Agenteneinstellungen: Verteilung und Patch
Extras > Konfiguration > Agenteneinstellungen > Verteilung und Patch
Im Dialogfeld "Agenteneinstellungen für Verteilung und Patch" können Sie steuern, wie Ivanti® Endpoint Manager Pakete installiert, Scans ausführt und Dateien repariert.
Allgemeine Einstellungen
Geben Sie auf der Seite "Allgemeine Einstellungen" einen Namen ein, der mit allen Einstellungen verknüpft wird, die Sie auf den Seiten in diesem Dialogfeld vornehmen. Dieser Name wird in der Liste der Agenteneinstellungen in der Konsole angezeigt.
Netzwerkeinstellungen
Auf dieser Seite können Sie anpassen, wie sich Verteilungspakete auf den Netzwerkverkehr auswirken.
- Download vom Peer versuchen: Das Herunterladen von Paketen zulassen, die sich bereits in einem Peer im gleichen Subnetz befinden. Dadurch wird der Netzwerkverkehr reduziert. Wenn Sie beispielsweise mehrere Zweigniederlassungen haben, können Sie in jedem Büro ein Gerät für den Empfang des Pakets über das Netzwerk auswählen. Danach können die anderen Geräte in jedem Büro das Paket direkt vom ersten Gerät erhalten, anstatt das Paket aus dem Netzwerk herunterzuladen.
- Bevorzugten Server versuchen: Eine automatische Umleitung zur nächstgelegenen Paketfreigabe wird zugelassen. Dadurch wird die Belastung des Coreservers reduziert.
- Quelle zulassen: Laden Sie die Dateien vom Coreserver herunter, wenn diese auf dem bevorzugten Server oder einem anderen Peer nicht verfügbar sind. Wenn sich die Dateien nicht an einem dieser Speicherorte befinden und diese Option nicht ausgewählt ist, schlägt der Download fehl.
- Multicast verwenden: Verwendet Targeted Multicast, um Dateien an mehrere Geräte gleichzeitig zu senden. Geben Sie für jedes Subnetz einen Wert für die Wartezeit ein, wie lange gewartet werden soll, bevor der Download beginnt.
- Vom Core oder bevorzugten Server genutzte Bandbreite: Legen Sie den Prozentsatz der zu verwendenden Bandbreite fest, um das Netzwerk nicht zu überlasten. Sie können die Bandbreite einschränken, indem Sie den maximal zu verwendenden Prozentsatz an Netzwerkbandbreite für die Verteilung anpassen. Der Schieberegler passt die Priorität dieses spezifischen Tasks gegenüber anderem Netzwerkverkehr an. Je höher der mit dem Schieberegler eingestellte Wert, desto größer die Bandbreite, die von diesem Task im Verhältnis zu allem anderen Verkehr im Netzwerk verwendet wird. WAN-Verbindungen sind in der Regel langsamer, daher empfiehlt es sich in den meisten Fällen, diesen Schieberegler auf einen niedrigeren Prozentsatz einzustellen.
- Von Peer zu Peer genutzte Bandbreite: Legen Sie den Prozentsatz der lokal zu verwendenden Bandbreite fest. Dieser Wert ist wegen der physischen Nähe normalerweise höher als die vom Core oder vom bevorzugten Server genutzte Bandbreite.
- Detaillierten Task Status senden: Klicken Sie hier, um Informationen über den Task an den Coreserver zu senden. Da der Netzwerkverkehr zunimmt, wenn Sie diese Option zur Fehlerbehebung auswählen, sollten Sie die Option deaktivieren, nachdem das Problem gelöst wurde.
Zeitplan für Richtliniensynchronisierung
Auf der Seite "Zeitplan für Richtliniensynchronisierung" können Sie festlegen, wann der Client den Core überprüft, um zu sehen, ob Pakete zum Herunterladen vorhanden sind.
- Zeitplan für Richtliniensynchronisierung
- Ereignisgesteuert
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um die Richtliniensynchronisierung auszuführen, sobald ein Benutzer angemeldet ist.
- Wenn sich die IP-Adresse ändert: Klicken Sie hier, um die Richtliniensynchronisierung auszuführen, wenn sich die IP-Adresse ändert.
- Max. zufällige Verzögerung: Geben Sie einen Wert für die zeitliche Verzögerung beim Scannen ein, um zu vermeiden, dass das Paket von allen Geräten gleichzeitig heruntergeladen wird, was zu einer Überlastung des Netzwerks führen könnte.
- Zeitplangesteuert
- Zeitplanserie verwenden: Klicken Sie hier, um Verteilungspakete nur innerhalb eines angegebenen Zeitrahmens herunterzuladen. Der Standardwert ist einmal am Tag.
- Einstellungen ändern...: Klicken Sie hier, um das Dialogfeld Local Scheduler-Befehl zu öffnen und einen anderen Zeitplan zu erstellen.
