開始使用 Patch Management
本頁面簡要概述了設定 Ivanti Neurons for Patch Management 所涉及的步驟。 有兩個主要選項:
- 雲端工作流程: 執行修補程式管理功能的主要工作流程。 所有組態和評估活動皆在雲端內執行,而實際掃描和部署則由受管理裝置上安裝的代理程式執行。
- 混合工作流程: 適用於使用內部部署修補程式管理產品連接器的客戶,例如 Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security 或 Ivanti Desktop and Server Management。
如需有關可以修補的作業系統和 Linux 發行版本的詳細資訊,請參閱作業系統相容性對照表。
透過合作夥伴計畫,可以修補其他 Linux 發行版本 (例如 Rocky、Alma 和 Debian),並延伸對 CentOS 6、CentOS 7、Oracle 6、Oracle 7、Ubuntu 16 和 Ubuntu 18 等發行版本的支援。 如需詳細資訊,請參閱 Ivanti Marketplace 上的 KernelCare Enterprise。
雲端工作流程
這是執行修補程式管理功能的主要工作流程。 所有組態和評估活動皆在雲端內執行,而實際掃描和部署則由受管理裝置上安裝的代理程式執行。
|
圖表中的項目 |
|
|---|---|
|
A |
代理程式裝置 |
|
雲端工作流程 |
|
|
1 |
建立自訂原則。 |
|
2 |
建立修補程式組態並將其與原則相關聯。 |
|
3 |
等待變更傳播到代理程式裝置。 |
|
4 |
代理程式掃描修補程式,並將修補程式部署到受管理裝置上。 |
|
5 |
掃描和部署結果會回報給 Ivanti Neurons。 |
雲端工作流程的詳細資訊
條件式步驟
如果裝置已含有 Ivanti Neurons Agent,則可略過這些條件式步驟。
- 為適合的裝置類型 (Windows、Mac 或 Linux) 下載代理程式。
下載中包含兩個檔案:- 代理程式可執行檔
- 選項檔案,其中包括安裝過程中需要的租用戶 ID、註冊金鑰和雲端主機資訊
- 在所需的目標裝置上安裝代理程式。
- 在目標裝置上,按兩下可執行檔,以開始安裝程序。
- 依照安裝精靈中的指示進行。
- 等待代理程式自動進行下列動作:
- 註冊並簽入 Ivanti Neurons
- 下載已指派的代理程式原則
- 對目標裝置執行掃描,尋找所有缺少的修補程式,並將結果回報給 Ivanti Neurons
- 在 Ivanti Neurons 內的裝置檢視中,檢視關於新探索到之目標裝置的資訊。
主要步驟
- 建立自訂代理程式原則。
最初與代理程式一起安裝的預設原則,設定為僅供執行修補程式掃描。 為了執行修補程式部署,您必須建立至少一個自訂原則。 自訂原則必須啟用,才能執行修補程式管理動作,而且必須與定義部署設定的修補程式組態相關聯。 使用原則內的新增裝置選項,將原則指派給所需的代理程式裝置。
建立代理程式原則時,請務必啟用修補程式管理功能。 原則會定義允許代理程式在裝置上自動運作的規則,無論是否有人為互動。
在自訂代理程式原則下,您可以選擇使用對等下載。 點對點支援已數位簽署及側載的修補程式。 點對點不支援從廠商端自動下載的無數位簽署修補程式,例如: 7-Zip 和 Core FTP。 伺服器對等只會與對等用戶端共用作業系統適用的修補程式,例如,Server 2019 只會共用 2019 年的修補程式。 - 設定修補程式設定。
修補程式設定包含以下各項:- 修補程式組態: 修補程式組態的主要用途是定義將修補程式部署到代理程式裝置的方式。 所提供的預設修補程式組態會每週部署 Windows 環境中所有缺少的關鍵安全性修補程式。 您可能想要建立一或多個自訂修補程式組態,以定義組織特有的修補程式部署需求。
在關聯索引標籤上,請務必將修補程式組態與可執行修補程式管理動作的自訂代理程式原則相關聯。
- (選用) 修補程式群組: 可以選擇參考修補程式組態中的修補程式群組。 修補程式群組包含一份要部署的特定修補程式的清單。 這是一個確保只部署獲核准修補程式的好方法。 請參閱修補程式設定主題中的部署行為一節,以取得此情況如何正確設定的相關資訊。
- 修補程式組態: 修補程式組態的主要用途是定義將修補程式部署到代理程式裝置的方式。 所提供的預設修補程式組態會每週部署 Windows 環境中所有缺少的關鍵安全性修補程式。 您可能想要建立一或多個自訂修補程式組態,以定義組織特有的修補程式部署需求。
