修補程式管理
Ivanti Neurons for Patch Management 是一種雲端修補解決方案。 它結合了 Ivanti Neurons 平台的即時洞察與 Ivanti Neurons for Discovery 的資產資訊和以風險排列優先順序的可採取行動情報,以推動適應性安全策略。 針對 Windows、macOS 及 Linux 裝置提供全面的修補程式管理功能,並包含修補 Microsoft、Apple 和第三方廠商產品的能力。
若要存取 Ivanti Neurons for Patch Management,請瀏覽至 Ivanti Neurons 平台中的修補程式管理。
Ivanti Neurons for Patch Management 包含以下元件,具體取決於您的授權:
- 合規性報告: 可讓您判斷目前的合規性狀態,以及隨時間變化的趨勢。
- 部署歷史記錄: 可用於檢視近期部署作業的狀態。 您可以專註於識別例外狀況,並快速疑難排解任何問題。
- 端點弱點: 透過裝置健全狀況和基於風險的指標,為您的環境提供裝置修補的集中檢視。
- Patch Intelligence: 收集及彙總資料以協助管理和簡化環境中的修補流程,同時排定修補流程的優先順序。 藉著排出優先順序、基於風險的指標,為您清晰展示環境中的風險狀況。
- 修補程式設定: 可讓您針對雲端修補程式管理工作流程設定修補程式組態和修補程式群組。 修復所有重大安全性修補程式的預設組態可供您用來快速入門,或者您也可以建立自訂修補程式組態,以符合組織中獨特的合規性門檻。
- Intune 的修補程式: 擴展 Microsoft Intune 實施的範圍,從而納入第三方產品管理功能。
務必確認您具有使用「修補程式管理」所需的權限。
需求
使用 Patch Management 需要滿足多項要求。
所需 URL、IP 位址與連接埠
新增多組網頁 URL 到防火牆、Proxy,以及網頁篩選例外清單。 這些 URL 用來從第三方廠商端下載修補程式內容。
如需您應新增的 URL 的完整清單,請參閱所需 URL、IP 位址與連接埠。
Microsoft Windows 和 Microsoft Office
若要使用 Ivanti Neurons 代理程式將修補程式成功部署到 Windows 裝置,請勿停用 Windows Update 服務,而是將它設定為手動或自動。 此外,在每部目標裝置上將 Windows Update 設定 (控制台 > 系統和安全性 > Windows Update > 變更設定) 設為永不檢查更新。 如需詳細資訊,請在 Ivanti 社群上參閱這篇文章。
如果您要修補使用隨選即用技術的 Office 2019 或 Office 365,請參閱 Ivanti 社群的 Ivanti 如何修補 Office 隨選即用安裝 (會在新視窗中開啟),以取得有關 Patch for Neurons 如何修補這些安裝的資訊。
macOS
若是配備 Apple T2 晶片的 Apple Silicon Mac 和 Intel Mac,Ivanti Neurons for Patch Management 需要角色帳戶,才能在裝置上管理作業系統修補程式。這表示,當 Ivanti Neurons for Patch Management 首次將作業系統修補程式部署到此類型裝置時,會出現一個對話方塊要求本機管理員為 Ivanti Neurons 建立管理角色帳戶,以便在裝置上使用。 畫面上提供了說明。 如果您啟用了 FileVault,您建立的管理角色帳戶將會在重新開機後出現在登入畫面上。
雲端工作流程
這是執行修補程式管理功能的主要工作流程。 所有組態和評估活動皆在雲端內執行,而實際掃描和部署則由受管理裝置上安裝的代理程式執行。
|
圖表中的項目 |
|
|---|---|
