Patchautomatisierung (2020.1 SU1)

Ivanti® Endpoint Manager 2020.1 SU1 beinhaltet ein neues Tool für die Automatisierung von Patches, mit dem sich monatliche Patchkampagnen erheblich vereinfachen und automatisieren lassen. Die Patchautomatisierung führt Sie durch den Erstellungsprozess für Patchkampagnen. Sie entscheiden, wann wer Patches erhält. Da Patches kumuliert werden, können Sie in Echtzeit überwachen, welche Objekte gepatcht werden.

Wenn die Patchschritte der Kampagne starten, sehen Sie die Erfolgsquote der Patches direkt bei der Anwendung. Sie können dann entscheiden, die Testgruppen für die Patchschritte sukzessive zu erweitern. Nachdem Sie einen Kampagnenprozess für die Patchautomatisierung erstellt haben, der für Ihr Unternehmen und Ihre Risikotoleranz geeignet ist, kann dieser jeden Monat mit reduzierter Überwachung automatisiert werden.

IMPORTANT: Wenn Sie dieses Tool zum ersten Mal verwenden, beachten Sie unbedingt die Konfigurationsschritte unter Vor dem Verwenden der Patchautomatisierung.

Nachdem Sie eine Patchkampagne konfiguriert haben, wird diese jeden Monat automatisch wiederholt. Sie konfigurieren, wann die Patchkampagne startet. Beispiel: Wenn Sie beschließen, dass Ihre Kampagne immer zwei Tage nach dem Patch-Dienstag startet, kumuliert die Patchautomatisierung bis dahin sämtliche Patches. Sie können eine unbegrenzte Anzahl von Patchkampagnen konfigurieren. Die Kampagnen sind voneinander unabhängig.

Endpoint Manager 2021.1 SU2 unterstützt eigenständige Einzelpatch-Kampagnen, die Sie nach Bedarf ausführen können. Diese Kampagnen werden nicht automatisch wiederholt.

Endpoint Manager 2022 SU1 bietet Unterstützung für benutzerdefinierte Patchkampagnen, die nur einmal ausgeführt werden. Diese Kampagnen basieren auf von Ihnen erstellten Anfälligkeitsgruppen, die Sie in der Kampagne auswählen können. Benutzerdefinierte Kampagnen bieten sich an, wenn Sie eine Kampagne ausführen möchten, die nicht auf Anbietersicherheit ausgerichtet ist.

Die Kampagne beginnt jeden Monat mit dem Herunterladen der Anfälligkeiten. In dieser Phase werden die von der Kampagne in dem Monat abgedeckten Anfälligkeiten identifiziert und heruntergeladen. Beim ersten Schritt der ersten Kampagne können Sie zusätzliche Tage konfigurieren, für die Anfälligkeiten berücksichtigt werden sollen. Damit können im ersten Monat der Kampagne auch Anfälligkeiten berücksichtigt werden, die vor dem Erstellen der Kampagne erkannt wurden.

Die Binärdateien für die Patches werden basierend auf der Richtlinie heruntergeladen, die Sie in Endpoint Manager konfiguriert haben. Durch Übernehmen der empfohlenen Einstellung für tägliche Scans für alle Anfälligkeiten wird sichergestellt, dass die Patchbinärdateien heruntergeladen werden, bevor die Patches auf den Endpunkten bereitgestellt werden. Patches, die kein automatisches Herunterladen unterstützen, müssen weiterhin manuell heruntergeladen werden.

Anschließend beginnt die monatliche Bereitstellungsphase. Die Kampagnenschritte werden in der Reihenfolge ausgeführt, die auf der Seite Patchschritte angegeben ist. Sie können beliebig viele Kampagnenschritte konfigurieren. Für jeden Schritt können eigene Ziele und Patchannahmekriterien festgelegt werden. Sie können steuern, ob die Schrittausführung automatisch fortgesetzt wird, wenn die Annahmekriterien erfüllt sind, oder ob Sie die Fortsetzung manuell per Rechtsklick auslösen möchten.

