Criando uma configuração de patch personalizada

Para criar sua própria configuração de patch personalizada, clique em Criar configuração.

  • Nome da configuração: nome que você deseja atribuir à configuração.
  • Comentário: forneça um comentário que descreva a finalidade da configuração.

Abordagem sem conteúdo para aplicação de patches no Linux

A solução de patch da Ivanti para Linux é diferente daquela usada para Windows e Mac. É importante entender as diferenças na abordagem sem conteúdo para aplicação de patches no Linux, pois elas geram diferenças em quando os dados de patch aparecem nos produtos da Ivanti.

Para Windows e Mac, os dados do conteúdo do patch são selecionados e testados pela Ivanti antes de serem liberados para uso nos produtos. Para obter detalhes completos desse processo, consulte a Comunidade Ivanti (abre em uma nova janela). Essa abordagem é necessária porque esses sistemas operacionais permitem a instalação de software de diversas fontes.

O Linux tem uma abordagem diferente, na qual a implantação e a manutenção do software instalado são controladas por meio de um Gerenciador de Pacotes conectado a repositórios específicos das distribuições. Os produtos de aplicação de patch da Ivanti usam as fontes de repositório do dispositivo para preencher o conteúdo de patch exigido durante a verificação. Essa é a abordagem sem conteúdo, que permite aos produtos serem mais flexíveis. Ela permite que você use repositórios internos e de terceiros, sem a necessidade de a Ivanti atualizar o conteúdo de patch dela. Além disso, assim que as atualizações ficam disponíveis no repositório, elas são disponibilizadas para instalação sem a necessidade de uma atualização de conteúdo do patch pela Ivanti. Inicialmente, nenhum dado de patch do Linux aparece no Neurons até que um dispositivo tenha sido verificado e os dados desse dispositivo tenham sido carregados e processados. À medida que mais dispositivos são analisados, os dados adicionais são incorporados para fornecer um panorama mais completo.

Guia Comportamento de configuração

Essa guia permite configurar várias opções diferentes relacionadas à implantação de patches.

Dica: selecione Mostrar resumo para ver a síntese de opções da sua configuração de patch personalizada, com uma guia para cada sistema operacional. Esse resumo é atualizado em tempo real, conforme você adiciona, exclui ou modifica suas opções de configuração de patch.

Essa área permite configurar quais patches serão implantados (opções de implantação) e se e quando as solicitações para reinicializar as máquinas de destino serão enviadas durante o processo de implantação (comportamento de reinicialização). Você pode configurar diferentes comportamentos de implantação para diferentes sistemas operacionais na mesma configuração de patch.

Habilitar a implantação para um sistema operacional

Você pode habilitar e desabilitar a implantação de patch para cada sistema operacional separadamente. Em Comportamento de implantação, selecione o sistema operacional desejado e defina Implantar patches conforme necessário.

Para criar uma configuração de patch somente para verificação, desative o botão de implantação em todas as guias de sistema operacional.

Opções de implantação

Existem até três opções de implantação configuráveis, dependendo do sistema operacional:

  • Windows: Implantar por gravidade, Implantar/excluir por grupo de patches e Fornecedores/produtos selecionados
  • Mac: Implantar por gravidade, Implantar por grupo de patches
  • Linux: corrigir tudo

Por padrão, apenas patches de segurança críticos para Windows são implantados. Se você habilita e configura Implantar por gravidade e define alguns grupos de patches para Incluir em Implantar/excluir por grupo de patches, o efeito é aditivo, sendo implantados todos os patches de cada opção configurada. Se você habilitar e configurar Fornecedores/produtos selecionados, os patches das outras duas opções serão ignorados. Se você coloca um grupo de patches para Excluir em Implantar/excluir por grupo de patches, os patches que estão no grupo para Excluir são sempre excluídos, mesmo que estejam configurados para serem incluídos em outro lugar.

