Comportamento configurazione

Questa scheda consente di configurare una serie di opzioni diverse correlate alla distribuzione delle patch.

Guarda un video correlato (6:56)

Selezionare Mostra riepilogo per visualizzare un riepilogo delle opzioni di configurazione patch personalizzate, con una scheda per ciascun sistema operativo. Questo riepilogo viene aggiornato in tempo reale aggiungendo, eliminando o modificando le proprie opzioni di configurazione patch.

Comportamento di distribuzione

Comportamento di distribuzione consente di configurare quando verranno distribuite le patch (la pianificazione), quali patch verranno distribuite (le opzioni di distribuzione) e se e quando verranno inviate richieste di riavvio dei dispositivi di destinazione durante la procedura di distribuzione (il comportamento di riavvio).

È possibile configurare comportamenti di distribuzione diversi per sistemi operativi diversi nella stessa configurazione di patch. Il comportamento di distribuzione per ogni sistema operativo comprende una o più attività di distribuzione attivabili o disattivabili:

  • Manutenzione di routine: in genere viene utilizzata per il patching mensile standard dei sistemi operativi e delle applicazioni e spesso richiede il riavvio dell'endpoint.
  • Aggiornamenti prioritari (solo per Windows): per le applicazioni che rilasciano aggiornamenti con maggiore frequenza, come i browser e le applicazioni per le telecomunicazioni. Dato che raramente richiedono un riavvio, pianificando queste distribuzioni con maggiore frequenza è possibile ridurre la vulnerabilità con un impatto minimo sugli utenti.
  • Risposta zero-day (solo Windows): per risposte urgenti, ad esempio per le vulnerabilità sfruttate.

È possibile utilizzare questi task per implementare una strategia di patch basata sul rischio, configurando diversi tipi di patch da distribuire a scadenze diverse.

Per creare una configurazione di patch di sola scansione, disattivare il selettore di distribuzione per tutte le schede del sistema operativo. Il motore di patch esegue una scansione dell'endpoint non appena viene installato, e poi ogni giorno tra mezzanotte e le 2 del mattino all'ora locale dell'endpoint.

Per abilitare un'attività di patch, attivare il relativo selettore, quindi fare clic su Configura questa attività per visualizzare il pannello di configurazione dell'attività.

Pianifica

Questa area consente di configurare distribuzioni eseguite su una pianificazione ricorrente.

La sezione Scegliere una pianificazione consente di pianificare regolarmente le operazioni di distribuzione a un'ora specifica e utilizzando un modello di ricorrenza specificato. Ad esempio, una distribuzione potrebbe essere eseguita ogni notte a mezzanotte, o ogni sabato alle 21:00, ogni fine settimana alle 23:00 o in qualsiasi altro orario e intervallo selezionati dall'utente.

  • Esegui al riavvio se la pianificazione non è stata eseguita: se una distribuzione pianificata non viene eseguita perché un dispositivo è spento, verrà eseguita entro un'ora dalla riaccensione del dispositivo.
  • Distribuisci patch: è possibile pianificare la distribuzione patch usando le seguenti opzioni:
    • Giornaliera: le distribuzioni verranno eseguite ogni giorno della settimana all'orario prescelto.
    • Settimanale: le distribuzioni verranno eseguite il giorno specificato della settimana all'orario prescelto.
    • Mensile: le distribuzioni verranno eseguite alla data specificata o alla frequenza di un giorno specificato di ciascun mese. È inoltre possibile utilizzare questa opzione per pianificare una distribuzione in combinazione con il Martedì patch di Microsoft. Ad esempio, è possibile pianificare una distribuzione patch mensile in modo che avvenga il giorno dopo il Martedì patch abilitando la casella di controllo Distribuisci anche dopo il martedì patch e quindi specificando 1 come numero di giorni dopo il Martedì patch per ritardare la distribuzione.
      L'opzione Aggiungi ritardo aggiunge ulteriore flessibilità alla pianificazione, consentendo di aggiungere un ritardo di un certo numero di giorni a una pianificazione mensile. Ad esempio, se il Comitato consultivo per le modifiche si riunisce il primo mercoledì di ogni mese per concordare le patch da distribuire il sabato successivo, si può scegliere di distribuire il primo mercoledì con un ritardo di 3 giorni. In questo modo si gestisce il caso in cui il sabato successivo al primo mercoledì potrebbe essere il primo o il secondo sabato del mese.
    • Martedì patch: pianifica le distribuzioni in modo da eseguirle nello stesso giorno dell'evento di applicazione patch mensile regolare di Microsoft, noto come Martedì patch.
  • Contenuto fasi prima della distribuzione: (Windows e Mac): indica al motore di patch dell'endpoint di scaricare le patch prima dell'attività di distribuzione. Questo è particolarmente utile per gli endpoint con finestre di manutenzione, in modo che la durata della finestra di manutenzione non venga sprecata per il download. È possibile eseguire lo staging del contenuto in qualsiasi luogo da 1 a 23 ore prima della distribuzione. Un'analisi patch viene eseguita automaticamente dall'agente all'inizio della procedura di staging al fine di valutare lo stato di patch del dispositivo prima della distribuzione.