- 等待變更傳播到裝置。
下次代理程式簽入 Ivanti Neurons 時,裝置將會收到已更新的原則和修補程式組態資訊。 - 將缺少的修補程式部署到代理程式裝置。
可透過四種不同方式完成部署:- 透過由修補程式組態定義的自動已排程修補程式部署。
- 透過 Ivanti Neurons for Patch Management 內的端點弱點元件。 您可以使用此元件來部署所有在最近期修補程式掃描中,被識別為缺少的修補程式。
務必確認您具有從「端點弱點」部署修補程式所需的修補程式管理權限。
- 透過裝置詳細資料頁面的修補程式索引標籤。您可從此頁面選取個別修補程式進行部署。
- 透過使用代理程式裝置上的代理程式 UI 立即起始修補程式部署。
若要安裝代理程式 UI,您必須在指派的代理程式原則中啟用該功能。
如果修補程式安裝失敗,則會重試 (Windows: 在單一修補程式週期內最多可重試三次,對於端點總共最多可重試五次。 Mac: 最多三次。 Linux: 無重試。 如果裝置處於離線狀態,您也可以將部署設定為在重新開機時執行,將其作為組態排程的一部分。
修補程式部署之後,會自動重新掃描代理程式裝置,並將結果傳送給 Ivanti Neurons。 這可讓您驗證部署狀態,並評估代理程式裝置的目前健全狀況。
- 使用部署歷史記錄元件可檢視部署結果,並快速識別任何問題。
- 使用端點弱點元件可評估環境內裝置的修補程式健全狀況。
- 使用 Patch Intelligence 元件,可根據以風險排列的優先順序、修補程式可靠性和修補程式合規性,深入瞭解在裝置上偵測到的弱點。
混合工作流程
此工作流程適用於使用連接器至內部部署修補程式管理產品 (例如 Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security 或 Ivanti Desktop and Server Management) 的目前客戶。 這些客戶將透過同時使用這兩個工作流程,開始移轉至雲端工作流程。 例如,現有客戶可以選擇將其工作站管理轉換至雲端工作流程,同時繼續使用其內部部署工作流程,將修補程式管理功能提供給已中斷連接的工作站、伺服器和其他重要或敏感裝置。 此策略可讓您依照自己的步調轉換至雲端工作流程。
|
圖表中的項目 |
|
|---|---|
|
A |
代理程式裝置 |
|
B |
內部部署修補程式管理主控台 (Endpoint Manager、Security Controls 等) |
|
C |
主控台管理的電腦 |
|
雲端工作流程 |
|
|
1 |
建立自訂原則。 |
|
2 |
建立修補程式組態並將其與原則相關聯。 |
|
3 |
等待變更傳播到代理程式裝置。 |
|
4 |
代理程式掃描修補程式,並將修補程式部署到受管理裝置上。 |
|
5 |
掃描和部署結果會回報給 Ivanti Neurons。 |
|
混合工作流程 |
|
|
i |
連接器 |
|
ii |
主控台掃描修補程式,並將修補程式部署至受管理裝置。 |
|
iii |
控制台結果會回報給 Ivanti Neurons。 |
其結果包含 Ivanti Neurons 平台中有關雲端和內部部署受管理裝置的資料。 由雲端工作流程控管的端點的修補程式部署,將由 Ivanti Neurons Agent 執行。 由內部部署解決方案控管的裝置的部署,將繼續由內部部署主控台執行。
您可能擁有同時由 Ivanti Neurons Cloud 和內部部署解決方案管理的裝置。 這兩種解決方案將會有效地並肩運作。 從 Ivanti Neurons Cloud 執行的動作優先順序較高,因為它們提供與裝置的直接互動。
雖然裝置可由兩種解決方案管理,但不太建議這麼做,因為從不同產品接收多個報告可能會造成混淆。
部署可以由 Ivanti Neurons 代理程式、Ivanti Endpoint Manager,或是 Ivanti Security Controls 內部部署主控台起始,也可以使用裝置詳細資料或端點弱點元件從雲端內起始。
如果您在 Ivanti Security Controls 中使用自訂掃描設定檔,可能會在部署缺少的修補程式時被告知該修補程式已安裝在裝置上。 為了避免這種情況,請使用預先定義的安全修補程式掃描或所有修補程式範本之一,新增對所有裝置的定期掃描。 如需詳細資訊,請參閱這篇 Ivanti 社群文章 (會在新視窗中開啟)。