Gestione patch

Ivanti Neurons for Patch Management è una soluzione di applicazione patch cloud. Combina le intuizioni in tempo reale della Ivanti Neurons Platform con le informazioni sugli asset di Ivanti Neurons for Discovery e l'intelligence attivabile per la prioritizzazione basata sul rischio al fine di guidare una strategia di sicurezza adattiva. Funzionalità complete di gestione delle patch vengono fornite per i computer Windows, macOS e Linux e comprendono la possibilità di applicare patch ai prodotti Microsoft, Apple e di terze parti.

Per accedere a Ivanti Neurons per la Gestione patch, andare in Gestione patch nella Ivanti Neurons Platform.

Ivanti Neurons for Patch Management comprende i seguenti componenti, a seconda della licenza:

Reporting di conformità: consente di determinare lo stato di conformità attuale e di vedere l'andamento nel tempo.
Cronologia distribuzioni: fornisce un modo per visualizzare lo stato delle operazioni di distribuzione recenti. È possibile concentrarsi sulle eccezioni e risolvere rapidamente qualsiasi problema.
Vulnerabilità endpoint: fornisce una vista centrale sull'applicazione patch sui dispositivi per il proprio ambiente, con metriche di integrità dispositivo e basate sul rischio.
Patch Intelligence: raccoglie e aggrega i dati per contribuire a gestire, classificare in ordine di priorità e semplificare l'applicazione di patch nel proprio ambiente. Fornisce un quadro chiaro del proprio panorama di minacce con metriche in ordine di priorità e basate sul rischio.
Impostazioni patch: consente di configurare configurazioni patch e gruppi di patch per il flusso di lavoro di Patch Management cloud. Una configurazione predefinita che rimedia a tutte le patch di sicurezza critiche può essere utilizzata per iniziare rapidamente, oppure è possibile creare una configurazione personalizzata delle patch per soddisfare le soglie di conformità uniche della propria organizzazione.
Distribuzioni cerchia: consente di gestire le distribuzioni cerchia in modo da poter testare la distribuzione delle patch su un numero inferiore di dispositivi di prova prima di continuare la distribuzione su tutti i dispositivi.
Patch per Intune: estende le implementazioni di Microsoft Intune per includere funzionalità di gestione dei prodotti di terze parti.
Rapporti: consente di creare rapporti contenenti dati presi da Ivanti Neurons utilizzabili o distribuibili come file PDF, CSV o Excel a persone che non hanno accesso al sistema.

Assicurarsi di disporre del Controllo accessi necessario per usare Gestione patch.

Requisiti

L'utilizzo di Gestione patch richiede una serie di requisiti.

URL, indirizzi IP e porte richiesti

È necessario aggiungere una serie di URL web ai propri elenchi di eccezioni filtro firewall, proxy e web. Gli URL sono utilizzati per scaricare il contenuto delle patch da fornitori di terze parti.

Per l'elenco completo degli URL da aggiungere, vedere URL, indirizzi IP e porte richiesti.

Microsoft Windows e Microsoft Office

Per distribuire correttamente le patch con Ivanti Neurons Agent ai dispositivi Windows, non disattivare il servizio Windows Update, ma impostarlo su Manuale o Automatico. Inoltre, regolare l'impostazione Windows Update su ciascun dispositivo di destinazione (Pannello di controllo > Sistema e sicurezza > Windows Update > Modifica impostazioni) su Non controllare mai l'esistenza di aggiornamenti. Per ulteriori informazioni, vedere questo articolo sulla Community Ivanti.

Se si sta eseguendo l'applicazione patch di Office 2019 o Office 365 che utilizza la tecnologia Click-to-Run, consultare Come Ivanti applica patch alle installazioni di Office Click-to-Run sulla Community Ivanti (si apre in una nuova finestra) per informazioni su come Patch for Neurons applica patch a queste installazioni.

La Patch Management è ora disponibile su Windows 11 IoT Enterprise LTSC.

macOS

Per i Mac Apple Silicon e i Mac Intel con il chip Apple T2, Ivanti Neurons for Patch Management necessita di un account di ruolo dedicato per gestire le patch del sistema operativo sul dispositivo.

Quando Ivanti Neurons for Patch Management avvia per la prima volta la distribuzione di una patch del sistema operativo, viene visualizzata una finestra di dialogo di sistema che richiede all'amministratore locale di creare un account ruolo. Le istruzioni a schermo guidano l'amministratore attraverso il processo. Per autorizzare la creazione dell'account sono necessarie le credenziali amministrative.

Una volta che l'amministratore ha compilato il modulo, viene creato un nuovo account utente denominato ivantiNeuronsMacPatchAgent. All'account viene assegnata una password generata casualmente, univoca per il dispositivo. Le credenziali vengono archiviate in modo sicuro nella Keychain macOS.

