Installieren und Unterstützen von Agents auf internetbasierten Computern
In diesem Abschnitt finden Sie eine grundlegende Empfehlung für das Konfigurieren einer Agentrichtlinie, die Computer außerhalb des Unternehmens unterstützt. Diese Konfiguration ist ideal für Laptopbenutzer geeignet, die häufig vom Netzwerk getrennt arbeiten, aber regelmäßig eine Verbindung zum Internet herstellen. Sie ist auch für eigenständige Standorte hilfreich, die keine direkte Netzwerkkonnektivität haben, aber über Internetzugang verfügen.
Bei dieser Lösung checken Ihre Agents ein und empfangen Richtlinienaktualisierungen von der Cloud. Security ControlsSecurity ControlsMöglich ist dies dank der Ivanti -Funktion mit dem Namen Protect Cloud-Synchronisierung. Sie ermöglicht das Verwalten von Agents auf Computern, die nicht direkt mit der Konsole kommunizieren können.
Security ControlsHintergrundinformationen zu Protect Cloud-Synchronisierung finden Sie unter den folgenden Themen:
- Security Controls Übersicht über die Synchronisierung mit der Protect Cloud
- Security Controls Protect Cloud-Synchronisierung – Hinweise zu den Anforderungen und zur Verwendung
- Security ControlsVorgehensweise bei der Aktivierung der Protect Cloud-Synchronisierung
Agentinstallation
Es gibt zwei Hauptoptionen für das Installieren von Agents auf Computern, die sich außerhalb der Netzwerkumgebung befinden.
- Sie können eine manuelle Installation des Agents auf den einzelnen Zielcomputern vornehmen.
- Security ControlsSie können über Protect Cloud Agents über die Cloud installieren.
Eine manuelle Installation bietet sich an, wenn Sie nur über wenige Computer verfügen. Wenn Sie viele Zielcomputer besitzen, empfiehlt es sich jedoch, die Agentinstallationen über die Cloud durchzuführen.
Wenn der Vorgang abgeschlossen ist, sollten all Ihre Agents in der Lage sein, Richtlinienaktualisierungen abzurufen und die Ergebnisse intern und extern zu implementieren. Sie können dies testen, indem Sie einen Computer außerhalb des Netzwerks mit dem Internet verbinden, manuell einen Scan anstoßen und auf die Ergebnisse warten. Wiederholen Sie den Vorgang innerhalb Ihres Netzwerks.
Konfiguration der Agentrichtlinie
- Wählen Sie im Hauptmenü Neu > Agentrichtlinie aus.
- Vergeben Sie einen Namen für die Richtlinie.
- Konfigurieren Sie die Optionen auf der Registerkarte Allgemeine Einstellungen.
- Klicken Sie auf der Registerkarte Patch auf Windows-Patchtask hinzufügen, vergeben Sie einen Namen für den Task und konfigurieren Sie ihn.
- Klicken Sie auf Speichern und Agents aktualisieren.
Konfigurieren Sie die Einstellungen unter Der Anwender darf je nach Bedarf. Es wird empfohlen, die Option Vorgänge abbrechen zu deaktivieren, da die meisten Benutzer Scans stoppen, wenn sie wissen, dass Scans ausgeführt werden, und auf diese Weise verhindern, dass der Agent seinen Task durchführen kann.
Im Bereich Eincheckintervall wird empfohlen, häufiges Einchecken zu konfigurieren. Auf diese Weise können die Agents schnell auf Richtlinienänderungen in der Umgebung reagieren.
Im Bereich Speicherort für Modul-, Daten- und Patchdownload wird in dem Fall die Einstellung Anbieter über das Internet empfohlen, da sich die Agents vornehmlich außerhalb des Netzwerks befinden dürften. Falls Sie sehr viele Agents konfigurieren möchten, bieten sich die Optionen Verteilungsserver und Anbieter als Ersatzquelle verwenden an. Die Agents überprüfen dann zuerst den Verteilungsserver auf neue Module und XML-Datendateien. Falls dieser nicht verfügbar ist, werden die Websites des Anbieters herangezogen.
