Das Extra "Patch und Compliance" öffnen und verstehen
(Informationen zum neuen Tool für Patchautomatisierung finden Sie hier.)
Das Extra "Patch und Compliance" wird wie alle anderen Ivanti Extras entweder über das Menü "Extras" oder die Symbolleiste geöffnet und kann mit anderen offenen Extrafenstern verankert oder unverankert sein oder über Registerkarten verfügen.
Um das Extra "Patch und Compliance" zu öffnen, klicken Sie auf Extras > Sicherheit und Compliance > Patch und Compliance.
Der linke Fensterausschnitt zeigt eine strukturierte Ansicht mit Sicherheitstyp-Definitionen und zu Gruppen zusammengefassten Erkennungsregeln.
Der rechte Fensterausschnitt zeigt Informationen zu dem, was in der Strukturansicht ausgewählt ist. Wenn "Patch-und Compliance" ausgewählt ist, können Sie ein Dashboard mit Berichten anzeigen. Sind andere Elemente ausgewählt, werden eine Liste der Definitionsdetails der ausgewählten Gruppe sowie eine Funktion zur Suche in langen Listen angezeigt.
Folgende Zeichen des erweiterten Zeichensatzes werden im Suchfeld nicht unterstützt: < > ' " !
IMPORTANT: Das Recht "Patch und Compliance"
Damit Benutzer auf das Extra "Patch und Compliance" zugreifen können, müssen sie entweder Ivanti Administrator sein oder über das Recht "Patch und Compliance" verfügen. Weitere Informationen über Benutzerrollen und -rechte finden Sie unter Rollenbasierte Administration – Übersicht.
Schaltflächen der Symbolleiste
Das Fenster des Extras "Patch und Compliance" enthält eine Symbolleiste, auf der sich folgende Schaltflächen befinden:
•Alle Typen: Zeigt die Art des anzuzeigenden Inhalts an. Wenn Sie "Antivirus" auswählen, werden nur heruntergeladenen Scanner-Erkennungsdefinitionen aufgelistet. Spezifische Ivanti Antivirus-Virendefinitionsdateien werden nicht aufgelistet.
•Global (alle Geräte) Schränkt die angezeigten Elemente auf einen bestimmten Bereich ein.
•Alle Elemente: Filtert die angezeigten Elemente gemäß einem benutzerdefinierten Filter. Informationen zum Erstellen und Verwenden eines benutzerdefinierten Filters finden Sie unter Anpassen von Elementlisten mit Filtern.
•Updates downloaden: Öffnet ein Dialogfeld, in dem Sie den Sicherheitsinhalt angeben können, den Sie herunterladen möchten. Dazu gehört die Auswahl der Plattformen und Sprachen sowie die Angabe, auf welchen Sicherheitsinhaltsserver zugegriffen werden soll. Sie können außerdem festlegen, ob Definitionen in die Gruppe "Nicht zugewiesen" eingefügt und ob verknüpfte Patches gleichzeitig heruntergeladen werden sollen. Des Weiteren können Sie den Speicherort für heruntergeladene Patches und die Proxyserver-Einstellungen angeben.
•Task erstellen: Enthält eine Dropdownliste, in der Sie auswählen können, welche Art von Aufgabe Sie erstellen möchten:
•Sicherheitsscan: Hiermit können Sie einen Sicherheitsscantask erstellen und festlegen, ob es sich bei dem Scan um einen geplanten Task oder eine Richtlinie handelt. Sie können ferner Anzeigeoptionen für den Sicherheitsscanner, Neustart- und Interaktionsverhalten sowie die zu scannenden Inhaltstypen festlegen.
•Compliancescan: Hiermit können Sie einen Sicherheitsscantask erstellen, der Zielgeräte gezielt auf Konformität mit Ihrer aktuellen Sicherheitsrichtlinie hin überprüft, wie sie über den Inhalt der Compliance-Gruppe definiert ist.
•Einstellungen ändern: Hiermit können Sie einen Task erstellen, der die Standardeinstellungen auf einem verwalteten Gerät ändert, indem er die definierte Einstellungskennung in die lokale Registrierung des Geräts schreibt. Dieser Task ist eine schnelle und praktische Möglichkeit, nur die Einstellungen zu ändern, die Sie tatsächlich ändern möchten, ohne erneut eine vollständige Geräteagentenkonfiguration bereitstellen zu müssen.
•Neu starten: Hier können Sie einen Geräteneustarttask erstellen und Reparatur- und Scaneinstellungen auswählen, die das Verhalten für die Anzeige und Interaktion festlegen. Beachten Sie, dass für diesen Task nur die Optionen auf der Seite "Neu starten" des Dialogfelds gelten.
