Startseite » Systemzustandsrichtlinie

Richtlinie zum Systemzustand

Inhaltsverzeichnis

Überblick

Endpoint Central scannt die Systeme in Ihrem Netzwerk regelmäßig, um fehlende Patches zu identifizieren. Die fehlenden Patches umfassen sowohl Patches für das Betriebssystem als auch Patches für Drittanbieter-application, die sich auf das jeweilige System beziehen. Im Allgemeinen werden Patches mit unterschiedlichen Schweregraden veröffentlicht, die von Niedrig bis Kritisch reichen. Basierend auf diesen Patch-Schweregraden klassifiziert Endpoint Central die Systeme in drei Kategorien, um den Gesundheitsstatus der Systeme im Netzwerk schnell zu erkennen. Die Zustandsrichtlinie der Systeme wird auf Grundlage der fehlenden Sicherheitsupdates und Drittanbieter-Updates berechnet. Es wird empfohlen, alle Sicherheits- und Drittanbieter-Updates bereitzustellen, um den Gesundheitsstatus der Systeme aufrechtzuerhalten.  Wenn Sie nicht möchten, dass ein bestimmter fehlender Patch den Systemzustand beeinflusst, können Sie den Patch ablehnen. Abgelehnte Patches werden bei der Berechnung des Systemzustands nicht berücksichtigt.

Klassifizierung der Systeme

Basierend auf dem Schweregrad der fehlenden Patches werden die Systeme als Gesund, Gefährdet und Hochgradig gefährdet kategorisiert. Die Standardrichtlinie für den Systemzustand ist wie folgt:

  • Gesunde Systeme sind solche, auf denen die aktuellsten Patches installiert sind.
  • Gefährdete Systeme sind solche, bei denen Patches mit den Schweregraden „Mittel“ oder „Niedrig“ fehlen.

  • Hochgradig gefährdete Systeme sind solche, bei denen Patches mit den Schweregraden „Kritisch“ oder „Wichtig“ fehlen.

    Hinweis: Die abgelehnten Patches werden bei der Ermittlung des Systemzustands nicht berücksichtigt. Sie können außerdem wählen, alle Drittanbieter-Patches auszuschließen von der Berechnung des Systemzustands.

Patch-Schweregrad anpassen

Sie können die Kriterien zur Bestimmung des Zustands eines Systems anpassen. Sie können die Anzahl der Patches festlegen, die als Referenzwert verwendet wird, um ein System als hochgradig gefährdet oder gefährdet einzustufen. Siehe das unten erläuterte Beispiel:

Angegebene Kriterien, um einen Computer als hochgradig gefährdet zu kennzeichnen:

  • 3 oder mehr kritische Patches fehlen
  • 3 oder mehr wichtige Patches fehlen
  • 0 Patches mit mittlerem Schweregrad fehlen
  • 0 Patches mit niedrigem Schweregrad fehlen.

Angegebene Kriterien, um einen Computer als gefährdet zu kennzeichnen:

  • 2 oder mehr kritische Patches fehlen
  • 1 oder mehr wichtige Patches fehlen
  • 1 Patch mit mittlerem Schweregrad fehlt
  • 0 Patches mit niedrigem Schweregrad fehlen.

Basierend auf den oben genannten Kriterien wird ein System als hochgradig gefährdet gekennzeichnet, wenn 3 oder mehr kritische Patches fehlen. Wenn nur 2 kritische Patches fehlen, wird es als gefährdet gekennzeichnet. Wenn 1 kritischer Patch fehlt, wird das System als gesund betrachtet. Angenommen, 5 Patches mit mittlerem Schweregrad fehlen, dann wird das System als gefährdet gekennzeichnet. Wenn 10 Patches mit niedrigem Schweregrad fehlen, wird das System dennoch als gesund betrachtet, da Sie in den Kriterien keine Anzahl dafür festgelegt haben.

