Управление исправлениями

ПО Ivanti Neurons for Patch Management - это облачное решение исправления. Оно сочетает в себе данные платформы Ivanti Neurons, получаемые в режиме реального времени, с информацией об активах из приложения Ivanti Neurons for Discovery и активного искусственного интеллекта для определения приоритетов на основе рисков и создания адаптивной стратегии безопасности. Для ваших устройства под управлением Windows, macOS и Linux предлагаются всесторонние возможности управления исправлениями, включая исправление продуктов Microsoft, Apple и сторонних поставщиков.

Для открытия приложения Ivanti Neurons for Patch Management перейдите в раздел Управление исправлениями в платформе Ivanti Neurons.

ПО Ivanti Neurons for Patch Management содержит следующие компоненты, что зависит от вашей лицензии:

  • Отчетность о соответствии: Вы можете быстро определить ваш текущий статус соответствия и его изменения с течением времени.
  • Уязвимость конечных систем: Формирует централизованное представление об исправлениях устройств в вашей среде с показателями состояния устройств и рисков.
  • Patch Intelligence: Собирает и объединяет данные для упрощения управления, выбора приоритетов и установки исправлений в вашей среде. Это формирует четкое представление о наличии угроз с помощью показателей, основанных на приоритетах и рисках.
  • История развертывания: Формирует представление о состоянии недавних операций развертывания. Вы можете использовать исключения и быстро устранять любые проблемы.
  • Настройки исправления: Используется для настройки конфигураций исправлений и групп исправлений для последовательностей действий управления исправлениями в облаке. Конфигурация по умолчанию может использоваться для развертывания всех критических исправлений безопасности, быстрого начала действий или создания особой конфигураций исправлений, соответствующей уникальным предельным значениям соответствия в вашей организации.
  • ПО Patch for Intune: Расширяет возможности ПО Microsoft Intune с добавлением функций управления продуктами сторонних производителей.

Убедитесь в наличии разрешений, необходимых для управления исправлениями.

Требования

Существует несколько условий использования функции управления исправлениями.

Необходимые URL-адреса, IP-адреса и порты

Вы должны добавить ряд URL-адресов в списки исключений вашего брандмауэра, прокси-сервера и веб-фильтров. URL-адреса используются для загрузки данных исправлений от сторонних поставщиков.

Для получения полного списка добавляемых URL-адресов см. раздел Необходимые URL-адреса, IP-адреса и порты.

Microsoft Windows и Microsoft Office

Для успешной установки исправлений с помощью агента Ivanti Neurons на устройствах Windows не выключайте службу обновления Windows, а установите для нее значение Вручную или Автоматически. Кроме того, установите для настройки службы обновления Windows на каждом целевом устройстве Панель управления > Система и безопасность > Центр обновлений Windows > Изменить настройки) значение Никогда не проверять обновления. Для получения дополнительной информации см. данную статью в Сообществе пользователей Ivanti.

Если вы выполняете исправление ПО Office 2019 или Office 365, в которых используется технология "Click-to-Run", см. статью Как Ivanti исправляет приложения Office с технологией Click-to-Run на сайте Сообщества пользователей Ivanti (будет открыт в новом окне) для получения информации об исправлении таких установок из ПО Patch for Neurons.

macOS

Для компьютеров Mac с процессорами Apple и Intel с микросхемами Apple T2 для ПО Ivanti Neurons for Patch Management требуется учетная запись роли для управления исправлениями операционной системы на устройстве. Это означает, что когда ПО Ivanti Neurons for Patch Management впервые развертывает исправление операционной системы на устройстве этого типа, отобразится диалог с запросом для локального администратора создать учетную запись административной роли, которую Ivanti Neurons сможет использовать на устройстве. Инструкции будут представлены на экране. Если вы включили функцию FileVault, созданная вами учетная запись с ролью администратора отобразится на экране входа после перезагрузки.

Последовательность действий ПО Cloud

Это основная последовательность действий для выполнения функций управления исправлениями. Все конфигурации и оценки выполняются в облаке, а фактическое сканирование и развертывание выполняется агентами, установленными на управляемых устройствах.

1) Создайте особую группу политик. 2) Создайте конфигурацию исправлений и свяжите ее с вашей группой политик. 3) Дождитесь распространения изменений среди ваших агентов. 4) Агенты просканируют и развернут исправления. 5) Результаты будут представлены в ПО Ivanti Neurons.

