Automatisches Veröffentlichen von Updates für CVEs
Wenn Sie möchten, können Sie den Befehl CVEs manuell importieren und zugehörige Updates veröffentlichen auch nur einmal, statt auf regelmäßiger Basis ausführen.
Übersicht
Die CVE-Liste (Common Vulnerabilities and Exposures, CVE) ist eine öffentliche Referenz, die bekannte Schwachstellen im Bereich Cybersicherheit enthält. Diese Liste wird von der MITRE Corporation (mitre.org) gepflegt und aufgrund der Identifizierung neuer Schwachstellen kontinuierlich angepasst. Falls Ihr Unternehmen die CVE-Liste verwendet, ist es mitunter schwierig, genau zu bestimmen, welche Updates Sie veröffentlichen müssen, um Ihre Computer vor den in der Liste aufgeführten Bedrohungen zu schützen.
Patch for Configuration Manager vereinfacht diesen Prozess. Sie können einen wiederkehrenden geplanten Task erstellen, der folgende Aktionen automatisch ausführt:
- Scannen eines Ordners, der eine oder mehrere CVE-Dateien enthält
- Bestimmen, welche Updates für die einzelnen CVEs relevant sind
- Veröffentlichen der Updates zur Behebung der CVEs
Sie können für jede Konsole mehrere geplante CVE-Tasks anlegen. Mehrere geplante Tasks bieten sich beispielsweise an, wenn Sie unterschiedliche Zeitpläne für verschiedene CVE-Sätze definieren möchten. Denkbar ist auch das Veröffentlichen unterschiedlicher Updates für verschiedene Softwareupdategruppen. Theoretisch können Sie zwar so viele wiederkehrende geplante Tasks definieren, wie Sie möchten, aber möglicherweise gibt es praktische Gründe an Ihrem Standort, die Anzahl zu begrenzen.
- Erweitern Sie im Arbeitsbereich Softwarebibliothek von Configuration Manager den Ordner Softwareupdates >Ivanti Patch und klicken Sie auf Automatisierungsplaner.
- Es wird ein Kalender angezeigt, der die geplanten Tasks für alle Konsolen enthält. Sie haben folgende Möglichkeiten: Sie können:
- Bearbeiten Sie einen geplanten Task, indem Sie darauf doppelklicken oder das Rechtsklickmenü verwenden oder indem Sie ihn auswählen und dann auf Bearbeiten klicken.
- Sie können den Verlauf für einen Task anzeigen, indem Sie das Rechtsklickmenü verwenden oder den Task auswählen und dann auf Verlauf klicken.
- Sie können einen Task löschen, indem Sie das Rechtsklickmenü verwenden oder den Task auswählen und dann auf Löschen klicken.
Tipp: Geplante Tasks lassen sich auch über Microsoft Task Scheduler verwalten.
- Klicken Sie auf der Registerkarte Startseite auf Nach CVE veröffentlichen.
Das Dialogfeld Updates nach CVE veröffentlichen wird angezeigt. - Geben Sie einen Namen an, der den Zweck dieses Tasks eindeutig beschreibt.
Dieser Name wird auch im Kalender der Automatisierungsplanung angezeigt. - Geben Sie den Pfad zu Ihrem CVE-Quellordner an.
Dies ist der Ordner, der Ihre CVE-Datei(en) enthält. Alle Dateien im Ordner werden nach CVEs gescannt. Die Datei kann in einem beliebigen unterstützten Format gespeichert sein, wie .txt oder .csv. Doppelt vorhandene CVEs werden ignoriert.Der hier angegebene vollständige Pfadname muss ein eindeutiger UNC-Pfad sein.
Beispiel: Ihr Sicherheitsteam verwendet monatlich ein Tool zum Ermitteln von Anfälligkeiten, um eine aktuelle Liste der CVEs zu erstellen. Jeden Monat verschieben Sie die neu generierte CVE-Datei in diesen Ordner und überlassen dem automatisierten Prozess die weitere Verarbeitung.
- Geben Sie an, wann der Task ausgeführt und welche Aktionen durchgeführt werden sollen.
