Automazione Gestione patch in un ambiente senza agenti

L'obiettivo di qualsiasi gruppo IT è centralizzare e automatizzare i processi al fine di ridurre la quantità di lavoro necessaria per mantenere il proprio ambiente. L'obiettivo di Ivanti è fornire strumenti e soluzioni per aiutare l'utente a ottenere tale livello di automazione. In questa sezione verranno discussi i modi per contribuire all'automazione del processo di gestione patch.

Automazione dell'individuazione dei computer

Il primo obiettivo nell'automatizzazione del processo di patch è creare i propri gruppi di computer nel modo più dinamico possibile. Il modo più semplice per ottenere questo risultato è utilizzare Active Directory. Se si raggruppano i computer nel proprio ambiente allo stesso modo in cui si gestisce l'applicazione di patch sui computer, sarà possibile utilizzare l'area delle OU del gruppo di computer. Ogni volta in cui viene utilizzato il gruppo di computer, esso "parlerà" ad Active Directory ed estrarrà l'elenco corrente di computer dalle OU. Lo stesso si può dire dell'utilizzo dell'area di dominio, ma ciò può coinvolgere più di quanto si desideri in un processo automatizzato. Un altro modo per creare facilmente gruppi dinamici è per indirizzo IP. Qualsiasi nuovo computer in questi intervalli verrà acquisito ogni volta in cui si esegue una nuova analisi.

Modello di analisi

Quando iniziamo a parlare di automazione dobbiamo considerare di che cosa eseguiremo il push. Gran parte delle aziende presenta processi di approvazione definiti in modo molto approssimativo per le patch. In base alle proprie esigenze sarà necessario decidere quale funziona meglio per la propria situazione. Se si hanno dei dubbi in merito a tutte le patch di sicurezza, indipendentemente dal prodotto, è possibile utilizzare il modello Analisi patch di sicurezza integrato nel prodotto. Qualsiasi nuovo rilascio di file di dati XML includerà automaticamente le patch di sicurezza in questo modello di analisi al prossimo utilizzo.

Ciò può risultare adeguato per il proprio ambiente per gli utenti finali, ma per automatizzare l'applicazione di patch ai server si potrebbe considerare l'utilizzo di un gruppo di patch. Il gruppo di patch o l'elenco di patch approvate consente di definire un elenco di patch specifiche da analizzare. Ciò può essere collegato al modello di analisi e quindi pianificato per eseguire un'analisi con distribuzione automatica per automatizzare il processo di patch dall'inizio alla fine. Quando vengono rilasciate nuove patch, è possibile valutare e determinare quali patch vengono approvate per la distribuzione nel proprio ambiente, oltre che aggiornare il proprio gruppo di patch o il proprio elenco di patch approvate con le nuove patch. Un'analisi pianificata prenderà in esame tali modifiche scansionando e distribuendo le patch mancanti dall'elenco di patch.

Nella schermata seguente è possibile visualizzare la scheda Filtro del modello di analisi. È possibile utilizzare il filtro Baseline o Eccezioni per specificare un elenco di patch approvate o uno o più gruppi di patch che rappresentino collettivamente un set di patch di baseline. La sezione che segue spiega come creare un gruppo di patch o un elenco di patch.

Gruppi di patch

Quando Security Controls utilizza un gruppo di patch per effettuare un'analisi basata sulle patch selezionate, analizza e crea sempre report sullo stato di tutti i livelli di prodotti. Disabiliterà inoltre la sostituzione patch, pertanto mostrerà come mancanti le patch precedenti che sono state sostituite dalle patch successive.

Per creare un nuovo gruppo di patch, sul menu principale selezionare Nuovo > Patch di Windows > Gruppo di patch. Ciò presenta la finestra di dialogo Vista patch. Qualsiasi gruppo di patch esistente viene visualizzato nel riquadro inferiore. Utilizzare i filtri Vista patch per restringere l'elenco di patch visualizzate nel riquadro superiore. Fare clic con il pulsante destro del mouse sulla patch o sulle patch desiderate, selezionare Aggiungi a gruppo di patch, quindi scegliere un nome per il gruppo di patch. Il gruppo patch viene salvato automaticamente.