Информация на рисунке

А

Устройства с агентами

Последовательность действий ПО Cloud

1

Создайте особую политику.

2

Создайте конфигурацию исправления и свяжите ее с вашей политикой.

3

Дождитесь распространения изменений на ваших клиентских устройствах.

4

Агенты просканируют и развернут исправления на управляемых устройствах.

5

Результаты сканирования будут отображены в приложении Ivanti Neurons.

Информация последовательности действий ПО Cloud

Условные действия

Если на ваших устройствах уже установлены агенты Ivanti Neurons, можно пропустить эти условные действия.

  1. Загрузите агент для соответствующего типа устройства (Windows, Mac или Linux).
    Существует два файла для загрузки:
    • Исполняемый файл агента
    • Файл параметров, содержащий идентификатор Tenant, ключ подписки и информацию облачного хоста, которая потребуется в процессе установки.
  2. Установите агент на нужные целевые устройства.
    1. На целевом устройстве дважды нажмите исполняемый файл для начала процесса установки.
    2. Выполните инструкции программы установки.
  3. Подождите, пока агент автоматически выполнит следующее:
    • Регистрация и запись в ПО Ivanti Neurons
    • Загрузка назначенной политики агента
    • Сканирование целевого устройства на наличие всех отсутствующих исправлений и отправка результатов в ПО Ivanti Neurons
  4. См. информацию о недавно обнаруженных целевых устройствах в виде Устройства ПО Ivanti Neurons.

Основные действия

  1. Создайте особую политику агентов.
    Политика по умолчанию, изначально устанавливаемая вместе с агентом, сконфигурирована для сканирования только исправлений. Для выполнения развертывания исправлений вы должны создать хотя бы одну особую политику. Особая политика должна быть включена для выполнения действий управления исправлениями и связана с конфигурацией исправления, в которой установлены параметры развертывания. Вы будете использовать параметр политики, Добавление устройств, для назначения политики нужным устройствам с агентами.
    Обязательно активируйте возможность Управление исправлениями во время создания политики агентов. Политика определяет правила, которые позволяют агенту работать на устройстве автономно с участием пользователя или без него.
    В особой политике агента вы можете выбрать использование одноранговой загрузки. Одноранговое взаимодействие поддерживает загруженные отдельно и имеющие цифровые подписи исправления. Автоматически загружаемые от поставщиков исправления, не имеющие цифровой подписи, не поддерживаются во время однорангового взаимодействия, например, 7-Zip и Core FTP. Одноранговый сервер будет открывать доступ одноранговому клиенту только к применимым для ОС исправлениям, например, Server 2019 откроет доступ клиентам Windows 11 только к исправлениями 2019.
  2. Сконфигурируйте настройки исправлений.
    Настройки исправлений будут состоять из следующего:
    • Конфигурация исправления: Главное назначение конфигурации исправлений - это определение того, как исправления будут развернуты на устройствах с агентами. Здесь содержится конфигурация исправлений по умолчанию, которая позволит еженедельно разворачивать все отсутствующие критические исправления безопасности в ваше среде Windows. Вероятно, вам потребуется создать одну или несколько особых конфигураций исправлений для определения уникальных требований установки исправлений в вашей организации.

      На вкладке Связи обязательно свяжите конфигурацию исправления с особой политикой агентов, которая может выполнять действия управления исправлениями.

    • (Необязательно) Группа исправлений: Вы можете указать ссылку на группу исправлений в конфигурации исправлений. Группа исправлений содержит список определенных исправлений, которые нужно развернуть. Это хороший способ убедиться в том, что будут развернуты только утвержденные исправления. См. раздел Действия развертывания в теме Настройки исправлений для получения информации о конфигурации данного сценария.
  3. Дождитесь распространения изменений на ваших устройствах.
    Ваши устройства получат обновленную информацию о политике и конфигурации исправлений во время следующей регистрации агентов в ПО Ivanti Neurons.
  4. Разверните отсутствующие исправления на устройство с агентом.
    Развертывание может быть выполнено четыре способами:
    • Автоматическое запланированноео развертывание исправлений, которое настраивается в конфигурации исправлений.
    • В компоненте Уязвимость конечных систем в ПО Ivanti Neurons for Patch Management. Этот компонент можно использовать для развертывания всех исправлений, идентифицированных как отсутствующие во время последнего сканирования.

      Убедитесь в наличии у вас разрешений для управления исправлениями, которые нужны также для развертывания исправлений из компонента оценки уязвимостей конечных систем.