- Zusätzliche Einstellungen
- Anzahl der Stunden wählen, die PolicySync wartet, bevor erforderliche Richtlinien, die nicht installiert werden konnten, wiederholt werden: Legt fest, wann eine fehlgeschlagene Richtlinie automatisch wiederholt wird. Solange das Gerät als Ziel für diese Aufgabe festgelegt ist, wird die fehlgeschlagene Richtlinie alle 24 Stunden erneut ausgeführt, bzw. je nachdem, was hier festgelegt wurde.
- Oberen Schwellenwert für das Neustarten serienmäßiger Aufgaben wählen: Legt fest, wie lange Policysync.exe nach dem Ausführen auf Geräten warten soll, bevor die Datei erneut ausgeführt wird. Beispiel: Wenn Sie hier 15 Minuten festlegen und die serienmäßige Richtlinie 10 Minuten nach der vorherigen Ausführung eine erneute Ausführung versucht, dann wird damit bis zur nächsten geplanten Uhrzeit nach Ablauf der von Ihnen festgelegten Anzahl von Minuten gewartet.
- Ereignisgesteuert
Meldung
Auf der Benachrichtigungsseite können Sie festlegen, welche Informationen der Benutzer anzeigen und welche Aktionen der Benutzer ausführen kann.
- Optionen für die Benachrichtigung vor dem Installieren/Entfernen
- Download automatisch starten: Startet den Download des Verteilungspakets, ohne den Benutzer zu benachrichtigen.
- Benutzer vor dem Download benachrichtigen: Benachrichtigt den Benutzer, bevor ein verwaltetes Gerät den Download des Pakets initiiert. Diese Option ist insbesondere für mobile Benutzer nützlich, wenn sie in Verbindung mit Verzögerungsoptionen verwendet wird, um einen Benutzer davor zu bewahren, eine umfangreiche Anwendung über eine langsame Verbindung herunterladen zu müssen.
- Installieren/Entfernen automatisch starten: Startet die Installation des Verteilungspakets, ohne den Benutzer zu benachrichtigen.
- Benutzer vor dem Installieren/Entfernen benachrichtigen: Zeigt ein entsprechendes Dialogfeld an, bevor ein verwaltetes Gerät das Paket installieren oder entfernen kann.
- Benutzer nur benachrichtigen, wenn Prozesse beendet werden müssen: Zeigt nur dann ein Dialogfeld an, wenn ein Prozess beendet werden muss, bevor das verwaltete Gerät ein Paket installieren oder entfernen kann.
- Vor dem Start des Updates die Prozesse beenden, die gestoppt werden müssen: Klicken Sie hier, um alle hinderlichen Prozesse zu beenden, damit das Paket installiert werden kann.
- Die Ausführung eben dieser Prozesse während des Updates verhindern: Klicken Sie hier, um sicherzustellen, dass die Prozesse nicht erneut gestartet werden können, bevor das Paket vollständig installiert wurde.
- Bei Verzögerung bis zur Sperre / Abmeldung: Legen Sie fest, wie lange gewartet werden soll, bevor das Paket installiert wird.
- Optionen für den Fortschritt
- Fortschritt anzeigen: Wählen Sie aus, ob der Installationsfortschritt niemals, nur beim Installieren oder Entfernen von Dateien oder bei jedem Installieren, Entfernen und Scannen von Dateien angezeigt werden soll.
- Benutzer darf Scan abbrechen: Diese Option ist aktiviert, wenn die Fortschrittsanzeige für den Benutzer immer angezeigt werden soll. Klicken Sie hier, um dem Benutzer die Möglichkeit zu geben, den Scan abzubrechen.
- Fortschritt anzeigen: Wählen Sie aus, ob der Installationsfortschritt niemals, nur beim Installieren oder Entfernen von Dateien oder bei jedem Installieren, Entfernen und Scannen von Dateien angezeigt werden soll.
- Optionen für den Timeout, wenn keine Reaktion erfolgt: Diese Optionen sind aktiviert, wenn Sie dem Benutzer die Möglichkeit zum Abbrechen oder Verzögern des Vorgangs einräumen.
- Mit dem Reparieren, Installieren oder Deinstallieren warten, bis der Benutzer geantwortet hat: Diese Option ist aktiviert, wenn Sie dem Benutzer die Möglichkeit zum Abbrechen oder Verzögern des Vorgangs einräumen. Klicken Sie hier, um auf eine Benutzereingabe zu warten, bevor der Agent den Vorgang fortsetzen kann. Hierdurch kann es bei dem Task zum Timeout kommen.
- Nach Timeout automatisch: Klicken Sie hier, um den Task nach Ablauf der angegebenen Wartezeit automatisch zu starten, zu verzögern oder abzubrechen.
