Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Insights for Better Patch Management

Thema

Dieser Artikel ist eine Kopie des Leitfadens „NinjaOne Patch Management Best Practice“ aus unserem NinjaOne Resource Center. Die Daten können am Ende dieser Seite als PDF heruntergeladen werden. 

Bei der Erstellung dieses Leitfadens haben wir mit NinjaOne-Partnern zusammengearbeitet, um zu verstehen, wie sie die Patch-Management-Funktionen von NinjaOne nutzen, und ihr Fachwissen mit unserem eigenen kombiniert. In diesem Leitfaden geben wir diese Erkenntnisse weiter, damit neue Partner das Patch-Management optimal nutzen können.

Umgebung

NinjaOne-Plattform

Patch-Management

Beschreibung

So richten NinjaOne-Benutzer Windows-Patches ein

Das Patch-Management ist eine der wichtigsten Aufgaben eines IT-Teams. Unternehmen wenden erhebliche Ressourcen auf, um ihre Infrastruktur auf dem neuesten Stand zu halten, doch mehr als die Hälfte der Sicherheitsverletzungen hätte durch die Installation verfügbarer Software- und Betriebssystem-Patches verhindert werden können.

Neben den Sicherheitsaspekten stellt eine effektive Patch-Strategie sicher, dass Endbenutzer über die aktuellste, funktionsreiche Software verfügen, mit der sie ihre Arbeit erledigen können.

Wenn jedoch selbst einige der größten und finanzstärksten Organisationen der Welt Schwierigkeiten mit dem Patch-Management haben, welche Chancen haben dann kleine und mittlere Unternehmen mit begrenztem IT-Support? Ohne die richtigen Tools ist der Prozess zeitaufwändig, kompliziert, stört die Endbenutzer und ist fehleranfällig.

Patch-Management-Software, wie sie in NinjaOne enthalten ist, bietet Benutzern einen vollständigen, zentralisierten Überblick über ihre Patch-Compliance-Rate und automatisiert die Identifizierung, das Herunterladen und die Bereitstellung von Patches auf allen verwalteten Geräten.

NinjaOne bietet Ihnen eine detaillierte Kontrolle über Ihren Patch-Genehmigungsprozess, verbessert Ihre Erfolgsquote beim ersten Patch-Durchlauf und reduziert den Zeitaufwand Ihrer Techniker für das Patchen.

Scan-Zeitpläne

Mit NinjaOne-Richtlinien können Benutzer Patch-Scans unabhängig vom Aktualisierungsprozess planen. Der Scan identifiziert alle noch nicht installierten Patches auf einem Gerät und sortiert sie basierend auf richtlinienbasierten Genehmigungseinstellungen in die Kategorien „Genehmigt“, „Ausstehend“ oder „Abgelehnt“.

Indem Sie den Scan Stunden oder Tage vor der Durchführung eines Updates durchführen, können Sie den Genehmigungsstatus eines Patches manuell anpassen, was der Update-Prozess dann berücksichtigt. Dies ist äußerst hilfreich für manuell genehmigte Patches oder um problematische Patches zu vermeiden, die normalerweise automatisch genehmigt würden.

Patches werden während des Patch-Scan-Prozesses nicht installiert.

Wann sollten Scans geplant werden

Wochentag

Die meisten NinjaOne-Partner planen ihre Patch-Scans einmal pro Woche. Freitags sind bei weitem der häufigste Tag für Patch-Scans. Die nächsthäufigste Option ist, jeden Tag einen Scan durchzuführen. Tägliche Patch-Scans beanspruchen mehr Ressourcen, maximieren aber die Zeit, die Partnern für Ad-hoc-Änderungen an Patches zur Verfügung steht.

SoMoDiMiDoFrSaTäglich
3 %3 %5 %10 %7 %40 %7 %25 %

Tageszeit

Die häufigste Zeit für Patch-Scans liegt zwischen 17:00 und 18:00 Uhr (Gerätezeit). Viele Benutzer planen Scans nach 18:00 Uhr, um Beeinträchtigungen für Endbenutzer zu vermeiden, die länger arbeiten. Obwohl Patch-Scans nicht ressourcenintensiv sind, werden die meisten Scans nach den üblichen Arbeitszeiten geplant, um Beeinträchtigungen für Endbenutzer zu vermeiden. Benutzer, die Scans während der Arbeitszeiten planen, tun dies möglicherweise, um die größtmögliche Anzahl an online befindlichen Geräten zu erfassen.

