Comportamento de configuração

Essa guia permite configurar várias opções diferentes relacionadas à implantação de patches.

Assista a um vídeo relacionado (6:56)

Selecione Mostrar resumo para ver a síntese de opções da sua configuração de patch personalizada, com uma guia para cada sistema operacional. Esse resumo é atualizado em tempo real, conforme você adiciona, exclui ou modifica suas opções de configuração de patch.

Comportamento de implantação

Comportamento de implantação permite configurar quando os patches serão implantados (agendamento), quais patches serão implantados (opções de implantação) e se e quando serão enviadas solicitações para reinicializar seus dispositivos de destino durante o processo de implantação (comportamento de reinicialização).

Você pode configurar diferentes comportamentos de implantação para diferentes sistemas operacionais na mesma configuração de patch. O comportamento de implantação de cada sistema operacional compreende uma ou mais tarefas de implantação que você pode ativar ou desativar:

• Manutenção de rotina: normalmente usada para correção mensal de aplicativos e sistemas operacionais e, em geral, requer a reinicialização do ponto de extremidade.
• Atualizações prioritárias (somente Windows): para aplicativos que lançam atualizações com mais frequência, como navegadores e aplicativos de telecomunicações. Como raramente exigem reinicialização, agendar essas implantações com mais frequência pode reduzir sua vulnerabilidade, com pouco impacto sobre os usuários.
• Resposta de dia zero (somente Windows): para respostas urgentes, como vulnerabilidades exploradas.

Você pode usar essas tarefas para implementar uma estratégia de aplicação de patches baseada em risco, configurando diferentes tipos de patches a serem implantados em diferentes horários.

Para criar uma configuração de patch somente para verificação, desative o botão de implantação para todas as tarefas em todos os sistemas operacionais. O mecanismo de patch verifica o ponto de extremidade assim que é instalado e, em seguida, diariamente entre meia-noite e 2h00 no horário local do ponto de extremidade.

Para habilitar uma tarefa de patch, ative o botão dela e clique em Configurar esta tarefa para exibir o painel de configuração da tarefa.

Implantação em anel

A implantação em anel ajuda a reduzir o risco de implantar patches que não são instalados corretamente de forma consistente ou que têm efeitos negativos nos dispositivos quando são instalados. Em vez de implantar patches em todos os dispositivos do seu acervo de TI ao mesmo tempo, a implantação em anel permite implantá-los apenas em um conjunto de dispositivos de teste num primeiro momento, e fazer a implantação no restante dos dispositivos somente se a implantação nos dispositivos de teste obtiver sucesso.

Assista a um vídeo relacionado (5:29)

Para usar a implantação em anel, habilite Configurar implantação em anel em Manutenção de rotina. O grupo Configurar implantação em anel é exibido, permitindo especificar se você deseja usar três anéis ou apenas dois e se o conteúdo será promovido entre os anéis automaticamente, quando os critérios de sucesso forem atendidos, ou manualmente. Se optar por usar dois anéis, o Anel de adoção inicial e o Anel de produção serão combinados em um único anel.

Se você habilitar Configurar implantação em anel, seções adicionais aparecerão na seção Agendamento descrita abaixo, permitindo configurar a promoção entre os anéis.

Para obter informações sobre como adicionar dispositivos aos anéis e acompanhar o progresso entre os anéis, consulte Implantações em anel.

Agendamento

Esta área permite configurar as implantações a serem executadas em periodicidade recorrente e como os patches serão promovidos entre os anéis se você tiver habilitado a implantação em anel.

• Executar na reinicialização se o agendamento for perdido: se uma implantação agendada for perdida porque o dispositivo está desligado, ela será executada em até uma hora após o dispositivo ser ligado novamente.
• Implantar patches: você pode agendar a implantação de patch usando as seguintes opções:

  • Diariamente: as implantações serão executadas todos os dias da semana no horário especificado.

  • Semanalmente: as implantações serão executadas no dia da semana e horário especificados.

  Patches diários e semanais não são aplicáveis quando Configurar implantação em anel está habilitado.

