Agent Management 入门

本页简要概述了设置 Ivanti Neurons 进行补丁管理所涉及的步骤。 有两个选项:

  • 这是执行修补程序管理功能的主要工作流程。 所有的配置和评估活动均在云中进行,而实际的扫描和部署则由受管设备上安装的代理来执行。
  • 此工作流程适用于采用本地修补程序管理产品的连接器的当前客户,包括 Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security 或 Ivanti Desktop and Server Management 等。

有关可修补哪些操作系统和 Linux 发行版的详细信息,请参阅 操作系统兼容性矩阵

通过合作伙伴计划可以获得对 Rocky、Alma 和 Debian 等其他 Linux 发行版的修补以及对 CentOS 6、CentOS 7、Oracle 6、Oracle 7、Ubuntu 16 和 Ubuntu 18 等发行版的扩展支持。 有关详细信息,请参阅 Ivanti Marketplace 上的 KernelCare Enterprise

云工作流程

这是执行修补程序管理功能的主要工作流程。 所有的配置和评估活动均在云中进行,而实际的扫描和部署则由受管设备上安装的代理来执行。

1) 创建自定义策略组 2) 创建修补程序配置并将其与策略组相关联 3) 等待更改传播到代理 4) 代理扫描并部署修补程序 5) 将结果报告给 Ivanti Neurons。

图中的项目

A

代理设备

云工作流程

1

创建自定义策略。

2

创建修补程序配置并将其与策略相关联。

3

等待更改传播到代理设备。

4

代理扫描修补程序并将其部署至受管设备。

5

将扫描和部署结果报告给 Ivanti Neurons。

云工作流程的详细信息

条件步骤

如果设备已经包含 Ivanti Neurons Agent,则可以跳过这些条件步骤。

  1. 下载代理:下载适当设备类型(Windows、Mac 或 Linux)的代理。
    下载的内容包括两个文件:
    • 代理可执行文件
    • 选项文件,其中包含租户 ID、注册密钥以及在安装过程中需要的云主机信息
  2. 安装代理:在所需的目标设备上安装代理。
    1. 在目标设备上,双击可执行文件以开始安装过程。
    2. 按照安装向导中的说明进行操作。
  3. 等待代理自动执行以下操作:
    • 注册并签入 Ivanti Neurons
    • 下载分配的代理策略
    • 对目标设备执行扫描,查找所有缺失的修补程序,然后将结果报告给 Ivanti Neurons
  4. 在 Ivanti Neurons 的设备视图中查看新发现的目标设备的相关信息。

主要步骤

  1. 创建自定义代理策略
    最初与代理一起安装的默认策略仅配置用于执行修补程序扫描。 为了执行修补程序部署,需要创建至少一个自定义策略。 必须启用自定义策略,才能执行修补程序管理操作;自定义策略必须与用于定义部署设置的修补程序配置相关联。 使用策略中的添加设备选项,将策略分配到所需的代理设备。
    创建代理策略时,请务必启用修补程序管理功能。 策略用于定义各种规则,让代理无论有无人工交互,均可在设备上自主运行。
    在自定义代理策略中可以选择使用对等下载。 对等功能支持数字签名的旁加载修补程序。 对等功能不支持自动从无数字签名服务器下载的修补程序,如 7-Zip 和 Core FTP。 服务器对等端只会向对等客户端共享适用于操作系统的修补程序,例如,Server 2019 只会共享 2019 修补程序。
  2. 配置修补程序设置
    修补程序设置包含以下内容:
    • 修补程序配置:修补程序配置主要用于定义将修补程序部署到代理设备的方式。 提供的默认修补程序配置每周都会在您的 Windows 环境中部署所有缺失的关键安全修补程序。 您将可能需要创建一个或多个自定义修补程序配置,以定义组织特有的修补程序部署要求。