00:00 – 8:509:00 – 16:5917:00 – 23:59
16 %2460 %

Scan-Dauer

Die meisten NinjaOne-Benutzer legen keine Scan-Dauer fest, sodass Scans so lange dauern können, wie nötig. Für diejenigen, die die Dauer begrenzen, sind die gängigsten Optionen 9 Stunden, 6 Stunden und 3 Stunden. Scan-Dauern können verwendet werden, wenn Sie eine neue Infrastruktur übernehmen oder wenn Benutzer aus mehreren Zeitzonen auf einen Server zugreifen müssen und das Patch-Fenster kürzer sein muss, um die Auswirkungen auf die Endbenutzer zu minimieren.

1 Stunde2 Stunden3 Stunden4 Stunden5 Stunden6 Stunden7 Stunden8 Stunden9+ Stunden
0 %0 %1 %1 %1 %3 %0 %0 %10 %85 %

Update-Zeitpläne

Der NinjaOne-Aktualisierungsplan sucht zunächst nach verfügbaren Patches, lädt dann sowohl neu entdeckte als auch bereits durch einen Patch-Scan identifizierte Patches herunter und wendet sie an, basierend auf den Genehmigungskonfigurationen der Richtlinie und etwaigen anwendbaren Überschreibungen. Das NinjaOne-Patch-Management führt anschließend einen zusätzlichen Scan durch, um den Vorgang abzuschließen.

Der durch die Richtlinie festgelegte Genehmigungsstatus kann für einzelne Geräte oder für ganze Richtlinien überschrieben werden, sofern dies bei einem Scan vor der Anwendung erkannt wird.

Sobald während eines Update-Zyklus versucht wurde, einen Patch zu installieren, wird dieser im OS-Patch-Dashboard unter „Installiert“ oder „Fehlgeschlagen“ sortiert.

Wann sollten Updates geplant werden?

Wochentag

Patches werden meist am Wochenende angewendet, um Störungen für Endbenutzer zu vermeiden. Freitage – in der Regel nach Feierabend – sind ebenfalls üblich. Nach der anfänglichen Geräteeinbindung wenden viele Benutzer Patches auch täglich an, um die Zeit zu minimieren, in der Endpunkte angreifbar sind.

SoMoDiMiDoFrSaTäglich
19 %4 %5 %9 %10 %15 %19 %19 %

Tageszeit

Die häufigste Zeit für den Start des Patch-Anwendungsprozesses liegt zwischen 17:00 und 18:00 Uhr (Gerätezeit). Viele Benutzer planen ihre Updates nach 18:00 Uhr, um Auswirkungen auf Endbenutzer zu vermeiden, die länger arbeiten. Da die Anwendung von Patches ressourcenintensiver ist und oft einen Neustart erfordert, werden die meisten Updates außerhalb der Arbeitszeiten geplant.

00:00 – 8:50 9:00 – 16:59 17:00 – 23:59 
33 %1848 %

Dauer der Aktualisierung

Die meisten NinjaOne-Benutzer legen keine Dauer für die Patch-Anwendung fest, sodass Updates so lange dauern können, wie nötig. Diejenigen, die die Dauer begrenzen, beschränken Updates meist auf 4 Stunden oder weniger.

1 Stunde2 Stunden3 Stunden4 Stunden5+ Stunden
3 %5 %4 %5 %10 %74 %

Verpasste Zeitpläne

Mit NinjaOne können Benutzer verpasste Scans oder Updates nachholen. Dies tritt am häufigsten auf, wenn das Gerät ausgeschaltet ist, wenn der Scan oder das Update beginnen soll.

Scan- und Update-Optionen können separat aktiviert werden.

Verpasste Scans und Updates werden ausgeführt, sobald der NinjaOne-Agent sich beim Server meldet.

Nachholen verpasster Scans und Updates

Verpasste Scans

Fast die Hälfte der NinjaOne-Benutzer holt verpasste Patch-Scans automatisch nach. Diese Funktion ist besonders hilfreich für diejenigen, die normalerweise außerhalb der Geschäftszeiten scannen, wenn möglicherweise mehr Geräte ausgeschaltet sind.

Scan nachholenScan nicht nachholen
51 %49

Verpasste Updates

Das Nachholen verpasster Updates ist seltener als das Nachholen von Scans. Außerplanmäßige Updates stören Endbenutzer eher, da sie Ressourcen beanspruchen oder einen Neustart des Geräts nach dem Update erfordern.

Update nachholenUpdate nicht nachholen
60 %40

Patch-Genehmigungen

Mit NinjaOne können Sie Genehmigungsworkflows für jede der vier Schweregrade von Microsoft-Sicherheitsupdates und die sieben Microsoft-Update-Kategorien konfigurieren. Sie können Patches je nach Kategorie automatisch genehmigen, automatisch ablehnen oder manuell genehmigen bzw. ablehnen.