Sie können die oben erläuterten Einstellungen konfigurieren, indem Sie auf Bedrohungen & Patches → Einstellungen → Richtlinie zum Systemzustand klicken

Geben Sie unter Patch-Schweregradeinstellungen die Anzahl fehlender Patches an, um den Systemzustand eines Systems basierend auf Schweregrad und Anzahl fehlender Patches zu bestimmen

Erweiterte Einstellungen

Unter Erweiterte Einstellungen können Sie, wenn Sie den Systemzustand nur auf Grundlage der genehmigten fehlenden Patches berechnen möchten, die Option Nur „Genehmigte Patches“ zur Bestimmung des Systemzustands berücksichtigen aktivieren. Sie können außerdem wählen, Drittanbieter-Patches, BIOS-Updates und kürzlich veröffentlichte Patches von der Berechnung des Systemzustands auszuschließen

In den meisten Fällen ist die Bedeutung fehlender Drittanbieter-Patches nicht höher als die von Patches für das Betriebssystem. Dies kann an der großen Anzahl von Drittanbieter-application und deren tatsächlicher geschäftlicher Relevanz liegen. Wenn Sie der Meinung sind, dass der Zustand Ihres Systems nicht anhand fehlender Drittanbieter-Patches bestimmt werden sollte, können Sie den Systemzustand so konfigurieren, dass es selbst dann noch als gesund bewertet werden kann, wenn ein oder mehrere Drittanbieter-Patches auf Ihrem System fehlen, sofern alle betriebssystembezogenen Patches darauf installiert sind. Sie können alle Drittanbieter-Patches ausschließen und nur einige davon einbeziehen, die möglicherweise benötigt werden. Um sie auszuschließen, aktivieren Sie die Option Alle Drittanbieter-Patches zur Bestimmung des Systemzustands ausschließen. Wenn Sie Ausnahmen hinzufügen möchten, sodass diese Drittanbieter-Patches bei der Berechnung des Systemzustands berücksichtigt werden, klicken Sie auf Ausnahmen hinzufügen.

BIOS-Updates sind in der Regel dafür ausgelegt, Probleme im Zusammenhang mit Systemhardware, Firmware-Kompatibilität, Stabilität und Leistung zu beheben, und stehen nicht unbedingt im Zusammenhang mit Sicherheitslücken oder softwarebezogenen Fehlern im Betriebssystem oder in application. Der Patch-Systemzustand hingegen bezieht sich in der Regel auf die application von Patches für das Betriebssystem (OS), application und Sicherheitsupdates. Die Bedeutung von BIOS-Patches ist nicht höher als die von Patches für das Betriebssystem. Wenn Sie daher BIOS-Updates bei der Bestimmung des Systemzustands ausschließen möchten, aktivieren Sie die Option: BIOS-Updates zur Bestimmung des Systemzustands ausschließen.

Neu veröffentlichte Patches durchlaufen in Organisationen häufig einen internen Test- und Validierungsprozess. Dadurch wird sichergestellt, dass sich der Patch nicht negativ auf die Leistung oder Stabilität des Systems auswirkt. Bis ein Patch in einer Produktionsumgebung vollständig getestet wurde, wird er möglicherweise nicht als vollständig bereitgestellt oder angewendet gezählt. In diesem Fall könnte die Berücksichtigung aktueller Patches als Teil der Berechnung des Systemzustands vorschnell signalisieren, dass das System auf dem neuesten Stand ist, obwohl der Patch in Wirklichkeit noch nicht gründlich validiert wurde. Daher können Sie kürzlich veröffentlichte Patches von der Bestimmung des Systemzustands ausschließen, bevor Sie diese testen und validieren. Wenn Sie die Anzahl der Tage unter der Option Die in den letzten Tagen veröffentlichten Patches bei der Berechnung des Systemzustands ausschließen angeben, werden kürzlich veröffentlichte Patches erst nach dieser angegebenen Anzahl von Tagen für die Berechnung berücksichtigt.

Patch Severity Settings

 

Nachdem Sie alle Einstellungen konfiguriert haben, klicken Sie auf Speichern. Der Systemzustand wird entsprechend bestimmt.

Vertraut von