Optionen für das Rollout von Agents
Das Bereitstellen des Agents für eine Umgebung ist – ganz unabhängig vom Produkt – immer ein anspruchsvolles Unterfangen. Beim Installieren von Software auf einem Computer, der lokale Voraussetzungen erfüllen und mit einem Remotecomputer kommunizieren muss, um Richtliniendaten abzurufen, sind zahlreiche Variablen beteiligt, die dieses Vorhaben durchaus zu einer Herausforderung machen können. Hinzu kommt der Bereitstellungsmechanismus. Einige Umgebungen erfordern mehrere Installationsarten für den Agent, damit der Rollout gelingt. Ivanti hat den Agentinstallationsvorgang stark vereinfacht, sodass lediglich eine universelle Datei erforderlich ist, nämlich "STPlatformUpdater.exe". Alle Windows-Benutzer verwenden das gleiche Installationsprogramm. Auf diese Weise verfügen Sie über eine Payload, die unter Verwendung unterschiedlicher Methoden bereitgestellt werden kann.
Push-Installation über die Konsole
Bei Verwendung der agentenlosen Technologie von Ivanti können Sie eine Agentinstallation per Push verteilen. Dazu müssen Sie lediglich einen Computer aus der Computergruppe oder der Computeransicht auswählen und den Agent mit der gewünschten Richtlinie installieren. Dies ist die schnellste und einfachste Möglichkeit, den Rollout des Agents durchzuführen, allerdings ist sie an dieselben Anforderungen gebunden wie agentenlose Scans.
Manuelle Installation
In Fällen, in denen eine kleine Anzahl von Computern vorhanden ist, die nicht agentenlos erreichbar sind, sollten Sie eine manuelle Agentinstallation in Betracht ziehen. Beim manuellen Prozess müssen Sie einige Variablen während der Installation des Agents eingeben (Hostname der Konsole, Port, Passphrase oder Anmeldeinformationen und Richtlinie). Sind nur wenige Computer betroffen, ist dies relativ schnell und einfach zu handhaben. Je mehr Zielcomputer jedoch vorhanden sind, desto unpraktischer wird dieser Ansatz.
Die Datei STPlatformUpdater.exe, die für die manuelle Installation zu verwenden ist, finden Sie hier:
C:\ProgramData\Ivanti\Security Controls\Console\DataFiles
Installieren von Agents über die Cloud
Security ControlsSecurity ControlsWenn Sie die Protect Cloud-Synchronisierung verwenden, können Sie einen Agent über die Cloud installieren. Dies bietet sich vor allem dann an, wenn sich die Zielmaschinen außerhalb des Unternehmensnetzwerks befinden und keine Verbindung zur Konsole herstellen können. Weitere Informationen finden Sie unter Installieren und Unterstützen von Agents auf internetbasierten Computern.
Für diese Methode der Agentinstallation gelten folgende Voraussetzungen:
- Security ControlsSie müssen über ein Protect Cloud-Konto verfügen.
- Der Zielcomputer muss Internetzugriff haben.
- Security ControlsSecurity ControlsSecurity ControlsDie Console muss bei Protect Cloud registriert sein (Tools > Optionen > Protect Cloud-Synchronisierung).
- Security ControlsSecurity ControlsEs muss mindestens eine Richtlinie konfiguriert sein, damit die Synchronisierung mit Protect Cloud aktiviert werden kann (siehe Kontrollkästchen Synchronisierung mit Protect Cloud auf der Registerkarte Allgemeine Einstellungen der Agentrichtlinie).
- Es kann kein cloudbasierter Agent auf einem Ivanti Security Controls-Konsolencomputer installiert werden.
- Jeder Benutzer, der einen Agent installiert, muss die Zugriffsrechte eines Administrators auf dem Zielcomputer haben.