In den nächsten Abschnitten stellen wir Ihnen die gängigsten Patch-Profile vor, die NinjaOne-Benutzer auf ihren Geräten anwenden.

Genehmigungen für Sicherheitsupdates

SchweregradBeschreibung ( von Microsoft)
KritischEine Sicherheitslücke, deren Ausnutzung die Ausführung von Code ohne Benutzereingriff ermöglichen könnte. Zu diesen Szenarien gehören sich selbst verbreitende Malware (z. B. Netzwerkwürmer) oder unvermeidbare, alltägliche Anwendungsszenarien, in denen die Codeausführung ohne Warnungen oder Aufforderungen erfolgt. Dies kann das Aufrufen einer Webseite oder das Öffnen einer E-Mail bedeuten.
WichtigEine Sicherheitslücke, deren Ausnutzung die Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten oder die Integrität oder Verfügbarkeit von Verarbeitungsressourcen gefährden könnte. Zu diesen Szenarien gehören gängige Anwendungsszenarien, in denen der Client mit Warnungen oder Aufforderungen konfrontiert wird, unabhängig von der Herkunft, Qualität oder Benutzerfreundlichkeit der Aufforderung.
MäßigFaktoren wie Authentifizierungsanforderungen oder die Anwendbarkeit nur auf nicht standardmäßige Konfigurationen mindern die Auswirkungen der Schwachstelle erheblich.
GeringDie Eigenschaften der betroffenen Komponente mindern die Auswirkungen der Sicherheitslücke umfassend. Microsoft empfiehlt Kunden, zu prüfen, ob das Sicherheitsupdate auf den betroffenen Systemen installiert werden soll.

Update-Kategorien

SchweregradBeschreibung ( von Microsoft)
KritischEin breit veröffentlichte Korrektur für ein spezifisches Problem, die einen kritischen, nicht sicherheitsrelevanten Fehler behebt.
NormalEin allgemein verfügbarer Fix für ein bestimmtes Problem, der einen nicht kritischen, nicht sicherheitsrelevanten Fehler behebt.
Update-RollupEin getesteter, kumulativer Satz aus Hotfixes, Sicherheitsupdates, kritischen Updates und Updates, die zur einfachen Bereitstellung gebündelt wurden.
ServicePackEin getesteter, kumulativer Satz aller Hotfixes, Sicherheitsupdates, kritischen Updates und Updates. Darüber hinaus können Service Packs zusätzliche Korrekturen für Probleme enthalten, die seit der Veröffentlichung des Produkts intern festgestellt wurden.
Feature PackNeue Produktfunktionen, die zunächst außerhalb des Rahmens einer Produktveröffentlichung bereitgestellt werden und in der Regel in der nächsten vollständigen Produktversion enthalten sind.
Definition PackEin weit verbreitetes und häufiges Software-Update, das Ergänzungen zur Definitionsdatenbank eines Produkts enthält. Definitionsdatenbanken werden häufig verwendet, um Objekte mit bestimmten Attributen, wie z. B. bösartigen Code, zu erkennen.
TreiberSoftware, die die Ein- und Ausgabe eines Geräts steuert.
Feature-UpdateBezeichnet ein Upgrade für Funktionen und Funktionalitäten von Windows 10.

Gängige Patch-Profile

Wählen Sie einen Profiltyp aus, um mehr zu erfahren: 

Standard-Patching-Profil

Viele unserer Partner nutzen das Standard-Patching-Profil von NinjaOne, das darauf ausgerichtet ist, zeitsparende Automatisierung mit Risikominderung in Einklang zu bringen.

Fast alle Genehmigungen in diesem Profil sind automatisiert. Wichtige Updates werden genehmigt, optionale Updates abgelehnt, um die Zeitersparnis zu maximieren. Optionale und Patches mit niedriger Priorität werden automatisch abgelehnt, um den Automatisierungsgrad hoch zu halten und gleichzeitig Betriebsrisiken zu vermeiden.

Treiber- und Funktionsupdates sind in diesem Profil deaktiviert, da diese Arten von Updates eher zu Problemen für Endbenutzer führen können.

