Управление исправлениями

ПО Ivanti Neurons for Patch Management - это облачное решение исправления. Оно сочетает в себе данные платформы Ivanti Neurons, получаемые в режиме реального времени, с информацией об активах из приложения Ivanti Neurons for Discovery и активного искусственного интеллекта для определения приоритетов на основе рисков и создания адаптивной стратегии безопасности. Для ваших компьютеров под управлением Windows, macOS и Linux предлагаются всесторонние возможности управления исправлениями, включая возможность исправления продуктов Microsoft, Apple и сторонних поставщиков.

Для компьютеров Mac с процессорами Apple и Intel с микросхемами Apple T2 для ПО Ivanti Neurons for Patch Management требуется учетная запись роли для управления исправлениями операционной системы на устройстве. Это означает, что когда ПО Ivanti Neurons for Patch Management впервые развертывает исправление операционной системы на устройстве этого типа, отобразится диалог с запросом для локального администратора создать учетную запись административной роли, которую Ivanti Neurons сможет использовать на устройстве. Инструкции будут представлены на экране. Если вы включили функцию FileVault, созданная вами учетная запись с ролью администратора отобразится на экране входа после перезагрузки.

Для открытия приложения Ivanti Neurons for Patch Management перейдите в раздел Управление исправлениями в платформе Ivanti Neurons.

ПО Ivanti Neurons for Patch Management содержит следующие компоненты, что зависит от вашей лицензии:

  • Отчетность о соответствии: Вы можете быстро определить ваш текущий статус соответствия и его изменения с течением времени.
  • Уязвимость конечных систем: Формирует централизованное представление об исправлениях устройств в вашей среде с показателями состояния устройств и рисков.
  • Patch Intelligence: Собирает и объединяет данные для упрощения управления, выбора приоритетов и установки исправлений в вашей среде. Это формирует четкое представление о наличии угроз с помощью показателей, основанных на приоритетах и рисках.
  • История развертывания: Формирует представление о состоянии недавних операций развертывания. Вы можете использовать исключения и быстро устранять любые проблемы.
  • Настройки исправления: Используется для настройки конфигураций исправлений и групп исправлений для последовательностей действий управления исправлениями в облаке. Конфигурация по умолчанию может использоваться для развертывания всех критических исправлений безопасности, быстрого начала действий или создания особой конфигураций исправлений, соответствующей уникальным предельным значениям соответствия в вашей организации.
  • ПО Patch for Intune: Расширяет возможности ПО Microsoft Intune с добавлением функций управления продуктами сторонних производителей.

Убедитесь в наличии разрешений, необходимых для управления исправлениями.

Требования

Вы должны добавить ряд URL-адресов в списки исключений вашего брандмауэра, прокси-сервера и веб-фильтров. URL-адреса используются для загрузки данных исправлений от сторонних поставщиков.

Для получения полного списка добавляемых URL-адресов см. раздел Необходимые URL-адреса, IP-адреса и порты.

Для успешной установки исправлений с помощью агента Ivanti Neurons на устройствах Windows не выключайте службу обновления Windows, а установите для нее значение Вручную или Автоматически. Кроме того, установите для настройки службы обновления Windows на каждом целевом компьютере Панель управления > Система и безопасность > Центр обновлений Windows > Изменить настройки) значение Никогда не проверять обновления. Для получения дополнительной информации см. данную статью в Сообществе пользователей Ivanti.

Если вы выполняете исправление ПО Office 2019 или Office 365, в которых используется технология "Click-to-Run", см. статью Как Ivanti исправляет приложения Office с технологией Click-to-Run на сайте Сообщества пользователей Ivanti (будет открыт в новом окне) для получения информации об исправлении таких установок из ПО Patch for Neurons.

Последовательность действий ПО Cloud

Это основная последовательность действий для выполнения функций управления исправлениями. Все конфигурации и оценки выполняются в облаке, а фактическое сканирование и развертывание выполняется агентами, установленными на управляемых компьютерах.

1) Создайте особую группу политик. 2) Создайте конфигурацию исправлений и свяжите ее с вашей группой политик. 3) Дождитесь распространения изменений среди ваших агентов. 4) Агенты просканируют и развернут исправления. 5) Результаты будут представлены в ПО Ivanti Neurons.