Wir empfehlen Ihnen, für jede Kampagne mindestens Folgendes zu konfigurieren:

  • Eine kleine Pilotgruppe, um etwaige Schäden zu begrenzen
  • Eine erweiterte Pilotgruppe, um seltene Probleme zu identifizieren
  • Eine Produktionsgruppe, die für alle bereitgestellt wird

Gehen Sie bei jeder Kampagne folgendermaßen vor:

  1. Geben Sie auf der Seite Allgemein einen Namen für die Kampagne ein und definieren Sie, wann die Patchkampagne eines Monats in Bezug auf den Patch-Dienstag startet. Ab Version 2021.1 SU2 steht eine Option für eine Einzelpatch-Kampagne zur Verfügung.
  2. Wählen Sie auf der Seite Produkte die Produkte aus, für die während der Kampagne Patches abgerufen werden sollen. Über das Feld Produkt suchen lassen sich bestimmte Produkte schnell ermitteln.
  3. Wählen Sie auf der Seite Schweregrade: die Schweregrade der Anfälligkeiten aus, die mit einem Patch behoben werden sollen. Über das Feld Schweregrad suchen lassen sich bestimmte Schweregrade schnell ermitteln.
  4. Fügen Sie auf der Seite Patchschritte Testgruppenschritte hinzu und konfigurieren Sie diese (Pilot, Erweiterter Pilot, Produktion usw.). Im folgenden Abschnitt finden Sie weitere Informationen zu Kampagnenschritten.
  5. Version 2021.1 SU2 bietet die neue Seite Automatische Korrektur. Dort können Sie die automatische Korrektur global festlegen und einen Bereich mit Geräten auswählen, die automatisch korrigiert werden sollen. Diese Option bietet sich an, um bestimmte Geräte, wie Server, von der automatischen Korrektur auszuschließen.
  6. Konfigurieren Sie auf der Seite Anfälligkeiten, wie das Herunterladen von Inhalten im ersten Monat gehandhabt werden soll. Dies bietet sich an, um Patches einzuschließen, die verfügbar wurden, bevor Sie die Kampagne gestartet haben. Nach dem ersten Monat werden die Inhalte für die einzelnen Monate automatisch heruntergeladen.
  7. Überprüfen Sie auf der Seite Übersicht die konfigurierten Details zur Kampagne auf Richtigkeit.

Gehen Sie für jeden Kampagnenschritt auf der Seite Patchschritte folgendermaßen vor:

  1. Klicken Sie auf die Schaltfläche Schritt hinzufügen, um einen neuen Schritt hinzuzufügen. Beginnen Sie mit einer Pilotgruppe, auf die die Patches zuerst angewendet werden. Beim letzten Schritt können Sie mit der Option Globales automatisches Korrigieren aktivieren festlegen, dass die Kampagne auf alle Geräte angewendet wird, nachdem die Schritte in der anfangs kleineren Bereitstellung erfolgreich ausgeführt worden sind. Dazu muss Automatisches Korrigieren aktivieren bei den Agenteneinstellungen für Verteilung und Patch aktiviert sein.
  2. Vergeben Sie auf der Registerkarte Details einen Namen für den Schritt und fügen Sie Ziele hinzu, auf denen der Schritt bereitgestellt werden soll.
  3. Wählen Sie auf der Registerkarte Annahmekriterien die Dauer aus, die der Schritt in Anspruch nehmen darf. Wenn der Schritt startet, wird ein geplanter Reparaturtask auf den Zielgeräten für diesen Schritt ausgeführt. Der Schritt wartet dann die von Ihnen festgelegte Dauer ab. Nach Ablauf des Zeitrahmens wird die Erfolgsquote berechnet. Definieren Sie, wann ein Test als erfolgreich gilt. Bei Erfolg wird die Fortsetzung in der nächsten Gruppe ausgelöst, z. B. in der Pilotgruppe oder erweiterten Pilotgruppe.
  4. Wählen Sie auf der Registerkarte Genehmigung und Updates aus, ob automatisch mit dem nächsten verfügbaren Schritt fortgefahren werden soll, oder ob Sie jeden Schritt manuell bestätigen möchten, indem Sie in der Übersichtsansicht mit der rechten Maustaste auf den Schritt klicken. Sie können auch E-Mail-Benachrichtigungen über den Abschluss der einzelnen Schritte konfigurieren.

Annahmekriterien

Die Registerkarte "Annahmekriterien" für die einzelnen Kampagnenschritte verfügt über zwei Optionen:

  • Erfolgsquote der Bereitstellung: Jeder Patch dieser Kampagne muss erfolgreich auf den zugewiesenen Geräten bereitgestellt werden. Wird der Patch nicht erfolgreich angewendet (installiert), gilt er als fehlgeschlagener Patch. Wenn ein Endpunkt während der gesamten Dauer eines Schritts offline war, gilt dies nicht als fehlgeschlagen.