È possibile creare uno Smart Filter che identifichi tutte le proprie patch di sicurezza critiche per il fornitore corrente. Da questo punto in poi, per ciascun rilascio di patch è sufficiente utilizzare il proprio Smart Filter e, dalla vista filtrata, selezionare tutto e aggiungere al gruppo di patch esistenti, in modo da creare un processo facilmente ripetibile che richiede pochi minuti per la manutenzione.

Nel proprio modello di analisi patch, nell'area Linea di base o Eccezioni, fare clic sul pulsante sfoglia e selezionare i gruppi di patch che si desidera utilizzare. Ora il modello di analisi è configurato per analizzare un elenco specifico di patch.

Se si sceglie di utilizzare un elenco di patch approvate, tutto ciò che serve è creare un file di test e inserire le patch per numero di KB, una patch per linea. Nell'area Baseline o Eccezioni del proprio modello di analisi, fare clic sul pulsante sfoglia della casella File e navigare nel proprio file di testo. Questo file viene distribuito facilmente su più console per facilitare l'utilizzo e la semplificazione dell'approvazione patch tra più console.

Elenco di patch approvate di esempio:

Q123456

Q234567

Q345678

Modello di distribuzione

Nel proprio modello di distribuzione si potrà scegliere di configurare le opzioni di riavvio in modo da rispettare le esigenze del gruppo che si intende automatizzare. Se si sta lavorando con un ambiente basato su utenti finali, è possibile scegliere di impostare le opzioni di riavvio in modo che siano più flessibili, per facilitare il lavoro alle persone che lavorano potenzialmente fino a tardi. Ad esempio, sulla scheda Riavvio post-distribuzione, nell'area Pianifica riavvio, specificare Alla prossima ricorrenza dell'ora specificata. È inoltre possibile attivare la casella di controllo Estendi time-out.

Per gli ambienti server, l'opzione consigliata per il riavvio non è così ovvia.

• È inoltre possibile scegliere di configurare i riavvii in modo che avvengano immediatamente dopo l'installazione. Perché? Dato che normalmente si eseguirà l'analisi e la distribuzione in una finestra di manutenzione e si desidererà che il riavvio segua immediatamente. È possibile ridurre i timeout al riavvio per velocizzare la procedura, dato che chiunque in questi computer dovrebbe essere consapevole in anticipo delle finestre di manutenzione.
• Allo stesso modo, è possibile scegliere di Non riavviare mai dopo la distribuzione anche se un riavvio risulta in genere richiesto. Ciò ha senso in situazioni in cui la disponibilità del server risulta estremamente critica per il proprio business. Potrebbe essere utile poter riavviare manualmente i server, in modo da poterlo fare facilmente in caso qualcosa vada male durante il processo di riavvio.

Pianificazione delle operazioni automatizzate

Questo passaggio finale riunisce l'intera procedura. Una volta configurati i gruppi e i modelli, sarà possibile pianificare i propri processi per eseguirli su base regolare. Per pianificare un processo al fine di essere eseguito automaticamente, si inizia dalla pagina home o dal gruppo di computer. Quando si inizia dall'interno di un gruppo di computer, fare clic su Esegui operazione. Apparirà una finestra di dialogo simile alla seguente:

Da questa finestra di dialogo ora è possibile eseguire dei processi, pianificare l'esecuzione in una determinata data e ora, oppure pianificare l'esecuzione di processi ricorrenti. È inoltre possibile scegliere di distribuire immediatamente le patch dopo l'analisi. Questa è l'opzione più importante che discuteremo in questa sezione. I gruppi di computer e i modelli di analisi e distribuzione che abbiamo creato precedentemente hanno regolato cosa desideriamo analizzare e distribuire per il nostro ambiente. Sapendo di cosa verrà eseguito il push, ora possiamo pianificare il processo affinché venga eseguito dall'inizio alla fine senza dover gestire il processo da una fase all'altra. Nella schermata sopra, abbiamo definito un'analisi ricorrente con una distribuzione immediata impostata per essere eseguita il secondo mercoledì di ogni mese. Questo è il giorno successivo al Martedì patch, che richiederà quasi sempre il push di nuove patch.