    È presente un'eccezione per le distribuzioni patch che avverrà il primo giorno del mese. Per evitare problemi con gli anni bisestili e con altre unicità simili del calendario, l'interfaccia impedirà di eseguire lo staging del contenuto il giorno precedente al primo giorno del mese. Ad esempio, se si pianifica una distribuzione per le 8:00 del primo giorno del mese, sarà possibile eseguire lo staging del contenuto solo 1-8 ore prima della distribuzione.

Autore distribuzione

Le opzioni di distribuzione disponibili dipendono dal sistema operativo:

  • Windows: Distribuisci per punteggio di rischio, Distribuisci per gravità, Distribuisci/Escludi per gruppo di patch, Includi pacchetti di abilitazione e Fornitori/prodotti selezionati
  • Mac: Distribuzione per gravità, Distribuzione per gruppo di patch
  • Linux: Distribuisci tutte le patch mancanti, Distribuisci per gravità, Distribuisci per gruppo di patch

Per impostazione predefinita, vengono distribuite solo le patch di sicurezza critiche per Windows. Se:

  • Se si abilita e si configura Distribuisci per gravità e si impostano alcun gruppi di patch su Includi in Distribuisci/Escludi per gruppo di patch, l'effetto è aggiuntivo, pertanto verranno distribuite tutte le patch per ciascuna opzione configurata distribuita
  • Se si abilita e si configura Fornitori/prodotti selezionati, questa opzione filtrerà le patch dalle altre due opzioni
  • Se si imposta un gruppo di patch su Escludi in Distribuisci/Escludi per gruppo di patch, le patch che si trovano in un gruppo di patch impostato su Escludi sono sempre escluse anche se sono state impostate per essere incluse altrove

Esempio 1: se si desidera distribuire solo tali patch contenute all'interno di un gruppo di patch:

  • Disattivare le opzioni Distribuzione per gravità e Fornitori/prodotti selezionati
  • Abilitare l'opzione Distribuisci/Escludi per gruppo di patch e selezionare il gruppo di patch desiderato da Includere

Esempio 2: ipotizziamo di configurare quanto segue:

  • Distribuisci per gravità: Critica per la sicurezza e Importante per la sicurezza sono selezionate
  • Distribuisci/Escludi per gruppo di patch: si imposta un gruppo di patch da Includere contenente una patch Critica per la sicurezza, una patch Importante per la sicurezza e due patch con Sicurezza moderata
  • Fornitori/Prodotti selezionati: questa opzione è disattivata

In questo caso:

  • Le patch Critiche per la sicurezza e Importanti per la sicurezza verranno distribuite per tutti i fornitori e i prodotti
  • verranno distribuite tutte le quattro patch contenute nel gruppo di patch, incluse le due patch con Sicurezza moderata

