修補程式管理
Ivanti Neurons for Patch Management 是一種雲端修補解決方案。 它結合了 Ivanti Neurons 平台的即時洞察與 Ivanti Neurons for Discovery 的資產資訊和以風險排列優先順序的可採取行動情報,以推動適應性安全策略。 針對 Windows、macOS 及 Linux 裝置提供全面的修補程式管理功能,並包含修補 Microsoft、Apple 和第三方廠商產品的能力。
若要存取 Ivanti Neurons for Patch Management,請瀏覽至 Ivanti Neurons 平台中的修補程式管理。
Ivanti Neurons for Patch Management 包含以下元件,具體取決於您的授權:
- 合規性報告: 可讓您判斷目前的合規性狀態,並瞭解隨時間變化的趨勢。
- 部署歷史記錄: 是檢視近期部署作業狀態的一種方式。 您可以專註於識別例外狀況,並快速疑難排解任何問題。
- 端點弱點: 透過裝置健全狀況和基於風險的指標,為您的環境提供裝置修補的集中檢視。
- Patch Intelligence: 收集及彙總資料以協助管理和簡化環境中的修補流程,同時排定修補流程的優先順序。 藉著排出優先順序、基於風險的指標,為您清晰展示環境中的風險狀況。
- 修補程式設定: 可讓您針對雲端修補程式管理工作流程設定修補程式組態和修補程式群組。 修復所有重大安全性修補程式的預設組態可供您用來快速入門,或者您也可以建立自訂修補程式組態,以符合組織中獨特的合規性門檻。
- 環式部署: 讓您能夠管理環式部署,以便您可以在繼續部署到所有裝置之前在較少數量的測試裝置上測試修補程式的部署。
- Intune 的修補程式: 擴展 Microsoft Intune 實施的範圍,從而納入第三方產品管理功能。
- 報告: 可讓您使用從 Ivanti Neurons 取得的資料建立報告,您可以使用這些報告,或將其以 PDF、CSV 或 Excel 檔案格式發佈給無法存取系統的人員。
請確認您具備使用 Patch Management 所需的存取控制。
需求
使用 Patch Management 需要滿足多項要求。
所需 URL、IP 位址與連接埠
新增多組網頁 URL 到防火牆、Proxy,以及網頁篩選例外清單。 這些 URL 用來從第三方廠商端下載修補程式內容。
如需您需要新增的 URL 的完整清單,請參閱所需 URL、IP 位址與連接埠。
Microsoft Windows 和 Microsoft Office
若要使用 Ivanti Neurons 代理程式將修補程式成功部署到 Windows 裝置,請勿停用 Windows Update 服務,而是將它設定為手動或自動。 此外,在每部目標裝置上將 Windows Update 設定 (控制台 > 系統和安全性 > Windows Update > 變更設定) 設為永不檢查更新。 如需詳細資訊,請在 Ivanti 社群上參閱這篇文章。
如果您要修補使用隨選即用技術的 Office 2019 或 Office 365,請參閱 Ivanti 社群的 Ivanti 如何修補 Office 隨選即用安裝 (會在新視窗中開啟),以取得有關 Patch for Neurons 如何修補這些安裝的資訊。
修補程式管理現已在 Windows 11 IoT Enterprise LTSC 上可用。
macOS
若是配備 Apple T2 晶片的 Apple Silicon Mac 和 Intel Mac,Ivanti Neurons for Patch Management 需要專用角色帳戶,才能在裝置上管理作業系統修補程式。
當 Ivanti Neurons for Patch Management 首次啟動作業系統修補程式部署時,會出現一個系統對話方塊,提示本機管理員建立角色帳戶。 螢幕上的說明將指導管理員完成整個過程。 需要管理憑證來授權建立帳戶。
管理員填寫完表單後,將建立一個名為 _ivantiNeuronsMacPatchAgent 的新使用者帳戶。 該帳戶將被指派一個隨機產生的、裝置獨有的密碼。 憑證安全地儲存在 macOS 金輪鏈中。
當需要 macOS 修補程式時,Ivanti Neurons 使用 _ivantiNeuronsMacPatchAgent 帳戶執行 systemupdate 實用程式。 此實用程式使用從 Apple 內容發佈網路 (CDN) 擷取的 InstallAssist.pkg 套件套用最新的作業系統更新。
使用 MDM 管理的 macOS 裝置
同時具有磁碟區所有者權限和安全性權杖的本機管理員可以在裝置上建立具有相同權限的其他使用者。 但是,透過 Entra ID 或其他 Active Directory 服務佈建的帳戶並非如此。 這些帳戶不被視為電腦本機帳戶。 雖然他們可能有安全權杖,但他們通常沒有磁碟區所有者權限。
對於 MDM 管理的裝置,不需要磁碟區所有者權限即可執行管理工作 (例如使用者建立或作業系統修補)。 相反,這些裝置利用引導權杖,這是一種旨在促進安全操作而不依賴磁碟區所有者權限的機制。
有關詳細資訊,請參閱: 在部署中使用安全權杖、引導權杖和磁碟區所有權。
由於 MDM 管理的管理員帳戶無法指派磁碟區所有者權限,我們建議使用 MDM 來部署和管理 macOS 更新。
雖然不同 MDM 提供者的實施細節可能有所不同,但 Ivanti Neurons for MDM 支援此工作流程。 有關詳細資訊,請參閱最新版本的 Ivanti Neurons for MDM 文件。
macOS 常見問題解答
如果 _ivantiNeuronsMacPatchAgent 帳戶是隱藏帳戶,為什麼它會在登入畫面上顯示?
如果裝置上啟用了 FileVault,則重啟後,_ivantiNeuronsMacPatchAgent 角色帳戶將出現在登入畫面上。 這是由於 FileVault 在啟動時處理驗證的方式所致。
如果未啟用 FileVault,則帳戶將保持隱藏狀態,並且不會出現在系統設定 > 使用者和群組中。 它是一個非互動式角色帳戶,這意味著它不能用於登入桌面環境。
有關角色帳戶的更多詳細資訊,請在終端機中執行 sysadminctl -h。
什麼是角色帳戶,為什麼部署作業系統更新需要它?
角色帳戶是一個隱藏的、非互動式使用者帳戶,用於驗證和執行後台服務,例如 Windows 系統上的服務帳戶。
在 macOS 上,只有同時擁有安全性權杖和磁碟區所有者權限的使用者才能執行系統層級操作,例如修改磁碟的受保護區域或執行管理工作。 這些權限通常授予在初始 macOS 設定期間建立的第一個使用者。
由於作業系統修補需要提升權限,因此角色帳戶必須由具有安全權杖和磁碟區所有者權限的現有使用者建立。
有關詳細資訊,請參閱在部署中使用安全權杖、引導權杖和磁碟區所有權。
如果我無法建立角色帳戶,而我的裝置由 MDM 管理,我該如何更新作業系統?
如果您的 macOS 裝置透過行動裝置管理 (MDM) 進行管理,建議使用 MDM 解決方案來部署作業系統更新。 使用 Ivanti Neurons for Patch Management 來掃描並部署第三方應用程式修補程式。
我可以刪除或重新命名 _ivantiNeuronsMacPatchAgent 帳戶嗎?
此帳戶由 Ivanti Neurons 自動管理,不得更改或刪除。 修改或刪除帳戶可能會導致修補程式部署失敗和修補程式管理功能中斷。
如果憑證無效或帳戶被刪除,下次部署作業系統修補程式時將出現系統提示。