- Zeitplan: Geben Sie Tag und Uhrzeit für die Ausführung des Tasks an. Sie können auch einen Task in Verbindung mit einem regelmäßig auftretenden monatlichen Ereignis planen, wie z. B. dem Patchdienstag von Microsoft. So können Sie etwa eine Veröffentlichung so planen, dass sie am Tag nach dem Patchdienstag stattfindet. Wählen Sie in dem Fall den zweiten Dienstag aus und verschieben Sie den Task anschließend mit der Option Verzögerung hinzufügen (Tage) um einen Tag.
Wenn ein Task unter Verwendung der Option Verzögerung hinzufügen (Tage) geplant wird, muss er nach 12 Monaten Laufzeit neu geplant werden. Wenn der Task die letzten drei Monate der Ausführung erreicht, wird ein Alarm generiert und Sie werden aufgefordert, Ihre Anmeldeinformationen einzugeben, um den Task neu zu planen. Bei Eingabe Ihrer Anmeldeinformationen werden alle Tasks, die mithilfe der Option Verzögerung hinzufügen (Tage) geplant wurden, um weitere 12 Monate verlängert.
- Angemeldeter Benutzer: Wenn diese Option aktiviert ist, verwenden Sie die Anmeldeinformationen des aktuell angemeldeten Benutzers, um den Veröffentlichungstask zu Microsoft Planer hinzuzufügen. Das Feld Benutzer wird automatisch gefüllt. Sie brauchen also nur das Kontokennwort einzugeben.
- Anderer Benutzer: Wenn diese Option aktiviert ist, verwenden Sie ein anderes Benutzerkonto, um den Veröffentlichungstask zu Microsoft Planer hinzuzufügen. Sie könnten beispielsweise ein Dienstkonto angeben, dessen Kennwort nie abläuft.
Das Konto muss:
- Über die Rechte Anmelden als Stapelverarbeitungsauftrag verfügen
- Ein Mitglied der Gruppe „WSUS-Administratoren“ auf dem WSUS-Server sein
- Ein Mitglied der lokalen Administratorengruppe auf dem WSUS-Server sein, wenn der WSUS-Server remote ist
Bei der Angabe eines anderen Benutzers müssen Sie festlegen, ob die Anmeldeinformationen für die Authentifizierung bei einem Proxyserver erforderlich sind.
- Proxyauthentifizierung ist erforderlich - Verwenden Sie diese Anmeldeinformationen: Wenn diese Option aktiviert ist, sind bei Verwendung des Benutzerkontos Proxyserver-Anmeldeinformationen erforderlich. Bei der Auswahl von Wie oben werden die Anmeldeinformationen des Benutzerkontos als Proxy-Anmeldeinformationen verwendet. Bei der Auswahl Folgende Anmeldeinformationen können Sie separate Proxy-Anmeldeinformationen angeben.
- Benutzername: Geben Sie den Benutzernamen für ein Konto auf dem Proxyserver ein. Es kann sein, dass Sie dabei als Teil Ihres Benutzernamens auch eine Domäne angeben müssen (beispielsweise: eigeneDomäne\eigener.Name).
- Kennwort: Geben Sie das Kennwort für das Proxyserver-Konto ein.
- Geplanten Task offline ausführen: Wenn diese Option aktiviert ist, wird der geplante Veröffentlichungstask im Offlinemodus ausgeführt. Das bedeutet, dass die Konsole nicht versucht, die ausgewählten Update-Dateien herunterzuladen. Damit die Veröffentlichung erfolgreich ist, müssen sich die Updates bereits im Lokalen Quellordner befinden.
Dieses Kontrollkästchen wird automatisch aktiviert, wenn Offline ausführen auf der Registerkarte Offlineoptionen aktiviert wurde.
- Akzeptieren Sie alle Metadaten-Updates im Katalog: Aktivieren Sie dieses Kontrollkästchen für eine automatische WSUS-Aktualisierung mit allen Metadaten-Revisionen, die für zuvor veröffentlichte Updates vorhanden sind.
- Updates synchronisieren: Wenn Configuration Manager im Rahmen dieses Tasks automatisch eine Synchronisierung mit der WSUS-Datenbank vornehmen soll, aktivieren Sie dieses Kontrollkästchen. Wenn Sie dieses Kontrollkästchen nicht aktivieren, steht bzw. stehen das bzw. Wenn Sie dieses Kontrollkästchen nicht aktivieren, stehen die veröffentlichten Updates erst zur Bereitstellung zur Verfügung, wenn der regelmäßige, geplante Synchronisierungsprozess stattfindet. Die Synchronisierung kann auch gestartet werden, indem Sie auf der Registerkarte Startseite (Home) auf Softwareupdates synchronisieren klicken.
