Gerenciamento de patches
O Ivanti Neurons for Patch Management é uma solução em nuvem para aplicação de patches. Ele combina insights em tempo real da Ivanti Neurons Platform, informações de ativos do Ivanti Neurons for Discovery e inteligência acionável para priorização baseada em risco, a fim de propiciar uma estratégia de segurança adaptável. São fornecidos recursos abrangentes de gerenciamento de patches para seus dispositivos Windows, macOS e Linux, com a capacidade de corrigir produtos Microsoft, Apple e de fornecedores terceiros.
Para acessar o Ivanti Neurons for Patch Management, navegue até Gerenciamento de Patches na Ivanti Neurons Platform.
O Ivanti Neurons for Patch Management compreende os seguintes componentes, dependendo da sua licença:
- Relatórios de conformidade: permite determinar seu status de conformidade atual e ver sua tendência ao longo do tempo.
- Histórico de implantação: permite visualizar o status das operações de implantação recentes. Você pode se concentrar nas exceções e solucionar rapidamente quaisquer problemas.
- Vulnerabilidade dos Pontos de Extremidade: fornece uma visão central da aplicação de patches no seu ambiente, com métricas de integridade e risco dos dispositivos.
- Patch Intelligence: coleta e agrega dados para ajudar a gerenciar, priorizar e simplificar a aplicação de patches no seu ambiente. Fornece uma visão clara do cenário de ameaças, com métricas priorizadas e baseadas em risco.
- Configurações de Patch: permite definir configurações de patch e grupos de patches para o fluxo de trabalho de gestão de patches na nuvem. Você pode usar uma configuração padrão para remediar todos os patches de segurança críticos com agilidade ou criar uma configuração personalizada para atender aos limites específicos de conformidade da sua organização.
- Implantações em anel: permite gerenciar implantações em anel para que seja possível testar a implantação de patches em um número menor de dispositivos antes de efetivar a implantação em todos os dispositivos.
- Patch for Intune: estende as implementações do Microsoft Intune para incluir recursos de gerenciamento de produtos de terceiros.
- Relatórios: permite criar relatórios contendo dados obtidos do Ivanti Neurons para você usar ou distribuir como arquivo PDF, CSV ou Excel a pessoas que não tenham acesso ao sistema.
Certifique-se de ter o Controle de acesso necessário para usar o Gerenciamento de Patches.
Requisitos
Existem vários requisitos para usar o Gerenciamento de Patches.
URLs, endereços IP e portas necessários
Você deve adicionar uma série de URLs às suas listas de exceções de firewall, proxy e internet. Os URLs são usados para baixar conteúdo de patch de fornecedores terceiros.
Para obter a lista completa de URLs que você precisa adicionar, consulte URLs, endereços IP e portas necessários.
Microsoft Windows e Microsoft Office
Para implantar patches corretamente com o Agente Ivanti Neurons em dispositivos Windows, não desabilite o serviço Windows Update e defina-o como Manual ou Automático. Além disso, defina a configuração do Windows Update em cada dispositivo de destino (Painel de Controle > Sistema e Segurança > Windows Update > Alterar Configurações) como Nunca verificar atualizações. Para obter mais informações, consulte este artigo na Comunidade Ivanti.
Se você estiver aplicando patches em Office 2019 ou Office 365 que usem a tecnologia Clique para Executar, consulte Como a Ivanti corrige as instalações Clique para Executar do Office na Comunidade Ivanti (abre em uma nova janela) para saber como o Patch for Neurons corrige essas instalações.
O gerenciamento de patches agora está disponível no Windows 11 IoT Enterprise LTSC.
macOS
Em Macs Apple Silicon e Macs Intel com o chip Apple T2, o Ivanti Neurons for Patch Management requer de uma conta de função dedicada para gerenciar patches do sistema operacional no dispositivo.
Quando o Ivanti Neurons for Patch Management inicia a implantação de um patch do SO pela primeira vez, aparece um diálogo do sistema solicitando que o administrador local crie uma conta de função. As instruções na tela guiam o administrador pelo processo. Credenciais administrativas são necessárias para autorizar a criação da conta.