  • Mensalmente: as implantações serão executadas na data ou na ocorrência de dia especificada, a cada mês, no horário de sua escolha. Você também pode usar essa opção para agendar uma implantação em conjunto com a Patch Tuesday da Microsoft.

  Quando a opção Configurar implantação em anel está desabilitada, também é possível agendar a implantação mensal de patches para o dia seguinte à Patch Tuesday. Para isso, marque a caixa de seleção Também implantar após Patch Tuesday e especifique 1 como o número de dias para adiar a implantação após a Patch Tuesday.
  A opção Adicionar atraso proporciona maior flexibilidade ao agendamento, permitindo adicionar um atraso de vários dias a um agendamento mensal.
  Por exemplo, se o seu Conselho Consultivo de Alterações se reunir na primeira quarta-feira de cada mês para decidir quais patches serão implantados no sábado seguinte, você poderá optar por implantar na primeira quarta-feira com um atraso de 3 dias. Assim, cobre-se a situação em que o sábado seguinte à primeira quarta-feira seja o primeiro ou o segundo sábado do mês.

  • Patch Tuesday: programe as implantações para serem executadas no mesmo dia do evento mensal regular de aplicação de patches da Microsoft, conhecido como Patch Tuesday.

Se Configurar implantação em anel estiver desabilitado, haverá controles de agendamento apropriados abaixo dos botões de opção descritos acima.

Se você tiver habilitado Configurar implantação em anel, seções extras aparecerão para Anel de teste, Anel de adoção inicial e Anel de produção, com os controles de agendamento dentro da seção Anel de teste. Para implantações em anel, você agenda a implantação somente no anel de teste, com o início da implantação nos outros anéis sendo calculado a partir do Tempo de imersão e do Tempo de atraso apropriados. Com Configurar implantação em anel habilitado, os seguintes controles ficam disponíveis:

• Taxa de sucesso (em Anel de teste e Anel de adoção inicial): a porcentagem de tentativas de instalação de um patch que devem ser bem-sucedidas dentro do Tempo de absorção para que a implantação seja considerada bem-sucedida e o patch esteja apto para promoção ao próximo anel.
• Tempo de imersão (em Anel de teste e Anel de adoção inicial): o tempo entre o início da implantação no anel e o momento em que a Taxa de sucesso de cada patch é calculada. Talvez seja necessário fazer experiências para determinar o melhor tempo de imersão: é preciso equilibrar a progressão eficiente pelos anéis com uma alocação de tempo adequada para que os patches sejam implantados e instalados em dispositivos suficientes, a fim de obter uma representação real da taxa de sucesso da instalação de todos os patches.
• Tempo de atraso (em Anel de adoção inicial e Anel de produção): o tempo de espera após o término do Tempo de imersão do anel anterior, antes da implantação no anel atual.

Uma distribuição deve ser concluída antes que a próxima instância da mesma distribuição seja agendada para começar. Como resultado disso, a soma de todos os valores para Tempo de imersão e Tempo de atraso não deve exceder 28 dias, para Mensalmente, ou 14 dias, para Patch Tuesday.

Você também pode optar por preparar o conteúdo do patch antes do início da implantação. Isso é particularmente útil para pontos de extremidade com janelas de manutenção, para que nenhum tempo da janela seja desperdiçado com o download.

• Preparar conteúdo antes da implantação (Windows e Mac): instrui o mecanismo de patch no ponto de extremidade a baixar os patches antes da tarefa de implantação. Você pode preparar o conteúdo de 1 a 23 horas antes de a implantação ser executada. Uma análise é executada automaticamente pelo agente no início do processo de preparação para reavaliar o status de patch do dispositivo antes da implantação.

  Há uma exceção para as implantações de patch que ocorram no primeiro dia do mês. Para evitar problemas com anos bissextos e outras peculiaridades semelhantes no calendário, a interface impede que você prepare o conteúdo no dia anterior ao primeiro dia do mês. Por exemplo, se você agendar uma implantação para as 8h do primeiro dia do mês, poderá preparar o conteúdo somente 1 a 8 horas antes da implantação.