Benutzermeldung
Auf dieser Seite können Sie eine benutzerdefinierte Meldung erstellen, die dem Benutzer angezeigt wird, wenn Sie Benutzer vor dem Download benachrichtigen oder Benutzer vor dem Installieren/Entfernen benachrichtigen auf der Seite Benachrichtigung wählen.
Wenn Sie einen Task planen, gibt es eine Option zum Überschreiben dieser Meldung.
Reine Verteilungseinstellungen
Auf dieser Seite können Sie festlegen, welche Meldung dem Benutzer angezeigt und wie lange eine Installation verzögert werden soll. Diese Optionen sind von den Einstellungen auf der Seite Benachrichtigung abhängig. Sie können auch die Seite "Reine Verteilungseinstellungen" verwenden, um den Speicherort für virtualisierte Anwendungen auszuwählen.
- Feedback
- Vollständige Paketoberfläche anzeigen: Klicken Sie hier, um dem Benutzer alles anzuzeigen, was bei der Installation angezeigt wird. Diese Option wird nur erfahrenen Benutzern empfohlen.
- Erfolgs- oder Fehlerstatus dem Endbenutzer anzeigen: Klicken Sie hier, um dem Benutzer nur das Ergebnis der Installation anzuzeigen.
- Verzögern bis zur nächsten Anmeldung: Klicken Sie hier, um den Benutzern zu erlauben, die Installation bis zur nächsten Anmeldung an diesem Gerät zu verschieben.
- Verzögern um eine bestimmte Zeitspanne: Geben Sie den maximalen Zeitraum an, wie lange der Benutzer die Installation verzögern kann.
- Anzahl der Verzögerungen durch den Benutzer begrenzen: Klicken Sie hier, um die maximale Anzahl festzulegen, wie oft der Benutzer die Installation verzögern kann.
- Verzögern um eine bestimmte Zeitspanne: Geben Sie den maximalen Zeitraum an, wie lange der Benutzer die Installation verzögern kann.
- Verzeichnis zum Speichern von virtualisierten Ivanti Anwendungen
- Clientziel: Klicken Sie hier, um das Paket nicht auf diesem Gerät, sondern in einer neuen Umgebung zu installieren.
- LDAP-Zielgruppenadressierung aktivieren: Klicken Sie hier, wenn Sie das Ziel der Verteilung ändern und nicht die Zielgeräte und Benutzernamen von Ivanti, sondern die unter der Microsoft-Domäne eingerichteten Gruppen als Ziel der Verteilung verwenden möchten.
- LDAP-Auflösung über CSA zulassen: Klicken Sie hier, um Objekte in der Microsoft-Domäne als Ziel der Verteilung festzulegen, während eine Verbindung mit der Cloud Service Appliance besteht.
Offline
Verwenden Sie diese Seite, um das weitere Vorgehen für den Fall festzulegen, dass ein verwaltetes Gerät während der Installation eines Paktes keine Verbindung mit dem Coreserver herstellen kann.
- Warten, bis das Gerät den Kontakt zum verwalteten Coreserver herstellen kann: Klicken Sie hier, um die Installation zu unterbrechen, solange das Gerät keine Verbindung mit dem Coreserver herstellen kann.
- Paket(e) offline installieren: Klicken Sie hier, um einen geplanten Task zu erstellen, der die Dateien auf das Gerät herunterlädt, diese aber nicht installiert.
Optionen bei abgemeldetem Benutzer
Verwenden Sie diese Seite, um festzulegen, ob die Installation durchgeführt werden soll, wenn der Benutzer nicht am Gerät angemeldet ist.
- Verhalten bei abgemeldetem Benutzer
- Installation fortsetzen: Klicken Sie hier, um das Verteilungspaket zu installieren, wenn der Benutzer abgemeldet ist.
- Installation fehlschlagen lassen: Klicken Sie hier, um die Installation des Verteilungspakets nicht zu starten, solange der Benutzer abgemeldet ist.
- Bei der nächsten Anmeldung ausführen: Klicken Sie hier, um die Installation des Verteilungspakets nicht zu starten, solange der Benutzer abgemeldet ist, und die Installation des Pakets zu starten, sobald sich der Benutzer wieder anmeldet.
Downloadoptionen
Verwenden Sie die Seite mit den Downloadoptionen, um festzulegen, ob ein Client den Patch herunterladen und installieren oder ob die Installation vom Server ausgeführt werden soll.
- Von Quelle ausführen: Klicken Sie hier, um den Patch vom bevorzugten Server oder vom Core zu installieren. Diese Option ist nützlich, wenn der Clientrechner nicht genug Speicher hat, um den Patch herunterzuladen.
- Herunterladen und Ausführen: Klicken Sie hier, um den Patch auf den Client herunterzuladen und zu installieren. Diese Option reduziert die Belastung des Servers.
