Implementação automatizada de patches

Como automatizar o processo de implementação de patches?

Resumo

Este documento o guiará pelas etapas envolvidas na automatização da implementação de patches usando o Endpoint Central MSP

Como criar e configurar uma tarefa automatizada de implementação de patches?

Necessidade de implementação automatizada de patches:

Com o aumento constante de fornecedores de ataques e a frequência dos ataques, é obrigatório manter todos os endpoints da sua empresa atualizados e com correções contínuas. A melhor maneira de resolver esse problema é ter uma solução sistemática e automatizada que gerencie diversos SOs e patches de aplicações de terceiros de forma eficaz.

O recurso de Implementação automatizada de patches do Endpoint Central MSP oferece aos administradores de sistema a capacidade de implementar patches ausentes em seus computadores de rede automaticamente, sem a necessidade de qualquer intervenção manual.

Benefícios da implementação automatizada de patches

  1. As implementações são rápidas e a segurança é reforçada devido aos patches prontamente disponíveis para implantação.
  2. Todos os patches aprovados serão instalados na próxima janela de implementação, imediatamente após o download.
  3. Quando o computador na rede fica off-line e encontra a conectividade de rede novamente, pode haver novas vulnerabilidades e patches que podem estar faltando nele. Quando o agente entra em contato com o servidor, ele é escaneado automaticamente no próximo ciclo de atualização e os patches ausentes são detectados e atualizados no servidor. O agente os implementa no ciclo de atualização subsequente durante a janela de instalação. Portanto, não há necessidade de se preocupar com o tempo de contato do agente e seu status vulnerável prolongado.
  4. A implementação no agente continua até que não haja nenhum patch ausente para os critérios do APD.
  5. No APD, você também pode ver o histórico de patches de forma mais detalhada.

Automatepatchdeploymentworkflow

Siga as etapas para criar e configurar uma tarefa de implementação automática de patches:

Se você estiver usando a versão de compilação 10.0.192 e superior do Endpoint Central MSP

Descrição

Para a versão de compilação do Endpoint Central MSP 10.0.192 e superior:

Para automatizar a implementação de patches em um conjunto de computadores, siga as etapas abaixo:

Pré-requisito:

Configure o Patch Database Settings para especificar o intervalo de tempo para o servidor do Endpoint Central MSP sincronizar com o database e coletar detalhes dos patches mais recentes disponíveis.

Nota:

Após a sincronização com o Database de patches,o servidor doEndpoint Central MSP coletará detalhes dos patches mais recentes lançados. Na próxima política de atualização, os agentes do Endpoint Central MSP examinarão automaticamente os computadores para verificar se os patches recém-disponíveis estão ausentes. Com a Implementação automatizada de patches, eles serão instalados automaticamente sem qualquer atraso. A tarefa de Automate Patch Deployment, ou Implementação Automatizada de Patches, garante que todos os computadores da rede estejam totalmente corrigidos.

Etapas para criar uma tarefa de APD

Siga as etapas abaixo para criar tarefas para automatizar a implementação de patches em um conjunto de computadores:

  1. Navegue até a guia “Gerenciamento de patches” e clique em “Implementação automatizada de patches” em “Implementação”. Essa visualização exibirá todas as tarefas criadas.
  2. Clique em “Automatizar tarefa” para criar uma nova tarefa para Windows/Mac/Linux e nomeie sua tarefa.
  3. Configure os detalhes necessários para as seguintes etapas:
    1. Selecione as aplicações - O tipo de SO e as aplicações de terceiros a serem corrigidas
    2. Escolha a Política de implementação - Configure como e quando implementar os patches com base nos requisitos de correção da sua empresa
    3. Defina o alvo -Selecione os computadores de destino para implementar os patches
    4. Configure as notificações - Receba notificações sobre o status da implementação

Selecione as aplicações

Implementar as atualizações do sistema operacional

Se você quiser implementar atualizações relacionadas somente aos Sistemas Operacionais (por exemplo, Windows, Mac ou Linux), habilite uma das caixas de seleção fornecidas:

  • Atualizações de Segurança que envolvem todas as atualizações de segurança do Windows e especificam a gravidade como Crítica/Importante/Moderada/Baixa/Não Classificada.
  • Atualizações Não Relacionadas à Segurança que envolvem todas as atualizações não relacionadas à segurança do Windows
  • Atualizações aplicáveis somente ao Windows:
    1. Pacotes de Serviço - Um conjunto cumulativo e testado de todos os hotfixes, atualizações de segurança, atualizações críticas e atualizações para diferentes versões do sistema operacional Windows.
    2. Rollups — Conjunto cumulativo de atualizações, incluindo atualizações de segurança e confiabilidade, que são agrupadas para facilitar a implementação como uma única atualização e incluirão proativamente as atualizações lançadas no passado.
    3. Atualizações opcionais - Também chamadas de Preview Rollups, é um conjunto cumulativo opcional de novas atualizações que são agrupadas e implementadas antes do lançamento do próximo Rollup Mensal para que os clientes baixem, testem e forneçam feedback de forma proativa.
    4. Pacotes de recursos - Nova funcionalidade do produto incluída no release completo.

Implementar atualizações de terceiros

Se você quiser implementar atualizações relacionadas somente a aplicações de terceiros, especifique a gravidade como Crítica/Importante/Moderada/Baixa/Não classificada.

Especifique se você deseja implementar todas as aplicações ou se gostaria de incluir/excluir uma aplicação específica.

Implementar atualizações de antivírus

Selecione essa opção para implementar atualizações de definição de antivírus para: Mcafee Virusscan Enterprise, Microsoft Forefront Endpoint Protection 2010 Server Management, Microsoft Forefront Endpoint Protection 2010 Server Management x64, Microsoft Forefront Client Security, Microsoft Forefront Client Security x64, Microsoft Security Essentials, Microsoft Security Essentials x64

Adiar a implementação

Você pode optar por adiar a implementação de patches para garantir sua estabilidade. Você pode optar por implementar os patches após um número específico de dias a partir da data de lançamento ou aprovação. Por exemplo, suponha que você especifique o número de dias como “5 dias após o lançamento”, então os patches serão implantados somente após 5 dias a partir do dia em que forem disponibilizados pelo Endpoint Central MSP. Se você optar por implementar os patches “após 5 dias da aprovação”, os patches serão implantados somente após 5 dias a partir do momento em que o patch foi marcado como aprovado.

Escolher a política de implementação

  • Personalize o processo de aplicação de patches de acordo com os requisitos da sua empresa, definindo as configurações da Política de implementação.
  • Os detalhes da Política de implementação:
    1. Frequência de implementação - Selecione com que frequência você deseja realizar a implementação
    2. Janela de implementação - O intervalo de tempo durante o qual os patches precisam ser implementados
    3. A implementação será iniciada em - Selecione se a implementação deve ocorrer durante o startup do sistema ou o ciclo de atualização na Janela de implementação escolhida.
  • Se você tiver definido qualquer política como padrão, essa política será aplicada automaticamente à configuração.
  • Com base em seus requisitos, você pode escolher entre a lista disponível de políticas predefinidas ou criar uma política de sua escolha
  • Clique em “Exibir detalhes” para ver os detalhes da política e a lista de configurações às quais a política é aplicada.
  • A Configuração de expiração permite suspender uma tarefa após um período de tempo especificado.

Definir alvo

  • Selecione os computadores de destino nos quais a implementação deve ser executada. O destino pode ser um domínio inteiro ou escritórios remotos. Se você selecionar o domínio inteiro como destino, isso também incluirá todos os escritórios remotos nesse domínio específico.
  • Você pode filtrar destinos com base em locais, UO, Grupo, computadores específicos e muito mais.
  • “Excluir destino” permite que você selecione determinados destinos que você deseja retirar da tarefa de implementação de patches. Por exemplo, você pode excluir máquinas do servidor ao implementar atualizações não relacionadas à segurança.

Configurar notificações

Defina as configurações de notificação para receber notificações por e-mail sobre o seguinte:

  1. Falha na implantação/no download da tarefa de APD
  2. Relatórios diários de status sobre a tarefa de APD

Clique em Salvar para criar uma tarefa com sucesso”. Agora, todos os computadores escolhidos serão implementados automaticamente com os patches ausentes na janela de implementação especificada na política de implementação selecionada.