Implantação por

As opções de implantação disponíveis dependem do sistema operacional:

• Windows: Implantar por pontuação de risco, Implantar por gravidade, Implantar/excluir por grupo de patches, Incluir pacotes de ativação e Fornecedores/produtos selecionados
• Mac: Implantar por gravidade, Implantar por grupo de patches
• Linux: Implantar todos os patches ausentes, Implantar por gravidade, Implantar por grupo de patches

Por padrão, apenas patches de segurança críticos para Windows são implantados. Se você:

• habilita e configura Implantar por gravidade e define alguns grupos de patches para Incluir em Implantar/excluir por grupo de patches, o efeito é aditivo, sendo implantados todos os patches de cada opção configurada
• habilita e configura Fornecedores/produtos selecionados, os patches das outras duas opções são ignorados
• coloca um grupo de patches para Excluir em Implantar/excluir por grupo de patches, os patches que estão no grupo para Excluir são sempre excluídos, mesmo que estejam configurados para serem incluídos em outro lugar

Exemplo 1: se você deseja implantar apenas os patches contidos em um grupo de patches:

• Desabilite as opções Implantar por gravidade e Fornecedores/produtos selecionados
• Habilite a opção Implantar/excluir por grupo de patches e selecione o grupo desejado para Incluir

Exemplo 2: digamos que você configure o seguinte:

• Implantar por gravidade: Segurança Crítica e Segurança Importante estão selecionados
• Implantar/excluir por grupo de patches: você define, em Incluir, um grupo de patches que contém um patch de Segurança Crítica, um patch de Segurança Importante e dois patches de Segurança Moderada
• Fornecedores/produtos selecionados: esta opção fica desabilitada

Nesse caso:

• os patches de Segurança Crítica e Segurança Importante serão implantados para todos os fornecedores e produtos
• todos os quatro patches contidos no grupo de patches serão implantados, inclusive os dois patches de Segurança Moderada

Exemplo 3: igual ao Exemplo 2, mas você também:

• usa a opção Fornecedores/produtos selecionados para especificar que apenas os patches da Adobe devem ser implantados

Nesse caso, os únicos patches que serão implantados são:

• os patches de Segurança Crítica Adobe, Segurança Importante Adobe e os patches Adobe contidos no grupo de patches

Exemplo 4: igual ao Exemplo 3, mas você também:

• usa a opção Implantar/excluir por grupo de patches para excluir um grupo de patches que contenha um patch específico de Segurança Crítica Adobe

Nesse caso, os únicos patches que serão implantados são:

• patches de Segurança Crítica Adobe (exceto aquele no grupo de patches excluído)
• patches de Segurança Importante Adobe
• todos os patches Adobe contidos no grupo de patches

Se um patch for adicionado a um grupo de patches definido como Excluir, o patch não será implantado, mesmo que outras configurações sugiram especificamente que ele deva ser implantado.

Exemplo 5 (caso de borda do Windows): digamos que você configure Implantar por gravidade somente com Segurança Crítica e também configure Implantar por grupo de patches com inclusão de Vantosi V3.

Se Vantosi V4 for então lançado como Segurança Crítica e, antes de outra implantação de patch, Vantosi V5 for lançado como Segurança Importante, então, para o Windows, nem Vantosi V4 nem Vantosi V5 serão implantados. Isso ocorre porque a versão mais recente (Vantosi V5) não atende ao requisito de gravidade para implantação, e nem Vantosi V4 nem Vantosi V5 estão incluídos no grupo de patches. Observe que se você definisse a mesma configuração de patch para Mac, o Vantosi V4 seria implantado.

Recomendamos que você use regularmente o componente Relatórios de Conformidade para verificar o status de conformidade de seus dispositivos e adicionar novos patches críticos de segurança a um grupo de patches. Para obter mais informações, consulte Relatórios de conformidade e Grupos de patches.

