Automatisieren der Patchverwaltung in einer agentenlosen Umgebung

Das Ziel jeder IT-Abteilung ist es, Prozesse zu zentralisieren und zu automatisieren, um den Verwaltungsaufwand für die Umgebung auf ein Minimum zu reduzieren. Das Ziel von Ivanti ist es, Tools und Lösungen bereitzustellen, mit denen es Ihnen gelingt, das gewünschte Maß an Automatisierung zu erreichen. In diesem Abschnitt werden Möglichkeiten zum Automatisieren der Patchverwaltung vorgestellt.

Automatisieren der Computerermittlung

Oberstes Ziel beim Automatisieren des Patchprozesses ist eine möglichst dynamische Erstellung der Computergruppen. Am einfachsten gelingt dies mithilfe von Active Directory. Wenn Sie die Computer in Ihrer Umgebung entsprechend der Patchverwaltung Ihrer Computer gruppieren, können Sie den Bereich "Organisationseinheit" der Computergruppe verwenden. Bei jeder Verwendung der Computergruppe tauscht diese sich mit Active Directory aus und ruft die aktuelle Liste der Computer aus den Organisationseinheiten ab. Das gleiche gilt für die Verwendung des Domänenbereichs, wodurch allerdings eventuell mehr umgangen wird, als für einen automatisierten Prozesse wünschenswert ist. Eine weitere einfache Methode zum Erstellen dynamischer Gruppen ist die Verwendung von IP-Bereichen. Neue Computer innerhalb dieser Bereiche werden erfasst, sobald Sie einen neuen Scan durchführen.

Scanvorlage

Wenn es um Automatisierung geht, muss zunächst überlegt werden, was per Push übertragen werden soll. Die meisten Unternehmen haben ihren Genehmigungsprozess für Patches nur sehr grob definiert. Sie sollten Ihre Entscheidungen so treffen, dass die Anforderungen für Ihre jeweilige Situation am besten erfüllt werden. Wenn für Sie alle Sicherheitspatches unabhängig vom Produkt relevant sind, können Sie die vordefinierte Vorlage Sicherheitspatchscan verwenden, die im Produkt enthalten ist. Alle neuen Veröffentlichungen von XML-Datendateien enthalten bei der nächsten Verwendung automatisch die Sicherheitspatches der Scanvorlage.

Dies bietet sich sicherlich für Ihre Endbenutzerumgebung an, für das Automatisieren Ihres Serverpatchings sollten Sie jedoch eher eine Patchgruppe in Betracht ziehen. Die Patchgruppe oder genehmigte Patchliste ermöglicht Ihnen das Definieren einer Liste mit bestimmten Patches, nach denen gescannt werden soll. Diese kann mit der Scanvorlage verknüpft und anschließend so geplant werden, dass der Scanvorgang zusammen mit der automatischen Bereitstellung erfolgt. Auf diese Weise lässt sich der Patchprozess von Anfang bis Ende automatisieren. Wenn neue Patches herausgegeben werden, können Sie diese bewerten und bestimmen, welche für die Bereitstellung in Ihrer Umgebung genehmigt werden sollen. Anschließend aktualisieren Sie Ihre Patchgruppe oder genehmigte Patchliste mit den neuen Patches. Diese Änderungen werden im Rahmen eines geplanten Scans berücksichtigt. Dabei werden die fehlenden Patches der Patchliste gescannt und bereitgestellt.

Der folgende Screenshot zeigt die Scanvorlage der Registerkarte Filterung. Anhand des Filters Baseline oder Ausnahmen können Sie entweder eine genehmigte Patchliste oder eine oder mehrere Patchgruppen angeben, die zusammen eine Baseline-Gruppe von Patches bilden. Im folgenden Abschnitt wird erläutert, wie Sie eine Patchgruppe oder Patchliste erstellen.

Patchgruppen

Wenn Security Controls anhand einer Patchgruppe nach ausgewählten Patches scannt, wird stets der Status aller Produktebenen gescannt und gemeldet. Auch die Patchersetzung wird deaktiviert, d. h. Patches, die durch spätere Patches ersetzt wurden, werden als fehlende frühere Patches angezeigt.

