Optimaler Ansatz für das Anwenden von Patches in einer agentenlosen Umgebung

Die Patchverwaltung kann sehr aufwändig sein. In diesem Thema wird erläutert, wie Sie die Menge der Bereitstellungen auf Computern reduzieren und Ihre Arbeit effektiver gestalten können.

Es hat sich bewährt, beim Verwalten der Patchebenen auf einem Computer mit den Produktebenen zu beginnen. Produktebenen haben eine große Tragweite. Anbieter empfehlen, Produktebenen der Reihe nach zu installieren. Bei den meisten sollte ein Neustart durchgeführt werden, bevor weitere Patches oder Produktebenen angewendet werden. Ivanti setzt diese Empfehlung programmatisch in Security Controls durch. Es kann immer nur eine Produktebene auf einmal installiert werden.

Vorgehensweise

Folgende Vorgehensweise hat sich bewährt:

  1. Beginnen Sie mit einer beliebigen Produktebene eines Betriebssystems.
    Testen Sie die Produktebene ausreichend, bevor Sie sie für das gesamte Unternehmen bereitstellen. Nach dem Bereitstellen der Produktebene sollten Sie die Zielcomputer neu starten und einen neuen Scan durchführen. Durch das neuerliche Scannen erhalten Sie den neuen Status der Computer und Sie können mit dem Anwenden der Produktebenen fortfahren.
  2. Hinweis: Durch Produktebenen von Betriebssystemen ändert sich der Status eines Computers. Möglicherweise werden Sie daran gehindert, Patches zurückzusetzen, die vor dem Release der neuen Produktebene angewandt wurden.

  3. Wenden Sie Produktebenen für die wichtigsten Produkte an, wie Office, Visio und SQL.
    Auf die Reihenfolge kommt es an dieser Stelle nicht an. Wir empfehlen jedoch, nach jeder dieser wichtigen Produktebenen einen Neustart durchzuführen. Diese Produktebenen können den Status eines Computers erheblich verändern, auch wenn dies nicht besonders häufig vorkommt.
  4. Stellen Sie die übrigen Produktebenen bereit, etwa für Produkte wie MSXML, .Net und MDAC.
    Diese müssen zwar in separaten Bereitstellungen verteilt werden, jedoch können Sie in dem Fall auf den Neustart zunächst verzichten. Die Bereitstellungen können mit genügend Abstand zeitlich versetzt durchgeführt werden. Der Neustart muss erst dann erfolgen, nachdem alle Produktebenen angewendet wurden.
  5. Nachdem alle Produktebenen bereitgestellt und die Zielcomputer neu gestartet wurden, stellen Sie etwaig fehlende Patches für das Microsoft-Betriebssystem bereit führen Sie einen Neustart durch.
  6. Stellen Sie sonstige fehlende Microsoft Patches bereit, z. B. für Office, Internet Explorer usw. Führen Sie gegebenenfalls einen Neustart durch.
  7. Stellen Sie die Patches von Drittanbietern bereit und führen Sie gegebenenfalls einen Neustart durch.
  8. Führen Sie einen neuen Scan durch und überprüfen Sie, dass alles angewandt wurde.

Für die obigen Schritte sind möglicherweise mehrere Wartungsfenster erforderlich. Falls Sie nicht alle Schritte in einem einzigen Wartungsfenster durchführen können, sollte jeder Schritt mit einer Patchbereitstellung abgeschlossen werden, um sicherzustellen, dass Ihr System zwischen den Wartungsfenstern keinen Sicherheitsschwachstellen ausgesetzt ist.

Tipp: Die obigen Schritte sollten Sie in die Build-Richtlinie des Computers integrieren. Dadurch wird sichergestellt, dass Ihre Computer immer auf dem neuesten Stand sind. Das Warten der Computer ist deutlich einfacher als die Produktebenen und Patches mehrerer Monate nachzuholen.

Verwandte Themen