Selecionar opções de implantação

• Implantar todos os patches ausentes/Implantar patches selecionados (somente Linux): para Linux, você pode optar por Implantar todos os patches ausentes. Por outro lado, marcar Implantar patches selecionados habilita controles adicionais para você selecionar quais patches serão implantados.
• Implantar por pontuação de risco (somente Windows): se habilitado, permite especificar as pontuações de risco associadas aos patches que você deseja incluir em uma implantação.
  • Pontuação VRR: implanta patches com pontuação VRR maior ou igual ao valor configurado. A Classificação de Risco de Vulnerabilidade (VRR) representa o risco imposto por determinada vulnerabilidade, indicado com pontuação numérica entre 0 e 10.
  • Pontuação CVSS: implanta patches onde a versão mais recente da pontuação CVSS (Common Vulnerability Scoring System), obtida de todos os CVEs associados ao patch, for maior ou igual ao valor configurado. A faixa de pontuação vai de 0,1 a 10.

  Para saber mais sobre VRR e CVSS, consulte Ameaça e risco.

  • Implantar patches para vulnerabilidades exploradas: se habilitado, implanta patches para vulnerabilidades que foram relatadas como exploradas.

• Implantar por gravidade: se habilitado, permite especificar os tipos de patch e os níveis de gravidade a serem incluídos em uma implantação. Por padrão, apenas os patches de segurança crítica são selecionados. Existem diferentes níveis disponíveis para cada sistema operacional e distribuição Linux. Os ícones mostram quais distribuições Linux suportam cada nível.
  • Segurança: patches relacionados ao boletim de segurança. Você pode optar por implantar um ou mais níveis de gravidade específicos.
    • Crítico: vulnerabilidades que possam ser exploradas por um invasor remoto não autenticado ou sejam capazes de romper o isolamento entre os sistemas operacionais de host/convidado. A exploração resulta no comprometimento de confidencialidade, integridade, disponibilidade dos dados de usuário ou processamento de recursos sem interação do usuário. Tal exploração poderia ser aproveitada para propagar um worm de Internet ou executar código arbitrário entre máquinas virtuais e o host.
    • Importante: vulnerabilidades cuja exploração resulta no comprometimento de confidencialidade, integridade ou disponibilidade dos dados do usuário e do processamento de recursos. Essas falhas podem permitir que usuários locais obtenham privilégios; que usuários remotos autenticados executem código arbitrário; ou que usuários locais ou remotos causem facilmente uma negação de serviço.
    • Moderado(a): falhas em que a capacidade de exploração é atenuada em grau significativo pela configuração ou dificuldade de exploração, mas, em certos cenários de implantação, ainda podem levar a algum comprometimento da confidencialidade, integridade ou disponibilidade dos dados do usuário e dos recursos de processamento. Vulnerabilidades deste tipo poderiam ter impacto crítico ou importante, mas são menos facilmente exploradas por conta da avaliação técnica da falha ou por afetarem configurações improváveis.
    • Baixo: todos os outros incidentes que impactam a segurança. Vulnerabilidades em que a exploração seja considerada extremamente difícil ou de mínimo impacto se for bem-sucedida.
    • Não atribuído (Windows e Mac): patches de segurança que não têm um nível de gravidade atribuído.
  • Não segurança (Windows e Mac): patches de fornecedores que corrigem problemas de software conhecidos não relativos à segurança. Para Windows, você pode optar por implantar para um ou mais níveis de gravidade específicos do fornecedor. Consulte Patches de segurança para ver a descrição dos níveis de gravidade disponíveis.
  • Correção de bug (somente Linux): patches de fornecedores que corrigem bugs.
  • Melhoria (somente Linux): patches de fornecedores que oferecem melhorias de recursos.

  Melhoria não está disponível para Oracle v7 e Red Hat v7.

• Implantar/excluir por grupo de patches (Windows) ou Implantar por grupo de patches (Mac e Linux): se habilitado, permite especificar um ou mais grupos que contenham os patches a serem incluídos numa implantação ou (somente Windows) excluídos de uma. Essa é uma boa maneira de garantir que apenas patches aprovados sejam implantados. Patches ausentes que não estejam contidos nos grupos de patches definidos em Incluir não serão implantados, a menos que atendam aos requisitos especificados na opção Implantar por gravidade. Patches em grupos de patches definidos como Excluir não serão implantados mesmo que outras configurações sugiram especificamente que devam ser. Detalhes sobre os grupos de patches disponíveis podem ser vistos usando-se a aba Grupos de Patches, na página Configurações de patch. Os grupos de patches são gerenciados em Patch Intelligence.

