# Patch-Scan

## Inhaltsverzeichnis

- [Voraussetzungen für das Patch-Scanning](#prps)
- [Patch-Scan-Status validieren](#vpss)
- [Patch-Scan-Szenarien](#pss)
- [Patch-Scan bei Bedarf](#odps)
  - [Über einen Computer mit installiertem Agenten](#agent)
  - [Über die Server-Konsole](#server)
- [Kontinuierliches Scannen](#continuous)

Schwachstellen nehmen in alarmierendem Tempo zu, wodurch genaue und aktuelle Patch-Scans für eine effektive Risikominderung unerlässlich sind. Proaktives Scannen hilft dabei, Systeme zu identifizieren, auf denen kritische Patches fehlen, wodurch eine zeitnahe Behebung und eine verbesserte Sicherheitslage ermöglicht werden. Endpoint Central führt kontinuierliche, automatisierte Scans durch, ohne dass eine Planung erforderlich ist. Der leichtgewichtige Agent, der mit minimalen Auswirkungen auf CPU- und Speicherressourcen im Hintergrund ausgeführt wird, übernimmt diesen Scanvorgang. Der gesamte Scanprozess ist schnell und in der Regel innerhalb weniger Minuten abgeschlossen.

## Voraussetzungen für das Patch-Scanning

1. ### Synchronisierung der Schwachstellendatenbank

   Bevor der Patch-Scan auf dem Agentencomputer durchgeführt wird, muss überprüft werden, ob die Schwachstellendatenbank synchronisiert ist. Die Schwachstellendatenbank wird jeden Tag automatisch aktualisiert. Sie kann auch manuell aktualisiert werden (nicht erforderlich für cloudbasierte Server). Um die Schwachstellendatenbank manuell zu aktualisieren, navigieren Sie auf der Endpoint-Central-Konsole zur Registerkarte **Bedrohungen & Patches**. Wechseln Sie im linken Bereich zur Registerkarte Jetzt aktualisieren und klicken Sie unter Schwachstellendatenbank aktualisieren auf **Jetzt aktualisieren**. Nachdem die Schwachstellendatenbank aktualisiert wurde, wird ein Patch-Scan durchgeführt. Wenn Sie den Zeitplan für die Aktualisierung der Schwachstellendatenbank ändern möchten, klicken Sie auf **Ändern**. Sie werden zur Seite **Patch-Datenbankeinstellungen** weitergeleitet, auf der Sie auch die Patches auswählen können, die Sie mit Endpoint Central verwalten möchten. Weitere Informationen zu den Patch-Datenbankeinstellungen finden Sie auf [dieser Seite](https://www.manageengine.com/de/desktop-central/help/patch_management/patch-db-sync.html).

2. ### Agent-Onboarding

   Der Agent muss auf dem Endpoint installiert und eingebunden werden. Ein Patch-Scan kann nach der Agent-Installation initiiert werden. Dieser Patch-Scan erfolgt nur, wenn das Kontrollkästchen **Patch-Scanning durchführen** aktiviert ist. Um dieses Kontrollkästchen zu aktivieren, navigieren Sie zu **Admin -> Agent-Einstellungen -> Registerkarte Allgemeine Einstellungen**. Aktivieren Sie unter Aktionen, die nach der Agent-Installation ausgeführt werden sollen, das Kontrollkästchen „Patch-Scanning durchführen“.

## Patch-Scan-Status validieren

Überprüfen Sie die erfolgreiche Ausführung des Scans, indem Sie unter der Registerkarte **Bedrohungen & Patches** zu **Systeme -> Systeme scannen** navigieren.

