Thema
Bei der Erstellung dieses Leitfadens haben wir mit NinjaOne-Partnern zusammengearbeitet, um zu verstehen, wie sie die Patch-Management-Funktionen von NinjaOne nutzen, und ihr Fachwissen mit unserem eigenen kombiniert. In diesem Leitfaden geben wir diese Erkenntnisse weiter, damit neue Partner das Patch-Management optimal nutzen können.
Umgebung
NinjaOne-Plattform
Patch-Management
Beschreibung
- So richten NinjaOne-Benutzer Windows-Patches ein
- Scan-Zeitpläne
- Update-Zeitpläne
- Verpasste Zeitpläne
- Patch-Genehmigungen
- Gängige Patch-Profile
- Verhalten beim Neustart
So richten NinjaOne-Benutzer Windows-Patches ein
Das Patch-Management ist eine der wichtigsten Aufgaben eines IT-Teams. Unternehmen wenden erhebliche Ressourcen auf, um ihre Infrastruktur auf dem neuesten Stand zu halten, doch mehr als die Hälfte der Sicherheitsverletzungen hätte durch die Installation verfügbarer Software- und Betriebssystem-Patches verhindert werden können.
Neben den Sicherheitsaspekten stellt eine effektive Patch-Strategie sicher, dass Endbenutzer über die aktuellste, funktionsreiche Software verfügen, mit der sie ihre Arbeit erledigen können.
Wenn jedoch selbst einige der größten und finanzstärksten Organisationen der Welt Schwierigkeiten mit dem Patch-Management haben, welche Chancen haben dann kleine und mittlere Unternehmen mit begrenztem IT-Support? Ohne die richtigen Tools ist der Prozess zeitaufwändig, kompliziert, stört die Endbenutzer und ist fehleranfällig.
Patch-Management-Software, wie sie in NinjaOne enthalten ist, bietet Benutzern einen vollständigen, zentralisierten Überblick über ihre Patch-Compliance-Rate und automatisiert die Identifizierung, das Herunterladen und die Bereitstellung von Patches auf allen verwalteten Geräten.
NinjaOne bietet Ihnen eine detaillierte Kontrolle über Ihren Patch-Genehmigungsprozess, verbessert Ihre Erfolgsquote beim ersten Patch-Durchlauf und reduziert den Zeitaufwand Ihrer Techniker für das Patchen.
Scan-Zeitpläne
Mit NinjaOne-Richtlinien können Benutzer Patch-Scans unabhängig vom Aktualisierungsprozess planen. Der Scan identifiziert alle noch nicht installierten Patches auf einem Gerät und sortiert sie basierend auf richtlinienbasierten Genehmigungseinstellungen in die Kategorien „Genehmigt“, „Ausstehend“ oder „Abgelehnt“.
Indem Sie den Scan Stunden oder Tage vor der Durchführung eines Updates durchführen, können Sie den Genehmigungsstatus eines Patches manuell anpassen, was der Update-Prozess dann berücksichtigt. Dies ist äußerst hilfreich für manuell genehmigte Patches oder um problematische Patches zu vermeiden, die normalerweise automatisch genehmigt würden.
Wann sollten Scans geplant werden
Wochentag
Die meisten NinjaOne-Partner planen ihre Patch-Scans einmal pro Woche. Freitags sind bei weitem der häufigste Tag für Patch-Scans. Die nächsthäufigste Option ist, jeden Tag einen Scan durchzuführen. Tägliche Patch-Scans beanspruchen mehr Ressourcen, maximieren aber die Zeit, die Partnern für Ad-hoc-Änderungen an Patches zur Verfügung steht.
| So | Mo | Di | Mi | Do | Fr | Sa | Täglich |
|---|---|---|---|---|---|---|---|
| 3 % | 3 % | 5 % | 10 % | 7 % | 40 % | 7 % | 25 % |
Tageszeit
Die häufigste Zeit für Patch-Scans liegt zwischen 17:00 und 18:00 Uhr (Gerätezeit). Viele Benutzer planen Scans nach 18:00 Uhr, um Beeinträchtigungen für Endbenutzer zu vermeiden, die länger arbeiten. Obwohl Patch-Scans nicht ressourcenintensiv sind, werden die meisten Scans nach den üblichen Arbeitszeiten geplant, um Beeinträchtigungen für Endbenutzer zu vermeiden. Benutzer, die Scans während der Arbeitszeiten planen, tun dies möglicherweise, um die größtmögliche Anzahl an online befindlichen Geräten zu erfassen.