Exemplo 1: se você deseja implantar apenas os patches contidos em um grupo de patches:

  • Desabilite as opções Implantar por gravidade e Fornecedores/produtos selecionados
  • Habilite a opção Implantar/excluir por grupo de patches e selecione o grupo desejado para Incluir

Exemplo 2: digamos que você configure o seguinte:

  • Implantar por gravidade: Segurança Crítica e Segurança Importante estão selecionados
  • Implantar/excluir por grupo de patches: você define, em Incluir, um grupo de patches que contém um patch de Segurança Crítica, um patch de Segurança Importante e dois patches de Segurança Moderada
  • Fornecedores/produtos selecionados: esta opção fica desabilitada

Nesse caso, os patches de Segurança Crítica e Segurança Importante serão implantados para todos os fornecedores e produtos. Além disso, todos os quatro patches contidos no grupo de patches serão implantados, inclusive os dois patches de Segurança Moderada.

Exemplo 3: igual ao Exemplo 2, mas você também usa a opção Fornecedores/produtos selecionados para especificar que apenas os patches da Adobe devem ser implantados. Nesse caso, serão implantados apenas os patches de Segurança Crítica Adobe, Segurança Importante Adobe e os patches Adobe contidos no grupo de patches.

Exemplo 4: igual ao Exemplo 3, mas você também usa a opção Implantar/excluir por grupo de patches para excluir um grupo de patches que contenha um patch específico de Segurança Crítica Adobe. Nesse caso, serão implantados apenas os patches de Segurança Crítica Adobe (exceto aquele no grupo de patches excluído), Segurança Importante Adobe e os patches Adobe contidos no grupo de patches.

Se um patch for adicionado a um grupo de patches definido como Excluir, o patch não será implantado, mesmo que outras configurações sugiram especificamente que ele deva ser implantado.

Exemplo 5 (caso de borda do Windows): digamos que você configure Implantar por gravidade somente com Segurança Crítica e também configure Implantar por grupo de patches com inclusão de Vantosi V3.

Se Vantosi V4 for então lançado como Segurança Crítica e, antes de outra implantação de patch, Vantosi V5 for lançado como Segurança Importante, então, para o Windows, nem Vantosi V4 nem Vantosi V5 serão implantados. Isso ocorre porque a versão mais recente (Vantosi V5) não atende ao requisito de gravidade para implantação, e nem Vantosi V4 nem Vantosi V5 estão incluídos no grupo de patches. Observe que se você definisse a mesma configuração de patch para Mac, o Vantosi V4 seria implantado.

Recomendamos que você use regularmente o componente Relatório de conformidade para verificar o status de conformidade de seus dispositivos e adicionar novos patches críticos de segurança a um grupo de patches. Para obter mais informações, consulte Relatório de conformidade e Grupos de patches.