Информация на рисунке

А

Компьютеры с агентами

Последовательность действий ПО Cloud

1

Создайте особую группу политик.

2

Создайте конфигурацию исправления и свяжите ее со своей группой политик.

3

Дождитесь распространения изменений среди ваших клиентских компьютеров.

4

Агенты просканируют и развернут исправления на управляемых компьютерах.

5

Результаты сканирования будут отображены в приложении Ivanti Neurons.

Информация последовательности действий ПО Cloud

Условные действия

Если на ваших устройствах уже установлены агенты Ivanti Neurons, можно пропустить эти условные действия.

  1. Загрузите агент для соответствующего типа устройства (Windows, Mac или Linux).
    Существует два файла для загрузки:
    • Исполняемый файл агента
    • Файл параметров, содержащий идентификатор Tenant, ключ активации и информация облачного хоста, которая потребуется в процессе установки.
  2. Установите агент на нужные целевые компьютеры.
    1. На целевом компьютере дважды нажмите исполняемый файл для начала процесса установки.
    2. Выполните инструкции программы установки.
  3. Подождите, пока агент автоматически выполнит следующее:
    • Регистрация и запись в ПО Ivanti Neurons
    • Загрузка группы политик агента по умолчанию
    • Сканирование целевого компьютера на наличие всех отсутствующих исправлений и отправка результатов в ПО Ivanti Neurons
  4. См. информацию о недавно обнаруженных целевых компьютерах в виде Устройства ПО Ivanti Neurons.

Основные действия

  1. Создайте особую группу политик агента.
    Группа политик по умолчанию, изначально устанавливаемая вместе с агентом, сконфигурирована только для сканирования исправлений. Для выполнения развертывания исправлений вы должны создать хотя бы одну особую группу политик. Особая группа политик должна быть включена для выполнения действий управления исправлениями и связана с конфигурацией исправления, в которой установлены параметры развертывания. Вы будете использовать параметр политики, Добавление устройств, для назначения политики нужным компьютерам с агентами.
    Обязательно активируйте возможность Управление исправлениями во время создания группы политик агента. Группа политик определяет правила, которые позволяют агенту работать на устройстве автономно с участием пользователя или без него.
    В особой политике агента вы можете выбрать использование одноранговой загрузки. Одноранговое взаимодействие поддерживает загруженные отдельно и имеющие цифровые подписи исправления. Автоматически загружаемые от поставщиков исправления, не имеющие цифровой подписи, не поддерживаются во время однорангового взаимодействия, например, 7-Zip и Core FTP. Одноранговый сервер будет открывать доступ одноранговому клиенту только к применимым для ОС исправлениям, например, Server 2019 откроет доступ клиентам Windows 11 только к исправлениями 2019, но не более поздней версии.
  2. Сконфигурируйте настройки исправлений.
    Настройки исправлений будут состоять из следующего:
    • Конфигурация исправлений: Главное назначение конфигурации исправлений - это определение того, как исправления будут развернуты на компьютерах с агентами. Здесь содержится конфигурация исправлений по умолчанию, которая позволит еженедельно разворачивать все отсутствующие критические исправления безопасности в ваше среде Windows. Вероятно, вам потребуется создать одну или несколько особых конфигураций исправлений для определения уникальных требований установки исправлений в вашей организации.

      На вкладке Связи обязательно ассоциируйте конфигурацию исправления с особой группой политик агента, которая может выполнять действия управления исправлениями.

    • (Дополнительно) Группа исправлений: Вы можете указать ссылку на группу исправлений в конфигурации исправлений. Группа исправлений содержит список определенных исправлений, которые нужно развернуть. Это хороший способ убедиться в том, что будут развернуты только утвержденные исправления. См. раздел Действия развертывания в теме Настройки исправлений для получения информации о конфигурации данного сценария.
  3. Дождитесь распространения изменений на ваших устройствах.
    Ваши устройства получат обновленную информацию о политике и конфигурации исправлений во время следующей регистрации агентов в ПО Ivanti Neurons.
  4. Разверните отсутствующие исправления на компьютере с агентом.
    Развертывание может быть выполнено четыре способами:
    • С помощью автоматического запланированного развертывания исправлений, которое настраивается в конфигурации исправлений.
    • В компоненте Уязвимость конечных систем в ПО Ivanti Neurons for Patch Management. Этот компонент можно использовать для развертывания всех исправлений, идентифицированных как отсутствующие во время последнего сканирования.