Quando è richiesta una patch macOS, Ivanti Neurons utilizza l'account ivantiNeuronsMacPatchAgent per eseguire l'utilità systemupdate. Questa utilità applica gli ultimi aggiornamenti del sistema operativo mediante il pacchetto InstallAssist.pkg recuperato da Apple Content Delivery Network (CDN).

Dispositivi macOS gestiti con MDM

Un amministratore locale con autorizzazioni di proprietario del volume e un token di sicurezza può creare utenti aggiuntivi con gli stessi privilegi sul dispositivo. Tuttavia, questo non è il caso degli account forniti tramite Entra ID o altri servizi di Active Directory. Questi account non sono considerati locali per la macchina. Sebbene possano disporre di un token di sicurezza, in genere non dispongono delle autorizzazioni di proprietario del volume.

Per i dispositivi gestiti da MDM, le autorizzazioni di proprietario del volume non sono necessarie per eseguire attività amministrative quali la creazione di utenti o l'applicazione di patch al sistema operativo. Questi dispositivi sfruttano invece il Bootstrap Token, un meccanismo progettato per facilitare le operazioni sicure senza fare affidamento sui privilegi del proprietario del volume.

Per maggiori informazioni, vedere: Utilizzare token di sicurezza, token bootstrap e proprietà del volume nelle distribuzioni.

Poiché gli account amministratore gestiti da MDM non possono assegnare autorizzazioni di proprietario del volume, consigliamo di utilizzare MDM per distribuire e gestire gli aggiornamenti di macOS.

Sebbene i dettagli di implementazione possano variare a seconda dei provider MDM, Ivanti Neurons for MDM supporta questo flusso di lavoro. Per maggiori informazioni, vedere l'ultima versione della documentazione di Ivanti Neurons for MDM.

Domande frequenti su macOS

Perché l'account ivantiNeuronsMacPatchAgent è visibile nella schermata di accesso se è un account nascosto?

Se FileVault è abilitato sul dispositivo, l'account del ruolo ivantiNeuronsMacPatchAgent viene visualizzato nella schermata di accesso dopo un riavvio. Ciò è dovuto al modo in cui FileVault gestisce l'autenticazione all'avvio.

Se FileVault non è abilitato, l'account rimane nascosto e non viene visualizzato in Impostazioni di sistema > Gruppi utenti. Si tratta di un account ruolo non interattivo, ovvero non può essere utilizzato per accedere all'ambiente desktop.

Per maggiori dettagli sugli account di ruolo, eseguire sysadminctl -h nel Terminale.

Che cos'è un account ruolo e perché è necessario per distribuire gli aggiornamenti del sistema operativo?

Un account ruolo è un account utente nascosto e non interattivo utilizzato per autenticare ed eseguire servizi in background, come un account di servizio sui sistemi Windows.

Su macOS, solo gli utenti con autorizzazioni Token sicuro e Proprietario volume possono eseguire operazioni a livello di sistema, come la modifica di aree protette del disco o l'esecuzione di attività amministrative. In genere, queste autorizzazioni vengono concesse al primo utente creato durante la configurazione iniziale di macOS.

Poiché l'applicazione di patch al sistema operativo richiede privilegi elevati, l'account del ruolo deve essere creato da un utente esistente con autorizzazioni sia Token sicuro che Proprietario volume.

Per maggiori informazioni, vedere Utilizzare token di sicurezza, token bootstrap e proprietà del volume nelle distribuzioni.

Come posso aggiornare il sistema operativo se non riesco a creare un account ruolo e il mio dispositivo è gestito da MDM?

Se il proprio dispositivo macOS è gestito tramite Mobile Device Management (MDM), consigliamo di utilizzare la soluzione MDM per distribuire gli aggiornamenti del sistema operativo. Utilizzare Ivanti Neurons for Patch Management per cercare e distribuire patch di applicazioni di terze parti.

Posso rimuovere o rinominare l'account ivantiNeuronsMacPatchAgent?

Questo account è gestito automaticamente da Ivanti Neurons e non deve essere modificato o eliminato. La modifica o la rimozione dell'account potrebbero comportare la mancata distribuzione delle patch e l'interruzione della funzionalità di Patch Management.

Se le credenziali non sono valide o se l'account viene eliminato, il prompt di sistema verrà visualizzato la volta successiva che verrà distribuita una patch del sistema operativo.

Argomenti correlati

Come iniziare con la Gestione patch

Reportistica di conformità

Vulnerabilità endpoint

Patch Intelligence

Cronologia delle distribuzioni

Impostazioni patch

Distribuzioni cerchia

Patch per Intune