Reine Patcheinstellungen
Auf der Seite "Nur für das Patchen geltende Einstellungen" können Sie Neustartoptionen und alternative Coreserver zum Scannen, Reparieren und Herunterladen von Dateien auswählen.
- Wenn kein Neustart erforderlich ist
- Endbenutzereingabe vor Abschluss des Vorgangs anfordern: Wählen Sie diese Option, damit das Benachrichtigungsdialogfeld solange angezeigt wird, bis der Benutzer darauf reagiert.
- Nach Timeout schließen: Wählen Sie diese Option, um das Benachrichtigungsdialogfeld zu schließen, sobald die angegebene Zeit abgelaufen ist.
- Alternativer Core
- Mit alternativem Coreserver kommunizieren: Klicken Sie hier, um einen Server auszuwählen, der verwendet werden soll, wenn der standardmäßige Coreserver nicht verfügbar ist.
- Bei der Installation über die CSA: Klicken Sie auf eine Option in der Dropdownliste, um festzulegen, wie der Scanner über das Portal "Cloud Service Applicance" installiert wird. Das ist hilfreich für Mitarbeiter außerhalb des Netzwerks, zum Beispiel Mitarbeiter im Außendienst, die mit dem Core kommunizieren müssen.
- Patches wie üblich vom Core herunterladen: Dazu ist ein zusätzlicher Arbeitsschritt erforderlich, der möglicherweise auch Verzögerungen oder Netzwerkprobleme verursachen kann.
- Patches nicht herunterladen. Anforderung fehlschlagen lassen.: Dadurch wird der Download neu geplant. Wählen Sie diese Option, wenn die Bandbreite ein Problem darstellt.
- Download der Patches vom Hersteller mit Rückgriff auf den Core bei einem Fehler.: Auf diese Weise wird versucht, den Patch direkt vom Hersteller herunterzuladen, z. B. von Microsoft, bevor auf den Coreserver zurückgegriffen wird. Dadurch wird weniger Bandbreite in Ihrem eigenen Netzwerk benötigt.
- Download der Patches vom Hersteller Ohne Rückgriff auf den Core bei einem Fehler: Auf diese Weise wird versucht, den Patch direkt vom Hersteller herunterzuladen, z. B. von Microsoft. Wenn der Patch nicht heruntergeladen werden kann, wird der Download neu geplant.
- Bei der Installation via VPN (2020.1 SU3 und neuer)
- Bevorzugt vom Anbieter herunterladen (Fallback auf Coreserver): Mithilfe dieser Option können Endpunkte Patchinhalte direkt beim Anbieter unter Umgehung des VPN herunterladen, sofern die VPN-Konfiguration dies zulässt. Dadurch lässt sich der VPN-Bandbreitenverbrauch reduzieren. Damit dies funktioniert, müssen Sie ein VPN-Schnittstellenstichwort angeben, damit der Agent erkennt, wann das VPN aktiv ist. Dieses Stichwort sollte in der Beschreibung der VPN-Schnittstellenverbindung auf Clients eindeutig sein.
- CPU-Auslastung beim Scannen: Mit dem Schieberegler können Sie festlegen, ob beim Scannen eine hohe oder niedrige CPU-Auslastung zulässig ist.
- Festplattenspeicherplatz prüfen: (ab 2021.1 SU1) Prüfen Sie vor dem Patchen, ob der angegebene Speicherplatz auf der Festplatte vorhanden ist. Der Patchvorgang schlägt fehl, wenn nicht genügend Speicherplatz verfügbar ist. Diese Funktion ist standardmäßig deaktiviert.
- Protokoll für geplanten Task: Geben Sie an, welche Informationen der Scanner an den Core sendet. Wenn ein Problem auftritt, können Sie beispielsweise Debuginformationen senden, um die Fehlerbehebung zu erleichtern.
Nicht stören
Auf dieser Seite können Sie geschäftskritische Prozesse angeben, damit kein Scan erfolgt, während diese Prozesse laufen. Zum Beispiel: Um sicherzustellen, dass der Scanner nicht während einer Präsentation ausgeführt wird, könnten Sie den Filter so anwenden, dass ein Neustart bei geöffnetem PowerPoint durchgeführt werden kann, aber kein Neustart erfolgt, wenn PowerPoint im Vollbildmodus ausgeführt wird.
- Standardwerte hinzufügen: Erstellt die Liste mit den Standardprozessen.
- Hinzufügen...: Öffnet das Dialogfeld Prozessfilter angeben. In diesem Dialogfeld geben Sie den Namen des Prozesses ein und legen fest, ob der Filter jedes Mal anzuwenden ist, wenn der Prozess läuft, oder nur dann, wenn der Prozess im Vollbildmodus ausgeführt wird.
- Bearbeiten...: Öffnet das Dialogfeld Prozessfilter angeben, in dem Sie den Filter für einen Prozess ändern können, der bereits in der Liste enthalten ist.