Selecionar opções de implantação

  • Implantar por gravidade (Windows e Mac): se ativado, permite especificar os tipos de patch e os níveis de gravidade que devem ser incluídos na implantação. Por padrão, apenas os patches de segurança crítica são selecionados.
    • Patches de segurança: patches relacionados ao boletim de segurança. Você pode optar por implantar um ou mais níveis de gravidade específicos.
      • Crítico: vulnerabilidades que possam ser exploradas por um invasor remoto não autenticado ou sejam capazes de romper o isolamento entre os sistemas operacionais de host/convidado. A exploração resulta no comprometimento de confidencialidade, integridade, disponibilidade dos dados de usuário ou processamento de recursos sem interação do usuário. Tal exploração poderia ser aproveitada para propagar um worm de Internet ou executar código arbitrário entre máquinas virtuais e o host.
      • Importante: vulnerabilidades cuja exploração resulta no comprometimento de confidencialidade, integridade ou disponibilidade dos dados do usuário e do processamento de recursos. Essas falhas podem permitir que usuários locais obtenham privilégios; que usuários remotos autenticados executem código arbitrário; ou que usuários locais ou remotos causem facilmente uma negação de serviço.
      • Moderado: falhas em que a capacidade de exploração é atenuada em grau significativo pela configuração ou dificuldade de exploração, mas, em certos cenários de implantação, ainda podem levar a algum comprometimento da confidencialidade, integridade ou disponibilidade dos dados do usuário e dos recursos de processamento. Vulnerabilidades deste tipo poderiam ter impacto crítico ou importante, mas são menos facilmente exploradas por conta da avaliação técnica da falha ou por afetarem configurações improváveis.
      • Baixo: todos os outros incidentes que impactam a segurança. Vulnerabilidades em que a exploração seja considerada extremamente difícil ou de mínimo impacto se for bem-sucedida.
      • Não atribuído: patches de segurança que não têm um nível de gravidade atribuído.
    • Patches de não segurança: patches de fornecedores que corrigem problemas de software conhecidos não relativos à segurança. Para Windows, você pode optar por implantar para um ou mais níveis de gravidade específicos do fornecedor. Consulte Patches de segurança para ver a descrição dos níveis de gravidade disponíveis.
  • Implantar/excluir por grupo de patches (Windows) ou Implantar por grupo de patches (Mac): se habilitado, permite especificar um ou mais grupos que contenham os patches a serem incluídos numa implantação ou (somente Windows) excluídos de uma. Essa é uma boa maneira de garantir que apenas patches aprovados sejam implantados. Patches ausentes que não estejam contidos nos grupos de patches definidos em Incluir não serão implantados, a menos que atendam aos requisitos especificados na opção Implantar por gravidade. Patches em grupos de patches definidos como Excluir não serão implantados mesmo que outras configurações sugiram especificamente que devam ser. Detalhes sobre os grupos de patches disponíveis podem ser vistos usando-se a aba Grupos de patches, na página Configurações de patch. Os grupos de patches são gerenciados em Patch Intelligence.

    Quando você habilita Implantar/excluir por grupo de patches, uma grade de todos os grupos de patches é exibida, mostrando o número de patches para cada sistema operacional, mais o número total de patches em cada grupo de patches. Marque a caixa de seleção ao lado de um grupo de patches e clique em Incluir ou Excluir conforme o caso. Clique em Limpar para desmarcar um grupo de patches.

    Um marca de seleção ou ícone x ao lado da contagem de patches para o sistema operacional não configurado indica que a configuração já inclui ou exclui esses patches, respectivamente.

    Poderá ser útil recordar quais patches estão contidos no grupo antes de selecioná-lo. Para fazer isso, clique em um link numérico na grade para exibir os patches correspondentes abaixo da grade Grupos de Patches. Use a coluna Platforma para determinar o sistema operacional e a coluna Status para determinar o status de cada patch individual.

    O status mostrado é, na verdade, uma aproximação baseada no uso desse grupo com a configuração de patch atual. Vários fatores podem afetar o status do patch. Por exemplo, se você usar Fornecedores/produtos selecionados em conjunto com um grupo de patches, um ou mais patches do grupo poderão ser desconsiderados.

    • Ativo: o grupo de patches é usado por essa configuração para disponibilizar o patch aos dispositivos do usuário final. Os dispositivos fazem parte dos grupos de política associados a essa configuração de patch.
    • Não ativo: existem duas razões possíveis para esse status. (1) Esse grupo não foi usado para disponibilizar o patch a nenhum dispositivo. (2) A configuração de patch à qual esse grupo de patches está atribuído não foi ativada para os dispositivos.
      Existe um cenário em que um patch listado como Não ativo pode, na verdade, estar ativo. Se o patch residir em mais de um grupo de patches, um desses outros grupos pode ter sido usado para tornar o patch ativo para os dispositivos.
  • Fornecedores/produtos selecionados (somente Windows): se desabilitado, os patches de todos os fornecedores e produtos disponíveis serão incluídos na implantação definida pelas opções Implantar por gravidade e Implantar por grupo de patches. À medida que novos produtos e patches forem disponibilizados, eles serão adicionados à implantação.