| 00:00 – 8:50 | 9:00 – 16:59 | 17:00 – 23:59 |
|---|---|---|
| 16 % | 24 | 60 % |
Scan-Dauer
Die meisten NinjaOne-Benutzer legen keine Scan-Dauer fest, sodass Scans so lange dauern können, wie nötig. Für diejenigen, die die Dauer begrenzen, sind die gängigsten Optionen 9 Stunden, 6 Stunden und 3 Stunden. Scan-Dauern können verwendet werden, wenn Sie eine neue Infrastruktur übernehmen oder wenn Benutzer aus mehreren Zeitzonen auf einen Server zugreifen müssen und das Patch-Fenster kürzer sein muss, um die Auswirkungen auf die Endbenutzer zu minimieren.
| 1 Stunde | 2 Stunden | 3 Stunden | 4 Stunden | 5 Stunden | 6 Stunden | 7 Stunden | 8 Stunden | 9+ Stunden | ∞ |
|---|---|---|---|---|---|---|---|---|---|
| 0 % | 0 % | 1 % | 1 % | 1 % | 3 % | 0 % | 0 % | 10 % | 85 % |
Update-Zeitpläne
Der NinjaOne-Aktualisierungsplan sucht zunächst nach verfügbaren Patches, lädt dann sowohl neu entdeckte als auch bereits durch einen Patch-Scan identifizierte Patches herunter und wendet sie an, basierend auf den Genehmigungskonfigurationen der Richtlinie und etwaigen anwendbaren Überschreibungen. Das NinjaOne-Patch-Management führt anschließend einen zusätzlichen Scan durch, um den Vorgang abzuschließen.
Der durch die Richtlinie festgelegte Genehmigungsstatus kann für einzelne Geräte oder für ganze Richtlinien überschrieben werden, sofern dies bei einem Scan vor der Anwendung erkannt wird.
Sobald während eines Update-Zyklus versucht wurde, einen Patch zu installieren, wird dieser im OS-Patch-Dashboard unter „Installiert“ oder „Fehlgeschlagen“ sortiert.
Wann sollten Updates geplant werden?
Wochentag
Patches werden meist am Wochenende angewendet, um Störungen für Endbenutzer zu vermeiden. Freitage – in der Regel nach Feierabend – sind ebenfalls üblich. Nach der anfänglichen Geräteeinbindung wenden viele Benutzer Patches auch täglich an, um die Zeit zu minimieren, in der Endpunkte angreifbar sind.
| So | Mo | Di | Mi | Do | Fr | Sa | Täglich |
|---|---|---|---|---|---|---|---|
| 19 % | 4 % | 5 % | 9 % | 10 % | 15 % | 19 % | 19 % |
Tageszeit
Die häufigste Zeit für den Start des Patch-Anwendungsprozesses liegt zwischen 17:00 und 18:00 Uhr (Gerätezeit). Viele Benutzer planen ihre Updates nach 18:00 Uhr, um Auswirkungen auf Endbenutzer zu vermeiden, die länger arbeiten. Da die Anwendung von Patches ressourcenintensiver ist und oft einen Neustart erfordert, werden die meisten Updates außerhalb der Arbeitszeiten geplant.
| 00:00 – 8:50 | 9:00 – 16:59 | 17:00 – 23:59 |
|---|---|---|
| 33 % | 18 | 48 % |
Dauer der Aktualisierung
Die meisten NinjaOne-Benutzer legen keine Dauer für die Patch-Anwendung fest, sodass Updates so lange dauern können, wie nötig. Diejenigen, die die Dauer begrenzen, beschränken Updates meist auf 4 Stunden oder weniger.
| 1 Stunde | 2 Stunden | 3 Stunden | 4 Stunden | 5+ Stunden | ∞ |
|---|---|---|---|---|---|
| 3 % | 5 % | 4 % | 5 % | 10 % | 74 % |
Verpasste Zeitpläne
Mit NinjaOne können Benutzer verpasste Scans oder Updates nachholen. Dies tritt am häufigsten auf, wenn das Gerät ausgeschaltet ist, wenn der Scan oder das Update beginnen soll.