Depois que o administrador preenche o formulário, uma nova conta de usuário chamada _ivantiNeuronsMacPatchAgent é criada. Uma senha gerada aleatoriamente, exclusiva para o dispositivo, é atribuída à conta. As credenciais são armazenadas com segurança no Keychain do macOS.
Quando um patch do macOS é necessário, o Ivanti Neurons usa a conta _ivantiNeuronsMacPatchAgent para executar o utilitário systemupdate. Esse utilitário aplica as atualizações de SO mais recentes usando o pacote InstallAssist.pkg recuperado da Apple Content Delivery Network (CDN).
Dispositivos macOS gerenciados com MDM
Um administrador local com permissões de Proprietário do Volume e um Token Seguro pode criar usuários adicionais com os mesmos privilégios no dispositivo. No entanto, esse não é o caso de contas provisionadas via Entra ID ou outros serviços do Active Directory. Essas contas não são consideradas locais para a máquina. Embora possam ter um Token Seguro, normalmente não têm permissões de Proprietário do Volume.
Em dispositivos gerenciados por MDM, não é necessário ter permissões de Proprietário do Volume para executar tarefas administrativas, como criação de usuário ou aplicação de patches no SO. Em vez disso, esses dispositivos utilizam o Token de Bootstrap, um mecanismo projetado para facilitar operações seguras sem depender dos privilégios de Proprietário do Volume.
Para obter mais informações, consulte: Usar token seguro, token de bootstrap e propriedade de volume em implantações.
Como contas de administrador gerenciadas por MDM não podem atribuir permissões de Proprietário do Volume, recomendamos usar o MDM para implantar e gerenciar atualizações do macOS.
Embora os detalhes de implementação possam variar entre os provedores de MDM, o Ivanti Neurons for MDM oferece suporte a esse fluxo de trabalho. Para mais informações, consulte a versão mais recente da documentação do Ivanti Neurons for MDM.
Perguntas frequentes sobre macOS
Por que a conta _ivantiNeuronsMacPatchAgent está visível na tela de login se é uma conta oculta?
Se o FileVault estiver habilitado no dispositivo, a conta de função _ivantiNeuronsMacPatchAgent aparecerá na tela de login após uma reinicialização. Isso ocorre devido à maneira como o FileVault lida com a autenticação na inicialização.
Se o FileVault não estiver habilitado, a conta permanecerá oculta e não aparecerá em Ajustes do Sistema > Grupos de Usuários. É uma conta de função não interativa, o que significa que não pode ser usada para fazer login no ambiente de trabalho.
Para mais detalhes sobre contas de função, execute sysadminctl -h no Terminal.
O que é uma conta de função e por que ela é necessária para implantar atualizações do sistema operacional?
Uma conta de função é uma conta de usuário oculta e não interativa usada para autenticar e executar serviços em segundo plano, como uma conta de serviço em sistemas Windows.
No macOS, somente usuários com permissões de Token Seguro e Proprietário do Volume podem executar operações no nível do sistema, tais como modificar áreas protegidas do disco ou executar tarefas administrativas. Essas permissões normalmente são concedidas ao primeiro usuário criado durante a configuração inicial do macOS.
Como a aplicação de patches no sistema operacional exige privilégios elevados, a conta de função deve ser criada por um usuário existente com permissões de Token Seguro e Proprietário do Volume.
Para obter mais informações, consulte Usar token seguro, token de bootstrap e propriedade de volume em implantações.
Como posso atualizar o sistema operacional se não consigo criar uma conta de função e meu dispositivo é gerenciado por MDM?
Se o seu dispositivo macOS for gerenciado via Gerenciamento de Dispositivos Móveis (MDM), é recomendável usar a solução MDM para implantar atualizações do sistema operacional. Use o Ivanti Neurons for Patch Management para procurar e implantar patches em aplicativos de terceiros.
Posso remover ou renomear a conta _ivantiNeuronsMacPatchAgent?
Essa conta é gerenciada automaticamente pelo Ivanti Neurons e não deve ser alterada ou excluída. Modificar ou remover a conta pode resultar em falhas na implantação de patches e interrupção na funcionalidade de gerenciamento de patches.
Se as credenciais forem inválidas ou a conta for excluída, o prompt do sistema aparecerá na próxima vez que um patch do sistema operacional for implantado.
Tópicos relacionados
Introdução ao Gerenciamento de Patches