Esempio 3: Come l'esempio 2, ma l'utente può anche:

  • utilizzare l'opzione Fornitori/prodotti selezionati per specificare che devono essere distribuite solo le patch Adobe

In questo caso, le uniche patch che verranno distribuite sono:

  • patch Critiche per la sicurezza Adobe, patch Importanti per la sicurezza Adobe e qualsiasi patch Adobe contenuta nel gruppo di patch

Esempio 4: Come l'esempio 3, ma l'utente può anche:

  • utilizzare l'opzione Distribuisci/Escludi per gruppo di patch per escludere un gruppo di patch che contiene una specifica patch Adobe critica per la sicurezza

In questo caso, le uniche patch che verranno distribuite sono:

  • Patch Adobe critiche per la sicurezza (ad eccezione di quella nel gruppo di patch escluse)
  • Patch Adobe importanti per la sicurezza
  • qualsiasi patch Adobe contenuta nel gruppo di patch

Se una patch viene aggiunta a un gruppo di patch impostato su Escludi, la patch non verrà distribuita, anche se altre impostazioni suggeriscono specificamente di distribuirla.

Esempio 5 (caso limite di Windows): supponiamo di configurare Distribuisci per gravità con le sole patch Critiche per la sicurezza e di configurare anche Distribuisci per gruppo di patch per includere Vantosi V3.

Se Vantosi V4 viene rilasciato come Critico per la sicurezza e, prima della distribuzione di un'altra patch, Vantosi V5 viene rilasciato come Importante per la sicurezza, per Windows non vengono distribuiti né Vantosi V4 né Vantosi V5. Questo perché l'ultima versione (Vantosi V5) non soddisfa i requisiti di gravità per la distribuzione e né Vantosi V4 né Vantosi V5 sono inclusi nel gruppo di patch. Si noti che se si configura la stessa configurazione patch per Mac, verrebbe distribuito Vantosi V4.

Si consiglia di utilizzare regolarmente il componente Reportistica di conformità per controllare lo stato di conformità dei dispositivi e aggiungere eventuali nuove patch Critiche per la sicurezza a un gruppo di patch. Per ulteriori informazioni, consultare Reportistica di conformità e Gruppi di patch.

Selezione opzioni di distribuzione

  • Distribuisci tutte le patch mancanti / Distribuisci le patch selezionate (solo per Linux): per Linux, è possibile scegliere Distribuisci tutte le patch mancanti. In alternativa, selezionando Distribuisci le patch selezionate si abilitano ulteriori controlli per selezionare le patch da distribuire.
  • Distribuisci per punteggio di rischio (solo Windows): se abilitato, consente di specificare i punteggi di rischio associati alle patch che si desidera includere in una distribuzione.
    • Punteggio VRR: distribuisce le patch con un punteggio VRR maggiore o uguale al valore configurato. Il Vulnerability Risk Rating (VRR) rappresenta il rischio posto da una determinata vulnerabilità, fornito sotto forma di punteggio numerico compreso tra 0 e 10.
    • Punteggio CVSS: distribuisce le patch in cui l'ultima versione del punteggio CVSS (Common Vulnerability Scoring System) preso da tutti i CVE associati alla patch è maggiore o uguale al valore configurato. L'intervallo dei punteggi va da 0.1 a 10.

      • Per ulteriori informazioni su VRR e CVSS, vedere Minaccia e rischio.