|
A |
代理程式裝置 |
|
雲端工作流程 |
|
|
1 |
建立自訂原則。 |
|
2 |
建立修補程式組態並將其與原則相關聯。 |
|
3 |
等待變更傳播到代理程式裝置。 |
|
4 |
代理程式掃描修補程式,並將修補程式部署到受管理裝置上。 |
|
5 |
掃描和部署結果會回報給 Ivanti Neurons。 |
雲端工作流程的詳細資訊
條件式步驟
如果裝置已含有 Ivanti Neurons Agent,則可略過這些條件式步驟。
- 為適合的裝置類型 (Windows、Mac 或 Linux) 下載代理程式。
下載中包含兩個檔案:- 代理程式可執行檔
- 選項檔案,其中包括安裝過程中需要的租用戶 ID、註冊金鑰和雲端主機資訊
- 在所需的目標裝置上安裝代理程式。
- 在目標裝置上,按兩下可執行檔,以開始安裝程序。
- 依照安裝精靈中的指示進行。
- 等待代理程式自動進行下列動作:
- 註冊並簽入 Ivanti Neurons
- 下載已指派的代理程式原則
- 對目標裝置執行掃描,尋找所有缺少的修補程式,並將結果回報給 Ivanti Neurons
- 在 Ivanti Neurons 內的裝置檢視中,檢視關於新探索到之目標裝置的資訊。
主要步驟
- 建立自訂代理程式原則。
最初與代理程式一起安裝的預設原則,設定為僅供執行修補程式掃描。 為了執行修補程式部署,您必須建立至少一個自訂原則。 自訂原則必須啟用,才能執行修補程式管理動作,而且必須與定義部署設定的修補程式組態相關聯。 使用原則內的新增裝置選項,將原則指派給所需的代理程式裝置。
建立代理程式原則時,請務必啟用修補程式管理功能。 原則會定義允許代理程式在裝置上自動運作的規則,無論是否有人為互動。
在自訂代理程式原則下,您可以選擇使用對等下載。 點對點支援已數位簽署及側載的修補程式。 點對點不支援從廠商端自動下載的無數位簽署修補程式,例如: 7-Zip 和 Core FTP。 伺服器對等只會與對等用戶端共用作業系統適用的修補程式,例如,Server 2019 只會共用 2019 年的修補程式。 - 設定修補程式設定。
修補程式設定包含以下各項:- 修補程式組態: 修補程式組態的主要用途是定義將修補程式部署到代理程式裝置的方式。 所提供的預設修補程式組態會每週部署 Windows 環境中所有缺少的關鍵安全性修補程式。 您可能想要建立一或多個自訂修補程式組態,以定義組織特有的修補程式部署需求。
在關聯索引標籤上,請務必將修補程式組態與可執行修補程式管理動作的自訂代理程式原則相關聯。
- (選用) 修補程式群組: 可以選擇參考修補程式組態中的修補程式群組。 修補程式群組包含一份要部署的特定修補程式的清單。 這是一個確保只部署獲核准修補程式的好方法。 請參閱修補程式設定主題中的部署行為一節,以取得此情況如何正確設定的相關資訊。
- 修補程式組態: 修補程式組態的主要用途是定義將修補程式部署到代理程式裝置的方式。 所提供的預設修補程式組態會每週部署 Windows 環境中所有缺少的關鍵安全性修補程式。 您可能想要建立一或多個自訂修補程式組態,以定義組織特有的修補程式部署需求。
- 等待變更傳播到裝置。
下次代理程式簽入 Ivanti Neurons 時,裝置將會收到已更新的原則和修補程式組態資訊。 - 將缺少的修補程式部署到代理程式裝置。
可透過四種不同方式完成部署:- 透過由修補程式組態定義的自動已排程修補程式部署。
- 透過 Ivanti Neurons for Patch Management 內的端點弱點元件。 您可以使用此元件來部署所有在最近期修補程式掃描中,被識別為缺少的修補程式。
務必確認您具有從「端點弱點」部署修補程式所需的修補程式管理權限。
- 透過裝置詳細資料頁面的修補程式索引標籤。您可從此頁面選取個別修補程式進行部署。