  Os dispositivos Linux são sempre atualizados para o pacote mais recente disponível no repositório, mesmo que uma versão anterior seja adicionada ao grupo de patches. Além disso, não são instalados apenas os pacotes associados aos comunicados presentes nos grupos de patches, mas também os pacotes associados aos comunicados dependentes.

  Quando você habilita Implantar/excluir por grupo de patches, uma grade de todos os grupos de patches é exibida, mostrando o número de patches para cada sistema operacional, mais o número total de patches em cada grupo de patches. Marque a caixa de seleção ao lado de um grupo de patches e clique em Incluir ou Excluir conforme o caso. Clique em Limpar para desmarcar um grupo de patches.

  Um ou ao lado da contagem de patches para o sistema operacional não configurado indica que a configuração já inclui ou exclui esses patches, respectivamente.

  Poderá ser útil recordar quais patches estão contidos no grupo antes de selecioná-lo. Para fazer isso, clique em um link numérico na grade para exibir os patches correspondentes abaixo da grade Grupos de Patches. Use a coluna Platforma para determinar o sistema operacional e a coluna Status para determinar o status de cada patch individual.

  O status mostrado é, na verdade, uma aproximação baseada no uso desse grupo com a configuração de patch atual. Vários fatores podem afetar o status do patch. Por exemplo, se você usar Fornecedores/produtos selecionados em conjunto com um grupo de patches, um ou mais patches do grupo poderão ser desconsiderados.

  • Ativo: o grupo de patches é usado por essa configuração para disponibilizar o patch aos dispositivos do usuário final. Os dispositivos fazem parte das políticas associadas a essa configuração de patch.
  • Não ativo: existem duas razões possíveis para esse status. (1) Esse grupo não foi usado para disponibilizar o patch a nenhum dispositivo. (2) A configuração de patch à qual esse grupo de patches está atribuído não foi ativada para os dispositivos.
    Existe um cenário em que um patch listado como Não ativo pode, na verdade, estar ativo. Se o patch residir em mais de um grupo de patches, um desses outros grupos pode ter sido usado para tornar o patch ativo para os dispositivos.
• Incluir pacotes de ativação (somente Windows, somente Manutenção de rotina): se habilitado, implanta os pacotes de ativação selecionados. Pacotes de ativação são um conjunto limitado de atualizações cumulativas que permitem a você atualizar de uma versão do Windows para outra. Use Mostrar pacotes substituídos para mostrar ou ocultar itens que foram substituídos.
• Fornecedores/produtos selecionados (somente Windows): se desabilitado, os patches de todos os fornecedores e produtos disponíveis serão incluídos na implantação definida pelas opções Implantar por gravidade e Implantar por grupo de patches. À medida que novos produtos e patches forem disponibilizados, eles serão adicionados à implantação.

Se habilitado, permite especificar os fornecedores, famílias de produtos e versões de produtos que podem ser implantados nos pontos de extremidade. Fornecedores e produtos que não forem selecionados serão excluídos da implantação. Os itens são apresentados em uma lista hierárquica. Se você habilitar uma caixa de seleção em um nível, todas as caixas de seleção em níveis inferiores também serão habilitadas.

• Selecionar tudo: habilitar esta caixa seleciona todos os patches atualmente disponíveis para todos os fornecedores e produtos na lista. Novos patches de fornecedores e produtos que forem disponibilizados posteriormente serão adicionados à implantação.

Se quer excluir um pequeno número de itens, habilite Selecionar tudo e desmarque as caixas de seleção dos itens que deseja excluir.

• Seleção de fornecedores e produtos individuais: serão implantados somente patches dos fornecedores, famílias de produtos e versões de produto selecionados. Fornecedores e produtos não selecionados são deixados de fora da implantação.
  

Comportamento de reinicialização

Essa área permite configurar se e quando serão solicitadas reinicializações dos dispositivos de destino durante o processo de implantação. A plataforma Ivanti Neurons lida com as solicitações de reinicialização de forma centralizada, a fim de evitar conflitos entre os diferentes recursos do Ivanti Neurons. Isso significa que a reinicialização poderá não ser instantânea quando solicitada.