Scan- und Update-Optionen können separat aktiviert werden.
Verpasste Scans und Updates werden ausgeführt, sobald der NinjaOne-Agent sich beim Server meldet.
Nachholen verpasster Scans und Updates
Verpasste Scans
Fast die Hälfte der NinjaOne-Benutzer holt verpasste Patch-Scans automatisch nach. Diese Funktion ist besonders hilfreich für diejenigen, die normalerweise außerhalb der Geschäftszeiten scannen, wenn möglicherweise mehr Geräte ausgeschaltet sind.
| Scan nachholen | Scan nicht nachholen |
|---|---|
| 51 % | 49 |
Verpasste Updates
Das Nachholen verpasster Updates ist seltener als das Nachholen von Scans. Außerplanmäßige Updates stören Endbenutzer eher, da sie Ressourcen beanspruchen oder einen Neustart des Geräts nach dem Update erfordern.
| Update nachholen | Update nicht nachholen |
|---|---|
| 60 % | 40 |
Patch-Genehmigungen
Mit NinjaOne können Sie Genehmigungsworkflows für jede der vier Schweregrade von Microsoft-Sicherheitsupdates und die sieben Microsoft-Update-Kategorien konfigurieren. Sie können Patches je nach Kategorie automatisch genehmigen, automatisch ablehnen oder manuell genehmigen bzw. ablehnen.
In den nächsten Abschnitten stellen wir Ihnen die gängigsten Patch-Profile vor, die NinjaOne-Benutzer auf ihren Geräten anwenden.
Genehmigungen für Sicherheitsupdates
| Schweregrad | Beschreibung ( von Microsoft) |
|---|---|
| Kritisch | Eine Sicherheitslücke, deren Ausnutzung die Ausführung von Code ohne Benutzereingriff ermöglichen könnte. Zu diesen Szenarien gehören sich selbst verbreitende Malware (z. B. Netzwerkwürmer) oder unvermeidbare, alltägliche Anwendungsszenarien, in denen die Codeausführung ohne Warnungen oder Aufforderungen erfolgt. Dies kann das Aufrufen einer Webseite oder das Öffnen einer E-Mail bedeuten. |
| Wichtig | Eine Sicherheitslücke, deren Ausnutzung die Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten oder die Integrität oder Verfügbarkeit von Verarbeitungsressourcen gefährden könnte. Zu diesen Szenarien gehören gängige Anwendungsszenarien, in denen der Client mit Warnungen oder Aufforderungen konfrontiert wird, unabhängig von der Herkunft, Qualität oder Benutzerfreundlichkeit der Aufforderung. |
| Mäßig | Faktoren wie Authentifizierungsanforderungen oder die Anwendbarkeit nur auf nicht standardmäßige Konfigurationen mindern die Auswirkungen der Schwachstelle erheblich. |
| Gering | Die Eigenschaften der betroffenen Komponente mindern die Auswirkungen der Sicherheitslücke umfassend. Microsoft empfiehlt Kunden, zu prüfen, ob das Sicherheitsupdate auf den betroffenen Systemen installiert werden soll. |
Update-Kategorien
| Schweregrad | Beschreibung ( von Microsoft) |
|---|---|
| Kritisch | Ein breit veröffentlichte Korrektur für ein spezifisches Problem, die einen kritischen, nicht sicherheitsrelevanten Fehler behebt. |
| Normal | Ein allgemein verfügbarer Fix für ein bestimmtes Problem, der einen nicht kritischen, nicht sicherheitsrelevanten Fehler behebt. |
| Update-Rollup | Ein getesteter, kumulativer Satz aus Hotfixes, Sicherheitsupdates, kritischen Updates und Updates, die zur einfachen Bereitstellung gebündelt wurden. |