- Löschen...: Entfernt einen Prozess aus der Liste.
- Mac-Agenteneinstellungen für Unterbrechung des Benutzers Wenn Sie Ihren Mac-Client aktualisiert haben, werden alle Einstellungen auf der Seite Nicht stören unterstützt. Wenn Sie Ihren Mac-Client nicht aktualisiert haben, können Sie die folgenden Optionen verwenden:
- Ausblenden, wenn der Benutzer gerade eine Präsentation zeigt: Klicken Sie hier, um die Fortschrittsanzeige auszublenden und den Scan im Hintergrund auszuführen, damit eine laufende Präsentation nicht unterbrochen wird.
- Reparatur verzögern, wenn eine Präsentation ausgeführt wird: Klicken Sie hier, um alle Reparaturen zu verschieben, solange die Präsentation nicht abgeschlossen wurde.
Scanoptionen
Auf dieser Seite können Sie festlegen, ob der Sicherheitsscanner nach Gruppen oder nach dem Typ der Anfälligkeit scannen soll.
- Scannen nach
- Gruppe: Wählen Sie eine benutzerdefinierte vorkonfigurierte Gruppe aus der Dropdownliste aus.
- Alle erkannten Elemente sofort reparieren: Zeigt an, dass jedes durch diesen speziellen Gruppenscan erkannte Sicherheitsrisiko automatisch repariert wird.
- Typ: Gibt an. nach welchen Inhaltstypen Sie mit diesem Scantask suchen möchten. Sie können nur Inhaltstypen auswählen, für die Sie ein Ivanti® Endpoint Security for Endpoint Manager Inhaltsabonnement besitzen. Beachten Sie auch Folgendes: Der Inhalt der Gruppe "Scannen" im Fenster "Patch und Compliance" entscheidet, nach welchen Sicherheitsdefinitionen gescannt wird. Das heißt, wenn Sie in diesem Dialogfeld Anfälligkeiten und Sicherheitsbedrohungen auswählen, wird nur nach den Anfälligkeiten und Sicherheitsbedrohungen gescannt, die aktuell in ihren jeweiligen "Scannen"-Gruppen enthalten sind.
- Gruppe: Wählen Sie eine benutzerdefinierte vorkonfigurierte Gruppe aus der Dropdownliste aus.
- Automatisches Korrigieren aktivieren: Gibt an, dass der Sicherheitsscanner für alle Anfälligkeiten oder benutzerdefinierten Definitionen, die er auf gescannten Geräten entdeckt, automatisch die vorgeschriebenen Patchdateien bereitstellt und installiert. Diese Option gilt nur für Sicherheitsscan-Tasks. Damit die automatische Korrektur ordnungsgemäß arbeitet, muss für die Definition auch "Automatisches Korrigieren" aktiviert sein.
Planen
Auf dieser Seite können Sie den Zeitrahmen festlegen, in dem der Sicherheitsscanner als geplanter Task ausgeführt wird. Nachdem Sie die Einstellungen ausgewählt haben, wird auf dieser Seite eine Zusammenfassung des Zeitplans angezeigt.
- Ereignisgesteuert
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um Definitionen zu scannen und zu reparieren, sobald ein Benutzer angemeldet ist.
- Max. zufällige Verzögerung: Geben Sie einen Wert für die zeitliche Verzögerung beim Scannen ein, um zu vermeiden, dass alle Geräte gleichzeitig gescannt werden, was zu einer Überlastung des Netzwerks führen könnte.
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um Definitionen zu scannen und zu reparieren, sobald ein Benutzer angemeldet ist.
- Zeitplangesteuert
- Zeitplanserie verwenden: Klicken Sie hier, um Definitionen nur innerhalb eines angegebenen Zeitrahmens zu scannen und zu reparieren.
- Einstellungen ändern...: Öffnet das Dialogfeld Local Scheduler-Befehl. Hier können Sie die Parameter für Sicherheitsscans definieren. Dieses Dialogfeld wird von mehreren Ivanti Verwaltungstasks gemeinsam genutzt. Klicken Sie auf die Schaltfläche Hilfe, wenn Sie Genaueres wissen möchten.
Häufiger Scan
Auf dieser Seite können Sie den Agenten so konfigurieren, dass die Definitionen in einer bestimmten Gruppe häufiger überprüft werden als üblich. Das ist nützlich bei einem Virusausbruch oder wenn ein anderer zeitkritischer Patch schnellstmöglich verteilt werden muss. Sie können zum Beispiel einen Client alle 30 Minuten und bei jeder Anmeldung auf eine bestimmte Gruppe scannen, die möglicherweise kritische Anfälligkeiten enthalten kann. Das häufige Scannen ist optional.
