修补程序管理
Ivanti Neurons for Patch Management 是一套云修补解决方案。 它将 Ivanti Neurons 平台的实时见解、Ivanti Neurons for Discovery 的资产信息与基于风险划分优先级的可行情报相结合,促成自适应安全策略。 此解决方案为 Windows、macOS 和 Linux 设备提供全面的修补程序管理功能,并且能够修补 Microsoft、Apple 和第三方供应商的产品。
要访问 Ivanti Neurons for Patch Management,请导航至 Ivanti Neurons 平台中的修补程序管理。
Ivanti Neurons for Patch Management 包含以下组件,具体取决于您的许可证:
- 合规性报告:让您可以确定当前合规性状态和随时间变化的趋势。
- 部署历史记录:可用于查看最近的部署操作的状态。 您可以专注于识别异常情况并迅速解决任何问题。
- 端点漏洞:利用设备运行状况信息和基于风险的指标,通过一个视图集中显示环境中的设备修补情况。
- Patch Intelligence:收集和聚合数据,以帮助管理和简化环境中的修补流程,并设置修补流程的优先级。 它通过基于风险且按优先级排列的指标,清晰地展示环境中的威胁状况。
- 修补程序设置:可用于为云修补程序管理工作流程配置修补程序配置和修补程序组。 通过使用能够修复所有关键安全修补程序的默认配置,您可以快速入门。您也可以创建自定义修补程序配置,以符合组织中独特的合规阈值。
- Intune 修补程序:扩展 Microsoft Intune 实施的范围,从而纳入第三方产品管理功能。
确保您具有使用“修补程序管理”所需的权限。
要求
使用修补程序管理有多项要求。
所需的 URL、IP 地址和端口
您必须将一些 Web URL 添加到防火墙、Proxy 和网页筛选器异常列表中。 这些 URL 用于从第三方供应商处下载修补程序内容。
有关应该添加的 URL 的完整列表,请参阅所需的 URL、IP 地址和端口。
Microsoft Windows 和 Microsoft Office
要使用 Ivanti Neurons 代理将修补程序成功部署到 Windows 设备,请不要禁用 Windows 更新服务,而是将其设置为手动或自动。此外,将每台目标设备上的 Windows 更新设置(控制面板 > 系统和安全 > Windows 更新 > 更改设置)设置为从不检查更新。 有关详细信息,请参阅 Ivanti 社区中的此篇文章。
如果您要修补使用即点即用技术的 Office 2019 或 Office 365,请参阅 Ivanti 社区上的 Ivanti 如何修补 Office 即点即用安装(在新窗口中打开),了解关于 Patch for Neurons 如何修补这些安装的信息。
macOS
对于配备 Apple T2 芯片的 Apple Silicon Mac 和 Intel Mac,Ivanti Neurons for Patch Management 需要角色账户来管理设备上的操作系统修补程序。这意味着,当 Ivanti Neurons for Patch Management 首次将操作系统修补程序部署到此类设备时,会显示一个对话框,要求本地管理员为 Ivanti Neurons 创建管理角色账户以在设备上使用。 屏幕上会提供说明。 如果您已启用 FileVault,您创建的管理角色账户将在重新启动后出现在登录屏幕上。
云工作流程
这是执行修补程序管理功能的主要工作流程。 所有的配置和评估活动均在云中进行,而实际的扫描和部署则由受管设备上安装的代理来执行。
|
图中的项目 |
|
|---|---|
|
A |
代理设备 |
|
云工作流程 |
|
|
1 |
创建自定义策略。 |
|
2 |
创建修补程序配置并将其与策略相关联。 |
|
3 |
等待更改传播到代理设备。 |
|
4 |
代理扫描修补程序并将其部署至受管设备。 |
|
5 |
将扫描和部署结果报告给 Ivanti Neurons。 |
云工作流程的详细信息
条件步骤
如果设备已经包含 Ivanti Neurons Agent,则可以跳过这些条件步骤。
- 下载代理:下载适当设备类型(Windows、Mac 或 Linux)的代理。
下载的内容包括两个文件:- 代理可执行文件
- 选项文件,其中包含租户 ID、注册密钥以及在安装过程中需要的云主机信息
- 安装代理:在所需的目标设备上安装代理。
- 在目标设备上,双击可执行文件以开始安装过程。
- 按照安装向导中的说明进行操作。
- 等待代理自动执行以下操作:
- 注册并签入 Ivanti Neurons
- 下载分配的代理策略
- 对目标设备执行扫描,查找所有缺失的修补程序,然后将结果报告给 Ivanti Neurons
- 在 Ivanti Neurons 的设备视图中查看新发现的目标设备的相关信息。
主要步骤
- 创建自定义代理策略。
最初与代理一起安装的默认策略仅配置用于执行修补程序扫描。 为了执行修补程序部署,需要创建至少一个自定义策略。 必须启用自定义策略,才能执行修补程序管理操作;自定义策略必须与用于定义部署设置的修补程序配置相关联。 使用策略中的添加设备选项,将策略分配到所需的代理设备。
创建代理策略时,请务必启用修补程序管理功能。 策略用于定义各种规则,让代理无论有无人工交互,均可在设备上自主运行。