[![Patch-Scan-Status validieren](https://www.manageengine.com/products/desktop-central/help/images/patch-scan.png)](https://www.manageengine.com/products/desktop-central/help/images/patch-scan.png)

## Patch-Scan-Szenarien

Ein Patch-Scan wird unter den folgenden Bedingungen ausgelöst:

- **Datenbanksynchronisierung**: Nach täglichen automatischen oder manuellen Aktualisierungen der Schwachstellendatenbank.
- **Patch-Installation**: Nach der Patch-Installation über **Patch-Installationskonfiguration**, **APD-Bereitstellung** oder **Testen und Genehmigen**.
- **Systemneustart**: Nach dem Neustart von Systemen, bei denen nach der Patch-Installation ein Neustart erforderlich war.
- **APD-/Testgruppen-Aktionen**: Wenn Patches innerhalb einer APD-Aufgabe oder Testgruppe genehmigt, nicht genehmigt oder abgelehnt werden.
- **Manueller Scan**: Manuell über die Konsole oder das Agent-Tray-Symbol initiiert.
- **Agent-Installation**: Nach der Agent-Installation, wenn die Option Patch-Scanning durchführen in den SoM-Einstellungen aktiviert ist.

## Patch-Scan bei Bedarf

Der Patch-Scan kann auch manuell über die Konsole oder das Agent-Tray-Symbol durchgeführt werden.

### Über einen Computer mit installiertem Agenten

Wählen Sie die Option Patch-Scan initiieren, indem Sie mit der rechten Maustaste auf das **Agent-Tray-Symbol -> Scannen -> Patch-Scan initiieren** klicken.

### Über die Server-Konsole

Um den Patch-Scan manuell über die Konsole zu initiieren, führen Sie die folgenden Schritte aus:

1. Öffnen Sie die Endpoint-Central-Konsole und navigieren Sie zu **Bedrohungen & Patches -> Systeme -> Systeme scannen**.
2. Wählen Sie die Computer aus, die auf Patches gescannt werden sollen, und klicken Sie auf **Systeme scannen**.
3. Um alle Systeme zu scannen, klicken Sie auf **Alle scannen**. Bitte beachten Sie, dass diese Option auf maximal 100 Computer beschränkt ist.

## Kontinuierliches Scannen

Nach der Synchronisierung mit der Patch-Datenbank sammelt Endpoint Central Informationen über die neuesten Patches, neu offengelegte Schwachstellen und unterstützte Fehlkonfigurationen. Danach scannen die Agenten die Computer automatisch auf fehlende Patches, unbehandelte Schwachstellen und Fehlkonfigurationen. Der Scan erfolgt direkt nach der Synchronisierung der Datenbank. Der Endbenutzer kann die Synchronisierungszeiten in den Patch-Datenbankeinstellungen ändern.

Nach dem ersten erfolgreichen Scan nach der Agent-Installation oder dem Onboarding identifiziert das Produkt die auf dem verwalteten Endpoint installierten application, bei denen Schwachstellen erkannt wurden oder Patches fehlen. Sie können diese application anzeigen, indem Sie zu **Systeme -> Systeme scannen** navigieren, auf den Namen Ihres Computers klicken und **Installierte Software** auswählen.

Danach scannen die Agenten die Endpoints in den [oben genannten Szenarien](#pss), woraufhin die neuesten Scandaten (zu erkannten Schwachstellen, Fehlkonfigurationen und fehlenden Patches) im Produkt aktualisiert werden.

Der Benutzer kann nach Abschluss des Scans Berichte über fehlende Patches, erkannte Schwachstellen und Fehlkonfigurationen abrufen. Navigieren Sie zu **Berichte -> Berichte planen -> Scan-Bericht**. Sie können dies ganz einfach erhalten, indem Sie die Berichte so planen, dass sie 2 Stunden nach der Datenbanksynchronisierung per E-Mail versendet werden. Außerdem können Sie dies in jeder beliebigen Häufigkeit konfigurieren.

**Hinweis:** Der Patch-Scan kann nicht auf bestimmte Maschinen beschränkt werden — es gibt keine Option, den Scan zu planen, da Endpoint Central Ihre Endpoints in den [oben genannten Szenarien](#pss) automatisch scannt. Schwachstellen- und Patch-Scans sind keine separaten Prozesse; sie erfolgen gleichzeitig als Teil desselben Scans.

Wenn Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt [Häufig gestellte Fragen](https://www.manageengine.com/de/desktop-central/help/patch_management/patch-faq.html#pddfaq) für weitere Informationen.