- Definitionen für häufiges Scannen und Reparieren für die folgende Gruppe aktivieren: Aktiviert die häufigen Sicherheitsscanfunktionen. Sobald Sie diese Option aktiviert haben, müssen Sie eine benutzerdefinierte Gruppe aus der Dropdownliste auswählen.
- Alle zutreffenden Elemente sofort installieren (reparieren: Klicken Sie hier, damit der Agent einen Patch installieren kann, wenn im angegebenen Ordner ein Patch gefunden wird.
- Planen
- Ereignisgesteuert
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um Definitionen zu scannen und zu reparieren, sobald ein Benutzer angemeldet ist.
- Max. zufällige Verzögerung: Geben Sie einen Wert für die zeitliche Verzögerung beim Scannen ein, um zu vermeiden, dass alle Geräte gleichzeitig gescannt werden, was zu einer Überlastung des Netzwerks führen könnte.
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um Definitionen zu scannen und zu reparieren, sobald ein Benutzer angemeldet ist.
- Zeitplangesteuert
- Zeitplanserie verwenden: Klicken Sie hier, um Definitionen nur innerhalb eines angegebenen Zeitrahmens zu scannen und zu reparieren.
- Einstellungen ändern...: Öffnet das Dialogfeld Local Scheduler-Befehl. Hier können Sie die Parameter für Sicherheitsscans definieren. Dieses Dialogfeld wird von mehreren Ivanti Verwaltungstasks gemeinsam genutzt. Klicken Sie auf die Schaltfläche Hilfe, wenn Sie Genaueres wissen möchten.
- Ereignisgesteuert
- Einstellungen außer Kraft setzen: Wählen Sie im Dropdownfeld die Einstellungen aus, die mit den Einstellungen überschrieben werden sollen, die Sie im Dialogfeld "Verteilung und Patch" angegeben haben.
- Bearbeiten...: Klicken Sie hier, um das Dialogfeld Verteilungs- und Patcheinstellungen für diese spezifische Einstellung zu öffnen.
- Konfigurieren: Klicken Sie hier, um das Dialogfeld Verteilungs- und Patch-Einstellungen konfigurieren zu öffnen. Für detaillierte Informationen klicken Sie auf Hilfe.
Pilotkonfiguration
Verwenden Sie die Seite mit der Pilotkonfiguration zum Testen der Sicherheitsdefinitionen in einer kleinen Gruppe, bevor Sie die Bereitstellung im gesamten Netzwerk durchführen. Sie können z. B. einen neuen Microsoft-Patch nur auf den Geräten innerhalb der IT-Abteilung installieren, um sicherzustellen, dass er keine Probleme verursacht, bevor Sie den Patch im gesamten Unternehmen verteilen. Das Verwenden einer Pilotgruppe ist optional.
- Definitionen in folgenden Gruppen regelmäßig scannen und reparieren: Aktiviert die Pilotsicherheitsfunktionen. Sobald Sie diese Option aktiviert haben, müssen Sie eine benutzerdefinierte Gruppe aus der Dropdownliste auswählen.
- Planen
-
Ereignisgesteuert
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um Definitionen zu scannen und zu reparieren, sobald ein Benutzer angemeldet ist.
- Max. zufällige Verzögerung: Geben Sie einen Wert für die zeitliche Verzögerung beim Scannen ein, um zu vermeiden, dass alle Geräte gleichzeitig gescannt werden, was zu einer Überlastung des Netzwerks führen könnte.
- Wenn sich der Benutzer anmeldet: Klicken Sie hier, um Definitionen zu scannen und zu reparieren, sobald ein Benutzer angemeldet ist.
- Zeitplangesteuert
- Zeitplanserie verwenden: Klicken Sie hier, um Definitionen nur innerhalb eines angegebenen Zeitrahmens zu scannen und zu reparieren.
- Einstellungen ändern...: Öffnet das Dialogfeld Local Scheduler-Befehl. Hier können Sie die Parameter für Sicherheitsscans definieren. Dieses Dialogfeld wird von mehreren Ivanti Verwaltungstasks gemeinsam genutzt. Klicken Sie auf die Schaltfläche Hilfe, wenn Sie Genaueres wissen möchten.
-
Spyware-Scannen
Diese Seite verwenden Sie, um die Spyware-Einstellungen in der Agentenkonfiguration eines Geräts zu ersetzen (oder zu überschreiben).
Die Spyware-Erkennung in Echtzeit überwacht Geräte auf neu gestartete Prozesse, die versuchen, die lokale Registrierung zu manipulieren. Wenn Spyware erkannt wird, fordert der Sicherheitsscanner des Geräts den Endanwender auf, die Spyware zu entfernen.
- Einstellungen aus der Agentenkonfiguration überschreiben: Ersetzt vorhandene Spyware-Einstellungen auf Geräten, die ursprünglich über eine Agentenkonfiguration konfiguriert wurden. Verwenden Sie die nachstehend beschriebenen Optionen, um die neuen Spyware-Einstellungen festzulegen, die Sie für Zielgeräte bereitstellen möchten.
