Gestion sans agent des correctifs

La méthode la plus rapide pour configurer Security Controls et appliquer des correctifs aux machines consiste à ne pas utiliser d'agent, comme l'explique la rubrique « Meilleure approche pour l'application de correctifs dans un environnement sans agent ». Une fois la console installée, il suffit parfois de quelques minutes pour configurer des groupes de machines afin d'analyser un environnement. Le temps nécessaire à la configuration dépend de la complexité de l'environnement et des différentes périodes de maintenance.

Exemple

Dans un bureau sur trois étages avec environ 500 utilisateurs finaux par étage et un centre de données de 200 serveurs, vous pouvez définir de nombreuses divisions distinctes. Vous pouvez créer un groupe de machines distinct pour chaque étage, sur la base de la plage d'adresses IP des postes de travail. Vous pouvez répartir vos serveurs dans trois autres groupes : Test, Développement et Production. Le département Production peut être réparti en plusieurs groupes, par exemple Contrôleurs de domaine et Serveurs Exchange/SQL Server, pour faciliter la planification des tâches.

Durée d'implémentation

Il faut environ cinq minutes pour créer trois groupes couvrant les trois étages de postes de travail. Prévoyez 10-30 minutes pour créer les groupes de serveurs ; vous pouvez les créer par OU, en parcourant et en sélectionnant des machines, ou en important des identités depuis un fichier. Prévoyez 15 minutes de plus pour planifier les tâches qui vont analyser et (facultatif) déployer automatiquement les correctifs.

La durée totale de configuration des groupes de machines et de planification des analyses dans cet environnement exemple est d'environ 45 minutes. Une fois ces opérations effectuées, la configuration est faite et tout est prêt.

Configuration requise pour les ports

Pour les analyses sans agent, vous devez être capable de résoudre la machine à l'aide de la méthode utilisée pour créer le groupe de machines. Vous devez également avoir accès aux ports TCP 137 à 139 ou au port 445 sur la machine cible. Le partage des fichiers et de l'impression, ainsi que le registre distant, doivent être activés pour que l'analyse fonctionne. Pour plus de sécurité, il est possible d'appliquer des règles de pare-feu entre les VLAN ou sur le pare-feu de la machine locale, afin d'interdire l'accès au port à toutes les adresses IP à l'exception de celle de la console. Selon l'environnement, la complexité, les règles et les exigences de contrôle du changement, la durée supplémentaire nécessaire par rapport à la configuration initiale varie.

Rubriques connexes