Wählen Sie zum Erstellen einer neuen Patchgruppe im Hauptmenü die Option Neu > Windows-Patch > Patchgruppe aus. Daraufhin wird das Dialogfeld "Patchansicht" angezeigt. Vorhandene Patchgruppen werden im unteren Bereich angezeigt. Mithilfe der Filter in der Patchansicht können Sie die Liste der Patches eingrenzen, die im oberen Bereich angezeigt werden. Klicken Sie anschließend mit der rechten Maustaste auf den oder die gewünschten Patches, wählen Sie Zur Patchgruppe hinzufügen aus und vergeben Sie einen Namen für die Patchgruppe. Die Patchgruppe wird automatisch gespeichert.

Sie können einen Smartfilter erstellen, der alle aktuellen kritischen Sicherheitspatches eines Anbieters identifiziert. Anschließend müssen Sie bei jeder Patchveröffentlichung nur noch den Smartfilter anwenden und in der gefilterten Ansicht alle Patches auswählen und zur vorhanden Patchgruppe hinzufügen. Auf diese Weise verfügen Sie über einen einfachen, wiederholbaren Prozess, der nur wenige Minuten in Anspruch nimmt.

Klicken Sie in Ihrer Patchscanvorlage im Bereich Baseline oder Ausnahmen auf die Schaltfläche "Durchsuchen" und wählen Sie die Patchgruppen aus, die Sie verwenden möchten. Jetzt ist die Scanvorlage für das Scannen nach einer bestimmten Patchliste konfiguriert.

Wenn Sie eine genehmigte Patchliste verwenden möchten, müssen Sie lediglich eine Textdatei erstellen und die Patches nach KB-Nummer, einen je Zeile, eingeben. Klicken Sie im Bereich Baseline oder Ausnahmen Ihrer Scanvorlage auf die Schaltfläche "Durchsuchen" im Feld Datei und navigieren Sie zu Ihrer Textdatei. Diese Datei lässt sich ganz einfach an mehrere Konsolen verteilen. Dadurch wird die Handhabung benutzerfreundlicher und die Patchgenehmigung über mehrere Konsolen hinweg wird vereinfacht.

Beispiel für genehmigte Patchliste:

Q123456

Q234567

Q345678

Bereitstellungsvorlage

In Ihrer Bereitstellungsvorlage können Sie Optionen für den Neustart konfigurieren, die den Anforderungen der zu automatisierenden Gruppe entsprechen. Wenn Sie eine Endbenutzerumgebung betreuen, bietet es sich an, Neustartoptionen flexibel zu gestalten, sodass es keine Konflikte mit Benutzern gibt, die eventuell noch spät arbeiten. So können Sie beispielsweise auf der Registerkarte Neustart nach Bereitstellung im Bereich Neustart planen die Option Beim nächsten Auftreten der angegebenen Uhrzeit festlegen. Sie können auch das Kontrollkästchen Timeout verlängern markieren.

In Serverumgebungen ist es nicht ganz so offensichtlich, welche Neustartoption die am besten geeignete ist.

  • Sie können Neustarts so konfigurieren, dass sie unmittelbar nach der Installation stattfinden. Warum? Weil Sie in der Regel den Scan und die Bereitstellung in einem Wartungsfenster durchführen und der Neustart sofort danach stattfinden soll. Sie können auch die Timeouts beim Neustart verkürzen, um den Prozess zu beschleunigen, denn jeder, der an den betreffenden Computern arbeitet, wurde im Vorfeld über das Wartungsfenster informiert.
  • Sie können aber auch die Option Nach der Bereitstellung nie neu starten auswählen, obwohl in der Regel ein Neustart erforderlich ist. Dies ist sinnvoll, wenn die Serververfügbarkeit für Ihr Unternehmen extrem wichtig ist. Sie können Ihre Server auch manuell neu starten. Auf diese Weise können Sie eingreifen, falls während des Neustartvorgangs etwas schiefläuft.