•Reparieren: Hiermit können Sie einen Sicherheitsreparaturtask erstellen, der erkannte Schwachstellen auf gescannten Geräten repariert. Sie können die Reparatur als geplanten Task, als Richtlinie, oder als Task und Richtlinie konfigurieren, Einstellungen für Scannen und Reparieren definieren und Patches downloaden. Beachten Sie, dass zum Erstellen eines Reparaturtasks zunächst mindestens eine reparierbare Sicherheitsdefinition ausgewählt werden muss.
•Vergangenheitsdaten erfassen: Hiermit können Sie einen Task erstellen, mit dem aktuelle Scan- und Erkennungszahlen (für eine bestimmte Anzahl von Tagen) zur Verwendung in Berichten gespeichert werden. Sie können auch einen geplanten Task erstellen und konfigurieren, der dieselbe Aktion ausführt.
•Einstellungen konfigurieren: Enthält eine Dropdownliste, in der Sie auswählen können, welche Einstellungen Sie konfigurieren, ändern oder aktualisieren möchten:
•Agenteneinstellungen: Hiermit können Sie Agenteneinstellungen erstellen, bearbeiten, kopieren und löschen. Die Agenteneinstellungen legen fest, ob der Sicherheitsscanner während der Ausführung auf Geräten angezeigt wird, welche Neustartoptionen gelten, wie sich die Interaktion mit den Benutzern gestaltet und welche Sicherheitsinhalte gescannt werden.
•Definitionsgruppeneinstellungen: Hiermit können Sie Definitionsgruppeneinstellungen zur Automatisierung von Downloads für Sicherheitsinhalte erstellen, bearbeiten, kopieren und löschen.
•Alarmeinstellungen: Hiermit können Sie globale Sicherheitsalarme konfigurieren.
•Core-Einstellungen: Hier können Sie Scanergebnisse, Wiederholversuche für "Automatisches Korrigieren" und die Rollup-Core-Konfiguration verwalten.
•Berechtigungen: Hier können Sie die Berechtigungen des aktuellen Benutzers in der Konsole für Patch und Compliance anzeigen. Sie können auch anpassen, wie die Konsole die Berechtigungen "Bearbeiten" und "Öffentlich bearbeiten" interpretiert.
•Kennzeichen verwalten: Ermöglicht das Erstellen, Bearbeiten und Löschen von Kennzeichen zum Organisieren und Ordnen von Patchinhalten.
•Dashboard in separatem Fenster anzeigen: Öffnet das Dashboard "Patch und Compliance", in dem Sie Diagramme anzeigen und anordnen können, die Patchinformationen enthalten.
•Definitionen importieren: Hiermit können Sie eine XML-Datei importieren, die angepasste Definitionen enthält.
•Definitionen exportieren: Hiermit können Sie eine benutzerdefinierte Definition als XML-Datei exportieren.
•Scaninformationen: Hiermit können Sie für alle von Ihnen verwalteten Geräte detaillierte Informationen zu Patch und Compliance-Aktivität und -Status anzeigen, und zwar nach bestimmten Kategorien gruppiert, wie z. B. ob kürzlich gescannt oder dem Schweregrad.
•Computer, die nicht den Vorgaben entsprechen: Listet Geräte auf, die auf Einhaltung der vordefinierten Compliance-Sicherheitsrichtlinie gescannt wurden (basierend auf dem Inhalt der Compliance-Gruppe), und als fehlerhaft oder nicht sicherheitskonform angesehen werden.
•Aktualisieren: Aktualisiert den Inhalt der ausgewählten Gruppe.
•Hinzufügen: In Abhängigkeit von der Auswahl in der Baumstruktur wird ein neues Diagramm, eine kundenspezifische Definition oder ein Kennzeichen erstellt. Sofern das ausgewählte Element in der Baumstruktur eine benutzerdefinierte Definition erstellen darf, wird eine benutzerdefinierte Definition hinzugefügt. Wenn "Patch und Compliance" ausgewählt ist, wird ein neues Diagramm hinzugefügt. Falls "Kennzeichen" ausgewählt ist, wird ein neues Kennzeichen erstellt.
•Eigenschaften: Zeigt die Eigenschaften des ausgewählten Diagramms, der ausgewählten Gruppe oder der ausgewählten Definition.
•Ausgewählte Elemente löschen: Entfernt das ausgewählte Element aus der Coredatenbank.