| ServicePack | Ein getesteter, kumulativer Satz aller Hotfixes, Sicherheitsupdates, kritischen Updates und Updates. Darüber hinaus können Service Packs zusätzliche Korrekturen für Probleme enthalten, die seit der Veröffentlichung des Produkts intern festgestellt wurden. |
| Feature Pack | Neue Produktfunktionen, die zunächst außerhalb des Rahmens einer Produktveröffentlichung bereitgestellt werden und in der Regel in der nächsten vollständigen Produktversion enthalten sind. |
| Definition Pack | Ein weit verbreitetes und häufiges Software-Update, das Ergänzungen zur Definitionsdatenbank eines Produkts enthält. Definitionsdatenbanken werden häufig verwendet, um Objekte mit bestimmten Attributen, wie z. B. bösartigen Code, zu erkennen. |
| Treiber | Software, die die Ein- und Ausgabe eines Geräts steuert. |
| Feature-Update | Bezeichnet ein Upgrade für Funktionen und Funktionalitäten von Windows 10. |
Gängige Patch-Profile
Wählen Sie einen Profiltyp aus, um mehr zu erfahren:
- Standard-Patching-Profil
- Profil für vollständige Genehmigungsautomatisierung
- Profil für automatisierte Patches mit geringem Risiko und ausgewogener Automatisierung
- Profil mit geringem Risiko und geringer Automatisierung
- Vollständig manuelles Profil
Standard-Patching-Profil
Viele unserer Partner nutzen das Standard-Patching-Profil von NinjaOne, das darauf ausgerichtet ist, zeitsparende Automatisierung mit Risikominderung in Einklang zu bringen.
Fast alle Genehmigungen in diesem Profil sind automatisiert. Wichtige Updates werden genehmigt, optionale Updates abgelehnt, um die Zeitersparnis zu maximieren. Optionale und Patches mit niedriger Priorität werden automatisch abgelehnt, um den Automatisierungsgrad hoch zu halten und gleichzeitig Betriebsrisiken zu vermeiden.
Treiber- und Funktionsupdates sind in diesem Profil deaktiviert, da diese Arten von Updates eher zu Problemen für Endbenutzer führen können.
| Genehmigungen für Sicherheitsupdates | Genehmigungsstatus |
|---|---|
| Niedrig | Ablehnen |
| Mäßig | Manuell |
| Wichtig | Genehmigen |
Kritisch | Genehmigen |
| Genehmigungen | Wichtig | Optional |
|---|---|---|
| Kritische Updates | Genehmigen | Ablehnen |
| Regelmäßige Updates | Genehmigen | Ablehnen |
| Update-Rollups | Genehmigen | Ablehnen |
| Service Packs | Genehmigen | Ablehnen |
| Definitionspakete | Genehmigen | Ablehnen |
| Erweiterte Genehmigungen | |
|---|---|
| Treiber | Deaktiviert |
| Funktionsupdates | Deaktiviert |
Profil für vollständige Genehmigungsautomatisierung
Das Profil für vollständige Automatisierung ist das am zweithäufigsten von NinjaOne-Partnern verwendete Profil. Dieses Profil genehmigt automatisch alle Microsoft-Patches.
Dieses Profil stellt sicher, dass alle mit der Richtlinie verbundenen Geräte stets auf dem neuesten Stand sind, setzt die Geräte jedoch aufgrund problematischer Patches einem gewissen Betriebsrisiko aus.
Durch die Kombination dieses Profils mit häufigen Patch-Scans können Techniker Betriebsrisiken vermeiden, indem sie problematische Patches ablehnen, sobald sie auftreten und bevor sie angewendet werden.
