Tipps für das Patch-Management in Endpoint Central
Ohne eine automatisierte, effektive Patch-Management-Lösung wie Endpoint Central (ehemals Desktop Central) lässt sich die Vielzahl an Patches, die täglich veröffentlicht werden, von IT-Abteilungen kaum noch bewältigen.
Wir haben hier eine Auswahl an Tipps rund um das Patch-Management mit Endpoint Central für Sie zusammengestellt:
Tipp 1: Wie lässt sich der Prozess für das Patch-Deployment in Endpoint Central automatisieren?
Vorbemerkung:
Bevor Sie den Patch-Verteilungsprozess automatisieren, sollten Sie zunächst in Endpoint Central festlegen, welche Computer Sie mit der Lösung verwalten möchten. ManageEngine bezeichnet dies als „Scope of Management“ oder in der deutschen Version als „Verwaltungsbereichsvorgänge“. Eine detaillierte Anleitung, wie Sie den Scope of Management in Endpoint Central festlegen, finden Sie hier.
So automatisieren Sie den Patch-Deployment-Prozess in Endpoint Central:
1. Nachdem Sie den Scope of Management festgelegt haben, konfigurieren Sie die Proxy-Server-Einstellungen von Endpoint Central, um die Patches von den Websites der Hersteller herunterzuladen.
Diese finden Sie auf dem Reiter Admin unter Patch-Einstellungen > Proxy-Einstellungen.
2. Legen Sie unter Patch-Einstellungen > Patch-Datenbank-Einstellungen fest, zu welchem Zeitpunkt täglich die Patch-Datenbank von Endpoint Central ein Schwachstellen-Update durchführen soll, um die von den Herstellern neu zur Verfügung gestellten Patches zu synchronisieren.
3. Als nächstes können Sie den Prozess der Patch-Verteilung automatisieren. Navigieren Sie dazu auf dem Reiter Bedrohungen und Patches auf Verteilung > Patch-Bereitstellung automatisieren.
Hier finden Sie alle bereits angelegten Aufgaben für die Automatische Patch-Verteilung.
4. Klicken Sie auf Aufgabe automatisieren, um eine neue Aufgabe für Windows-/Mac-/Linux-Rechner anzulegen. Vergeben Sie einen Namen und spezifizieren Sie, welche Updates mit welcher Deployment-Richtlinie auf welchen Ziel-Computern installiert werden sollen und wer anschließend informiert werden soll. Eine detaillierte Anleitung zum Anlegen neuer Aufgaben finden Sie in Tipp 2.
Tipp 2: Wie erstelle ich eine Aufgabe für das automatisierte Patch-Deployment in Endpoint Central?
Vorbemerkung:
Bevor Sie Aufgaben für das Automatisierte Patch Deployment in Endpoint Central anlegen, sollten Sie zunächst den Scope of Management, die Proxy-Einstellungen und die Patch-Datenbank-Einstellungen konfigurieren – wie oben beschrieben (siehe Tipp 1, Schritt 2).
Sobald Sie das Zeitintervall festgelegt haben, in dem sich der Endpoint-Central-Server mit der Datenbank synchronisiert, sammelt die Lösung nach der Synchronisierung Details zu den neuesten verfügbaren Patches. Bei der nächsten Aktualisierungsrichtlinie scannen die Endpoint-Central-Agents dann automatisch die im Scope of Management festgelegten Computer und prüfen, ob die neu verfügbaren Patches fehlen. Jetzt kommen die Aufgaben für das automatische Patch-Deployment zum Einsatz und verteilen diese Patches automatisch und ohne Verzögerung. So können Sie sicherstellen, dass alle Computer im Netzwerk ohne manuelles Zutun vollständig gepatcht sind.
So erstellen und konfigurieren Sie eine Patch-Deployment-Aufgabe, mit der fehlende Patches automatisch auf den Endpoints installiert werden:
1. Klicken Sie auf der Registerkarte Bedrohungen und Patches auf Verteilung > Patch-Bereitstellung automatisieren. In dieser Ansicht sehen Sie alle bereits erstellten Aufgaben.
2. Um eine neue Aufgabe für Windows-/Mac- oder Linux-Rechner zu erstellen, klicken Sie auf Aufgabe automatisieren. Geben Sie Ihrer neuen Aufgabe einen möglichst sprechenden Namen.
3. Anschließend wählen Sie auf dem Reiter Anwendungen wählen aus, welches Betriebssystem und/oder Drittanbieteranwendungen gepatcht werden soll/sollen. Dabei stehen Ihnen verschiedene Auswahlmöglichkeiten zur Verfügung:
- Betriebssystem-Updates:
Hier können Sie je nach Betriebssystem (z. B. Windows, Mac oder Linux) aus verschiedenen Optionen wählen (siehe Box).
- Drittanbieteraktualisierungen:
Falls Sie Updates für Anwendungen von Drittanbietern bereitstellen möchten, können Sie hier entweder die Option Alle auswählen oder nur einen bestimmten Schweregrad (kritisch / wichtig / mittel / niedrig / nicht bewertet). Anschließend können Sie noch auswählen, ob alle Anwendungen berücksichtigt werden sollen oder ob Sie bestimmte Anwendungen einschließen / ausschließen möchten.
