Installazione e supporto di agenti su computer basati su Internet
Questa sezione fornisce un consiglio base per la configurazione di un criterio agente che supporta computer esterni all'ambiente di rete. Questa configurazione è ideale per gli utenti di portatili che risultano frequentemente disconnessi dalla rete ma che sono regolarmente connessi a internet. Risulta inoltre utile per i siti autonomi che non presentano una connettività di rete diretta ma che presentano un accesso a internet.
In tale soluzione i propri agenti eseguono il check-in e ricevono aggiornamenti sui criteri dal cloud. Ciò si ottiene usando una funzionalità di Ivanti Security Controls denominata sincronizzazione di Security Controls Cloud. Consente di gestire agenti sui computer non in grado di comunicare direttamente con la console.
Consultare i seguenti argomenti per informazioni di background sulla sincronizzazione di Security Controls Cloud:
- Panoramica sulla sincronizzazione di Security Controls Cloud
- Requisiti e note di utilizzo per la sincronizzazione di Security Controls Cloud
- Come attivare la sincronizzazione di Security Controls Cloud
Installazione agenti
Sono disponibili due opzioni principali per l'installazione degli agenti sui computer situati al di fuori dell'ambiente di rete.
- È possibile eseguire un'installazione manuale dell'agente su ciascun computer di destinazione
- È possibile installare agenti sul cloud mediante Security Controls Cloud
Un'installazione manuale è la soluzione migliore se si dispone solo di un numero ridotto di computer. Tuttavia, in presenza di una base target di grandi dimensioni, il consiglio è di eseguire le installazioni degli agenti mediante il cloud.
Una volta completata la procedura, tutti gli agenti dovrebbero essere in grado di ottenere aggiornamenti dei criteri ed eseguire il rollup dei risultati sia internamente sia esternamente. È possibile eseguire un test collegando un computer a internet al di fuori della propria rete, dando inizio a un'analisi manuale e osservando i risultati; ripetere tale operazione dall'interno della rete.
Configurazione del criterio agente
- Sul menu principale, selezionare Nuovo > Criterio agente.
- Assegnare un nome al criterio.
- Configurare le opzioni sulla scheda Impostazioni generali.
- Sulla scheda Patch, fare clic su Aggiungi un'attività patch di Windows, dominare l'attività e configurarla.
- Fare clic su Salva e aggiorna agenti.
È possibile configurare le impostazioni Consenti all'utente di nel modo più adeguato. Il consiglio è disattivare Annulla operazioni dato che gran parte degli utenti (se ne sono consapevoli) arresterà un'analisi tutte le volte che sanno che è in funzione, impedendo all'agente di eseguire la propria attività.
Nell'area Intervallo di check-in il consiglio è configurare check-in frequenti. Tale soluzione manterrà l'agente reattivo alle modifiche ai criteri nel proprio ambiente.
Nell'area Posizione di download motore, dati e patch, Fornitore via Internet è la scelta consigliata in questo caso, dato che si prevede che gli agenti siano principalmente esterni alla rete. Se si sta configurando un numero significativo di agenti è possibile scegliere di abilitare Server di distribuzione e Usa fornitore come origine di backup. Gli agenti controlleranno prima la presenza dei motori e del file dati XML più recente sul server di distribuzione, quindi utilizzeranno i siti Web del fornitore se il server di distribuzione non risulta disponibile.
Nell'area Rete, abilitare la casella di controllo Sincronizza con Security Controls Cloud. Specifica che l'agente avrà la possibilità di utilizzare Security Controls Cloud per recuperare le informazioni più recenti sui criteri dell'agente, consentendogli di eseguire la sincronizzazione via cloud. Questa casella di controllo è disponibile solo se la propria console è stata registrata con Security Controls Cloud. Quando si fa clic su Salva e aggiorna agenti, una copia del criterio agente e di tutti i necessari componenti verrà scritta nel servizio Security Controls Cloud.
È possibile abilitare l'opzione l'agente ascolta gli aggiornamenti sulla porta. Di conseguenza, la migliore pratica di sicurezza consigliata risulta essere quella di modificare le regole firewall per bloccare la porta al di fuori della rete e aprire la porta all'interno della rete.
Questo criterio è incentrato sulla protezione del computer di destinazione, pertanto sulla scheda Opzioni Analizza e Distribuisci consigliamo di utilizzare Analisi patch sicurezza come modello di analisi patch. È possibile scegliere di utilizzare un modello personalizzato, se lo si desidera, ma per questo esempio ci baseremo sulla migliore pratica di sicurezza.
Verificare che la casella di controllo Distribuisci patch sia abilitata.
Scegliere un modello di distribuzione che specifici quanto segue sulla scheda Riavvio post-distribuzione:
- Riavvio laddove necessario
- Riavvio pianificato alla successiva occorrenza dell'orario specificato
- Specificare un orario fuori dal normale orario di ufficio in modo da non interrompere la giornata lavorativa degli utenti finali
È possibile specificare Tutte le patch rilevate come mancanti, che rappresenterebbe il più sicuro, oppure è possibile eseguire una distribuzione in base a un Gruppo di patch e abilitare la casella di controllo Più tutte le patch critiche del fornitore. Questa opzione assicura che anche se non sono state applicate le patch di sicurezza più recenti al gruppo di patch, oppure se l'agente non ha ricavato un elenco aggiornato, le patch di sicurezza critiche verranno comunque distribuite nei file dati XML più recenti.
Abilitare la casella di controllo Distribuisci livelli di prodotti. È possibile scegliere di distribuire tutti i livelli di prodotti che sono identificati come mancanti da un'analisi, oppure è possibile limitare la distribuzione a solo quei livelli di prodotti che vengono definiti in un gruppo di livelli di prodotti. Vedere Procedura di distribuzione patch e livelli di prodotti per ulteriori informazioni.
Sulla scheda Pianifica, scegliere Giornaliero e specificare un orario in cui il computer sarà generalmente acceso ma in cui i traffico di rete potrebbe essere inferiore (come all'ora di pranzo). È possibile specificare un singolo giorno durante la settimana lavorativa. Se si sceglie un orario al di fuori del normale orario di ufficio, si raccomanda di abilitare la casella di controllo Esegui all'avvio in caso di pianificazione mancata per assicurarsi che la valutazione avvenga anche se l'ultima attività pianificata non è stata effettuata.
Argomenti correlati
- Consigli software e hardware console
- Requisiti delle porte e configurazione firewall
- Gestione ambiente distribuito
- Gestione patch senza agente
- Miglior approccio per l'applicazione di patch in un ambiente senza agenti
- Automazione Gestione patch in un ambiente senza agenti
- Gestione patch basate su agenti
- Opzioni di rollout agenti
- Procedura distribuzione livello e patch di prodotti basati sugli agenti
- Guida di sopravvivenza al martedì patch
- Manutenzione database Microsoft SQL Server
- Applicazione patch in un ambiente disconnesso