- Einstellungen
- Echtzeit-Spywareblockierung aktivieren: Aktiviert Spyware-Überwachung und Blockierung in Echtzeit auf Geräten, die über diese Agentenkonfiguration verfügen.
HINWEIS: Damit das Echtzeit-Spyware-Scanning und die Spyware-Erkennung funktioniert, müssen Sie die automatische Korrekturfunktion manuell aktivieren, um die heruntergeladenen Spyware-Definitionen im Sicherheitsscan einzuschließen. Die automatische Reparaturfunktion ist für heruntergeladene Spyware-Definitionen standardmäßig nicht eingeschaltet. - Benutzer benachrichtigen, wenn Spyware blockiert wurde: Zeigt eine Meldung an, die den Endanwender informiert, dass ein Spyware-Programm erkannt und repariert wurde.
- Wenn eine Anwendung nicht als Spyware erkannt wird, die Genehmigung des Benutzers für die Installation anfordern: Selbst wenn der erkannte Prozess nicht als Spyware eingestuft wird (gemäß der aktuellen Liste der Spyware-Definitionen für dieses Gerät), wird der Benutzer dennoch zur Bestätigung aufgefordert, bevor die Software auf dem Computer installiert wird.
- Echtzeit-Spywareblockierung aktivieren: Aktiviert Spyware-Überwachung und Blockierung in Echtzeit auf Geräten, die über diese Agentenkonfiguration verfügen.
Optionen installieren/entfernen
Mit den Optionen zum Installieren/Entfernen können Sie festlegen, was ein Agent tun soll, sobald er die Notwendigkeit für einen Patch erkennt.
- Der Neustart steht bereits an: Klicken Sie auf diese Option, wenn die Patchinstallation unabhängig davon gestartet werden soll, ob das Gerät einen Neustart angefordert hat.
Fortsetzung
Auf der Fortsetzungsseite können Sie den Agenten so konfigurieren, dass Patches sofort installiert oder entfernt werden, sobald die angegebenen Kriterien erfüllt sind. Wenn Sie beispielsweise zehn Patches installieren müssen, um eine einzelne Anfälligkeit zu entfernen, bietet die Fortsetzung eine Möglichkeit, um diese nacheinander zu installieren.
- Aktionen zum Installieren/Entfernen automatisch fortsetzen, nachdem die Voraussetzungen erfüllt wurden: Klicken Sie hier, um dem Agenten das automatische Installieren oder Entfernen von Patches zu erlauben, sobald alle Voraussetzungen erfüllt sind.
- Anzahl der zusätzlichen automatischen Reparaturen: Die Standardeinstellung erlaubt 5 automatische Reparaturen. Dies ist ein Mittelweg, um einen Ausgleich zu schaffen zwischen der Dringlichkeit der Patchinstallation und dem Anliegen der Benutzer, ihre Arbeit abzuschließen.
Wartungsfenster
Auf dieser Seite können Sie die Parameter dafür angeben, wann der Agent die Aktionen zum Installieren, Reparieren oder Entfernen ausführen kann.
- Gerät muss diesen Status aufweisen: Klicken Sie hier, um anzugeben, ob der Benutzer abgemeldet oder das Gerät für den angegebenen Zeitraum gesperrt sein muss.
- Verzögern: Mit dieser Option können Sie die Aktion um einige Minuten verzögern, um sicherzustellen, dass der Benutzer nicht an das Gerät zurückkehrt.
- Gerät muss in diesem Zeitfenster liegen: Klicken Sie hier, um das Wartungsfenster zu konfigurieren, indem Sie einen ausführlichen Zeitplan festlegen. Geben Sie die Tageszeit, die Wochentage und die Tage im Monat an. Der Agent wird nur ausgeführt, wenn alle Kriterien erfüllt sind.
In Endpoint Manager 2022 SU5 besteht nun die Möglichkeit, unterschiedliche Zeitpläne für Wartungsfenster basierend auf dem Wochentag zu konfigurieren. Für jeden Tag kann ein einziges Fenster definiert werden. Konfigurieren Sie das gewünschte Fenster und klicken Sie auf die Schaltfläche Hinzufügen, um es zur Liste hinzuzufügen. Nur Fenster, die der Liste hinzugefügt wurden, sind aktiv.
Vor der Reparatur auszuführendes Skript
Auf der Seite "Vor der Reparatur auszuführendes Skript" können Sie einen benutzerdefinierten Befehl ausführen, bevor ein Patch installiert wird. Sie können zum Beispiel ein Skript verwenden, wenn Sie einen bestimmten Dienst ausschalten müssen, um die Umgebung für die Patchausführung vorzubereiten.