O macOS sempre reinicializa após a implantação de patch do sistema operacional, após solicitar que o usuário implante as atualizações do sistema operacional. Você também pode escolher Sempre reinicializar após uma atualização (mesmo que nenhum patch de sistema operacional tenha sido aplicado) nas configurações de Mac.

• Reinicializar antes da implantação (somente Windows): se habilitado, especifica que os dispositivos de destino serão reinicializados antes da implantação dos patches. Considera-se boa prática reinicializar os dispositivos antes de instalar novos softwares importantes, especialmente para grandes alterações de software, tais como níveis de produto do sistema operacional. Se você optar por reinicializar os dispositivos, poderá especificar a quantidade de avisos que o usuário logado receberá e escolher o nível de controle que ele terá sobre o processo de reinicialização. Você pode:
  • Optar por forçar a reinicialização após decorrido um número de minutos
  • Alertar o usuário de que uma reinicialização ocorrerá quando ele fizer logoff
  • Selecione a duração para exibir uma mensagem de contagem regressiva quando a sequência de desligamento for iniciada. Para ter uma prévia da caixa de diálogo que o usuário verá, clique em Exemplo de contagem regressiva.
  • Permitir que o usuário estenda a contagem regressiva do tempo limite até um máximo especificado.
  • Permitir que o usuário cancele o tempo limite. Se um tempo limite for cancelado, os patches não serão implantados até que o usuário faça logoff ou reinicialize manualmente o dispositivo.
  • Permitir que o usuário cancele a reinicialização. Os patches não serão instalados até que o dispositivo seja reiniciado.
• Reinicializar após a implantação (Windows) ou Reinicializar após implantação quando necessário (Linux): se habilitado, especifica se será solicitada a reinicialização dos dispositivos de destino após a implantação dos patches. O Linux reinicia somente se necessário, mas o Windows tem duas opções:
  • Sempre: especifica que cada dispositivo será reinicializado após a implantação dos patches. Essa é a opção mais segura ao implantar patches, pois a maioria deles exige reinicialização para concluir a implantação. Contudo, pode haver momentos em que os dispositivos sejam reinicializados desnecessariamente.
  • Quando necessário: especifica que o agente Ivanti Neurons determinará a necessidade ou não de reinicializar cada dispositivo, com base nos patches incluídos na implantação.

  Para Windows, você pode definir Criticidade da reinicialização. Isso especifica a prioridade da solicitação de reinicialização enviada ao agente, para que o agente possa agendar a reinicialização de acordo com as configurações na guia experiência de reinicialização na política do agente. A solicitação de reinicialização será atendida somente se o valor definido aqui for igual ou superior à Criticidade mínima de reinicialização definida na política do agente. Para obter mais informações, consulte Experiência de reinicialização da política do agente.

  Para Linux, se você selecionou a opção Implantar patches selecionados, não serão instalados apenas os pacotes associados aos comunicados presentes nos grupos de patches selecionados, mas também os pacotes associados aos comunicados dependentes. Se você habilitar Reinicializar após implantação quando necessário, tais dependências poderão causar uma reinicialização adicional.

Se você optar por reinicializar os dispositivos, poderá especificar opções adicionais, como a quantidade de avisos que o usuário logado receberá e o nível de controle que ele terá sobre o processo de reinicialização, usando as políticas associadas. Para obter mais informações, consulte Experiência de reinicialização da política do agente.

Configurações - patches preliminares da Microsoft

Para fins de teste, a Microsoft fornece um conjunto prévio de patches para Windows antes do lançamento formal deles na Patch Tuesday. Tais patches não incluem atualizações de segurança, de modo que, normalmente você não os implantará em todos os seus dispositivos e, portanto, a verificação desses patches fica desativada por padrão. Para habilitar a verificação de patches preliminares, habilite Procurar patches preliminares da Microsoft.

Se você optar por implantar patches preliminares, recomendamos implantá-los apenas em um grupo de teste limitado em sua organização.