Genehmigungen für SicherheitsupdatesGenehmigungsstatus
NiedrigAblehnen
MäßigManuell
WichtigGenehmigen

Kritisch

Genehmigen

GenehmigungenWichtigOptional
Kritische UpdatesGenehmigenAblehnen
Regelmäßige UpdatesGenehmigenAblehnen
Update-RollupsGenehmigenAblehnen
Service PacksGenehmigenAblehnen
DefinitionspaketeGenehmigenAblehnen

Erweiterte Genehmigungen
TreiberDeaktiviert
FunktionsupdatesDeaktiviert

Profil für vollständige Genehmigungsautomatisierung

Das Profil für vollständige Automatisierung ist das am zweithäufigsten von NinjaOne-Partnern verwendete Profil. Dieses Profil genehmigt automatisch alle Microsoft-Patches.

Dieses Profil stellt sicher, dass alle mit der Richtlinie verbundenen Geräte stets auf dem neuesten Stand sind, setzt die Geräte jedoch aufgrund problematischer Patches einem gewissen Betriebsrisiko aus.

Durch die Kombination dieses Profils mit häufigen Patch-Scans können Techniker Betriebsrisiken vermeiden, indem sie problematische Patches ablehnen, sobald sie auftreten und bevor sie angewendet werden.

Durch die Kombination dieses Profils mit Testgeräten können Sie zudem die Auswirkungen von Patches beobachten, bevor Sie diese auf Produktionsmaschinen ausrollen.

Genehmigungen für SicherheitsupdatesGenehmigungsstatus
NiedrigGenehmigen
MäßigGenehmigen
WichtigGenehmigen
KritischGenehmigen

Genehmigungen

Wichtig

Optional

Kritische Updates

Genehmigen

Genehmigen

Regelmäßige Updates

Genehmigen

Genehmigen

Update-Rollups

Genehmigen

Genehmigen

Service Packs

Genehmigen

Genehmigen

Definitionspakete

Genehmigen

Genehmigen

Erweiterte Genehmigungen

Treiber

Aktiviert

Genehmigen

Funktionsaktualisierungen

Aktiviert

Genehmigen

Risikoarmes, ausgewogenes Automatisierungsprofil

Dieses Profil legt den Schwerpunkt auf das Erreichen einer 100-prozentigen Patch-Compliance und versucht gleichzeitig, das Betriebsrisiko zu minimieren, indem es Automatisierung und manuelle Genehmigungen in ein ausgewogenes Verhältnis bringt.

Dieses Profil erfordert mehr manuelle Eingriffe, um eine vollständige Patch-Compliance zu erreichen, bietet jedoch den zusätzlichen Vorteil, dass problematische Patches, die für die Sicherheit oder Funktion eines Geräts nicht kritisch sind, vermieden werden können.

Um die Vorteile dieses Profils nutzen zu können, müssen Techniker regelmäßig manuelle Patches überprüfen und genehmigen oder ablehnen.

Genehmigungen für Sicherheitsupdates

Genehmigungsstatus

Niedrig

Manuell

Mäßig

Manuell

Wichtig

Genehmigen

Kritisch

Genehmigen

Genehmigungen

Wichtig

Optional

Kritische Updates

Genehmigen

Manuell

Regelmäßige Updates

Genehmigen

Manuell

Update-Rollups

Genehmigen

Manuell

Service Packs

Genehmigen

Handbuch

Definitionspakete

Genehmigen

Manuell

Erweiterte Genehmigungen

Treiber

Aktiviert

Manuell

Funktionsaktualisierungen

Aktiviert

Manuell

Profil mit geringem Risiko und geringem Automatisierungsgrad

Dieses Profil sorgt ebenfalls für ein Gleichgewicht zwischen Automatisierung und manuellen Eingriffen.

In diesem Fall werden optionale Patches automatisch abgelehnt, während Sicherheits- und wichtige Updates eine manuelle Genehmigung erfordern.

Dieses Profil versucht, weniger wichtige Patches zu automatisieren und gleichzeitig die operativen Risiken durch problematische Patches zu minimieren.

NinjaOne-Partner, die dieses Profil verwenden, müssen ausstehende Patches regelmäßig überprüfen und genehmigen, um die Endpunktsicherheit zu gewährleisten.

Genehmigungen für Sicherheitsupdates

Genehmigungsstatus

Niedrig

Manuell

Mittel

Manuell

Wichtig

Manuell

Kritisch

Handbuch

Zulassungen

Wichtig

Optional

Kritische Updates

Manuell

Ablehnen

Regelmäßige Updates

Manuell

Ablehnen

Update-Rollups

Manuell

Ablehnen

Service Packs

Handbuch

Ablehnen

Definitionspakete

Handbuch

Ablehnen

Erweiterte Genehmigungen

Treiber

Aktiviert

Manuell

Funktionsaktualisierungen

Aktiviert

Manuell

Vollständig manuelles Profil

Das Profil für vollständig manuelles Patchen ermöglicht es Technikern, vollständig zu steuern, welche Patches angewendet werden und welche nicht.