在自定义代理策略中可以选择使用对等下载。 对等功能支持数字签名的旁加载修补程序。 对等功能不支持自动从无数字签名服务器下载的修补程序,如 7-Zip 和 Core FTP。 服务器对等端只会向对等客户端共享适用于操作系统的修补程序,例如,Server 2019 只会共享 2019 修补程序。 - 配置修补程序设置。
修补程序设置包含以下内容:- 修补程序配置:修补程序配置主要用于定义将修补程序部署到代理设备的方式。 提供的默认修补程序配置每周都会在您的 Windows 环境中部署所有缺失的关键安全修补程序。 您将可能需要创建一个或多个自定义修补程序配置,以定义组织特有的修补程序部署要求。
在关联选项卡中,请务必将修补程序配置与可执行修补程序管理操作的自定义代理策略相关联。
- (可选)修补程序组:可以选择在修补程序配置中引用修补程序组。 修补程序组包含您要部署的特定修补程序的列表。 这是一种好方法,可确保仅部署获得批准的修补程序。 请参阅修补程序设置主题中的部署行为部分,了解此场景如何正确配置。
- 修补程序配置:修补程序配置主要用于定义将修补程序部署到代理设备的方式。 提供的默认修补程序配置每周都会在您的 Windows 环境中部署所有缺失的关键安全修补程序。 您将可能需要创建一个或多个自定义修补程序配置,以定义组织特有的修补程序部署要求。
- 等待更改传播到设备。
在代理下一次签入 Ivanti Neurons 时,设备将收到已更新的策略和修补程序配置信息。 - 将缺失的修补程序部署到代理设备。
可以通过四种不同的方式完成部署:- 通过由修补程序配置定义的自动计划修补程序部署。
- 通过 Ivanti Neurons for Patch Management 中的端点漏洞组件。 可以使用此组件部署最近一次修补程序扫描识别为缺失的修补程序。
确保您具有通过“端点漏洞”组件部署修补程序所需的修补程序管理权限。
- 通过设备详细信息页面的修补程序选项卡。可以在此页面选择要部署的单个修补程序。
- 在代理设备上使用代理 UI,可立即开始修补程序部署。
要安装代理 UI,必须在分配的代理策略中启用该功能。
如果修补程序安装失败,则会进行重试(Windows:在单个修补程序周期内最多重试三次,在端点上最多重试五次。 Mac:最多三次。 Linux:不重试)。 如果设备处于离线状态,还可以作为配置计划的一部分,将部署配置为在设备重新启动时运行。
修补程序部署后,会自动重新扫描代理设备,然后将结果发送给 Ivanti Neurons。 这样可以验证部署状态并评估代理设备的当前运行状况。
- 使用部署历史记录组件,可查看部署结果并迅速发现任何问题。
- 使用端点漏洞组件,可评估环境中设备的修补程序运行状况。
- 使用 Patch Intelligence 组件,可根据基于风险划分的优先级、修补程序可靠性和修补程序合规性,更加深入地了解在设备上检测到的漏洞。
混合工作流程
此工作流程适用于采用本地修补程序管理产品的连接器的当前客户,包括 Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security 或 Ivanti Desktop and Server Management 等。 这些客户将同时采用两种工作流程,开始迁移到云工作流程。 例如,现有客户可以选择将工作站的管理功能过渡到云工作流程,同时继续使用本地工作流程,向断开连接的工作站、服务器和其他重要或敏感设备提供修补程序管理功能。 此策略让您能够按照自己的节奏,顺利地过渡到云工作流程。
|
图中的项目 |
|
|---|---|
|
A |
代理设备 |
|
B |
本地修补程序管理控制台(Endpoint Manager、Security Controls 等) |
|
C |
受控制台管理的设备 |
|
云工作流程 |
|
|
1 |
创建自定义策略。 |
|
2 |
创建修补程序配置并将其与策略相关联。 |
|
3 |
等待更改传播到代理设备。 |
|
4 |
代理扫描修补程序并将其部署至受管设备。 |
|
5 |
将扫描和部署结果报告给 Ivanti Neurons。 |
|
混合工作流程 |
|
|
i |
连接器 |
|
ii |
控制台扫描修补程序并将其部署至受管设备。 |
|
iii |
将控制台结果报告给 Ivanti Neurons。 |
结果中同时包含云和本地托管设备在 Ivanti Neurons 平台中的数据。 受云工作流程监管的端点的修补程序部署,将由 Ivanti Neurons Agent 来执行。 受本地解决方案监管的设备的修补程序部署,将继续由本地控制台来执行。
设备可以同时由 Ivanti Neurons Cloud 和本地解决方案进行管理。 两种解决方案可以同时有效地发挥作用。 从 Ivanti Neurons Cloud 执行的操作优先级更高,因为这些操作直接与设备交互。
尽管设备可以同时由两种解决方案进行管理,但是不建议这么做,因为从不同产品接收多个报告可能会造成困惑。
可以由 Ivanti Neurons 代理,或者 Ivanti Endpoint Manager 或 Ivanti Security Controls 本地控制台启动部署,也可以使用设备详细信息或端点漏洞组件从云端启动部署。
如果您在 Ivanti Security Controls 中使用自定义扫描配置文件,您可能会在部署缺失的修补程序时被告知该修补程序已安装在设备上。 为了避免这种情况,请使用预定义的安全修补程序扫描或所有修补程序模板之一,添加对所有设备的定期扫描。 有关详细信息,请参阅 Ivanti 社区文章(在新窗口中打开)。