    • Distribuire le patch per le vulnerabilità sfruttate: se abilitato, distribuisce le patch per le vulnerabilità segnalate come sfruttate.
  • Distribuisci per gravità: se attivata, consente di specificare i tipi di patch e i livelli di gravità da includere nella distribuzione. Per impostazione predefinita, sono selezionate solo le patch di sicurezza critiche. Sono disponibili diversi livelli per ogni sistema operativo e distribuzione Linux. Le icone mostrano quali distribuzioni Linux supportano ciascun livello.
    • Sicurezza: le patch associate ai bollettini di sicurezza. È possibile scegliere di distribuire uno o più livelli specifici di gravità.
      • Critico: vulnerabilità sfruttabili da un utente remoto non autenticato o vulnerabilità che violano l'isolamento del sistema operativo guest/host. L'exploit compromette la riservatezza, l'integrità e la disponibilità dei dati degli utenti o comporta l'elaborazione delle risorse senza l'interazione degli utenti. Può inoltre essere sfruttato per propagare un worm via Internet o eseguire codice arbitrario tra le macchine virtuali e l'host.
      • Importante: vulnerabilità il cui exploit compromette la riservatezza, l'integrità o la disponibilità dei dati degli utenti e comporta l'elaborazione delle risorse. Tali difetti possono comportare l'acquisizione di privilegi da parte di utenti locali, consentire agli utenti remoti autenticati di eseguire codice arbitrario o permettere a utenti locali o remoti di lanciare facilmente un attacco Denial of Service.
      • Moderato: difetti in cui la capacità di eseguire un exploit viene mitigata a un livello significativo mediante la configurazione o la difficoltà di eseguire un exploit, tuttavia in determinati scenari di distribuzione possono comunque compromettere la riservatezza, l'integrità o la disponibilità dei dati degli utenti e l'elaborazione delle risorse. Questi sono i tipi di vulnerabilità che pur potendo avere un impatto critico o importante sono più difficili da sfruttare in base a una valutazione tecnica del difetto o perché interessano configurazioni poco diffuse.
      • Basso: tutti gli altri problemi con un impatto sulla sicurezza. Vulnerabilità il cui exploit è ritenuto estremamente difficile o che avrebbe comunque un impatto minimo.
      • Non assegnate (Windows e Mac): le patch di sicurezza che non sono state assegnate ad alcun livello di gravità.
    • Patch non di sicurezza (Windows e Mac): patch di fornitori che risolvono problemi software noti che non rappresentano problemi di sicurezza. Per Windows, è possibile scegliere di effettuare la distribuzione per uno o più livelli specifici di gravità dei fornitori. Consultare la sezione Patch di sicurezza per una descrizione dei livelli di gravità disponibili.
    • Correzione di bug (solo Linux): patch del fornitore che risolvono i bug.
    • Ottimizzazione (solo Linux): patch del fornitore che forniscono miglioramenti alle funzionalità.

      • Ottimizzazione non è disponibile per Oracle v7 e Red Hat v7.

  • Distribuisci/Escludi per gruppo di patch (Windows) o Distribuisci per gruppo di patch (Mac e Linux): se abilitato, consente di specificare uno o più gruppi di patch che contengono le patch da includere in una distribuzione o (solo per Windows) da escludere dalla distribuzione. Questo rappresenta un buon modo per assicurarsi che vengano distribuite solo le patch approvate. Le patch mancanti non contenute nei gruppi di patch impostati su Includi non vengono distribuite, a meno che non soddisfino i requisiti specificati nell'opzione Distribuisci per gravità. Le patch nei gruppi di patch impostate su Escludi non verranno distribuite anche se altre impostazioni suggeriscono specificamente di farlo. I dettagli relativi ai gruppi di patch disponibili possono essere visualizzati usando la scheda Gruppi di patch all'interno della pagina Impostazioni patch. I gruppi di patch sono gestiti dall'interno di Patch Intelligence.

    I dispositivi Linux vengono sempre aggiornati all'ultimo pacchetto disponibile nel deposito, anche se una versione precedente viene aggiunta a un gruppo di patch. Inoltre, non vengono installati solo i pacchetti associati agli avvisi nei gruppi di patch, ma anche i pacchetti associati agli avvisi dipendenti.

    Quando si abilita Distribuisci/Escludi per gruppo di patch, viene visualizzata una griglia di tutti i gruppi di patch che mostra il numero di patch per ogni sistema operativo e il numero totale di patch in ogni gruppo di patch. Selezionare la casella di controllo accanto a un gruppo di patch, quindi fare clic su Includi o Escludi a seconda dei casi. Fare clic su Cancella per deselezionare un gruppo di patch.