Planen automatisierter Vorgänge

Dies ist der letzte Schritt. Nachdem Sie Ihre Gruppen und Vorlagen konfiguriert haben, können Sie Ihre Jobs so planen, dass sie regelmäßig ausgeführt werden. Um einen Job für die automatische Ausführung zu planen, beginnen Sie entweder auf der Startseite oder in der Computergruppe. Wenn Sie in einer Computergruppe starten, klicken Sie auf Vorgang ausführen. Es wird ein Dialogfeld aufgerufen, das in etwa wie folgt aussieht:

In diesem Dialogfeld können Sie Jobs sofort ausführen, Jobs einmalig für eine bestimmte Uhrzeit und ein bestimmtes Datum planen oder wiederkehrende Jobs planen. Sie können auch festlegen, dass Patches unmittelbar nach dem Scan bereitgestellt werden. Mit dieser Option werden wir uns in diesem Abschnitt vorrangig befassen. Anhand der zuvor erstellten Computergruppen und Scan- und Bereitstellungsvorlagen wurde verfeinert, was in der Umgebung konkret gescannt und bereitgestellt werden soll. Da bekannt ist, was verteilt werden soll, kann der Job so geplant werden, dass er von Anfang bis Ende durchläuft, ohne dass zwischen den einzelnen Phasen Eingriffe erforderlich sind. Im obigen Screenshot wurde ein wiederkehrender Scan mit sofortiger Bereitstellung definiert. Dieser Job soll an jedem zweiten Mittwoch des Monats ausgeführt werden. Dies ist der Tag nach dem Patch-Dienstag, an dem fast immer neue Patches zur Verteilung anstehen.

Bedenken Sie beim Planen von Jobs stets, wo sich der geplante Task befindet. Ein geplanter Scan mit sofortiger Bereitstellung befindet sich bis zum Abschluss des Scans auf der Konsole. Nach Abschluss des Scans werden die Patches an die Computer verteilt und sofort ausgeführt. Der Neustart wird basierend auf den Einstellungen in der Bereitstellungsvorlage sowie basierend auf der lokalen Uhrzeit des Zielcomputers geplant.

Gestaffelte Bereitstellungen

Statt die Staffelung und Bereitstellungsschritte sofort nach dem Scannen durchzuführen, kann es sinnvoll sein, eine für Ihr Unternehmen passendere Uhrzeit zu wählen. Beispiel: In der Sicherheitsrichtlinie Ihres Unternehmens ist ein Fenster für die Patchbereitstellung festgelegt, das um 22:00 Uhr am Samstag beginnt. In dem Fall bietet es sich an, den Phasenbereitstellungsprozess am gleichen Tag zu einer früheren Uhrzeit zu planen, etwa um 8:00 Uhr. Dadurch hat Security Controls den ganzen Samstag über Zeit, die Bereitstellungspakete zu erstellen und auf die Zielcomputer zu kopieren. Anschließend können Sie die eigentliche Ausführung des Bereitstellungspakets zum Beginn Ihres Bereitstellungsfensters planen. Wenn 22:00 Uhr Bis 22:00 Uhr sind alle Vorbereitungen abgeschlossen und die Bereitstellungen können ohne Verzögerung auf den Zielcomputern stattfinden.

Favoriten

Ein Favorit ist eine Kombination aus Computergruppe und Scanvorlage, auf die die Konsole beim Ausführen eines Jobs verweist. Sie können Favoriten wiederverwenden, um mehrere Jobs für die Ausführung zu unterschiedlichen Zeiten zu planen. Klicken Sie im Favoriten auf Vorgang ausführen, um zusätzliche einmalige oder wiederkehrende Jobs nach Bedarf zu planen, ohne zusätzliche Favoriten erstellen zu müssen.

Automatisierter E-Mail-Bericht

In der Computergruppe, Scanvorlage und Bereitstellungsvorlage können Sie Berichte konfigurieren, die automatisch generiert und per E-Mail an bestimmte Empfänger gesendet werden. Dies ist bei Automatisieren des Patchings einer Umgebung ein einfaches und effizientes Tool, um alle betroffenen Mitarbeiter über den Status der Umgebung auf dem Laufenden zu halten. Sie können aus unterschiedlichsten Berichten wählen, die jeweils bestimmte Daten für bestimmte Zielgruppen und Anforderungen enthalten. Testen Sie die Berichte, um herauszufinden, welcher Ihre Anforderungen am besten erfüllt.

Zum Verwenden der Funktion für automatisierte E-Mails müssen Sie Ihre E-Mail-Anmeldeinformationen einrichten. Wählen Sie dazu Tools > Optionen > E-Mail aus und geben Sie die Adresse Ihres Mailservers und Ihre Authentifizierungsdaten ein.

Verwandte Themen