesto: specifica che l'agente Ivanti Neurons determinerà se sarà richiesto o meno un riavvio di ciascun computer in base alle patch incluse nella distribuzione.

Se si sceglie di riavviare i computer, è possibile specificare ulteriori opzioni, come la quantità di avvisi inviati a un utente registrato e il grado di controllo che l'utente avrà sul processo di riavvio utilizzando i gruppi di criteri associati. Per ulteriori informazioni, vedere Dettaglio gruppo di criteri.

Questa area consente di configurare distribuzioni eseguite su una pianificazione ricorrente.

La scheda Imposta ricorrenza consente di pianificare regolarmente le operazioni di distribuzione a un orario specifico e usando uno schema di ricorrenza specificato. Ad esempio, una distribuzione potrebbe essere eseguita ogni notte a mezzanotte, o ogni sabato alle 21:00, ogni fine settimana alle 23:00 o in qualsiasi altro orario e intervallo selezionati dall'utente.

• Esegui al riavvio se la pianificazione non è stata eseguita: se un'installazione pianificata non viene eseguita perché un computer è spento, verrà eseguita entro un'ora dalla riaccensione del computer.
• Distribuisci patch: è possibile pianificare la distribuzione patch usando le seguenti opzioni:
  • Giornaliera: le distribuzioni verranno eseguite ogni giorno della settimana all'orario prescelto.
  • Settimanale: le distribuzioni verranno eseguite il giorno specificato della settimana all'orario prescelto.
  • Mensile: le distribuzioni verranno eseguite alla data specificata o alla frequenza di un giorno specificato di ciascun mese. È inoltre possibile utilizzare questa opzione per pianificare una distribuzione in combinazione con il Martedì patch di Microsoft. Ad esempio, è possibile pianificare una distribuzione patch mensile in modo che avvenga il giorno dopo il Martedì patch abilitando la casella di controllo Distribuisci anche dopo il martedì patch e quindi specificando 1 come numero di giorni dopo il Martedì patch per ritardare la distribuzione.
    L'opzione Aggiungi ritardo aggiunge ulteriore flessibilità alla pianificazione, consentendo di aggiungere un ritardo di un certo numero di giorni a una pianificazione mensile. Ad esempio, se il Comitato consultivo per le modifiche si riunisce il primo mercoledì di ogni mese per concordare le patch da distribuire il sabato successivo, si può scegliere di distribuire il primo mercoledì con un ritardo di 3 giorni. In questo modo si gestisce il caso in cui il sabato successivo al primo mercoledì potrebbe essere il primo o il secondo sabato del mese.
  • Martedì patch: pianifica le distribuzioni in modo da eseguirle nello stesso giorno dell'evento di applicazione patch mensile regolare di Microsoft, noto come Martedì patch.

• Esegui staging del contenuto prima della distribuzione: specifica se si desidera creare il pacchetto di distribuzione e copiare il pacchetto di distribuzione nei computer di destinazione prima della distribuzione effettiva. È possibile eseguire lo staging del contenuto in qualsiasi luogo da 1 a 23 ore prima della distribuzione. Un'analisi patch viene eseguita automaticamente dall'agente all'inizio della procedura di staging al fine di valutare lo stato di patch del computer prima della distribuzione.

  È presente un'eccezione per le distribuzioni patch che avverrà il primo giorno del mese. Per evitare problemi con gli anni bisestili e con altre unicità simili del calendario, l'interfaccia impedirà di eseguire lo staging del contenuto il giorno precedente al primo giorno del mese. Ad esempio, se si pianifica una distribuzione per le 8:00 del primo giorno del mese, sarà possibile eseguire lo staging del contenuto solo 1-8 ore prima della distribuzione.

• Prossime attività: questa tabella mostra un elenco delle prossime attività. Consente di visualizzare tutti gli eventi proiettati per avvenire nel corso dei prossimi 60 giorni utilizzando la configurazione attualmente selezionata. Notare che le informazioni fornite in questa tabella rappresentano una proiezione; potrebbero verificarsi molti eventi che impediscono la realizzazione di uno o più eventi.