  • Gemeldete erfolgreiche Patches – Quote: Erfordert und verwendet die Funktion "Daten zu erfolgreichen Patches erfassen". Diese erkennt, wenn Anwendungen abstürzen und meldet die zugehörigen Daten an den Coreserver. Die Quote gilt nur für Endpunkte, auf denen der Patch erfolgreich installiert wurde. Beispiel: Wenn ein Patch nur auf 50% der Endpunkte erfolgreich installiert wurde, kann die Quote der erfolgreichen Patches trotzdem 100% betragen, nämlich dann, wenn keine Abstürze oder manuellen Berichte für den Patch erkannt wurden.

    Die Funktion "Daten zu erfolgreichen Patches erfassen" funktioniert nur bei Windows-Anwendungspatches von Drittanbietern (nicht von Microsoft und nicht im .msu-Format). Wenn es sich bei dem Patch um eine Microsoft Windows Update .msu-Datei handelt oder wenn er sich auf ein anderes Betriebssystem bezieht, wird er nicht bei den gemeldeten erfolgreichen Patches erfasst.

Sie können automatisch mit dem nächsten Schritt fortfahren, wenn die Annahmekriterien erfüllt sind. Sie haben aber auch die Möglichkeit, die Ergebnisse zu überprüfen und dann manuell zu entscheiden, ob Sie fortfahren möchten.

Anzeigen von Fortschritt und Status einer Patchkampagne

Wenn Sie eine Kampagne erstellen, befindet sie sich zunächst im geplanten Status. In diesem Status kumuliert sie die Patches, die Teil der Kampagne sein werden. Die Kampagnenschritte starten erst, wenn das Intervall bis zum nächsten Patch-Dienstag abgelaufen ist, korrigiert um die von Ihnen festgelegte Anzahl von Tagen. Nach Ablauf eines Monats erstellt das Tool automatisch eine neue Kampagne für den nächsten Monat. Diese befindet sich dann ebenfalls zunächst im geplanten Status. Es gibt sechs mögliche Status: Aktiv, Geplant, Wird angehalten, Angehalten, Abgeschlossen und Fehlgeschlagen.

Tipps für das Anzeigen des Kampagnenstatus:

  • Durch Klicken auf die Hauptkampagne wird der Status für die gesamte Kampagne aufgerufen.
  • Durch Klicken auf die monatlichen Kampagnen unterhalb einer Kampagne erhalten Sie den Status für den jeweiligen Monat, den Sie angeklickt haben.
  • Unter jeder Kampagne finden Sie außerdem die Anfälligkeiten und Zielgeräte der Kampagne.
  • Klicken Sie in der Ansicht Anfälligkeiten mit der rechten Maustaste und wählen Sie für den Genehmigungstatus Genehmigen, Ablehnen oder Zurücksetzen aus. Das Ändern des Genehmigungsstatus bietet sich vorrangig für manuell genehmigte Schritte an. Die Erfolgsquote der Bereitstellung wird nach Abschluss des letzten Schritts berechnet.
  • Wurde ein Schritt angehalten, entweder manuell oder weil er auf eine manuelle Genehmigung wartet, können Sie über die Ansicht Anfälligkeiten die Anfälligkeiten einzeln Genehmigen oder Ablehnen. Wird eine Anfälligkeit genehmigt, wird sie bei der Berechnung der Erfolgsquote berücksichtigt. Wird eine Anfälligkeit abgelehnt, wird sie von der Berechnung der Erfolgsquote ausgenommen, ebenso wie von der Bereitstellung für die Kampagne.
  • In der Ansicht Anfälligkeiten können Sie außerdem eine Patch-Auswirkungsanalyse durchführen oder einen Reparaturtask anlegen.
  • In 2020.1 SU3 wird in der Ansicht Anfälligkeiten über die Rechtsklickoption Betroffene Computer angezeigt, welche Computer von der ausgewählten Anfälligkeit betroffen sind. Dies ist ein Snapshot, der am Ende jedes Schritts erstellt wird.
  • Aus der Ansicht Geräte gehen die Gesamtzahl der Patches hervor sowie die Anzahl der für jedes Gerät bereitgestellten bzw. fehlgeschlagenen Patches.

Ihr Feedback ist gefragt

Wir möchten gerne wissen, was Sie von dieser Funktion halten. Klicken Sie im Tool für Patchautomatisierung in der Symbolleiste auf die Schaltfläche Wie könnte die Patchautomatisierung verbessert werden?. Daraufhin wird ein Formular aufgerufen, indem Sie uns Ihr Feedback hinterlassen können. Wir freuen uns auf Ihre Anregungen!