    • На вкладке Исправления страницы Информация устройства. На этой странице можно выбрать отдельные исправления для развертывания.
    • Используйте пользовательский интерфейс агента на целевом устройстве для немедленного запуска развертывания исправлений.
    • Для установки пользовательского интерфейса агента необходимо включить данную возможность в назначенной агенту политике.

    Если установка исправления завершится в ошибкой, она будет повторяться до трех раз во время отдельного цикла исправлений и, в общей сложности, до пяти раз для конечной системы. Вы можете также сконфигурировать запуск развертывания во время перезагрузки по расписанию конфигурации, если устройство находится в автономном режиме.

    После развертывания исправления устройство агента будет автоматически повторно просканировано, а результаты отправлены в ПО Ivanti Neurons. Это позволит вам проверить статус развертывания и оценить текущее состояние устройства с агентом.

  5. Используйте компонент История развертывания для отображения результатов развертывания и быстрой идентификации проблем.
  6. Используйте компонент Уязвимость конечных систем для оценки состояния исправлений на устройствах в вашей среде.
  7. Используйте компонент Patch Intelligence для получения исчерпывающего представления об уязвимостях, обнаруженных на ваших устройствах, на основе приоритетов с оценкой рисков, надежности и соответствия исправлений.

Гибридная последовательность действий

Эта последовательность действий применяется к текущим клиентам, использующим коннектор для локального продукта управления исправлениями, такого как ПО Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security или Ivanti Desktop and Server Management. Такие клиенты могут начать миграцию для использования последовательности действий приложения Cloud или обеих последовательностей одновременно. Например, существующие клиенты могут перевести управление своими рабочими станциями в облачную последовательность действий, продолжая при этом использовать возможности управления исправлениями на отключенных рабочих станция, серверах и других важных или конфиденциальных устройствах, используя локальную последовательность действий. Эта стратегия позволит вам перейти к использованию последовательностей действий в облаке с нужной вам скоростью.

Локальная консоль просканирует и развернет исправления на управляемых компьютерах. Результаты будут отображены в приложении Ivanti Neurons.

Информация на рисунке

А

Устройства с агентами

B

Локальная консоль управления исправлениями (Endpoint Manager, Security Controls и т.д).

C

Устройства, управляемые с консоли

Последовательность действий ПО Cloud

1

Создайте особую политику.

2

Создайте конфигурацию исправления и свяжите ее с вашей политикой.

3

Дождитесь распространения изменений на ваших клиентских устройствах.

4

Агенты просканируют и развернут исправления на управляемых устройствах.

5

Результаты сканирования будут отображены в приложении Ivanti Neurons.

Гибридная последовательность действий

i

Коннектор

ii

Консоль просканирует и развернет исправления на управляемых устройствах.

iii

Результаты работы консоли будут отображены в приложении Ivanti Neurons.

Результатом станет комбинация данных в платформе Ivanti Neurons как для облачных, так и для локальных управляемых устройств. Развертывание исправлений на конечных системах, управляемых облачной последовательностью действий, будет выполняться агентом Ivanti Neurons. Развертывание на устройствах, управляемых локальным решением, по-прежнему будет выполняться локальной консолью.

Возможно, у вас есть устройства, которые управляются из ПО Ivanti Neurons Cloud и из локального решения. Оба решения работают одновременно эффективно. Действия, выполняемые в ПО Ivanti Neurons Cloud, будут иметь приоритет, так как они имеют прямое взаимодействие с устройствами.

Хотя оба эти решения могут управлять устройствами, вероятно, это нежелательно, так как получение нескольких отчетов из разных продуктов может привести к путанице.

Развертывание может быть начато агентом Ivanti Neurons, локальной консолью Ivanti Endpoint Manager или Ivanti Security Controls, или из облака с помощью компонентов информации устройства или уязвимостей конечных систем.

Если вы используете особый профиль сканирования в ПО Ivanti Security Controls, во время развертывания отсутствующего исправления можно обнаружить, что оно уже установлено на устройстве. Во избежание этого добавьте регулярное сканирование всех устройств, используя один из готовых шаблонов - Сканирование исправлений безопасности или Все исправления. Для получения дополнительной информации см. статью в Сообществе пользователей Ivanti (будет открыта в новом окне).

См. также:

Уязвимость конечных систем

Patch Intelligence

История развертывания

Настройки исправлений