- Installation oder Deinstallation des Patches abbrechen, wenn dieses Skript fehlschlägt: Legen Sie fest, ob die Patchinstallation storniert werden soll, wenn das Skript nicht ausgeführt werden kann.
- Beispielskript einfügen...: Klicken Sie hier, um ein VBScript, ein PowerShell-Skript oder eine Batchdatei zur Aufnahme in das Skript vor der Reparatur auszuwählen.
- Methodenaufruf einfügen...: Klicken Sie hier, um eine Liste mit Methodenaufrufen zu öffnen, die Sie dem Skript vor der Reparatur hinzufügen können. Klicken Sie in der Liste auf einen Methodenaufruf, um ihn in das Feld "Skriptinhalt" zu verschieben.
- Editor verwenden...: Klicken Sie hier, um den Texteditor zu öffnen und ein benutzerdefiniertes Skript zu erstellen.
Nach der Reparatur auszuführendes Skript
Auf der Seite "Nach der Reparatur auszuführendes Skript" können Sie einen benutzerdefinierten Befehl ausführen, nachdem ein Patch installiert wurde. Wenn Sie zum Beispiel vor dem Installieren eines Patches ein Skript verwendet haben, um das AntiViren-Programm auszuschalten, können Sie es mit einem nach der Reparatur auszuführenden Skript wieder einschalten.
- Dieses Skript auch dann ausführen, wenn das Skript vor der Reparatur fehlgeschlagen ist: Legen Sie fest, ob der Patch deinstalliert werden soll, wenn das nach der Reparatur auszuführende Skript nicht ausgeführt werden kann.
- Beispielskript einfügen...: Klicken Sie hier, um ein VBScript, ein PowerShell-Skript oder eine Batchdatei zur Aufnahme in das Skript nach der Reparatur auszuwählen.
- Methodenaufruf einfügen...: Klicken Sie hier, um eine Liste mit Methodenaufrufen zu öffnen, die Sie dem Skript nach der Reparatur hinzufügen können. Klicken Sie in der Liste auf einen Methodenaufruf, um ihn in das Feld "Skriptinhalt" zu verschieben.
- Editor verwenden...: Klicken Sie hier, um den Texteditor zu öffnen und ein benutzerdefiniertes Skript zu erstellen.
MSI-Informationen
Diese Seite verwenden Sie, wenn eine Patchdatei auf ihre ursprüngliche Produkt-Installationsressource zugreifen muss, um erforderliche Zusatzdateien zu installieren. Diese Informationen werden u.U. benötigt, wenn Sie versuchen, ein Patch für Microsoft Office oder eine andere Produkt-Suite anzuwenden.
- Speicherort des Originalpakets: Geben Sie den UNC-Pfad zum Produktabbild ein.
- Zu verwendende Anmeldeinformationen, wenn auf den Speicherort des Originalpakets verwiesen wird: Geben Sie einen gültigen Namen und ein gültiges Kennwort für die Authentifizierung bei der oben angegebenen Netzwerkfreigabe ein.
- /overwriteoem-Befehlszeilenoption ignorieren: Gibt an, dass der Befehl zum Überschreiben OEM-spezifischer Instruktionen ignoriert wird. Das heißt mit anderen Worten, dass die OEM-Instruktionen ausgeführt werden.
- Als Information ausführen: Anmeldeinformationen zum Ausführen von Patches: Geben Sie einen gültigen Benutzernamen und ein Kennwort ein, um den angemeldeten Benutzer zum Ausführen von Patches zu identifizieren.
Branding
Auf der Seite "Branding" können Sie das Statusdialogfeld anpassen, das den Benutzer über einen Scan oder einen anderen geplanten Task benachrichtigt. Weitere Informationen zum Anzeigen und Ein- oder Ausblenden des Dialogfelds finden Sie unter Benachrichtigung.
Das Dialogfeld "Branding" enthält folgende Optionen:
- Fensterbeschriftung anpassen: Geben Sie einen Titel für das Dialogfeld ein.
- Vorschau...: Klicken Sie hier, um das Dialogfeld mit dem benutzerdefinierten Symbol und dem Banner anzuzeigen, das der Benutzer sehen wird.
Benutzerfeedback
Die Seite "Benutzerfeedback" ermöglicht die Echtzeitüberwachung von Dateiänderungen und Dateilöschungen, die durch Patches vorgenommen wurden. Wenn diese Option aktiviert ist, wird ein zusätzlicher Treiber auf verwalteten Geräten installiert, der diese Informationen erfasst.
Die Option fügt ein Symbol zur Taskleiste hinzu. Wenn der Benutzer doppelt auf dieses Symbol klickt, wird das Dialogfeld "Anwendung melden" aufgerufen.
- Dem Benutzer erlauben, beschädigte Anwendungen zu melden: Aktiviert die Option "Benutzerfeedback" auf verwalteten Geräten.