      Убедитесь в наличии у вас разрешений для управления исправлениями, которые нужны также для развертывания исправлений из компонента оценки уязвимостей конечных систем.

    • На вкладке Исправления страницы Информация устройства. На этой странице можно выбрать отдельные исправления для развертывания.
    • Использовать клиент с агентом на компьютере для немедленного запуска развертывания исправлений.
    После развертывания исправления компьютер агента будет автоматически повторно просканирован, а результаты отправлены в ПО Ivanti Neurons. Это позволит вам проверить статус развертывания и оценить текущее состояние компьютера с агентом.
  5. Используйте компонент История развертывания для отображения результатов развертывания и быстрой идентификации проблем.
  6. Используйте компонент Уязвимость конечных систем для оценки состояния исправлений на компьютерах в вашей среде.
  7. Используйте компонент Patch Intelligence для получения исчерпывающего представления об уязвимостях, обнаруженных на ваших компьютерах, на основе приоритетов с оценкой рисков, надежности и соответствия исправлений.

Гибридная последовательность действий

Эта последовательность действий применяется к текущим клиентам, использующим коннектор для локального продукта управления исправлениями, такого как ПО Ivanti Endpoint Manager, Ivanti Patch for Configuration Manager, Ivanti Security Controls, Ivanti Endpoint Security или Ivanti Desktop and Server Management. Такие клиенты могут начать миграцию для использования последовательности действий приложения Cloud или обеих последовательностей одновременно. Например, существующие клиенты могут перевести управление своими рабочими станциями в облачную последовательность действий, продолжая при этом использовать возможности управления исправлениями на отключенных рабочих станция, серверах и других важных или конфиденциальных устройствах, используя локальную последовательность действий. Эта стратегия позволит вам перейти к использованию последовательностей действий в облаке с нужной вам скоростью.

Локальная консоль просканирует и развернет исправления на управляемых компьютерах. Результаты будут отображены в приложении Ivanti Neurons.

Информация на рисунке

А

Компьютеры с агентами

B

Локальная консоль управления исправлениями (Endpoint Manager, Security Controls и т.д).

C

Компьютеры, управляемые с консоли

Последовательность действий ПО Cloud

1

Создайте особую группу политик.

2

Создайте конфигурацию исправления и свяжите ее со своей группой политик.

3

Дождитесь распространения изменений среди ваших клиентских компьютеров.

4

Агенты просканируют и развернут исправления на управляемых компьютерах.

5

Результаты сканирования будут отображены в приложении Ivanti Neurons.

Гибридная последовательность действий

i

Коннектор

ii

Локальная консоль просканирует и развернет исправления на управляемых компьютерах.

iii

Результаты работы консоли будут отображены в приложении Ivanti Neurons.

Результатом станет комбинация данных в платформе Ivanti Neurons как для облачных, так и для локальных управляемых устройств. Развертывание исправлений на конечных системах, управляемых облачной последовательностью действий, будет выполняться агентом Ivanti Neurons. Развертывание на устройствах, управляемых локальным решением, по-прежнему будет выполняться локальной консолью.

Возможно, у вас есть устройства, которые управляются из ПО Ivanti Neurons Cloud и из локального решения. Оба решения работают одновременно эффективно. Действия, выполняемые в ПО Ivanti Neurons Cloud, будут иметь приоритет, так как они имеют прямое взаимодействие с устройствами.

Хотя оба эти решения могут управлять устройствами, вероятно, это нежелательно, так как получение нескольких отчетов из разных продуктов может привести к путанице.

Развертывание может быть начато агентом Ivanti Neurons, локальной консолью Ivanti Endpoint Manager или Ivanti Security Controls, или из облака с помощью компонентов информации устройства или уязвимостей конечных систем.

Если вы используете особый профиль сканирования в ПО Ivanti Security Controls, во время развертывания отсутствующего исправления можно обнаружить, что оно уже установлено на устройстве. Во избежание этого добавьте регулярное сканирование всех устройств, используя один из готовых шаблонов - Сканирование исправлений безопасности или Все исправления. Для получения дополнительной информации см. статью в Сообществе пользователей Ivanti (будет открыта в новом окне).

См. также:

Уязвимость конечных систем

Patch Intelligence

История развертывания

Настройки исправлений