- Nur Metadaten veröffentlichen: Sofern diese Option aktiviert ist, wird die Erkennungslogik für das Update veröffentlicht, jedoch nicht die eigentlichen Binärdateien des Softwareupdates. Diese Option können Sie nutzen, wenn Sie erkennen möchten, ob ein Update von Ihren Clients benötigt wird, dabei aber sicherstellen möchten, dass das Update nicht installiert werden kann. Dies wird nur in sehr spezifischen Situationen und speziellen Serverkonfigurationen genutzt.
Wenn Sie ein Update bearbeiten, das nur als Metadaten veröffentlicht wurde, wird das ursprüngliche Update gelöscht. Das entsprechende Update wird erneut als reine Metadaten veröffentlicht. Das bedeutet, dass die Revisionsnummer für diese Updates immer 1 ist. Ein Update, das nur als Metadaten veröffentlicht wurde, kann nicht neu signiert werden, weil kein zu signierender Inhalt vorhanden ist. Beim Versuch der Neusignierung wird eine Warnmeldung in die Protokolldatei eingetragen.
- Optionen für Softwareupdategruppen: Configuration Manager ermöglicht die Verwendung von Softwareupdategruppen, mit deren Hilfe sich Softwareupdates einfacher organisieren und bereitstellen lassen. Updates, die mithilfe von Patch for Configuration Manager veröffentlicht wurden, können automatisch einer neuen oder vorhandenen Softwareupdategruppe hinzugefügt werden.
Wählen Sie eine der folgenden Optionen:
- Keine Updates zu einer Softwareupdategruppe hinzufügen: Keines der im geplanten Task angegebenen Updates wird zu einer Softwareupdategruppe hinzugefügt.
- Alle Updates zu einer Softwareupdategruppe hinzufügen: Alle in dem geplanten Task angegebenen Updates werden zu einer Softwareupdategruppe hinzugefügt.
- Nur neu veröffentlichte Updates zu einer Softwareupdategruppe hinzufügen: Nur neu veröffentlichte und im geplanten Task angegebene Updates werden zu einer Softwareupdategruppe hinzugefügt.
Die folgenden Optionen gelten nur für den Fall, dass Updates zu einer Softwareupdategruppe hinzugefügt werden:
- Name: Wenn Sie die veröffentlichten Updates einer vorhandenen Softwareupdategruppe hinzufügen möchten, wählen Sie den Namen der Gruppe aus der Dropdown-Liste aus. Sie können auch die ersten Buchstaben des Namens eingeben, bis die richtige Gruppe angezeigt wird. Wenn Sie eine neue Gruppe angeben möchten, wählen Sie in der Dropdown-Liste die Option Neu aus, und geben Sie einen eindeutigen Gruppennamen und eine Beschreibung ein.
- Beschreibung: In diesem Feld wird der Zweck der angegebenen Softwareupdategruppe beschrieben. Die Beschreibung wird beim Erstellen der Gruppe definiert und kann an dieser Stelle nicht geändert werden.
Die Updates werden der Softwareupdategruppe hinzugefügt, nachdem der Veröffentlichungsvorgang abgeschlossen und eine Synchronisierung durchgeführt wurden.
- Neue Softwareupdategruppe immer dann erstellen, wenn dieser Task Updates veröffentlicht: Für jede Veröffentlichung wird eine eigene Softwareupdategruppe erstellt. Der Name der Gruppe richtet sich nach dem Tasknamen und nach dem Datum und der Uhrzeit der Veröffentlichung.
- Bereitstellungsoptionen: In diesem Bereich gibt es eine Option, mit der Sie Patch for Configuration Manager veranlassen können, die veröffentlichten Updates zeitnah für Ihre Endpunkte bereitzustellen. Die Updates stehen Ihren Endpunkten unmittelbar nach der Bereitstellung zur Verfügung. Weitere Informationen zu Bereitstellungen finden Sie unter Optimierte Bereitstellung von Updates von Drittanbietern.