•Patch- und Compliancedefinitionen löschen: Hier können Sie die Plattformen und Sprachen festlegen, deren Definitionen aus der Coredatenbank entfernt werden sollen. Nur ein Ivanti Administrator kann diesen Vorgang ausführen.
•Ersetzte Regeln deaktivieren: Hier können Sie auswählen, wie ersetzte Regeln gehandhabt werden. Ersetzte Regeln sind Regeln, die durch andere Definitionen in Ihrer Umgebung außer Kraft gesetzt werden.
•Hilfe: Öffnet die Hilfe im Abschnitt über Patch und Compliance.
Alle Elemente (Definitionen in der Strukturansicht)
Das Stammobjekt der Strukturansicht enthält alle Sicherheitstypen, einschließlich Anfälligkeiten, Spyware, Sicherheitsbedrohungen, blockierte Anwendungen und Gruppen mit benutzerdefinierten Definitionen.
DieGruppe Alle Typen enthält die folgenden Untergruppen:
•Scannen: (Für den Typ "Blockierte Anwendungen" heißt diese Gruppe Verweigern.) Listet alle Sicherheitsdefinitionen aus, nach denen beim Ausführen des Sicherheitsscanners auf verwalteten Geräten gesucht wird. Das heißt, wenn eine Definition in diese Gruppe eingefügt wird, ist sie Teil des nächsten Scanvorgangs. Andernfalls ist sie es nicht.
Gesammelte Definitionen werden während eines Inhaltsupdates standardmäßig der Gruppe "Scannen" hinzugefügt. (WICHTIG: Blockierten Anwendungen werden standardmäßig zur Gruppe "Nicht zugewiesen" hinzugefügt.)
"Scannen" ist einer von drei möglichen Zuständen einer Sicherheitsdefinition; die anderen beiden sind "Nicht scannen" und "Nicht zugewiesen". Eine Definition kann immer nur jeweils einer dieser drei Gruppen angehören. Für eine Definition gilt entweder "Scannen", "Nicht scannen" oder "Nicht zugewiesen". Für jeden Zustand gibt es ein eindeutiges Symbol (ein Fragezeichen [?] für "Nicht zugewiesen, ein rotes X für "Nicht scannen" und das reguläre Anfälligkeitssymbol für "Scannen"). Beim Verschieben einer Definition von einer Gruppe in eine andere ändert sich automatisch ihr Zustand.
Indem Sie Definitionen in die Gruppe "Scannen" verschieben (durch Ziehen einer oder mehrerer Definitionen aus einer anderen Gruppe – mit Ausnahme der Gruppe "Erkannte Anfälligkeiten"), können Sie Art und Größe des nächsten Sicherheitsscans auf Zielgeräten bestimmen.
CAUTION: Verschieben von Definitionen aus der Gruppe "Scannen"
Wenn Sie Definitionen aus der Gruppe "Scannen" in die Gruppe "Nicht scannen" verschieben, werden die (Informationen, die darüber Auskunft geben, welche Geräte diese Definitionen erkannt haben, aus der Coredatenbank entfernt und stehen somit nicht mehr im Dialogfeld "Eigenschaften" einer Definition oder im Dialogfeld "Sicherheits- und Patchinformationen" des Geräts zur Verfügung.
•Erkannt: Listet alle Definitionen auf, die von Sicherheitsscans für alle Geräte in diesem Scanauftrag erkannt wurden. Der Inhalt dieser Gruppe ist kumulierend, da er alle Sicherheitsscans zusammenfasst, die in Ihrem Netzwerk ausgeführt werden. Aus dieser Gruppe werden Definitionen nur durch erfolgreiche Reparatur, durch Entfernen aus der Gruppe "Scannen" und erneutes Ausführen des Scans oder durch tatsächliches Entfernen des betroffenen Geräts aus der Datenbank entfernt.
Die Liste "Erkannt" setzt sich aus allen beim letzten Scan erkannten Sicherheitsdefinitionen zusammen. Die Spalten "Gescannt" und "Erkannt" geben an, wie viele Geräte gescannt wurden und auf wie vielen davon die Definition erkannt wurde. Wenn Sie sehen möchten, auf welchen Geräten eine Definition erkannt wurde, klicken Sie mit der rechten Maustaste auf das betreffende Element und wählen Betroffene Computer.
Beachten Sie, dass Sie auch gerätespezifische Anfälligkeitsinformationen anzeigen können, indem Sie mit der rechten Maustaste auf ein Gerät in der Netzwerkansicht klicken und anschließend Sicherheit und Patch > Sicherheits- und Patchinformationen wählen.
Sie können Definitionen nur aus der Gruppe "Erkannt" in die Gruppe "Nicht zugewiesen" oder "Nicht scannen" verschieben.