- Virenschutzaktualisierungen bereitstellen
Wählen Sie diese Option, um Antiviren-Definitions-Updates für Anwendungen wie McAfee Virusscan Enterprise, Microsoft Forefront Endpoint Protection, Microsoft Forefront Client Security oder Microsoft Security Essentials zu verteilen. Welche Versionen genau unterstützt werden, finden Sie in Endpoint Central im Infotext unter dieser Option.
- Verteilung verzögern
Wenn Sie sicher gehen wollen, dass die Patches auch wirklich stabil laufen, bevor Sie diese auf Ihre Computer verteilen, können Sie die Bereitstellung der Patches mit dieser Option verzögern. Hier können Sie eine bestimmte Anzahl von Tagen eingeben, die nach dem Release bzw. der Genehmigung des Patches gewartet werden soll. Wenn Sie zum Beispiel „5 Tage nach dem Release“ eingeben, wartet Endpoint Central 5 Tage ab dem Tag, an dem die Patches erstmals für die Endpoint-Management-Lösung verfügbar waren, bevor diese ausgerollt werden. Wenn Sie sich für die Bereitstellung von Patches „5 Tage nach der Freigabe“ entscheiden, werden die Patches erst 5 Tage nach dem Tag bereitgestellt, an dem die Patches als genehmigt markiert wurden.
4. Auf dem Reiter Verteilungsrichtlinie wählen können Sie weitere Einstellungen konfigurieren, wie und wann die Patches entsprechend den Patching-Anforderungen Ihres Unternehmens verteilt werden sollen. Sofern Sie bereits eine Deployment Policy als Standard festgelegt haben, wird diese automatisch auf die Konfiguration angewendet. Alternativ können Sie – je nach Ihren Anforderungen – auch eine andere Richtlinie aus der Liste der verfügbaren Policies auswählen oder eine neue Richtlinie erstellen.
Auswahlmöglichkeiten für Betriebssystem-Patches
- Sicherheitsaktualisierungen
In diese Kategorie fallen alle Sicherheitsupdates der folgenden Betriebssysteme:- Windows
- Mac (Sicherheits- und Supplemental Updates)
- Linux (Ubuntu, Debian, Pardus, CentOS, Red Hat, Oracle und SUSE)
Falls Sie diese Kategorie auswählen möchten, setzen Sie das Häkchen neben Sicherheitsupdates und wählen Sie, welche Schweregrade berücksichtigt werden sollen (kritisch / wichtig / mittel / niedrig / nicht bewertet).
Anschließend können Sie noch auswählen, ob alle Anwendungen berücksichtigt werden sollen oder ob Sie bestimmte Anwendungen einschließen / ausschließen möchten. - Nicht sicherheitsrelevante Updates / non security updates
Diese Kategorie enthält alle nicht sicherheitsrelevanten Updates von Windows und Linux (Red Hat, Ubuntu, CentOS und Oracle).
- Weitere Auswahlmöglichkeiten für Windows
Falls Sie beim Erstellen der Aufgabe Windows ausgewählt haben, stehen Ihnen zusätzliche folgende Möglichkeiten zur Verfügung (nur für Windows anwendbar):- Service Packs
Ein getestetes, kumulatives Paket mit allen Hotfixes, Sicherheitsupdates, kritischen Updates und Updates für verschiedene Versionen von Windows OS. - Feature Packs
Neue Produktfunktionen, die in der vollständigen Produktversion enthalten sind. - Rollups
Ein Paket mit Sicherheits- und Reliability-Updates, die für eine einfachere Bereitstellung zusammengefasst wurden und darüber hinaus auch noch Updates enthalten, die in der Vergangenheit veröffentlicht wurden. - Optionale Aktualisierungen / Rollup-Vorschau
Hierbei handelt es sich um optionale Updates, die als Paket vor der Veröffentlichung des nächsten monatlichen Rollups bereitgestellt werden, damit Anwender diese proaktiv herunterladen, testen und Feedback geben können.
- Service Packs
- Treiberaktualisierungen
Diese Updates können zur automatischen Aktualisierung der Netzwerk-, Sound- und Videotreiber in Ihrem System verwendet werden. Die vollständige Liste der von uns unterstützten Treiber-Updates finden Sie hier auf der englischen Website des Herstellers.
Tipps zum Erstellen einer individuellen Deployment Policy für Patches
Mit den Optionen auf dem Reiter Verteilungsrichtlinie wählen können Sie den Patching-Prozess exakt an die individuellen Anforderungen Ihres Unternehmens anpassen. Falls Sie eine bestehende Policy anpassen möchten, klicken Sie auf Details anzeigen, um sich die Details der Richtlinie und die Liste der Konfigurationen anzeigen zu lassen, auf die die Policy angewendet wird.