Security ControlsMarkieren Sie im Bereich Netzwerk das Kontrollkästchen Mit Protect Cloud synchronisieren. Security ControlsDadurch wird dem Agent die Option eingeräumt, die Protect Cloud für den Abruf der neuesten Agentrichtliniendaten zu verwenden, d. h. er kann eine Synchronisierung über die Cloud durchführen. Security ControlsDieses Kontrollkästchen steht nur dann zur Verfügung, wenn die Konsole bei der Protect Cloud registriert ist. Security ControlsWenn Sie auf Speichern und Agents aktualisieren klicken, wird eine Kopie der Agentrichtlinie zusammen mit allen erforderlichen Komponenten in den Protect Cloud-Dienst geschrieben.
Die Option Agent überwacht Port auf Updates kann aktiviert werden. Falls Sie die Option aktivieren, wird als Sicherheitsmaßnahme empfohlen, die Firewallregeln so zu konfigurieren, dass der Port außerhalb des Netzwerks gesperrt und innerhalb des Netzwerks geöffnet wird.
Diese Richtlinie dient der Sicherheit des Zielcomputers. Es wird daher empfohlen, auf der Registerkarte Optionen für Scannen und Bereitstellen die Patchscanvorlage Sicherheitspatchscan auszuwählen. Sie können eine benutzerdefinierte Vorlage verwenden, in diesem Beispiel möchten wir jedoch an der Best Practice einer grundlegenden Sicherheit festhalten.
Stellen Sie sicher, dass das Kontrollkästchen Patches bereitstellen markiert ist.
Wählen Sie eine Bereitstellungsvorlage auf der Registerkarte Neustart nach Bereitstellungaus, in der Folgendes festgelegt ist:
- Neustart wenn erforderlich
- Beim nächsten Auftreten der angegebenen Uhrzeit
- Geben Sie eine Uhrzeit außerhalb der Geschäftszeiten an, um den Tagesablauf der Endbenutzer nicht zu unterbrechen.
Die sicherste Option ist die Option Alle als fehlend erkannten Patches. Sie können jedoch auch basierend auf einer Patchgruppe bereitstellen und das Kontrollkästchen Plus alle kritischen Patches des Anbieters markieren. Mit dieser Option wird sichergestellt, dass selbst wenn Sie nicht die neuesten Sicherheitspatches auf die Patchgruppe angewandt haben oder selbst wenn der Agent nicht die aktualisierte Liste abgerufen hat, der Agent kritische Sicherheitspatches bereitstellt, die in den neuesten XML-Datendateien enthalten sind.
Markieren Sie das Kontrollkästchen Produktebenen bereitstellen. Sie können entweder alle Produktebenen bereitstellen, die im Rahmen eines Scans als fehlend identifiziert wurden, oder Sie können die Bereitstellung auf diejenigen Produktebenen begrenzen, die in einer Produktebenengruppe definiert sind. Weitere Informationen finden Sie unter Prozess für die Bereitstellung von Produktebenen und Patches.
Wählen Sie auf der Registerkarte Zeitplan die Option Täglich aus und geben Sie eine Uhrzeit an, zu der der Computer in der Regel eingeschaltet ist, das Netzwerkaufkommen jedoch niedriger ist (zur Mittagszeit zum Beispiel). In der Regel können Sie einen Tag während der Arbeitswoche angeben. Falls Sie eine Uhrzeit außerhalb der üblichen Geschäftszeiten wählen, sollten Sie das Kontrollkästchen Beim Neustart ausführen, wenn der Plan nicht eingehalten wurde markieren. Dadurch wird sichergestellt, dass die Überprüfung stattfindet, selbst wenn der letzte geplante Task versäumt wurde.
Verwandte Themen
- Empfehlungen für die Software und Hardware der Konsole
- Portanforderungen und Firewallkonfiguration
- Verwaltung verteilter Umgebungen
- Agentenloses Patchmanagement
- Optimaler Ansatz für das Anwenden von Patches in einer agentenlosen Umgebung
- Automatisieren der Patchverwaltung in einer agentenlosen Umgebung
- Agentenbasierte Patchverwaltung
- Optionen für das Rollout von Agents
- Agentenbasierter Prozess für die Bereitstellung von Produktebenen und Patches
- Patchdienstag – Anleitung für die Organisation des Patchtages
- Microsoft SQL Server – Datenbankwartung
- Patching in einer getrennten Umgebung