- Updates nach Veröffentlichung bereitstellen: Markieren Sie dieses Kontrollkästchen, wenn Sie Bereitstellungsoptionen festlegen möchten. Damit dieses Kontrollkästchen zur Auswahl angeboten wird, müssen Sie im Abschnitt Veröffentlichungsoptionen die Option Updates synchronisieren aktivieren und Sie müssen angeben, dass Updates einer Softwareupdategruppe hinzgefügt werden.
- Bereitstellungsprofil: Das Bereitstellungsprofil, das verwendet wird, wenn die ausgewählten Updates bereitgestellt werden.
- Bereitstellungspaket: Gibt an, wo die Bereitstellungen für die Verteilung phasenweise gebündelt werden. Configuration Manager verwendet ein Bereitstellungspaket, um den Inhalt an einen Verteilungspunkt zu verschieben, um ihn von dort via Push an Endpunkte zu übertragen.
- Bereitstellungsfrist nach Veröffentlichung: Ermöglicht Ihnen die Angabe eines bestimmten Datums und einer bestimmten Uhrzeit, an dem/zu der der Bereitstellungsprozess starten muss.
- Durchsetzung der Fristverlängerung gemäß Benutzereinstellungen: Falls aktiviert, werden vom Benutzer festgelegte Arbeitszeiten berücksichtigt. Der Bereitstellungsprozess startet dann außerhalb dieser Zeiten.
- Bewertungszyklus für Updatebereitstellung ausführen, nachdem das Update einen Systemneustart angefordert hat: Falls aktiviert, führt der Client nach dem Bereitstellen eines Updates, das einen Neustart erfordert, nach erfolgtem Neustart eine Bewertung durch, um zu prüfen, ob Updates fehlen.
- Nur Updates veröffentlichen, die: Gibt Ihnen die Möglichkeit, anzugeben, welche CVE-relevanten Updates regelmäßig veröffentlicht werden sollen. Wählen Sie eine oder beide der folgenden Optionen:
- Für Produkte gelten, die auf meinen Endpunkten installiert sind: Wenn diese Option aktiviert ist, werden nur Updates veröffentlicht, die für derzeit auf Ihren Clientcomputern installierte Produkte gelten.
- Diesem Filter entsprechen: Sie können entweder den vordefinierten Filter *Neueste, nicht veröffentlicht oder einen Ihrer benutzerdefinierten Filter wählen.
Beispiel 1: Um alle Updates zu veröffentlichen, die bisher noch nicht veröffentlicht und nicht abgelöst wurden, wählen Sie den Filter *Neueste, nicht veröffentlicht aus. Dies ist der einfachste Weg, neue Updates wiederholt zu veröffentlichen.
Beispiel 2: Angenommen, Sie haben zuvor einen benutzerdefinierten Filter erstellt, der alle nicht veröffentlichten kritischen Updates für die in Ihrem Unternehmen verwendeten Produkte identifiziert. Wählen Sie an dieser Stelle einfach diesen Filter aus, um nur diese Updates wiederholt zu veröffentlichen.
Wenn ein Update verschiedene Pakete für verschiedene Sprachen enthält, werden nur die auf der Registerkarte Sprachen angegebenen Sprachversionen veröffentlicht.
- Zeitplan: Geben Sie Tag und Uhrzeit für die Ausführung des Tasks an. Sie können auch einen Task in Verbindung mit einem regelmäßig auftretenden monatlichen Ereignis planen, wie z. B. dem Patchdienstag von Microsoft. So können Sie etwa eine Veröffentlichung so planen, dass sie am Tag nach dem Patchdienstag stattfindet. Wählen Sie in dem Fall den zweiten Dienstag aus und verschieben Sie den Task anschließend mit der Option Verzögerung hinzufügen (Tage) um einen Tag.
- Klicken Sie auf Task hinzufügen.
- Prüfen Sie im Kalender der Automatisierungsplanung, ob der Task für das richtige Datum und die richtige Uhrzeit geplant ist.
- (Optional) Verwenden Sie das Configuration Manager Tool zur Ablaufverfolgung, um die Datei AutoPublish.log zu öffnen und den Veröffentlichungsprozess zu überwachen.
Das Protokoll in der Datei AutoPublish.log wird von allen einmaligen oder wiederkehrenden geplanten Jobs fortgeschrieben, die auf WSUS veröffentlichen. Das Protokoll befindet sich im Verzeichnis \Benutzer\<user name>\Ivanti\Patch.