- 透過使用代理程式裝置上的代理程式 UI 立即起始修補程式部署。
若要安裝代理程式 UI,您必須在指派的代理程式原則中啟用該功能。
如果修補程式安裝失敗,則會重試 (Windows: 在單一修補程式週期內最多可重試三次,對於端點總共最多可重試五次。 Mac: 最多三次。 Linux: 無重試。 如果裝置處於離線狀態,您也可以將部署設定為在重新開機時執行,將其作為組態排程的一部分。
修補程式部署之後,會自動重新掃描代理程式裝置,並將結果傳送給 Ivanti Neurons。 這可讓您驗證部署狀態,並評估代理程式裝置的目前健全狀況。
- 使用部署歷史記錄元件可檢視部署結果,並快速識別任何問題。
- 使用端點弱點元件可評估環境內裝置的修補程式健全狀況。
- 使用 Patch Intelligence 元件,可根據以風險排列的優先順序、修補程式可靠性和修補程式合規性,深入瞭解在裝置上偵測到的弱點。
混合工作流程
此工作流程適用於使用連接器至內部部署修補程式管理產品 (例如 Ivanti Endpoint Manager、Ivanti Patch for Configuration Manager、Ivanti Security Controls、Ivanti Endpoint Security 或 Ivanti Desktop and Server Management) 的目前客戶。 這些客戶將透過同時使用這兩個工作流程,開始移轉至雲端工作流程。 例如,現有客戶可以選擇將其工作站管理轉換至雲端工作流程,同時繼續使用其內部部署工作流程,將修補程式管理功能提供給已中斷連接的工作站、伺服器和其他重要或敏感裝置。 此策略可讓您依照自己的步調轉換至雲端工作流程。
|
圖表中的項目 |
|
|---|---|
|
A |
代理程式裝置 |
|
B |
內部部署修補程式管理主控台 (Endpoint Manager、Security Controls 等) |
|
C |
主控台管理的電腦 |
|
雲端工作流程 |
|
|
1 |
建立自訂原則。 |
|
2 |
建立修補程式組態並將其與原則相關聯。 |
|
3 |
等待變更傳播到代理程式裝置。 |
|
4 |
代理程式掃描修補程式,並將修補程式部署到受管理裝置上。 |
|
5 |
掃描和部署結果會回報給 Ivanti Neurons。 |
|
混合工作流程 |
|
|
i |
連接器 |
|
ii |
主控台掃描修補程式,並將修補程式部署至受管理裝置。 |
|
iii |
控制台結果會回報給 Ivanti Neurons。 |
其結果包含 Ivanti Neurons 平台中有關雲端和內部部署受管理裝置的資料。 由雲端工作流程控管的端點的修補程式部署,將由 Ivanti Neurons Agent 執行。 由內部部署解決方案控管的裝置的部署,將繼續由內部部署主控台執行。
您可能擁有同時由 Ivanti Neurons Cloud 和內部部署解決方案管理的裝置。 這兩種解決方案將會有效地並肩運作。 從 Ivanti Neurons Cloud 執行的動作優先順序較高,因為它們提供與裝置的直接互動。
雖然裝置可由兩種解決方案管理,但不太建議這麼做,因為從不同產品接收多個報告可能會造成混淆。
部署可以由 Ivanti Neurons 代理程式、Ivanti Endpoint Manager,或是 Ivanti Security Controls 內部部署主控台起始,也可以使用裝置詳細資料或端點弱點元件從雲端內起始。
如果您在 Ivanti Security Controls 中使用自訂掃描設定檔,可能會在部署缺少的修補程式時被告知該修補程式已安裝在裝置上。 為了避免這種情況,請使用預先定義的安全修補程式掃描或所有修補程式範本之一,新增對所有裝置的定期掃描。 如需詳細資訊,請參閱這篇 Ivanti 社群文章 (會在新視窗中開啟)。