Skriptbasierte Installation
Die Datei STPlatformUpdater.exe ermöglicht eine Ausführung über die Befehlszeile. Auf diese Weise kann die Installation über ein Skript erfolgen und auf unterschiedliche Art bereitgestellt werden. Die Befehlszeilenoptionen werden im Thema Erstellen und Verwenden eines Skriptes für die manuelle Installation erläutert. Die Bereitstellung der Datei STPlatformUpdater.exe sowie die Ausführung unter Verwendung einer Befehlszeile lässt sich schnell und einfach auf unterschiedliche Art bewerkstelligen. Das Problem, das sich hier in der Regel stellt, ist die Anzahl der zu implementierenden Agentrichtlinien. Pro Richtlinie ist ein Skript erforderlich und die Bestimmung, welcher Computer was erhält, kann sich dadurch schwieriger gestalten.
Benutzerdefinierter Patch
Die Fähigkeit, den Agent über die Ivanti Security Controls-Konsole per Push bereitzustellen, ist eine gute Sache. Aber angenommen, Sie möchten den Agent auf 1.000 Computern einer Computergruppe bereitstellen, die nach IP-Bereich definiert ist, und angenommen, Sie erreichen im ersten Anlauf 90% der Ziele, was geschieht mit den restlichen 10%? Mithilfe der Funktion "Benutzerdefinierter Patch" von Ivanti Security Controls kann die Gruppe gescannt und festgestellt werden, ob der Agent installiert ist. Die Installation wird dann nur noch auf den Computern vorgenommen, auf denen er noch nicht installiert ist. Dies bietet viele Vorteile. Alle paar Wochen oder Monate kann ein zusätzlicher Scan durchgeführt werden, um Computer zu ermitteln, die möglicherweise durch den Build-Prozess "gerutscht" sind und den Agent nicht erhalten haben.
Sonstige
Unter Verwendung der obigen Optionen können Sie kreative Skriptoptionen umsetzen und den Agent auf unterschiedliche Art und Weise bereitstellen. Die Datei STPlatformUpdater.exe kann in eine selbstextrahierende ZIP-Datei verpackt werden, die dann per E-Mail gesendet, extrahiert und ausgeführt werden kann (die Größe der EXE-Datei beträgt etwa 17 MB). So werden beispielsweise auch Mitarbeiter erreicht, die selten im Büro sind. Zur Verteilung kann auch ein gehosteter Weblink verwendet werden. Der Benutzer muss dann lediglich auf den Download klicken und die EXE-Datei ausführen. In dem Fall muss der Benutzer, der die Datei ausführt, über lokale Administratorrechte verfügen. In vielen Fällen ist es jedoch so, dass Benutzer an einem eigenständigen Standort oder vorwiegend per Remotezugriff arbeitende Benutzer diese Rechte ohnehin besitzen. Für Kunden, die Images unter Verwendung von "ghost" oder "sysprep" oder anderweitig erstellen, können Sie den Agent nicht installieren und ihn in das Image integrieren. Dies liegt an der Art und Weise, in der sich der Agent aus Sicherheitsgründen selbst bei der Konsole registriert. Sie können die skriptbasierte Installation in das Image einbetten, sodass beim ersten Neustart die Agentinstallation ausgeführt werden kann und der Agent im Rahmen des Build-Prozesses zur Verfügung gestellt wird.
Verwandte Themen
- Empfehlungen für die Software und Hardware der Konsole
- Portanforderungen und Firewallkonfiguration
- Verwaltung verteilter Umgebungen
- Agentenloses Patchmanagement
- Optimaler Ansatz für das Anwenden von Patches in einer agentenlosen Umgebung
- Automatisieren der Patchverwaltung in einer agentenlosen Umgebung
- Agentenbasierte Patchverwaltung
- Installieren und Unterstützen von Agents auf internetbasierten Computern
- Agentenbasierter Prozess für die Bereitstellung von Produktebenen und Patches
- Patchdienstag – Anleitung für die Organisation des Patchtages
- Microsoft SQL Server – Datenbankwartung
- Patching in einer getrennten Umgebung