    La presenza di segno di spunta o di Icona x accanto al conteggio delle patch per il sistema operativo non configurato indica, rispettivamente, che la configurazione include o esclude già tali patch.

    Si potrebbe voler ricordare rapidamente quali patch sono contenute in un gruppo prima di selezionarlo. A tal fine, fare clic su un collegamento numerico nella griglia per visualizzare le patch corrispondenti sotto la griglia dei gruppi di patch. Utilizzare la colonna Piattaforma per determinare il sistema operativo e la colonna Stato per determinare lo stato di ogni singola patch.

    Lo stato mostrato è attualmente uno stato approssimativo basato sull'uso di questo gruppo di patch con la configurazione patch corrente. Esistono svariati fattori che possono influire sullo stato della patch. Ad esempio, se si utilizza Venditori/Prodotti selezionati insieme a un gruppo di patch, è possibile che vengano filtrate una o più patch dal gruppo.

    • Attivo: questo gruppo di patch è stato utilizzato da questa configurazione per rendere la patch disponibile ai dispositivi degli utenti finali. I dispositivi fanno parte dei criteri associati a questa configurazione patch.
    • Non attivo: sono presenti due possibili motivi per questo stato patch. (1) Questo gruppo di patch non è stato utilizzato per rendere la patch disponibile a qualsiasi dispositivo. (2) La configurazione patch a cui è assegnato questo gruppo di patch non è stata resa attiva ai dispositivi.
      Esiste uno scenario in cui una patch elencata come Non attiva potrebbe in realtà essere attiva. Se la patch risiede in più di un gruppo di patch, uno di tali altri gruppi di patch potrebbe essere stato usato per rendere questa patch attiva per i dispositivi.
  • Includi pacchetti di abilitazione (solo Windows, solo Manutenzione ordinaria): se abilitato, distribuisce i pacchetti di abilitazione selezionati. I pacchetti di abilitazione sono una serie limitata di aggiornamenti cumulativi che consentono di passare da una versione di Windows a un'altra. Utilizzare Mostra pacchetti sostituiti per mostrare o nascondere gli elementi che sono stati sostituiti.
  • Fornitori/prodotti selezionati: (solo Windows) se disattivato, le patch per tutti i fornitori e i prodotti disponibili saranno incluse nella distribuzione definita dalle opzioni Distribuzione per gravità e Distribuzione per gruppo di patch. Mano a mano che diventano disponibili nuovi prodotti e patch, verranno aggiunti alla distribuzione.

    • Se abilitata, consente di specificare i fornitori, le famiglie di prodotti e le versioni dei prodotti che possono essere distribuiti agli endpoint. I fornitori e i prodotti non selezionati saranno esclusi dalla distribuzione. Gli elementi vengono presentati in un elenco gerarchico. Se si abilita una casella di controllo a un livello, tutte le caselle di controllo relative ai livelli inferiori verranno anch'esse selezionate.

    • Seleziona tutto: l'abilitazione di questa casella di controllo seleziona tutte le patch attualmente disponibili per tutti i fornitori e i prodotti nell'elenco. Le patch di nuovi fornitori e prodotti che diventano disponibili in un secondo momento non saranno aggiunte alla distribuzione.

      • Se si desidera escludere un numero limitato di elementi, è possibile attivare Seleziona tutto e deselezionare le caselle di controllo degli elementi che si desidera escludere.

    • Selezione di singoli fornitori e prodotti: verranno distribuite solo le patch per i fornitori, le famiglie di prodotti e/o le versioni di prodotti selezionati. I fornitori e i prodotti non selezionati vengono filtrati dalla distribuzione.

