Управление исправлениями
ПО Ivanti Neurons for Patch Management - это облачное решение исправления. Оно сочетает в себе данные платформы Ivanti Neurons, получаемые в режиме реального времени, с информацией об активах из приложения Ivanti Neurons for Discovery и активного искусственного интеллекта для определения приоритетов на основе рисков и создания адаптивной стратегии безопасности. Для ваших устройства под управлением Windows, macOS и Linux предлагаются всесторонние возможности управления исправлениями, включая исправление продуктов Microsoft, Apple и сторонних поставщиков.
Для открытия приложения Ivanti Neurons for Patch Management перейдите в раздел Управление исправлениями в платформе Ivanti Neurons.
ПО Ivanti Neurons for Patch Management содержит следующие компоненты, что зависит от вашей лицензии:
- Отчетность о соответствии: Вы можете быстро определить ваш текущий статус соответствия и его изменения с течением времени.
- История развертывания: Формирует представление о состоянии недавних операций развертывания. Вы можете использовать исключения и быстро устранять любые проблемы.
- Уязвимость конечных систем: Формирует централизованное представление об исправлениях устройств в вашей среде с показателями состояния устройств и рисков.
- Patch Intelligence: Собирает и объединяет данные для упрощения управления, выбора приоритетов и установки исправлений в вашей среде. Это формирует четкое представление о наличии угроз с помощью показателей, основанных на приоритетах и рисках.
- Настройки исправлений: Используется для настройки конфигураций исправлений и групп исправлений для последовательностей действий управления исправлениями в облаке. Конфигурация по умолчанию может использоваться для развертывания всех критических исправлений безопасности, быстрого начала действий или создания особой конфигураций исправлений, соответствующей уникальным предельным значениям соответствия в вашей организации.
- Развертывания колец: Позволяет управлять развертываниями колец для тестирования развертывания исправлений на меньшем количестве тестовых устройств, прежде чем продолжить развертывание на всех устройствах.
- ПО Patch for Intune: Расширяет возможности ПО Microsoft Intune с добавлением функций управления продуктами сторонних производителей.
- Отчеты: Используется для создания отчетов, содержащих данные, полученные из платформы Ivanti Neurons, которые можно использовать или распространять в виде файлов PDF, CSV или Excel среди пользователей без доступа к системе.
Убедитесь в наличии приложения Управление доступом, которое необходимо для управления исправлениями.
Требования
Существует несколько условий использования функции управления исправлениями.
Необходимые URL-адреса, IP-адреса и порты
Вы должны добавить ряд URL-адресов в списки исключений вашего брандмауэра, прокси-сервера и веб-фильтров. URL-адреса используются для загрузки данных исправлений от сторонних поставщиков.
Для получения полного списка добавляемых необходимых URL-адресов см. раздел Необходимые URL-адреса, IP-адреса и порты.
Microsoft Windows и Microsoft Office
Для успешной установки исправлений с помощью агента Ivanti Neurons на устройствах Windows не выключайте службу обновления Windows, а установите для нее значение Вручную или Автоматически. Кроме того, установите для настройки службы обновления Windows на каждом целевом устройстве Панель управления > Система и безопасность > Центр обновлений Windows > Изменить настройки) значение Никогда не проверять обновления. Для получения дополнительной информации см. данную статью в Сообществе пользователей Ivanti.
Если вы выполняете исправление ПО Office 2019 или Office 365, в которых используется технология "Click-to-Run", см. статью Как Ivanti исправляет приложения Office с технологией Click-to-Run на сайте Сообщества пользователей Ivanti (будет открыт в новом окне) для получения информации об исправлении таких установок из ПО Patch for Neurons.
Управление исправлениями теперь доступно в Windows 11 IoT Enterprise LTSC.
macOS
Для компьютеров Mac с процессорами Apple и Intel с микросхемами Apple T2 для ПО Ivanti Neurons for Patch Management требуется учетная запись роли для управления исправлениями операционной системы на устройстве.
Когда ПО Ivanti Neurons for Patch Management впервые инициирует развертывание исправления ОС, появляется системное диалоговое окно, предлагающее локальному администратору создать учетную запись роли. Инструкции на экране проведут администратора по всем этапам процесса. Для авторизации создания учетной записи требуются административные учетные данные.
