Automatizar o gerenciamento de patches num ambiente sem agente

O objetivo de qualquer grupo de TI é centralizar e automatizar processos a fim de reduzir a quantidade de trabalho necessária para manter o ambiente. O objetivo da Ivanti é fornecer ferramentas e soluções para ajudá-lo a atingir esse nível de automação. Esta seção discutirá maneiras de ajudar a automatizar o processo de gerenciamento de patches.

Automatizar a descoberta de máquinas

O primeiro intuito ao automatizar o processo de patch é criar o grupo de máquinas o mais dinamicamente possível. O jeito mais fácil de fazer isso é usar o Active Directory. Se você agrupar as máquinas no seu ambiente da mesma maneira que gerenciará as correções delas, poderá usar a área da UO do grupo de máquinas. Toda vez que o grupo de máquinas for usado, ele vai "conversar" com o Active Directory e puxar a lista atual de máquinas das UOs. O mesmo pode ser dito sobre o uso da área de domínio, mas isso pode abranger mais do que você deseja em um processo automatizado. Outra maneira de criar facilmente grupos dinâmicos é por intervalo de IP. Qualquer nova máquina nesses intervalos será capturada sempre que você fizer uma nova varredura.

Modelo de Análise

Quando falamos de automação, precisamos considerar o que será enviado. A maioria das empresas tem processos de aprovação muito vagos para patches. Dependendo de suas necessidades, você precisará decidir o que funciona melhor para sua situação. Se você está preocupado com todos os patches de segurança, independentemente do produto, pode usar o modelo predefinido para Análise de Patches de Segurança que vem integrado ao produto. Todas as novas versões dos arquivos de dados XML incluirão automaticamente os patches de segurança nesse modelo de análise na próxima vez que forem usadas.

Isso pode ser adequado para o ambiente de usuários finais, mas, para automatizar a correção de servidores, talvez seja útil usar um grupo de patches. O grupo de patches, ou lista de patches aprovados, permite definir uma lista de patches específicos a serem verificados. Isso pode ser vinculado ao modelo de análise e, em seguida, agendado para verificação com implantação automática, a fim de automatizar o processo de correção do início ao fim. Quando novos patches forem lançados, você poderá avaliar e determinar quais patches estão aprovados para implantação no seu ambiente e atualizar o grupo de patches ou lista de patches aprovados com os novos patches. Uma análise agendada levará essas alterações em consideração ao verificar e implantar os patches ausentes da lista de patches.

Na captura de tela a seguir, é possível ver a guia Filtragem do modelo de análise. Você pode usar o filtro Base ou Exceções para especificar uma lista de patches aprovados ou um ou mais grupos de patches que, coletivamente, representem um conjunto-base de patches. A seção a seguir explica como criar um grupo ou uma lista de patches.

Grupos de patches

Quando o Security Controls usa um grupo de patches para analisar patches específicos, as verificações e relatórios quanto ao status são sempre feitas para todos os níveis de produto. Ele também desativará a substituição de patches, ou seja, mostrará como ausentes os patches antigos que tenham sido substituídos por patches posteriores.

Para criar um novo grupo de patches, no menu principal, selecione Novo > Patch do Windows > Grupo de Patches. Isso exibe o diálogo Exibição de Patches. Todos os grupos de patches existentes são exibidos no painel inferior. Use os filtros da Exibição de Patches para refinar a lista de patches exibida no painel superior. Você então clica com o botão direito nos patches desejados, seleciona Adicionar ao Grupo de Patches e escolhe o nome do grupo. O grupo de patches é salvo automaticamente.

Você pode criar um Filtro Inteligente para identificar todos os patches de segurança críticos do fornecedor atual. A partir de então, para cada lançamento de patch, basta usar o Filtro Inteligente e, na exibição filtrada, selecionar todos e adicioná-los ao grupo de patches existentes, criando um processo de fácil repetição que pode ser realizado em poucos minutos.

No modelo de análise de patches, na área Base ou Exceções, clique no botão de procura e selecione os grupos de patches a serem usados. Agora, o modelo de análise está configurado para verificar uma lista específica de patches.

Se decidir usar uma lista de patches aprovados, tudo que precisa fazer é criar um arquivo de texto e inserir os patches por número do KB, um patch por linha. Na área Base ou Exceções do modelo de análise, clique no botão de procura da caixa Arquivo e navegue até o arquivo de texto. Esse arquivo pode ser distribuído para vários consoles, facilitando o uso e simplificando a aprovação dos patches.