    • Se habilitado, permite especificar os fornecedores, famílias de produtos e versões de produtos que podem ser implantados nos pontos de extremidade. Fornecedores e produtos que não forem selecionados serão excluídos da implantação. Os itens são apresentados em uma lista hierárquica. Se você habilitar uma caixa de seleção em um nível, todas as caixas de seleção em níveis inferiores também serão habilitadas.

    • Selecionar tudo: habilitar esta caixa seleciona todos os patches atualmente disponíveis para todos os fornecedores e produtos na lista. Novos patches de fornecedores e produtos que forem disponibilizados posteriormente serão adicionados à implantação.

      • DICA: se deseja excluir um pequeno número de itens, você pode habilitar Selecionar tudo e desmarcar as caixas de seleção dos itens que deseja excluir.

    • Seleção de fornecedores e produtos individuais: serão implantados somente patches dos fornecedores, famílias de produtos e versões de produto selecionados. Fornecedores e produtos não selecionados são deixados de fora da implantação.

Comportamento de reinicialização

Essa área permite configurar se e quando serão solicitadas reinicializações das máquinas de destino durante o processo de implantação. A plataforma Ivanti Neurons lida com as solicitações de reinicialização de forma centralizada, a fim de evitar conflitos entre os diferentes recursos do Ivanti Neurons. Isso significa que a reinicialização poderá não ser instantânea quando solicitada.

O macOS sempre reinicializa após a implantação de patch do sistema operacional, após solicitar que o usuário implante as atualizações do sistema operacional. Você também pode escolher Sempre reinicializar após uma atualização (mesmo que nenhum patch de sistema operacional tenha sido aplicado) nas configurações de Mac.

  • Reinicializar antes da implantação (somente Windows): se habilitado, especifica que as máquinas de destino serão reinicializadas antes da implantação dos patches. Considera-se uma melhor prática reinicializar as máquinas antes de instalar novos softwares importantes, especialmente para grandes alterações de software, tais como níveis de produto do sistema operacional. Se você optar por reinicializar as máquinas, poderá especificar a quantidade de avisos que o usuário logado receberá e escolher o nível de controle que ele terá sobre o processo de reinicialização. Você pode:
    • Optar por forçar a reinicialização após decorrido um número de minutos
    • Alertar o usuário de que uma reinicialização ocorrerá quando ele fizer logoff
    • Selecione a duração para exibir uma mensagem de contagem regressiva quando a sequência de desligamento for iniciada. Para ter uma prévia da caixa de diálogo que o usuário verá, clique em Exemplo de contagem regressiva.
    • Permitir que o usuário estenda a contagem regressiva do tempo limite até um máximo especificado.
    • Permitir que o usuário cancele o tempo limite. Se um tempo limite for cancelado, os patches não serão implantados até que o usuário faça logoff ou reinicialize manualmente a máquina.
    • Permitir que o usuário cancele a reinicialização. Os patches não serão instalados até que a máquina seja reiniciada.
  • Reinicializar após a implantação (Windows e Linux): se habilitado, especifica se será solicitada a reinicialização das máquinas de destino após a implantação dos patches. Existem duas opções:
    • Sempre: especifica que cada máquina será reinicializada após a implantação dos patches. Essa é a opção mais segura ao implantar patches, pois a maioria deles exige reinicialização para concluir a implantação. Contudo, pode haver momentos em que as máquinas sejam reinicializadas desnecessariamente.
    • Quando necessário: especifica que o agente Ivanti Neurons determinará a necessidade ou não de reinicializar cada máquina, com base nos patches incluídos na implantação.

    • Se você optar por reinicializar as máquinas, poderá especificar opções adicionais, como a quantidade de avisos que o usuário logado receberá e o nível de controle que ele terá sobre o processo de reinicialização, usando os grupos de políticas associados. Para mais informações, consulte Detalhe do Grupo de Políticas.

Essa área permite configurar implantações a serem realizadas em horário recorrente.

