修补程序管理
Ivanti Neurons for Patch Management 是一套云修补解决方案。 它将 Ivanti Neurons 平台的实时见解、Ivanti Neurons for Discovery 的资产信息与基于风险划分优先级的可行情报相结合,促成自适应安全策略。 此解决方案为 Windows、macOS 和 Linux 设备提供全面的修补程序管理功能,并且能够修补 Microsoft、Apple 和第三方供应商的产品。
要访问 Ivanti Neurons for Patch Management,请导航至 Ivanti Neurons 平台中的修补程序管理。
Ivanti Neurons for Patch Management 包含以下组件,具体取决于您的许可证:
- 合规性报告:有助于确定当前合规性状态和随时间变化的趋势。
- 部署历史记录:可用于查看最近的部署操作的状态。 您可以专注于识别异常情况并迅速解决任何问题。
- 端点漏洞:利用设备运行状况信息和基于风险的指标,通过一个视图集中显示环境中的设备修补情况。
- Patch Intelligence:收集并汇总数据,帮助管理和简化环境中的修补流程,并设置修补的优先级。 它通过基于风险且按优先级排列的指标,清晰地展示环境中的威胁状况。
- 修补程序设置:可用于为云端修补程序管理工作流程配置修补程序配置和修补程序组。 通过使用能够修复所有关键安全修补程序的默认配置,您可以快速入门。您也可以创建自定义修补程序配置,以符合组织中独特的合规阈值。
- 环形部署:使您能够管理环形部署,以便您可以在继续部署到所有设备之前在较少数量的测试设备上测试修补程序的部署。
- Intune 修补程序:扩展 Microsoft Intune 实施的范围,从而纳入第三方产品管理功能。
- 报告:可创建包含 Ivanti Neurons 数据的报告,您可以将其作为 PDF、CSV 或 Excel 文件使用或分发给无权访问系统的人员。
确保您具有使用 Patch Management 所需的访问控制。
要求
使用修补程序管理有多项要求。
所需的 URL、IP 地址和端口
您必须将一些 Web URL 添加到防火墙、Proxy 和网页筛选器异常列表中。 这些 URL 用于从第三方供应商处下载修补程序内容。
有关需要添加的 URL 的完整列表,请参阅所需的 URL、IP 地址和端口。
Microsoft Windows 和 Microsoft Office
要使用 Ivanti Neurons 代理将修补程序成功部署到 Windows 设备,请不要禁用 Windows 更新服务,而是将其设置为手动或自动。 此外,将每台目标设备上的 Windows 更新设置(控制面板 > 系统和安全 > Windows 更新 > 更改设置)设置为从不检查更新。 有关详细信息,请参阅 Ivanti 社区中的此篇文章。
如果您要修补使用即点即用技术的 Office 2019 或 Office 365,请参阅 Ivanti 社区上的 Ivanti 如何修补 Office 即点即用安装(在新窗口中打开),了解关于 Patch for Neurons 如何修补这些安装的信息。
修补程序管理现已在 Windows 11 IoT Enterprise LTSC 上可用。
macOS
对于配备 Apple T2 芯片的 Apple Silicon Mac 和 Intel Mac,Ivanti Neurons for Patch Management 需要专用角色帐户来管理设备上的操作系统修补程序。
当 Ivanti Neurons for Patch Management 首次启动操作系统修补程序部署时,会出现一个系统对话框,提示本地管理员创建角色帐户。 屏幕上的说明将指导管理员完成整个过程。 需要管理凭据来授予帐户创建权利。
管理员填写完表单后,将创建一个名为 ivantiNeuronsMacPatchAgent 的新用户帐户。 该帐户将被分配一个随机生成的、设备独有的密码。 凭据安全地存储在 macOS 密钥链中。
当需要 macOS 修补程序时,Ivanti Neurons 使用 _ivantiNeuronsMacPatchAgent 帐户运行 systemupdate 实用程序。 此实用程序使用从 Apple 内容分发网络 (CDN) 检索的 InstallAssist.pkg 程序包应用最新的操作系统更新。
使用 MDM 管理的 macOS 设备
同时具有卷所有者权限和安全令牌的本地管理员可以在设备上创建具有相同权限的其他用户。 但是,通过 Entra ID 或其他 Active Directory 服务配置的帐户并非如此。 这些帐户不被视为机器本地帐户。 虽然他们可能有安全令牌,但他们通常没有卷所有者权限。
对于 MDM 托管设备,不需要卷所有者权限即可执行管理任务(例如用户创建或操作系统修补)。 相反,这些设备利用引导令牌,这是一种旨在促进安全操作而不依赖卷所有者权限的机制。
有关更多信息,请参阅在部署中使用安全令牌、引导令牌和卷所有权。
由于 MDM 管理的管理员帐户无法分配卷所有者权限,我们建议使用 MDM 来部署和管理 macOS 更新。
虽然不同 MDM 提供者的实施细节可能有所不同,但 Ivanti Neurons for MDM 支持此工作流程。 有关详细信息,请参阅最新版本的 Ivanti Neurons for MDM 文档。
macOS 常见问题解答
如果 _ivantiNeuronsMacPatchAgent 帐户是隐藏帐户,为什么它会在登录屏幕上显示?
如果设备上启用了 FileVault,则重启后,_ivantiNeuronsMacPatchAgent角色帐户将出现在登录屏幕上。 这是由 FileVault 在启动时处理身份验证的方式所致。
如果未启用 FileVault,则帐户将保持隐藏状态,并且不会出现在系统设置 > 用户和组中。 它是一个非交互式角色帐户,这意味着它不能用于登录桌面环境。
有关角色账户的更多详细信息,请在终端中运行 sysadminctl -h。
什么是角色帐户,为什么部署操作系统更新时需要它?
角色帐户是一个隐藏的、非交互式用户帐户,用于验证和运行后台服务,例如 Windows 系统上的服务帐户。
在 macOS 上,只有同时拥有安全令牌和卷所有者权限的用户才能执行系统级操作,例如修改磁盘的受保护区域或执行管理任务。 这些权限通常授予在初始 macOS 设置期间创建的第一个用户。
由于操作系统修补需要提升权限,因此角色帐户必须由具有安全令牌和卷所有者权限的现有用户创建。
有关更多信息,请参阅在部署中使用安全令牌、引导令牌和卷所有权。
如果我无法创建角色帐户,并且我的设备由 MDM 管理,我该如何更新操作系统?
如果您的 macOS 设备通过移动设备管理 (MDM) 进行管理,建议使用 MDM 解决方案来部署操作系统更新。 使用 Ivanti Neurons for Patch Management 来扫描并部署第三方应用程序修补程序。
我可以删除或重命名 _ivantiNeuronsMacPatchAgent 帐户吗?
此帐户由 Ivanti Neurons 自动管理,不得更改或删除。 修改或删除帐户可能会导致修补程序部署失败和修补程序管理功能中断。
如果凭据无效或者帐户已被删除,则下次部署操作系统修补程序时将出现系统提示。