修补程序管理

Ivanti Neurons for Patch Management 是一套云修补解决方案。 它将 Ivanti Neurons 平台的实时见解、Ivanti Neurons for Discovery 的资产信息与基于风险划分优先级的可行情报相结合,促成自适应安全策略。 此解决方案为 Windows、macOS 和 Linux 设备提供全面的修补程序管理功能,并且能够修补 Microsoft、Apple 和第三方供应商的产品。

要访问 Ivanti Neurons for Patch Management,请导航至 Ivanti Neurons 平台中的修补程序管理

Ivanti Neurons for Patch Management 包含以下组件,具体取决于您的许可证:

  • 合规性报告:有助于确定当前合规性状态和随时间变化的趋势。
  • 部署历史记录:可用于查看最近的部署操作的状态。 您可以专注于识别异常情况并迅速解决任何问题。
  • 端点漏洞:利用设备运行状况信息和基于风险的指标,通过一个视图集中显示环境中的设备修补情况。
  • Patch Intelligence:收集并汇总数据,帮助管理和简化环境中的修补流程,并设置修补的优先级。 它通过基于风险且按优先级排列的指标,清晰地展示环境中的威胁状况。
  • 修补程序设置:可用于为云端修补程序管理工作流程配置修补程序配置和修补程序组。 通过使用能够修复所有关键安全修补程序的默认配置,您可以快速入门。您也可以创建自定义修补程序配置,以符合组织中独特的合规阈值。
  • 环形部署:使您能够管理环形部署,以便您可以在继续部署到所有设备之前在较少数量的测试设备上测试修补程序的部署。
  • Intune 修补程序:扩展 Microsoft Intune 实施的范围,从而纳入第三方产品管理功能。
  • 报告:可创建包含 Ivanti Neurons 数据的报告,您可以将其作为 PDF、CSV 或 Excel 文件使用或分发给无权访问系统的人员。

确保您具有使用 Patch Management 所需的访问控制

要求

使用修补程序管理有多项要求。

所需的 URL、IP 地址和端口

您必须将一些 Web URL 添加到防火墙、Proxy 和网页筛选器异常列表中。 这些 URL 用于从第三方供应商处下载修补程序内容。

有关需要添加的 URL 的完整列表,请参阅所需的 URL、IP 地址和端口

Microsoft Windows 和 Microsoft Office

要使用 Ivanti Neurons 代理将修补程序成功部署到 Windows 设备,请不要禁用 Windows 更新服务,而是将其设置为手动自动。 此外,将每台目标设备上的 Windows 更新设置(控制面板 > 系统和安全 > Windows 更新 > 更改设置)设置为从不检查更新。 有关详细信息,请参阅 Ivanti 社区中的此篇文章

如果您要修补使用即点即用技术的 Office 2019 或 Office 365,请参阅 Ivanti 社区上的 Ivanti 如何修补 Office 即点即用安装(在新窗口中打开),了解关于 Patch for Neurons 如何修补这些安装的信息。

修补程序管理现已在 Windows 11 IoT Enterprise LTSC 上可用。

macOS

对于配备 Apple T2 芯片的 Apple Silicon Mac 和 Intel Mac,Ivanti Neurons for Patch Management 需要专用角色帐户来管理设备上的操作系统修补程序。

当 Ivanti Neurons for Patch Management 首次启动操作系统修补程序部署时,会出现一个系统对话框,提示本地管理员创建角色帐户。 屏幕上的说明将指导管理员完成整个过程。 需要管理凭据来授予帐户创建权利。

管理员填写完表单后,将创建一个名为 ivantiNeuronsMacPatchAgent 的新用户帐户。 该帐户将被分配一个随机生成的、设备独有的密码。 凭据安全地存储在 macOS 密钥链中。

当需要 macOS 修补程序时,Ivanti Neurons 使用 _ivantiNeuronsMacPatchAgent 帐户运行 systemupdate 实用程序。 此实用程序使用从 Apple 内容分发网络 (CDN) 检索的 InstallAssist.pkg 程序包应用最新的操作系统更新。

使用 MDM 管理的 macOS 设备

同时具有卷所有者权限和安全令牌的本地管理员可以在设备上创建具有相同权限的其他用户。 但是,通过 Entra ID 或其他 Active Directory 服务配置的帐户并非如此。 这些帐户不被视为机器本地帐户。 虽然他们可能有安全令牌,但他们通常没有卷所有者权限。

对于 MDM 托管设备,不需要卷所有者权限即可执行管理任务(例如用户创建或操作系统修补)。 相反,这些设备利用引导令牌,这是一种旨在促进安全操作而不依赖卷所有者权限的机制。

有关更多信息,请参阅在部署中使用安全令牌、引导令牌和卷所有权

由于 MDM 管理的管理员帐户无法分配卷所有者权限,我们建议使用 MDM 来部署和管理 macOS 更新。

虽然不同 MDM 提供者的实施细节可能有所不同,但 Ivanti Neurons for MDM 支持此工作流程。 有关详细信息,请参阅最新版本的 Ivanti Neurons for MDM 文档

macOS 常见问题解答

相关主题

Patch Management 入门

合规性报告

端点漏洞

Patch Intelligence

部署历史记录

修补程序设置

环形部署

Intune 修补程序