A guia Definir recorrência: permite agendar regularmente as operações de implantação em um horário específico e usando um padrão de recorrência especificado. Por exemplo, a implantação pode ser executada todas as noites à meia-noite ou a cada sábado às 21 horas, a cada dia da semana às 23 horas ou em qualquer outro horário e intervalo selecionado pelo usuário.

  • Executar na reinicialização se o agendamento for perdido: se uma implantação agendada for perdida porque a máquina está desligada, ela será executada em até uma hora após a máquina ser ligada novamente.
  • Implantar patches: você pode agendar a implantação de patch usando as seguintes opções:
    • Diariamente: as implantações serão executadas todos os dias da semana no horário de sua escolha.
    • Semanalmente: as implantações serão executadas no dia da semana especificado, no horário de sua escolha.
    • Mensalmente: as implantações serão executadas na data ou na ocorrência de dia especificada, a cada mês, no horário de sua escolha. Você também pode usar essa opção para agendar uma implantação em conjunto com a Patch Tuesday da Microsoft. Por exemplo, para programar uma implantação de patch mensal para ocorrer um dia após a Patch Tuesday, habilite a caixa de seleção Também implantar após Patch Tuesday e especifique 1 como o número de dias para adiar a implantação após a Patch Tuesday.
      A opção Adicionar atraso proporciona maior flexibilidade ao agendamento, permitindo adicionar um atraso de vários dias a um agendamento mensal. Por exemplo, se o seu Conselho Consultivo de Alterações se reunir na primeira quarta-feira de cada mês para decidir quais patches serão implantados no sábado seguinte, você poderá optar por implantar na primeira quarta-feira com um atraso de 3 dias. Isso trata a situação em que o sábado seguinte à primeira quarta-feira seja o primeiro ou o segundo sábado do mês.
    • Patch Tuesday: programe as implantações para serem executadas no mesmo dia do evento mensal regular de aplicação de patches da Microsoft, conhecido como Patch Tuesday.
  • Preparar conteúdo antes da implantação: especifica se você deseja criar o pacote de implantação e copiá-lo para as máquinas de destino antes da implantação real. Você pode preparar o conteúdo de 1 a 23 horas antes de a implantação ser executada. Uma análise de patch é executada automaticamente pelo agente no início do processo de preparação para reavaliar o status de patch da máquina antes da implantação.

    Há uma exceção para as implantações de patch que ocorram no primeiro dia do mês. Para evitar problemas com anos bissextos e outras peculiaridades semelhantes no calendário, a interface impede que você prepare o conteúdo no dia anterior ao primeiro dia do mês. Por exemplo, se você agendar uma implantação para as 8h do primeiro dia do mês, poderá preparar o conteúdo somente 1 a 8 horas antes da implantação.

  • Tarefas futuras: esta tabela mostra uma lista de tarefas futuras. Ela permite visualizar todos os eventos projetados para ocorrer nos próximos 60 dias usando a configuração selecionada no momento. Observe que as informações fornecidas nessa tabela são uma projeção; muitas coisas podem acontecer para evitar que um ou mais dos eventos ocorram.

Guia Associações

Essa guia permite associar a configuração de patch a um ou mais grupos de políticas do agente. A associação da configuração de patch a um grupo de políticas define os pontos de extremidade nos quais a configuração será implantada. Todos os dispositivos que usem determinada política serão regidos pela configuração de patch que você associar a ela.

Importante! O grupo de políticas do agente deve ter o recurso Gerenciamento de Patch habilitado para que seja possível utilizar a configuração de patch.

Você pode associar uma configuração de patch a vários grupos de políticas do agente.