Quando si pianificano i processi, tenere presente dove risiede l'attività pianificata. Un'analisi pianificata con distribuzione immediata risiede sulla console fino al completamento dell'analisi. Una volta completata l'analisi, verrà eseguito il push delle patch ai computer, con esecuzione immediata. Il riavvio verrà pianificato in base alle impostazioni nel modello di distribuzione e all'ora locale del computer di destinazione.

Distribuzioni in fasi

Invece di eseguire i passaggi di suddivisione in fasi e distribuzione immediatamente dopo l'analisi, si potrebbe decidere che ha più senso pianificare le fasi in orari più appropriati per la propria organizzazione. Ad esempio, la propria politica di sicurezza aziendale potrebbe specificare una finestra di distribuzione patch che ha inizio alle 10:00 p.m. di sabato. In questo caso, potrebbe essere preferibile pianificare la procedura di distribuzione in fasi all'inizio della giornata, ad esempio alle 8:00 a.m. Ciò fornirà a Security Controls l'intera giornata di sabato per creare i pacchetti di distribuzione e copiarli nei propri computer di destinazione. È quindi possibile pianificare l'esecuzione effettiva del pacchetto di distribuzione affinché avvenga all'avvio della propria finestra di distribuzione. Alle 10:00 p.m. Alle 10:00 p.m. esegue il roll-out, ogni elemento risulta correttamente posizionato e le distribuzioni avverranno senza ritardi sui computer di destinazione.

Preferiti

Un preferito rappresenta una combinazione di gruppi di computer e modelli di analisi per la console a cui fare riferimento quando viene eseguito un processo. È possibile riutilizzare i preferiti per pianificare l'esecuzione di più processi a orari diversi. Dal preferito è possibile fare clic su Esegui operazione e pianificare processi aggiuntivi dall'esecuzione singola o ricorrente in base a quanto necessario senza dover ricreare preferiti aggiuntivi.

Generazione automatizzata di report via e-mail

Dal proprio gruppo di computer, modello di analisi e modello di distribuzione, è possibile configurare report per la generazione automatizzata e l'invio di e-mail ai destinatari designati. Quando si automatizza l'applicazione di patch di un ambiente, ciò rappresenta uno strumento semplice ed efficiente per mantenere tutto il personale necessario aggiornato sullo stato dell'ambiente. È disponibile una vasta gamma di report diversi tra cui scegliere che presenteranno dati diversi per i vari pubblici e le varie esigenze. Potrebbe essere necessario provarne alcuni per trovare la soluzione migliore per le proprie esigenze di reportistica.

Per utilizzare la funzionalità e-mail automatizzata, è necessario configurare le proprie credenziali e-mail. A tal fine, selezionare Strumenti > Opzioni > E-mail quindi fornire il proprio indirizzo del server e-mail e le informazioni di autenticazione.

Argomenti correlati

• Consigli software e hardware console
• Requisiti delle porte e configurazione firewall
• Gestione ambiente distribuito
• Gestione patch senza agente
• Miglior approccio per l'applicazione di patch in un ambiente senza agenti
• Gestione patch basate su agenti
• Opzioni di rollout agenti
• Installazione e supporto di agenti su computer basati su Internet
• Procedura distribuzione livello e patch di prodotti basati sugli agenti
• Guida di sopravvivenza al martedì patch
• Manutenzione database Microsoft SQL Server
• Applicazione patch in un ambiente disconnesso