Exemplo de lista de patches aprovados:

Q123456

Q234567

Q345678

Modelo de Implantação

No seu modelo de implantação, você deverá configurar as opções de reinicialização para atender às necessidades do grupo que pretende automatizar. Se estiver trabalhando com um ambiente de usuários finais, pode ser útil definir opções de reinicialização de forma mais flexível para lidar com pessoas que possivelmente trabalhem até tarde. Por exemplo, na guia Reinicialização pós-implantação, na área Agendar reinicialização, especifique Na próxima ocorrência de hora especificada. Você também pode marcar a caixa Estender tempo limite.

Para ambientes de servidor, a opção de reinicialização recomendada não é tão óbvia.

  • Pode ser útil configurar as reinicializações para ocorrerem imediatamente após a instalação. Por quê? Porque você normalmente executará a análise e a implantação numa janela de manutenção, desejando que a reinicialização seja feita logo em seguida. Você também pode reduzir os limites de tempo na reinicialização para acelerar o processo, já que as pessoas nessas máquinas devem estar cientes das janelas de manutenção com antecedência.
  • Por outro lado, você pode selecionar Nunca reinicializar após implantar, mesmo que uma reinicialização seja normalmente necessária. Isso faz sentido em situações nas quais a disponibilidade do servidor é extremamente crítica para o seu negócio. Talvez você queira reinicializar manualmente os servidores, para estar por perto caso algo dê errado durante o processo.

Agendar operações automatizadas

É nesta etapa final que tudo se junta. Após ter configurado os grupos e modelos, será necessário agendar os trabalhos para que sejam executados regularmente. Para agendar a execução automática de um trabalho, dá para iniciar pela página inicial ou pelo grupo de máquinas. Ao iniciar dentro de um grupo de máquinas, clique em Executar operação. Você verá uma caixa de diálogo semelhante a esta:

Nessa caixa de diálogo, dá para executar trabalhos agora, agendar uma execução única numa data e hora específicas ou agendar execuções recorrentes. Você também pode optar por implantar os patches imediatamente após a análise. Esta é a opção mais importante que discutiremos nesta seção. Os grupos de máquinas e os modelos de análise e implantação criados anteriormente detalharam o que deve ser verificado e implantado em nosso ambiente. Sabendo o que será enviado, podemos agora agendar o trabalho para que seja executado do começo ao fim, sem a necessidade de lidar com cada estágio dele. Na captura de tela acima, você verá que definimos uma análise recorrente com implantação imediata, configurada para ser executada na segunda quarta-feira de cada mês. É no dia seguinte à Patch Tuesday, data em que quase sempre há novos patches para enviar.

Ao agendar trabalhos, tenha em mente onde a tarefa agendada reside. Uma análise agendada com implantação imediata reside no console até que a análise seja concluída. Após a conclusão da análise, os patches serão enviados às máquinas e executados imediatamente. A reinicialização será agendada com base nas configurações no modelo de implantação e na hora local da máquina de destino.

Implantações por fases

Em vez de executar as etapas de preparação e implementação imediatamente após a análise, talvez você ache que faz mais sentido agendar as etapas em momentos mais adequados para sua organização. Por exemplo, sua política de segurança corporativa pode especificar uma janela de implantação de patches que comece às 22h00 no sábado. Nesse caso, pode ser melhor agendar o processo preparatória para mais cedo naquele dia, às 8h00 da manhã. Isso dará ao Security Controls o sábado todo para criar os pacotes de implantação e copiá-los para as máquinas de destino. Você pode então agendar para que a execução efetiva dos pacotes ocorra no início da janela de implantação. Quando for 22h00, tudo estará preparado, e as implantações ocorrerão sem atraso nas máquinas de destino.

Favoritos

Um favorito é uma combinação de grupo de máquinas e modelo de análise para o console consultar quando executar um trabalho. Você pode reutilizar favoritos para agendar a execução de vários trabalhos em horários diferentes. No favorito, você pode clicar em Executar Operação e agendar um horário único ou trabalhos recorrentes adicionais conforme necessário, sem ter de recriar mais favoritos.

Relatórios automáticos por e-mail

No seu grupo de máquinas, modelo de análise e modelo de implantação, você pode configurar para que relatórios sejam automaticamente gerados e enviados por e-mail aos destinatários desejados. Quando automatizamos a aplicação de patches, esta é uma ferramenta simples e eficiente para manter o pessoal pertinente atualizado quanto ao estado do ambiente. Estão disponíveis vários relatórios que apresentam diferentes dados para diferentes públicos e necessidades. Talvez seja necessário experimentar alguns para encontrar aquele que melhor se adequa ao seu caso.

Para usar o recurso de e-mail automático, você precisa configurar suas credenciais de e-mail. Para fazer isso, selecione Ferramentas > Opções > E-mail e forneça o endereço do seu servidor de e-mail e as informações de autenticação.

Tópicos relacionados