  • Você pode criar uma configuração de patch para todos os fornecedores e produtos usados ​​pelas equipes de suporte de TI em sua organização. Você pode então associar essa configuração aos grupos de políticas do agente que cobrem suas equipes regionais, como Suporte TI AMER, Suporte TI EMEA e Suporte TI APAC.
  • Você pode criar uma configuração para os patches lançados em uma Patch Tuesday. Você pode então associar essa configuração a um grupo piloto de políticas do agente que será usado para testar as implantações de patch. Se as implantações forem bem-sucedidas, você poderá associar a configuração ao seu grupo principal de políticas do agente para fazer uma distribuição mais ampla.
  • Você pode criar uma configuração de patch para seus laptops e estações de trabalho e outra separada para seus servidores. Em seguida, você associa a configuração de patch adequada ao grupo de políticas do agente que governa cada tipo de dispositivo.
    usando políticas diferentes para laptops, estações de trabalho e servidores

Para associar a configuração de patch atual a um ou mais grupos de políticas do agente:

  1. Clique em Selecionar grupos de políticas.
  2. Escolha os grupos de políticas desejados.
    Para ajudá-lo a escolher, são fornecidas as seguintes informações sobre os grupos de políticas disponíveis:
    • Grupo de políticas: nome do grupo de políticas do agente.
    • Pontos de extremidade: mostra quantos pontos de extremidade usam atualmente o grupo de políticas do agente.
    • Configuração de patch atual: mostra o nome da configuração de patch atualmente associada ao grupo de políticas do agente.
  3. Clique em Confirmar.

A lista de todos os grupos de políticas do agente atualmente associados à configuração do patch é exibida na página Associações.

Guia Histórico

Essa guia permite rastrear as alterações feitas na configuração de patch.

A tabela exibe todas as versões da configuração. Por padrão, a tabela contém as colunas a seguir e é classificada pela coluna Versão.

  • Versão: valor numérico da versão. O primeiro salvamento da configuração será a versão 1. Cada vez que a configuração for editada e salva, o valor da versão será incrementado em um. Clicar no valor da versão abrirá os detalhes de configuração dessa versão específica.
  • Nome da configuração: o nome da configuração de patch.
  • Data de salvamento: data e hora em que a configuração foi salva.
  • Último salvamento por: nome de quem editou por último essa versão da configuração. Se você modifica um grupo de patches que está associado a uma configuração de patch, isso se qualifica como uma revisão da configuração.

  • Disponibilidade: mostra o status atual da configuração. Os valores possíveis são Novo, Pendente, Ativo, Anteriormente ativo, Rascunho e Falhou

  • Descrição: comentário fornecido no momento em que a edição da configuração foi salva.
  • Reverter para a versão selecionada: permite reverter a configuração selecionada para uma versão anterior. Certifique-se de atualizar a descrição da configuração e clicar em Salvar depois de executar sua ação. Grupos de patches não são incluídos na ação de reversão. Todos os grupos de patches incluídos na configuração de patch atual serão incluídos na configuração de patch revertida.

Permite exportar o conteúdo da tabela para um arquivo CSV. Você pode exportar todos os itens da tabela ou apenas os itens selecionados.

O arquivo CSV é criado usando os padrões ISO e é armazenado na pasta Downloads local. Se você usar o Excel para ver o arquivo, os dados poderão ser convertidos para a localidade da máquina, a fim de que possam ser visualizados em um formato mais legível.

Qualquer classificação ou filtragem aplicada às configurações será conservada na saída exportada. Todas as colunas serão incluídas, independentemente do que foi selecionado no seletor de coluna.

Marque a caixa de seleção da primeira coluna nas configurações que deseja exportar. Como alternativa, marque a caixa de seleção na célula do cabeçalho para selecionar todas as configurações.

Clique em Exportar para criar o arquivo CSV.

Salvando e ativando sua configuração de patch personalizada

Os botões a seguir ficam disponíveis ao usar qualquer uma das três guias de configuração de patch.

  • Salvar e ativar: salva a configuração de patch e a ativa para os dispositivos que estão atribuídos aos grupos de políticas associados. Cada dispositivo receberá a nova configuração na próxima vez em que o agente dele fizer check-in no Ivanti Neurons.
  • Salvar: salva a configuração de patch sem fechar a página, permitindo que você continue trabalhando.
  • Desfazer alterações: desfaz todas as alterações, retornando a configuração de patch ao estado salvo anterior.
  • Fechar: fecha a página sem salvar as últimas alterações na configuração de patch.