После заполнения формы администратором создается новая учетная запись пользователя с именем_ivantiNeuronsMacPatchAgent. Учетной записи присваивается случайно сгенерированный пароль, уникальный для каждого устройства. Учетные данные безопасно хранятся в связке ключей macOS.
Когда требуется исправление macOS, Ivanti Neurons использует учетную запись _ivantiNeuronsMacPatchAgent для запуска утилиты systemupdate. Эта утилита устанавливает последние обновления ОС с помощью пакета InstallAssist.pkg, полученного из Apple Content Delivery Network (CDN).
Устройства macOS, управляемые с помощью MDM
Локальный администратор, имеющий разрешения владельца тома и безопасный маркер, может создавать дополнительных пользователей с теми же привилегиями на устройстве. Однако это не относится к учетным записям, созданным через Entra ID или другие службы Active Directory. Эти учетные записи не считаются локальными на компьютере. Хотя они могут иметь защищенные маркеры, у них, как правило, нет прав владельца тома.
Для устройств, управляемых MDM, разрешения владельца тома не требуются для выполнения административных задач, таких как создание пользователей или установка исправлений ОС. Вместо этого эти устройства используют маркер Bootstrap - механизм, предназначенный для упрощения безопасных операций без необходимости использования привилегий владельца тома.
Для получения дополнительной информации см. раздел: Использование защищенного маркера, маркера bootstrap и владения томом в развертываниях.
Поскольку учетные записи администраторов, управляемые MDM, не могут назначать разрешения владельца тома, мы рекомендуем использовать MDM для развертывания и управления обновлениями macOS.
Хотя детали реализации могут различаться у разных поставщиков MDM, ПО IvantiNeurons for MDM поддерживает эту последовательность. Для получения дополнительной информации см. последнюю версию документации Ivanti Neurons for MDM.
Часто задаваемые вопросы о macOS
Почему учетная запись _ivantiNeuronsMacPatchAgent видна на экране входа, если это скрытая учетная запись?
Если на устройстве включена функция FileVault, после перезагрузки на экране входа в систему появится учетная запись роли _ivantiNeuronsMacPatchAgent. Это связано с тем, как FileVault обрабатывает аутентификацию при запуске.
Если функция FileVault выключена, учетная запись остается скрытой и не отображается в Системные настройки > Пользователи и группы. Это не интерактивная учетная запись роли - ее нельзя использовать для входа в среду рабочего стола.
Для получения дополнительной информации об учетных записях ролей выполните команду sysadminctl -h в терминале.
Что такое учетная запись роли и почему она необходима для развертывания обновлений ОС?
Учетная запись роли - это скрытая, не интерактивная учетная запись пользователя, используемая для аутентификации и запуска фоновых служб, например учетная запись службы в системах Windows.
В macOS только пользователи, обладающие разрешениями безопасного маркера и владельца тома, могут выполнять операции на системном уровне, такие как изменение защищенных областей диска или выполнение административных задач. Эти разрешения обычно предоставляются первому пользователю, созданному во время первоначальной настройки macOS.
Поскольку для исправления ОС требуются повышенные привилегии, учетная запись роли должна быть создана существующим пользователем с разрешениями безопасного маркера и владельца тома.
Для получения дополнительной информации см. раздел Использование безопасного маркера, маркера начальной загрузки и владения томом в развертываниях.
Как обновить ОС, если я не могу создать учетную запись роли, а мое устройство управляется MDM?
Если ваше устройство macOS управляется с помощью ПО MDM (Mobile Device Management), рекомендуется использовать решение MDM для развертывания обновлений ОС. Используйте ПО Ivanti Neurons for Patch Management для сканирования и развертывания исправлений сторонних приложений.
Могу ли я удалить или переименовать учетную запись _ivantiNeuronsMacPatchAgent?
Эта учетная запись автоматически управляется Ivanti Neurons и не должна изменяться или удаляться. Изменение или удаление учетной записи может привести к ошибкам развертывания исправлений и нарушению работы функции управления исправлениями.
Если учетные данные недействительны или учетная запись удалена, при следующем развертывании исправления ОС появится системное уведомление.