Jeder für ein Gerät verfügbare Patch wird als ausstehend aufgeführt, bis er genehmigt oder abgelehnt wird.

Obwohl dieses Profil immer noch weitaus effizienter ist als herkömmliches Patching, ist es das arbeitsintensivste Patching-Profil in NinjaOne. Es könnte Benutzer sowohl Sicherheits- als auch Betriebsrisiken aussetzen, wenn Patches nicht schnell genug angewendet werden.

Benutzer, die dieses Profil verwenden, sollten über Standardarbeitsanweisungen (SOPs) verfügen, um ihre Patch-Rhythmus regelmäßig zu überprüfen.

Genehmigungen für Sicherheitsupdates

Genehmigungsstatus

Niedrig

Manuell

Mittel

Manuell

Wichtig

Manuell

Kritisch

Handbuch

Zulassungen

Wichtig

Optional

Kritische Updates

Manuell

Manuell

Regelmäßige Updates

Manuell

Manuell

Update-Rollups

Manuell

Handbuch

Service Packs

Handbuch

Handbuch

Definitionspakete

Handbuch

Handbuch

Erweiterte Genehmigungen

Treiber

Aktiviert

Handbuch

Funktionsaktualisierungen

Aktiviert

Manuell

Verhalten beim Neustart

Um Windows-Updates abzuschließen, müssen Geräte oft neu gestartet werden.

Endbenutzer dazu zu bewegen, ihre Geräte neu zu starten, ist nahezu unmöglich, daher ermöglicht NinjaOne die Automatisierung dieses Vorgangs.

NinjaOne-Richtlinien ermöglichen die Anwendung unterschiedlicher Aktionen und Zeitpläne, je nachdem, ob ein Benutzer angemeldet ist oder nicht.

Benutzer angemeldet

Neustart-Aktionen

Die meisten NinjaOne-Benutzer verwenden keine Richtlinien, um nach dem Patchen einen Neustart bei Endbenutzern zu erzwingen; stattdessen werden sie den Benutzer auffordern, den Rechner neu zu starten. Viele Richtlinien führen überhaupt keinen automatischen Neustart durch. Ein kleiner Prozentsatz der Richtlinien erzwingt jedoch einen Neustart.

Aktion

Beschreibung

Häufigkeit

Benutzer auffordern

Den Benutzer so lange zum Neustart auffordern, bis dieser akzeptiert wird

65 %

Benutzer benachrichtigen

Benutzer benachrichtigen, dann nach einer bestimmten Zeit neu starten

10

Automatischer Neustart

Nach einer bestimmten Zeit automatisch neu starten

4

Keine

Nichts tun

20

Neustart / Zeitüberschreitung bei Aufforderung

Der häufigste Zeitraum zwischen Aufforderungen, zwischen Aufforderung und Neustart oder zwischen Abschluss der Patch-Installation und Neustart beträgt 5 Minuten. Je aggressiver die Neustart-Aktion wird, desto kürzer wird der Zeitrahmen.

Dauer

Aufforderung

Benachrichtigung

Automatischer Neustart

5 Minuten

65 %

41 %

76 %

5 – 59

9 %

37 %

18 %

60 – 239

14 %

13 %

4 %

240+

12 %

9 %

6 %

Benutzer nicht angemeldet

Neustart-Aktionen

Die meisten NinjaOne-Richtlinien führen nach der Installation von Patches einen planmäßigen Neustart der Geräte durch. Da kein Benutzer angemeldet ist, sind sofortige Neustarts häufiger als bei angemeldeten Benutzern.

Aktion

Beschreibung

Häufigkeit

Neustart nach Zeitplan

Benutzer benachrichtigen, dann nach einer bestimmten Zeit neu starten

67 %

Sofort neu starten

Das Gerät sofort neu starten

18 %

Keine

Nichts tun

14 %

Neustart-Zeitplan (wöchentlich)

Die 12 % der Richtlinien, die wöchentlich neu gestartet werden, werden an folgenden Tagen neu gestartet:

So

Mo

Di

Mi

Do

Fr

Sa

46 %

5 %

5 %

3 %

5 %

8 %

27 %

Neustart-Zeitplan (täglich)

Die 85 % der Richtlinien, die täglich neu starten, werden täglich zu folgenden Zeiten neu gestartet:

00:00 – 8:50 

9:00 – 16:59 

17:00 – 17:59 

18:00 – 23:59 

19 %

2 %

57 %

22 %

FAQ

Nächste Schritte