Beachten Sie, dass die Erkennungsregeln einer Definition nicht nur aktiviert sein müssen, sondern die entsprechende ausführbare Patchdatei in einen lokalen Speicherort für Patches in Ihrem Netzwerk heruntergeladen werden muss (in der Regel auf den Coreserver), damit eine Reparatur stattfinden kann. Das Attribut "Heruntergeladen" gibt an, ob das mit dieser Regel assozierte Patch heruntergeladen wurde.
•Nicht scannen: (Für "Blockierte Anwendungen" ist dies die Gruppe Nicht blockieren.) Listet alle Definitionen auf, nach denen beim nächsten Ausführen des Sicherheitsscanners auf Geräten nicht gesucht wird. Wie oben bereits erwähnt, kann eine in dieser Gruppe enthaltene Definition nicht auch gleichzeitig in der Gruppe "Scannen" oder "Nicht zugewiesen" enthalten sein. Sie können Definitionen in diese Gruppe verschieben, um sie vorübergehend von einem Sicherheitsscan auszuschließen.
•Nicht zugewiesen: Listet alle Definitionen auf, die weder in die Gruppe "Scannen" noch "Nicht scannen" gehören. Die Gruppe "Nicht zugewiesen" ist im Wesentlichen ein Wartebereich für gesammelte Definitionen, bis Sie entscheiden, ob danach gescannt werden soll oder nicht.
Sie können eine oder mehrere Definitionen aus der Gruppe "Nicht zugewiesen" durch Ziehen in die Gruppe "Scannen" oder in die Gruppe "Nicht scannen" verschieben.
Neue Definitionen können zudem während eines Inhaltsupdates automatisch zur Gruppe "Nicht zugewiesen" hinzugefügt werden, indem Sie die Option Neue Definitionen der Gruppe "Nicht zugewiesen" zuordnen im Dialogfeld Updates herunterladen auswählen.
•Nach Produkt anzeigen: Listet alle Definitionen nach Produktuntergruppen sortiert auf. Diese Untergruppen helfen Ihnen, Definitionen nach der relevanten Produktkategorie zu unterscheiden.
•Nach Anbieter anzeigen: Listet alle Definitionen nach Produktuntergruppen sortiert auf. Diese Untergruppen helfen Ihnen, Definitionen nach relevanten Anbietern zu unterscheiden.
Sie können diese Produktuntergruppen dazu verwenden, Definitionen in die Gruppe "Scannen" für produktspezifische Scanvorgänge zu kopieren oder um sie in eine benutzerdefinierte Gruppe (siehe unten) zu kopieren, um eine Gruppe von Produkten in einem Arbeitsgang zu reparieren.
Definitionen können aus einer Produktgruppe in die Gruppe "Scannen", "Nicht scannen" oder "Nicht zugewiesen" oder in eine der benutzerdefinierten Gruppen kopiert werden. Sie können gleichzeitig in Plattform-, Produkt- und mehrfachen Kundengruppen vorkommen.
Gruppen
Mit einer Gruppe können Sie Aktionen (wie etwa einen zielgerichteten Scan, einen Reparaturtask oder eine Abfrage) für eine bestimmte Reihe von Definitionen durchführen. Zum Beispiel: Sie können eine Gruppe "Bereit zur Reparatur" erstellen, die Patches enthält, die getestet wurden und bereit sind, übernommen zu werden.
Eine Definition kann zu mehreren Gruppen gleichzeitig gehören. Beim Hinzufügen einer Definition zu einer Gruppe, wird deren Status in einem Ordner Scannen oder Nicht scannen nicht geändert. Allerdings können Sie Tasks für die Gruppe ausführen, mit denen die Definitionen verschoben werden.
Das Objekt Gruppen umfasst die folgenden Standarduntergruppen:
•Benutzerdefinierte Gruppen: Listet die von Ihnen erstellten Gruppen und die darin enthaltenen Definitionen auf. Eigene benutzerdefinierte Gruppen ermöglichen es Ihnen, Sicherheitsdefinitionen Ihren eigenen Vorstellungen entsprechend zu organisieren.
Zum Erstellen einer benutzerdefinierten Gruppe klicken Sie mit der rechten Maustaste auf Eigene benutzerdefinierte Gruppen (oder eine Untergruppe) und anschließend auf Neue Gruppe.
Um Definitionen zu einer benutzerdefinierten Gruppen hinzuzufügen, ziehen Sie eine oder mehrere Definitionen aus einer der anderen Definitionsgruppen. Sie können aber auch mit der rechten Maustaste auf eine benutzerdefinierte Gruppe klicken und anschließend auf Definition hinzufügen klicken.