Durch die Kombination dieses Profils mit Testgeräten können Sie zudem die Auswirkungen von Patches beobachten, bevor Sie diese auf Produktionsmaschinen ausrollen.
| Genehmigungen für Sicherheitsupdates | Genehmigungsstatus |
|---|---|
| Niedrig | Genehmigen |
| Mäßig | Genehmigen |
| Wichtig | Genehmigen |
| Kritisch | Genehmigen |
Genehmigungen | Wichtig | Optional |
|---|---|---|
Kritische Updates | Genehmigen | Genehmigen |
Regelmäßige Updates | Genehmigen | Genehmigen |
Update-Rollups | Genehmigen | Genehmigen |
Service Packs | Genehmigen | Genehmigen |
Definitionspakete | Genehmigen | Genehmigen |
Erweiterte Genehmigungen | ||
|---|---|---|
Treiber | Aktiviert | Genehmigen |
Funktionsaktualisierungen | Aktiviert | Genehmigen |
Risikoarmes, ausgewogenes Automatisierungsprofil
Dieses Profil legt den Schwerpunkt auf das Erreichen einer 100-prozentigen Patch-Compliance und versucht gleichzeitig, das Betriebsrisiko zu minimieren, indem es Automatisierung und manuelle Genehmigungen in ein ausgewogenes Verhältnis bringt.
Dieses Profil erfordert mehr manuelle Eingriffe, um eine vollständige Patch-Compliance zu erreichen, bietet jedoch den zusätzlichen Vorteil, dass problematische Patches, die für die Sicherheit oder Funktion eines Geräts nicht kritisch sind, vermieden werden können.
Um die Vorteile dieses Profils nutzen zu können, müssen Techniker regelmäßig manuelle Patches überprüfen und genehmigen oder ablehnen.
Genehmigungen für Sicherheitsupdates | Genehmigungsstatus |
|---|---|
Niedrig | Manuell |
Mäßig | Manuell |
Wichtig | Genehmigen |
Kritisch | Genehmigen |
Genehmigungen | Wichtig | Optional |
|---|---|---|
Kritische Updates | Genehmigen | Manuell |
Regelmäßige Updates | Genehmigen | Manuell |
Update-Rollups | Genehmigen | Manuell |
Service Packs | Genehmigen | Handbuch |
Definitionspakete | Genehmigen | Manuell |
Erweiterte Genehmigungen | ||
|---|---|---|
Treiber | Aktiviert | Manuell |
Funktionsaktualisierungen | Aktiviert | Manuell |
Profil mit geringem Risiko und geringem Automatisierungsgrad
Dieses Profil sorgt ebenfalls für ein Gleichgewicht zwischen Automatisierung und manuellen Eingriffen.
In diesem Fall werden optionale Patches automatisch abgelehnt, während Sicherheits- und wichtige Updates eine manuelle Genehmigung erfordern.
Dieses Profil versucht, weniger wichtige Patches zu automatisieren und gleichzeitig die operativen Risiken durch problematische Patches zu minimieren.
NinjaOne-Partner, die dieses Profil verwenden, müssen ausstehende Patches regelmäßig überprüfen und genehmigen, um die Endpunktsicherheit zu gewährleisten.
Genehmigungen für Sicherheitsupdates | Genehmigungsstatus |
|---|---|
Niedrig | Manuell |
Mittel | Manuell |
Wichtig | Manuell |
Kritisch | Handbuch |
Zulassungen | Wichtig | Optional |
|---|---|---|
Kritische Updates | Manuell | Ablehnen |
Regelmäßige Updates | Manuell | Ablehnen |
Update-Rollups | Manuell | Ablehnen |
Service Packs | Handbuch | Ablehnen |
Definitionspakete | Handbuch | Ablehnen |
Erweiterte Genehmigungen | ||
|---|---|---|
Treiber | Aktiviert | Manuell |
Funktionsaktualisierungen | Aktiviert | Manuell |
Vollständig manuelles Profil
Das Profil für vollständig manuelles Patchen ermöglicht es Technikern, vollständig zu steuern, welche Patches angewendet werden und welche nicht.
Jeder für ein Gerät verfügbare Patch wird als ausstehend aufgeführt, bis er genehmigt oder abgelehnt wird.
Obwohl dieses Profil immer noch weitaus effizienter ist als herkömmliches Patching, ist es das arbeitsintensivste Patching-Profil in NinjaOne. Es könnte Benutzer sowohl Sicherheits- als auch Betriebsrisiken aussetzen, wenn Patches nicht schnell genug angewendet werden.
Benutzer, die dieses Profil verwenden, sollten über Standardarbeitsanweisungen (SOPs) verfügen, um ihre Patch-Rhythmus regelmäßig zu überprüfen.
