Patch Management
Ivanti Neurons for Patch Management is a patchoplossing van de cloud. Het combineert de real time inzichten van het Ivanti Neurons-platform met de activagegevens van Ivanti Neurons for Discovery en de bruikbare informatie voor op risico gebaseerde prioriteitstelling, om een adaptieve beveiligingsstrategie te stimuleren. Uitgebreide capaciteiten voor patchbeheer worden geleverd voor uw Windows-, macOS- en Linux-apparaten en bevatten de mogelijkheid om een patch toe te passen op producten van zowel Microsoft, Apple als externe leveranciers.
Om toegang te krijgen tot Ivanti Neurons for Patch Management, navigeert u naar Patch Management op het Ivanti Neurons-platform.
Ivanti Neurons for Patch Management bestaat uit de volgende componenten, afhankelijk van uw licentie:
- Voorgeschreven rapportage: hiermee kunt u uw huidige nalevingsstatus vaststellen en zie hoe uw trends zijn na verloop van tijd.
- Implementatiegeschiedenis: biedt een manier om de status van recente implementatiebewerkingen weer te geven. U kunt zich focussen op uitzonderlijke en snel eventuele problemen oplossen.
- Kwetsbaarheid eindpunt: biedt een centrale weergave van een apparaatpatch voor uw omgeving met apparaatstatus en op risico gebaseerde metrische gegevens.
- Patch Intelligence: verzamelt en voegt gegevens samen om te helpen bij het beheren, het geven van prioriteiten en het stroomlijnen van het toepassen van patches in uw omgeving. Dit biedt een duidelijk beeld van uw bedreigingslandschap met prioritaire, op risico gebaseerde metrische gegevens.
- Patchinstellingen: hiermee kunt u patchconfiguraties en patchgroepen configureren voor de cloud patch management-workflow. Om u snel aan de slag te helpen, kunt u een standaardconfiguratie gebruiken die een oplossing biedt voor alle kritieke beveiligingspatches. U kunt ook een aangepaste patchconfiguratie maken om te voldoen aan de unieke nalevingsdrempels in uw organisatie.
- Ringimplementaties: hiermee kunt u ringimplementaties beheren, zodat u de implementatie van patches op een kleiner aantal testapparaten kunt testen voordat u doorgaat met de implementatie op alle apparaten.
- Patch voor Intune: breidt Microsoft Intune-implementaties uit met mogelijkheden voor productbeheer van derden.
- Rapporten: hiermee kunt u rapporten maken die gegevens bevatten die genomen zijn van Ivanti Neurons en die u kunt gebruiken of distribueren als PDF-, CSV- of Excel-bestanden naar personen die geen toegang hebben tot het systeem.
Zorg dat u over het Toegangsbeheer beschikt dat nodig is voor het gebruik van Patchbeheer.
Vereisten
Er zijn een aantal vereisten voor het gebruik van Patchbeheer.
Vereiste URL's, IP-adressen en poorten
U moet een aantal web-URL's toevoegen aan uw uitzonderingslijsten voor de firewall, proxy en webfilter. De URL's worden gebruikt voor het downloaden van patchinhoud van leveranciers van derden.
Voor de complete lijst van URL's die u moet toevoegen, raadpleegt u Vereiste URL's, IP-adressen en poorten.
Microsoft Windows en Microsoft Office
Om patches te implementeren met de Ivanti Neurons Agent in Windows-apparaten, mag u de Windows Update-service niet uitschakelen, maar moet u deze instellen op Handmatig of Automatisch. Stel daarnaast de Windows Update-instelling op elk doelapparaat (Configuratiescherm > Systeem en beveiliging > Windows Update > Instellingen wijzigen) in op Nooit controleren op updates. Lees dit artikel op de Ivanti Community voor meer informatie.
Als u een patch uitvoert van Office 2019 of Office 365 die de technologie Klik-en-klaar gebruikt, raadpleegt u Hoe Ivanti een patch uitvoert van Office Klik-en-klaar installaties op de Ivanti Community (opent in een nieuw venster) voor informatie over de manier waarop Patch for Neurons een patch uitvoert van deze installaties.
Patchbeheer is nu beschikbaar op Windows 11 IoT Enterprise LTSC.
macOS
Voor Apple Silicon Mac's en Intel Mac's met de Apple T2-chip, vereist Ivanti Neurons for Patch Management een rolaccount voor het beheren van besturingssysteempatches op het apparaat.
Wanneer Ivanti Neurons for Patch Management voor de eerste keer de implementatie van een OS-patch start, verschijnt er een systeemdialoogvenster waarin de lokale beheerder wordt gevraagd een rolaccount aan te maken. Instructies op het scherm begeleiden de beheerder door het proces. Om het aanmaken van de account te autoriseren, zijn beheerdersreferenties vereist.