Falls Sie eine neue Deployment Policy anlegen möchten, können Sie verschiedene Einstellungen für die Verteilungsrichtlinie konfigurieren:
- Verteilungsplan: Auf diesem Reiter können Sie festlegen, wann und wie oft Patches verteilt werden sollen. Sie haben dabei folgende Optionen:
- Bevorzugte Wochenaufteilung: Hier können Sie auswählen, wie häufig Sie die Verteilung von Patches durchführen möchten, z. B. an einem bestimmten Wochentag, jede Woche etc.
- Installationsfenster: Hier können Sie Zeitfenster angeben, in denen die Patches verteilt werden sollen.
- Download der Patches vom Server auf den Agent: Wählen Sie, ob der Download der Patches nur während der Installationsfenster oder bei jedem Kontakt des Agents mit dem Server erfolgen soll.
- Deployment wird initiiert bei: Hier wählen Sie, ob die Bereitstellung während des Systemstarts oder des Aktualisierungszyklus innerhalb des gewählten Bereitstellungsfensters erfolgen soll.
- Pre-deployment Activities: Legen Sie fest, welche Aktionen vor der Patch-Installation in welcher Reihenfolge durchgeführt werden sollen, z. B. Wake-on-LAN, Neustart etc.
- Pre-deployment User Notification: Hier können Sie definieren, welche Nachricht dem Anwender vor der Installation der Patches angezeigt werden soll.
- Post-deployment Activities: Auf diesem Reiter können Sie festlegen, welche Aktivitäten nach der Patch-Installation ausgeführt werden sollen. Neben dem klassischen System-Neustart können Sie hier beispielsweise auch eigene Skripte definieren, die automatisch durchgeführt werden sollen.
5. Im nächsten Schritt gehen Sie auf den Reiter Ziel definieren. Hier wählen Sie die Zielcomputer für die Bereitstellung der Patches aus. Sie können hier eine komplette Domäne oder einzelne Remote-Standorte auswählen. Alternativ können Sie Ziele auf der Grundlage von Standorten, Organisationseinheiten (OU), Gruppen, bestimmten Computern und mehr filtern.
Mit „Ziel ausschließen“ können Sie bestimmte Ziele auswählen, die Sie von der Patch-Deployment-Aufgabe ausschließen möchten. So können Sie beispielsweise Server-Rechner bei der Verteilung ausschließen.
Hinweis:
Wenn Sie eine gesamte Domäne als Ziel auswählen, schließt dies auch alle Remote Offices in dieser spezifischen Domäne ein.
6. Auf dem letzten Reiter Benachrichtigungen konfigurieren können Sie festlegen, ob und welche Benachrichtigungen Sie per E-Mail über den Bereitstellungsstatus erhalten möchten. Benachrichtigungs-E-Mails werden nur dann ausgelöst, wenn sich der Status der Aufgabe ändert. Sie können sich in folgenden Fällen benachrichtigen lassen:
- Fehler bei der Bereitstellung / dem Download
- Tägliche Statusberichte
7. Klicken Sie auf Speichern, um das Erstellen der neuen Aufgabe erfolgreich abzuschließen.
Jetzt werden alle ausgewählten Computer automatisch mit den fehlenden Patches in dem in der ausgewählten Deployment Policy angegebenen Deployment-Fenster versorgt.
Tipp 3: Wie lassen sich die bei Angriffen besonders verwundbaren Systeme im Netzwerk aufspüren?
Voraussetzungen:
Bevor Sie sich den Health Status aller Computer in Ihrem Netzwerk anzeigen lassen können, definieren Sie in Enpoint Central zunächst den Scope of Management, um die Computer festzulegen, die Sie mit Endpoint Central verwalten möchten. Anschließend konfigurieren Sie – wie oben beschrieben – die Proxy-Server-Einstellungen sowie das Intervall für das Vulnerability-Update.
So spüren Sie Systeme im Netzwerk auf, die durch Schwachstellen besonders anfällig für Cyberangriffe sind:
1. Scan der Computer im Netzwerk
Um herauszufinden, welche Patches auf den Computern in Ihrem Netzwerk fehlen, führen Sie die folgenden Schritte aus:
- Klicken Sie auf der Registerkarte Bedrohungen und Patches im Abschnitt Geräte auf Geräte erfassen.
- Wählen Sie auf der Seite Geräte erfassen die Computer aus, die Sie scannen möchten und klicken Sie auf Geräte erfassen.
Anschließend können Sie sich den Zustand aller von Ihnen verwalteten Computer anzeigen lassen.
2. Anzeige des Systemstatus der Computer
Führen Sie die folgenden Schritte aus, um sich den Health Status aller Computer in Ihrem Netzwerk anzeigen zu lassen:
- Klicken Sie auf der Registerkarte Bedrohungen und Patches auf den Abschnitt Geräte.
- Im Abschnitt Systemsicherheitsübersicht können Sie sich Details zum Systemzustand aller Computer in Ihrem Netzwerk anzeigen lassen.
Hinweis:
Sie können die Schwachstellen-Datenbank in Desktop Central übrigens auch manuell synchronisieren, indem Sie auf dem Reiter Bedrohungen und Patches auf Jetzt aktualisieren klicken.