Genehmigungen für Sicherheitsupdates | Genehmigungsstatus |
|---|---|
Niedrig | Manuell |
Mittel | Manuell |
Wichtig | Manuell |
Kritisch | Handbuch |
Zulassungen | Wichtig | Optional |
|---|---|---|
Kritische Updates | Manuell | Manuell |
Regelmäßige Updates | Manuell | Manuell |
Update-Rollups | Manuell | Handbuch |
Service Packs | Handbuch | Handbuch |
Definitionspakete | Handbuch | Handbuch |
Erweiterte Genehmigungen | ||
|---|---|---|
Treiber | Aktiviert | Handbuch |
Funktionsaktualisierungen | Aktiviert | Manuell |
Verhalten beim Neustart
Um Windows-Updates abzuschließen, müssen Geräte oft neu gestartet werden.
Endbenutzer dazu zu bewegen, ihre Geräte neu zu starten, ist nahezu unmöglich, daher ermöglicht NinjaOne die Automatisierung dieses Vorgangs.
NinjaOne-Richtlinien ermöglichen die Anwendung unterschiedlicher Aktionen und Zeitpläne, je nachdem, ob ein Benutzer angemeldet ist oder nicht.
Benutzer angemeldet
Neustart-Aktionen
Die meisten NinjaOne-Benutzer verwenden keine Richtlinien, um nach dem Patchen einen Neustart bei Endbenutzern zu erzwingen; stattdessen werden sie den Benutzer auffordern, den Rechner neu zu starten. Viele Richtlinien führen überhaupt keinen automatischen Neustart durch. Ein kleiner Prozentsatz der Richtlinien erzwingt jedoch einen Neustart.
Aktion | Beschreibung | Häufigkeit |
|---|---|---|
Benutzer auffordern | Den Benutzer so lange zum Neustart auffordern, bis dieser akzeptiert wird | 65 % |
Benutzer benachrichtigen | Benutzer benachrichtigen, dann nach einer bestimmten Zeit neu starten | 10 |
Automatischer Neustart | Nach einer bestimmten Zeit automatisch neu starten | 4 |
Keine | Nichts tun | 20 |
Neustart / Zeitüberschreitung bei Aufforderung
Der häufigste Zeitraum zwischen Aufforderungen, zwischen Aufforderung und Neustart oder zwischen Abschluss der Patch-Installation und Neustart beträgt 5 Minuten. Je aggressiver die Neustart-Aktion wird, desto kürzer wird der Zeitrahmen.
Dauer | Aufforderung | Benachrichtigung | Automatischer Neustart |
|---|---|---|---|
5 Minuten | 65 % | 41 % | 76 % |
5 – 59 | 9 % | 37 % | 18 % |
60 – 239 | 14 % | 13 % | 4 % |
240+ | 12 % | 9 % | 6 % |
Benutzer nicht angemeldet
Neustart-Aktionen
Die meisten NinjaOne-Richtlinien führen nach der Installation von Patches einen planmäßigen Neustart der Geräte durch. Da kein Benutzer angemeldet ist, sind sofortige Neustarts häufiger als bei angemeldeten Benutzern.
Aktion | Beschreibung | Häufigkeit |
|---|---|---|
Neustart nach Zeitplan | Benutzer benachrichtigen, dann nach einer bestimmten Zeit neu starten | 67 % |
Sofort neu starten | Das Gerät sofort neu starten | 18 % |
Keine | Nichts tun | 14 % |
Neustart-Zeitplan (wöchentlich)
Die 12 % der Richtlinien, die wöchentlich neu gestartet werden, werden an folgenden Tagen neu gestartet:
So | Mo | Di | Mi | Do | Fr | Sa |
|---|---|---|---|---|---|---|
46 % | 5 % | 5 % | 3 % | 5 % | 8 % | 27 % |
Neustart-Zeitplan (täglich)
Die 85 % der Richtlinien, die täglich neu starten, werden täglich zu folgenden Zeiten neu gestartet:
00:00 – 8:50 | 9:00 – 16:59 | 17:00 – 17:59 | 18:00 – 23:59 |
|---|---|---|---|
19 % | 2 % | 57 % | 22 % |