Comportamento di riavvio

Questa area consente di configurare se e quando i riavvii dei propri dispositivi di destinazione verranno richiesti durante la procedura di distribuzione. Ivanti Neurons Platform gestisce le richieste di riavvio in modo centralizzato per evitare conflitti tra le diverse funzioni di Ivanti Neurons. Ciò significa che il riavvio potrebbe non essere immediato quando richiesto.

macOS si riavvia sempre dopo la distribuzione delle patch del sistema operativo, dopo aver chiesto all'utente di distribuire gli aggiornamenti del sistema operativo. È inoltre possibile scegliere Riavvia sempre dopo un aggiornamento (anche se non sono state applicate patch del sistema operativo) per le configurazioni Mac.

  • Riavvia prima della distribuzione (solo Windows): specifica se i dispositivi di destinazione verranno riavviati prima della distribuzione delle patch. Riavviare i dispositivi prima di installare un nuovo software significativo viene considerata una procedura raccomandata, specialmente in caso di profonde modifiche ai software, come i livelli di prodotti dei sistemi operativi. Se si sceglie di riavviare i dispositivi, è possibile specificare la quantità di avvisi inviati a un utente registrato, inoltre è possibile scegliere il grado di controllo che l'utente avrà sul processo di riavvio. È possibile:
    • Scegliere di forzare un riavvio dopo un determinato numero di minuti
    • Avvisare l'utente che avrà luogo un riavvio a seguito della sua disconnessione
    • Selezionare la durata di visualizzazione del messaggio di conto alla rovescia in caso di inizializzazione della sequenza di arresto. Per visualizzare un'anteprima della finestra di dialogo così come apparirà all'utente, fare clic su Conto alla rovescia di esempio.
    • Consente all'utente di estendere il conto alla rovescia di timeout fino a un massimo specificato.
    • Consentire all'utente di annullare il timeout. Se viene annullato un timeout, le patch verranno distribuite solo dopo la disconnessione dell'utente o il riavvio manuale del dispositivo.
    • Consentire all'utente di annullare il riavvio. Le patch non verranno installate fino al riavvio del dispositivo.
  • Riavvio post distribuzione (Windows) o Riavvio post distribuzione se richiesto (Linux): se abilitato, specifica se un riavvio dei dispositivi di destinazione risulta richiesto dopo la distribuzione delle patch. Linux si riavvia solo se necessario, ma per Windows ci sono due opzioni:
    • Sempre: specifica che ciascun dispositivo verrà riavviato dopo che le patch saranno state distribuite. Si tratta dell'opzione più sicura quando si distribuiscono le patch, dato che gran parte delle patch richiede un riavvio al fine di completare l'operazione, tuttavia vi possono essere situazioni in cui i dispositivi vengono riavviati in modo non necessario.
    • Quando richiesto: specifica che l'agente Ivanti Neurons determinerà se sarà richiesto o meno un riavvio di ciascun dispositivo in base alle patch incluse nella distribuzione.

      • Per Linux, se è stata selezionata l'opzione di distribuzione Distribuisci le patch selezionate, vengono installati non solo i pacchetti associati agli avvisi nei gruppi di patch selezionati, ma anche i pacchetti associati agli avvisi dipendenti. Se poi si imposta Riavvia dopo la distribuzione quando richiesto, queste dipendenze possono causare un ulteriore riavvio.

    • Se si sceglie di riavviare i dispositivi, è possibile specificare ulteriori opzioni, come la quantità di avvisi inviati a un utente registrato e il grado di controllo che l'utente avrà sul processo di riavvio utilizzando i criteri associati. Per ulteriori informazioni, vedere Esperienza Riavvio criteri agente.

Impostazioni - Patch di anteprima Microsoft

A scopo di test, Microsoft fornisce una serie di patch di anteprima per Windows prima del rilascio ufficiale del Martedì patch. Queste patch non includono gli aggiornamenti di sicurezza, quindi di solito non vengono distribuite a tutti i dispositivi e la scansione di queste patch è disattivata per impostazione predefinita. Per abilitare la scansione delle patch in anteprima, attivare Scansione delle patch in anteprima di Microsoft.

Se si sceglie di distribuire le patch in anteprima, si consiglia di distribuirle solo a un gruppo di test limitato all'interno dell'organizzazione.