      关联选项卡中,请务必将修补程序配置与可执行修补程序管理操作的自定义代理策略相关联。

    • (可选)修补程序组:可以选择在修补程序配置中引用修补程序组。 修补程序组包含您要部署的特定修补程序的列表。 这是一种好方法,可确保仅部署获得批准的修补程序。 请参阅修补程序设置主题中的部署行为部分,了解此场景如何正确配置。
  3. 等待更改传播到设备。
    在代理下一次签入 Ivanti Neurons 时,设备将收到已更新的策略和修补程序配置信息。
  4. 将缺失的修补程序部署到代理设备。
    可以通过四种不同的方式完成部署:
    • 通过由修补程序配置定义的自动计划修补程序部署。
    • 通过 Ivanti Neurons for Patch Management 中的端点漏洞组件。 可以使用此组件部署最近一次修补程序扫描识别为缺失的修补程序。

      确保您具有通过“端点漏洞”组件部署修补程序所需的修补程序管理权限

    • 通过设备详细信息页面的修补程序选项卡。可以在此页面选择要部署的单个修补程序。
    • 在代理设备上使用代理 UI,可立即开始修补程序部署。

      • 要安装代理 UI,必须在分配的代理策略中启用该功能。

    如果修补程序安装失败,则会进行重试(Windows:在单个修补程序周期内最多重试三次,在端点上最多重试五次。 Mac:最多三次。 Linux:不重试)。 如果设备处于离线状态,还可以作为配置计划的一部分,将部署配置为在设备重新启动时运行。

    修补程序部署后,会自动重新扫描代理设备,然后将结果发送给 Ivanti Neurons。 这样可以验证部署状态并评估代理设备的当前运行状况。

  5. 使用部署历史记录组件,可查看部署结果并迅速发现任何问题。
  6. 使用端点漏洞组件,可评估环境中设备的修补程序运行状况。
  7. 使用 Patch Intelligence 组件,可根据基于风险划分的优先级、修补程序可靠性和修补程序合规性,更加深入地了解在设备上检测到的漏洞。

混合工作流程

此工作流程适用于采用本地修补程序管理产品的连接器的当前客户,包括 Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security 或 Ivanti Desktop and Server Management 等。 这些客户将同时采用两种工作流程,开始迁移到云工作流程。 例如,现有客户可以选择将工作站的管理功能过渡到云工作流程,同时继续使用本地工作流程,向断开连接的工作站、服务器和其他重要或敏感设备提供修补程序管理功能。 此策略让您能够按照自己的节奏,顺利地过渡到云工作流程。

本地控制台扫描修补程序并将其部署至受管计算机。然后将结果报告给 Ivanti Neurons。

图中的项目

A

代理设备

B

本地修补程序管理控制台(Endpoint Manager、Security Controls 等)

C

受控制台管理的设备

云工作流程

1

创建自定义策略。

2

创建修补程序配置并将其与策略相关联。

3

等待更改传播到代理设备。

4

代理扫描修补程序并将其部署至受管设备。

5

将扫描和部署结果报告给 Ivanti Neurons。

混合工作流程

i

连接器

ii

控制台扫描修补程序并将其部署至受管设备。

iii

将控制台结果报告给 Ivanti Neurons。

结果中同时包含云和本地托管设备在 Ivanti Neurons 平台中的数据。 受云工作流程监管的端点的修补程序部署,将由 Ivanti Neurons Agent 来执行。 受本地解决方案监管的设备的修补程序部署,将继续由本地控制台来执行。

设备可以同时由 Ivanti Neurons Cloud 和本地解决方案进行管理。 两种解决方案可以同时有效地发挥作用。 从 Ivanti Neurons Cloud 执行的操作优先级更高,因为这些操作直接与设备交互。

尽管设备可以同时由两种解决方案进行管理,但是不建议这么做,因为从不同产品接收多个报告可能会造成困惑。

可以由 Ivanti Neurons 代理,或者 Ivanti Endpoint Manager 或 Ivanti Security Controls 本地控制台启动部署,也可以使用设备详细信息端点漏洞组件从云端启动部署。

如果您在 Ivanti Security Controls 中使用自定义扫描配置文件,您可能会在部署缺失的修补程序时被告知该修补程序已安装在设备上。 为了避免这种情况,请使用预定义的安全修补程序扫描所有修补程序模板之一,添加对所有设备的定期扫描。 有关详细信息,请参阅 Ivanti 社区文章(在新窗口中打开)。