•Vordefinierte Gruppen: Hier werden alle vordefinierten Gruppen von Anfälligkeitsdefinitionen aufgelistet, die dem jeweiligen Abonnement für Ivanti® Endpoint Security for Endpoint Manager Sicherheitsinhalte entsprechen. Diese Gruppe könnte beispielsweise veröffentlichte Definitionen der Branche enthalten, wie zum Beispiel die "SANS Top 20", d. h. die von Microsoft erkannten und veröffentlichten Top 20 Anfälligkeitsdefinitionen.
•Alarm: Listet alle Definitionen auf, die eine Alarmnachricht generieren, wenn der Sicherheitsscanner das nächste Mal auf Geräten ausgeführt wird.
•Compliance: Listet alle Definitionen auf, mit denen entschieden wird, ob der Zustand eines Geräts "Fehlerfrei" oder "Fehlerhaft" ist. Die Definitionen und damit verbundenen Patchdateien, die in der Gruppe "Compliance" enthalten sind, werden auf einen speziellen Reparaturserver kopiert. Dieser Server scannt Geräte, entscheidet über Compliance oder Nicht-Compliance und kann nicht konforme Geräte reparieren, damit sie vollständigen Zugriff auf das Unternehmensnetzwerk erhalten. Wenn Sie über die Schaltfläche Task erstellen einen Compliancescan ausführen, werden die Definitionen in dieser Gruppe herangezogen.
Kennzeichen
Kennzeichen sind eine Möglichkeit, Definitionen zu ordnen. Einer Definition können mehrere Kennzeichen zugeordnet sein. Erstellen Sie einen Filter oder eine Abfrage, um die Details der Definitionen anzuzeigen, die mit Kennzeichen versehen wurden.
Anhand von Kennzeichen werden keine Aktionen ausgeführt. Wenn Sie Definitionen ordnen und dann Aktionen auf der Grundlage der Gruppierungen ausführen möchten, verwenden Sie eine Gruppe anstatt eines Kennzeichens. Ein Rolloutprojekt kann die mit einer Definition verknüpften Kennzeichen bearbeiten, dabei werden aber keine Aktionen auf der Grundlage des Kennzeichenzustands ausgeführt.
Zum Verwalten von Kennzeichen klicken Sie auf Einstellungen konfigurieren > Kennzeichen verwalten.
Erkennungsregeln
Das Objekt Erkennungsregeln wird in der Baumstruktur nur dann angezeigt, wenn Sie Anfälligkeit oder Benutzerdefinierte Definition als Typ ausgewählt haben. Dieses Objekt zeigt die Erkennungsregeln, die mit Definitionen verknüpft sind.
IMPORTANT: Sicherheitsdefinitionstypen, die Erkennungsregeln verwenden
Diese Regeln definieren die spezifischen Bedingungen (des jeweiligen Betriebssystems, der Anwendung, der Datei oder Registrierung), nach der eine Anfälligkeitsdefinition sucht, um das damit verbundene Sicherheitsrisiko zu erkennen. Definitionen (d. h. Inhaltstypen), die Erkennungsregeln verwenden, sind u. a. Anfälligkeiten und benutzerdefinierte Definitionen. Spyware und blockierte Anwendungen verwenden keine Erkennungsregeln.
Die Gruppe Erkennungsregeln enthält die folgenden Untergruppen:
•Scannen: Listet alle Erkennungsregeln auf, die für das Sicherheitsscannen auf Geräten aktiviert sind. Erkennungsregeln werden automatisch in diese Liste aufgenommen, wenn Sie den Patchinhalt aktualisieren.
•Nicht scannen: Listet alle Erkennungsregeln auf, die für das Sicherheitsscannen auf Geräten deaktiviert sind. Einige Definitionen können mit mehreren Erkennungsregeln verknüpft sein. Indem Sie eine Erkennungsregel deaktivieren, können Sie sicherstellen, dass sie nicht beim Scan herangezogen wird. Hiermit können Sie einen Sicherheitsscan vereinfachen, ohne die Definition neu zu erstellen.
•Nach Produkt anzeigen: Listet alle Erkennungsregeln für gesammelte Definitionen (nach Produktuntergruppen sortiert) auf. Diese Untergruppen helfen Ihnen, Erkennungsregeln nach ihrer relevanten Produktkategorie zu unterscheiden.
Sie können diese Produktuntergruppen verwenden, um Gruppenvorgänge auszuführen.
NOTE: Weitere Informationen über das Dashboard finden Sie unterDashboard-Editor.