• È possibile creare una configurazione patch per tutti i fornitori e i prodotti utilizzati dai team del Supporto IT all'interno della propria organizzazione. Sarà quindi possibile associare tale configurazione ai gruppi di criteri agente che coprono i propri team regionali, come Supporto IT AMER, Supporto IT EMEA e Supporto IT APAC.
• È possibile creare una configurazione per le patch rilasciate in un Martedì patch. È quindi possibile associare questa configurazione con un criterio di gruppo agente pilota che si desidera utilizzare per testare le distribuzioni patch. Se le distribuzioni riescono, è possibile associare la configurazione al proprio gruppo di criteri agente principale per una distribuzione più ampia.
• È possibile creare una configurazione patch per i propri dispositivi laptop e workstation e una configurazione patch separata per i propri dispositivi server. Associare quindi la configurazione patch corretta al gruppo di criteri agente che gestisce ciascun tipo di dispositivo.
  

Per associare la configurazione patch corrente a uno o più gruppi di criteri agente:

1. Fare clic su Seleziona gruppi di criteri.
2. Scegliere i gruppi di criteri agente desiderati.
   Per aiutare a scegliere, vengono fornite le seguenti informazioni sui gruppi di criteri disponibili:
   • Gruppo di criteri: il nome del gruppo di criteri agente.
   • Endpoint: mostra il numero di endpoint che utilizzano attualmente il gruppo di criteri agente.
   • Configurazione patch corrente: mostra il nome della configurazione patch attualmente associata al gruppo di criteri agente.
3. Fare clic su Conferma.

L'elenco di tutti i gruppi di criteri agente attualmente associati alla configurazione patch viene visualizzato sulla pagina Associazioni.

La tabella visualizza tutte le versioni della configurazione. Per impostazione predefinita, la tabella contiene le seguenti colonne ed è ordinata per la colonna Versione.

• Versione: il valore numerico della versione. Il primo salvataggio della configurazione sarà la versione 1. Ogni volta in cui la configurazione viene modificata e salvata il valore della versione verrà incrementato di uno. Fare clic sul valore della versione per aprire i dettagli di configurazione per quella particolare versione.
• Nome configurazione: il nome della configurazione patch.
• Data di salvataggio: la data e l'ora in cui la modifica della configurazione è stata salvata.
• Ultimo salvataggio di: il nome del membro del team che ha modificato per ultimo questa versione della configurazione. Se si modifica un gruppo di patch associato a una configurazione patch, ciò viene considerato come una revisione della configurazione.

• Disponibilità: mostra lo stato attuale della configurazione. I valori possibili sono Nuovo, In attesa, Attivo, Precedentemente attivo, Bozza e Non riuscito.

• Descrizione: il commento fornito al momento del salvataggio della modifica della configurazione.

• Riporta alla versione selezionata: consente di riportare la configurazione patch a una versione precedente. Assicurarsi di aggiornare la descrizione della configurazione e di fare clic su Salva dopo aver eseguito l'azione. I gruppi di patch non sono inclusi nell'azione di ripristino. I gruppi di patch inclusi nella configurazione corrente della patch saranno inclusi nella configurazione della patch ripristinata.

Consente di esportare i contenuti della tabella in un file CSV. È possibile scegliere di esportare tutti gli elementi nella tabella o solo quelli selezionati.

Il file CSV viene creato usando gli standard ISO e archiviato nella propria cartella Download locale. Se si utilizza Excel per visualizzare il file, i dati possono essere convertiti nelle impostazioni locali del computer, in modo da poterli visualizzare in un formato più leggibile.

Qualsiasi ordinamento o filtro applicato alle configurazioni rimarrà nell'output esportato. Tutte le colonne verranno incluse, indipendentemente da ciò che è stato selezionato in Selezione colonne.

Selezionare la casella di controllo della prima colonna per le configurazioni che si desidera esportare. In alternativa, selezionare la casella di controllo nella cella dell'intestazione per selezionare tutte le configurazioni.

Fare clic su Esporta per creare il file CSV.