Instalar y soportar agentes en equipos de internet
Esta sección proporciona una recomendación básica para configurar una política de agente que sea compatible con los equipos de fuera del entorno de red. Esta configuración es ideal para usuarios de portátiles que estén desconectados de la red con frecuencia pero que se conecten a internet con regularidad. También es útil para sitios autónomos que no tengan conectividad de red directa pero que no tengan acceso a internet.
En esta solución, los agentes se conectan y reciben actualizaciones de política de la nube. Esto se consigue usando una función Security Controls de Ivanti denominada sincronización con Security Controls Cloud. Le permite administrar los agentes de los equipos que no pueden comunicarse directamente con la consola.
Consulte los temas siguientes para obtener información de fondo sobre la Sincronización con Security Controls Cloud:
- Security Controls Información general sobre la sincronización con la nube
- Security Controls Requisitos y notas de uso de la sincronización con la nube
- Cómo habilitar la sincronización con Security Controls Cloud
Instalación de agentes
Hay dos opciones principales para instalar agentes en equipos que se encuentran fuera del entorno de red.
- Puede llevar a cabo una instalación manual del agente en cada equipo de destino
- Puede instalar agentes a través de la nube mediante Security Controls Cloud
Una instalación manual está bien solo si tiene pocos equipos. No obstante, si tiene una gran base de destino es recomendable llevar a cabo las instalaciones de agentes a través de la nube.
Cuando se completa el proceso, todos los agentes deberán poder extraer actualizaciones de política y resumir los resultados de manera interna y externa. Puede probar esto conectando un equipo a internet desde fuera de su red, iniciando un análisis manualmente y observando los resultados; repita esto desde dentro de su red.
Configuración de la política del agente
- En el menú principal, seleccione Nueva > Política de agente.
- Asigne un nombre a la política.
- Configure las opciones en la pestaña Configuración general.
- En la pestaña Parche, haga clic en Agregar una tarea de parches de Windows, asigne un nombre a la tarea y configure la tarea.
- Haga clic en Guardar y actualizar agentes.
Puede configurar los ajustes Permitir al usuario según necesite. La recomendación es deshabilitar Cancelar operaciones puesto que la mayoría de usuario (si son conscientes) detendrán un análisis cuando sepan que se está ejecutando, y lo que evitará que el agente lleve a cabo la tarea.
En el área Intervalo de conexión es recomendable configurar las conexiones frecuentes. Esto hará que el agente siga siendo receptivo a los cambios de políticas de su entorno.
En el área Motor, datos y ubicación de descarga de parches, Proveedor en Internet es recomendable en este caso puesto que se espera que los agentes estén principalmente fuera de la red. Si va a configurar un gran número de agentes, puede optar por habilitar Servidor de distribución y Usar proveedor como origen de copia de seguridad. Los agentes comprobarán, en primer lugar, los últimos motores y archivos de datos XML del servidor de distribución, y usarán los sitios web del proveedor si el servidor de distribución no está disponible.
En el área Red, marque la casilla Sincronizar con Security Controls Cloud. Esto especifica que el agente tendrá la opción de usar Security Controls Cloud para recuperar la información más reciente de la política del agente, lo que le permitirá realizar la sincronización mediante la nube. Esta casilla de verificación solo está activa si la consola está registrada con Security Controls Cloud. Al hacer clic en Guardar y desplegar agentes, una copia de la política de agente y de todos los componentes necesarios se escribe en el servicio Security Controls Cloud.
Se puede habilitar El agente escucha el puerto en busca de actualizaciones. Si lo hace, las prácticas de seguridad recomendadas son modificar las reglas del cortafuegos para bloquear el puerto cuando esté fuera de la red y abrirlo cuando esté dentro de la red.
Esta política pretende centrarse en asegurar el equipo de destino, por lo que, en la pestaña Opciones analizar y desplegar es recomendable usar Análisis de parches de seguridad como plantilla de análisis de parches. Puede elegir usar una plantilla personalizada, si lo desea, pero para este ejemplo usaremos las mejores prácticas de seguridad básica.
Verifique que la casilla Desplegar parches está marcada.
Elija una plantilla de despliegue que especifique lo siguiente en la pestaña Reinicio tras el despliegue:
- Reiniciar cuando sea necesario
- Reinicio programado en la siguiente hora especificada
- Especifique una hora fuera de las horas de trabajo para evitar interrumpir el día de trabajo de los usuarios
Puede especificar Todos los parches detectados como ausentes, que será lo más seguro, o puede desplegar según un Grupo de parches y marcar la casilla Más todos los parches críticos del proveedor. Esta opción garantiza que, aunque no haya aplicado los últimos parches de seguridad al grupo de parches, o si el agente no ha extraído una lista actualizada, se desplegarán los parches de seguridad críticos que se publiquen en los últimos archivos de datos XML.
Marque la casilla Desplegar niveles de productos. Puede elegir desplegar todos los niveles de productos que un ausente identifique como ausentes, o puede limitar el despliegue a los niveles de productos que defina en un grupo de nivel de productos. Para más información, consulte Nivel de producto y proceso de despliegue de parches.
En la pestaña Programar, elija Diario y especifique una hora a la que el equipo estará, normalmente, activo pero el tráfico de red sea más bajo (como la hora de la comida). Normalmente, puede especificar un día durante la semana de trabajo. Si elige una hora que esté fuera de las horas laborales normales, es recomendable que marque la casilla Ejecutar al iniciar si se omite la programación para asegurarse de que la evaluación se lleva a cabo aunque se haya omitido la última tarea programada.
Temas relacionados
- Recomendaciones para el software y el hardware de la consola
- Requisitos de puertos y configuración de cortafuegos
- Gestión de entorno distribuido
- Administración de parches sin agente
- Mejor enfoque para aplicar parches en un entorno sin agente
- Automatizar la gestión de parches en el entorno sin agente
- Gestión de parches basados en agentes
- Opciones de lanzamiento del agente
- Nivel de producto basado en el agente y proceso de despliegue de parches
- Guía de supervivencia a Patch Tuesday
- Mantenimiento de la base de datos de Microsoft SQL Server
- Realizar una parcheado en un entorno desconectado