Zodra de beheerder het formulier heeft ingevuld, wordt er een nieuwe gebruikersaccount met de naam ivantiNeuronsMacPatchAgent gemaakt. Er wordt een willekeurig gegenereerd wachtwoord aan de account toegewezen, dat uniek is voor het apparaat. De referenties worden veilig opgeslagen in de macOS-sleutelhanger.
Wanneer een macOS-patch is vereist, gebruikt Ivanti Neurons de ivantiNeuronsMacPatchAgent-account om het hulpprogramma systemupdate uit te voeren. Dit hulpprogramma past de nieuwste OS-updates toe met behulp van het pakket InstallAssist.pkg dat is opgehaald via het Apple Content Delivery Network (CDN).
macOS-apparaten beheerd met MDM
Een lokale beheerder met zowel machtigingen als Volume-eigenaar als voor een Beveiligde token, kan extra gebruikers met dezelfde machtigingen op het apparaat aanmaken. Dit is echter niet het geval voor accounts die zijn ingericht via Entra ID of andere Active Directory-services. Deze accounts worden niet als lokaal op de machine beschouwd. Hoewel ze mogelijk een beveiligde token hebben, hebben ze doorgaans geen volume-eigenaarsmachtigingen.
Voor apparaten die door MDM worden beheerd, zijn geen machtigingen voor Volume-eigenaar vereist om beheertaken uit te voeren, zoals het maken van gebruikers of het patchen van besturingssystemen. In plaats daarvan maken deze apparaten gebruik van de Bootstrap-token, een mechanisme dat is ontworpen om veilige bewerkingen mogelijk te maken zonder afhankelijk te zijn van de bevoegdheden van de Volume-eigenaar.
Zie Gebruik van beveiligde tokens, bootstrap-tokens en volume-eigendom in implementaties voor meer informatie.
Omdat via MDM beheerde beheerdersaccounts geen machtigingen voor Volume-eigenaar kunnen toewijzen, raden we aan MDM te gebruiken voor het implementeren en beheren van macOS-updates.
Hoewel de implementatiedetails per MDM-provider kunnen verschillen, ondersteunt Ivanti Neurons for MDM deze workflow. Voor meer informatie, zie de laatste versie van de Ivanti Neurons for MDM-documentatie.
Veelgestelde vragen macOS
Waarom is de ivantiNeuronsMacPatchAgent -account zichtbaar op het aanmeldingsscherm als het een verborgen account is?
Als FileVault is ingeschakeld op het apparaat, wordt de rolaccount ivantiNeuronsMacPatchAgent weergegeven op het aanmeldingscherm na een herstart. Dit komt door de manier waarop FileVault de authenticatie bij het opstarten afhandelt.
Als FileVault niet is ingeschakeld, blijft de account verborgen en wordt deze niet weergegeven in Systeeminstellingen > Gebruikers en groepen. Het is een niet-interactieve rolaccount, wat betekent dat u deze niet kunt gebruiken om aan te melden bij de desktopomgeving.
Voor meer informatie over rolaccounts, voert u sysadminctl -h uit in Terminal.
Wat is een rolaccount en waarom is deze vereist voor het implementeren van OS-updates?
Een rolaccount is een verborgen, niet-interactieve gebruikersaccount die wordt gebruikt voor verificatie en het uitvoeren van achtergrondservices, zoals een serviceaccount op Windows-systemen.
Op macOS kunnen alleen gebruikers met zowel de machtiging Beveiligde toekn als Volume-eigenaar bewerkingen op systeemniveau uitvoeren, zoals het wijzigen van beschermde gebieden van de schijf of het uitvoeren van beheertaken. Deze machtigingen worden doorgaans toegekend aan de eerste gebruiker die wordt aangemaakt tijdens de eerste installatie van macOS.
Omdat voor het patchen van besturingssystemen hogere bevoegdheden zijn vereist, moet de rolaccount worden gemaakt door een bestaande gebruiker met zowel de machtigingen Beveiligde token als Volume-eigenaar.
Zie Gebruik van beveiligde tokens, bootstrap-tokens en volume-eigendom in implementatiesvoor meer informatie.
Hoe kan ik het besturingssysteem bijwerken als ik geen rolaccount kan aanmaken en mijn apparaat wordt beheerd door MDM?
Als uw macOS-apparaat wordt beheerd via Mobile Device Management (MDM), is het aanbevolen de MDM-oplossing te gebruiken om OS-updates te implementeren. Met Ivanti Neurons voor Patchbeheer kunt u patches voor toepassingen van derden scannen en implementeren.
Kan ik de account ivantiNeuronsMacPatchAgent verwijderen of hernoemen?
Deze account wordt automatisch beheerd door Ivanti Neurons en mag niet worden gewijzigd of verwijderd. Het wijzigen of verwijderen van de account kan leiden tot mislukte patch-implementaties en verstoring van de functionaliteit voor patchbeheer.
Als de referenties ongeldig zijn of als de account wordt verwijderd, verschijnt de systeemprompt wanneer een OS-patch de volgende keer wordt geïmplementeerd.