Inhaltsverzeichnis
- Einführung
- Scan-Zeitpläne
- Update-Zeitpläne:
- Verpasste Zeitpläne
- Patch-Genehmigungen
- Übliche Patching-Profile
- Reboot-Verhalten
Dieser Leitfaden gibt einen Einblick in die gängigsten Patching-Konfigurationen, die von NinjaOne-Partnern verwendet werden, und zeigt Best Practices, mit denen Sie Ihre Patch-Management-Ergebnisse verbessern können.
Einführung
So richten NinjaOne-Benutzer das Windows-Patching ein
Das Patch-Management ist eine der wichtigsten Aufgaben des IT-Teams. Unternehmen geben erhebliche Ressourcen dafür aus, ihre Infrastruktur auf dem neuesten Stand zu halten, doch mehr als die Hälfte der Sicherheitsverletzungen hätte durch die Installation verfügbarer Software- und Betriebssystem-Patches verhindert werden können.
Abgesehen von den Auswirkungen auf die Sicherheit stellt eine effektive Patching-Strategie sicher, dass die Endbenutzer über die aktuellste Software mit Funktionen verfügen, mit der sie ihre Arbeit verrichten können.
Wenn aber schon einige der größten und finanzstärksten Unternehmen der Welt Schwierigkeiten beim Patch-Management haben, wie sieht es dann erst bei kleinen und mittelständischen Unternehmen mit begrenztem IT-Support aus? Ohne die richtigen Tools ist der Prozess zeitaufwendig, kompliziert, störend für die Endbenutzer und fehleranfällig.
Patch-Management-Software, wie sie in NinjaOne enthalten ist, bietet Anwendern einen vollständigen, zentralisierten Überblick über ihre Patch-Compliance-Rate und automatisiert die Identifizierung, das Herunterladen und die Bereitstellung von Patches auf Ihren verwalteten Geräten.
Mit NinjaOne können Sie Ihren Patch-Genehmigungsprozess genau steuern, die Erfolgsquote beim ersten Patch-Durchlauf verbessern und die Zeit, die Ihre Techniker mit dem Patchen verbringen, reduzieren.
Bei der Erstellung dieses Leitfadens haben wir mit NinjaOne-Partnern zusammengearbeitet, um zu verstehen, wie sie die Patch-Management-Funktionen von NinjaOne nutzen, und ihre Erfahrungen mit unseren eigenen kombiniert.
In diesem Leitfaden geben wir diese Erkenntnisse weiter, damit unsere Partner das Beste aus dem Patch-Management herausholen können.
Scan-Zeitpläne
Mithilfe der NinjaOne-Richtlinien können Benutzer Patch-Scans getrennt vom Update-Prozess planen. Beim Scannen werden alle noch nicht installierten Patches auf einem Gerät identifiziert und anhand von richtlinienbasierten Genehmigungseinstellungen in die Kategorien „Genehmigt“, „Ausstehend“ oder „Abgelehnt“ sortiert.
Wenn Sie Stunden oder Tage vor der Ausführung eines Updates scannen, können Sie den Genehmigungsstatus eines Patches manuell anpassen, was dann beim Update-Prozess berücksichtigt wird. Dies ist sehr hilfreich für manuell genehmigte Patches oder um problematische Patches zu vermeiden, die normalerweise automatisch genehmigt werden würden.
Die entsprechenden Patches werden während des Patch-Scan-Vorgangs nicht installiert.
Planen von Scans
Wochentag
Die meisten NinjaOne-Partner planen ihre Patch-Scans einmal pro Woche. Dabei werden Freitage am häufigsten für Patch-Scans genutzt. Die zweithäufigste Option ist ein täglicher Scan. Tägliche Patch-Scans verbrauchen mehr Ressourcen, maximieren aber die Zeit, die den Partnern zur Verfügung steht, um Ad-hoc-Änderungen an den Patches vorzunehmen.
|
So |
Mo |
Di |
Mi |
Do |
Fr |
Sa |
Täglich |
|
3 % |
3 % |
5 % |
10 % |
7 % |
40 % |
7 % |
25 % |
Tageszeit
Die häufigste Zeit für die Suche nach Patches ist zwischen 17:00 und 18:00 Uhr Gerätezeit. Viele Benutzer planen Scans nach 18:00 Uhr, um zu vermeiden, dass Endbenutzer, die später arbeiten, davon betroffen sind. Obwohl das Scannen von Patches nicht ressourcenintensiv ist, werden die meisten Scans nach Ende der üblichen Arbeitszeiten geplant, um die Endbenutzer nicht zu stören. Benutzer, die Scans während der Arbeitszeit planen, tun dies meist, um möglichst viele Geräte zu erfassen, die gerade online sind.
|
00:00 – 08:50 Uhr |
09:00 – 16:59 Uhr |
17:00 – 23:59 Uhr |
|
16 % |
24 % |
60 % |
Scan-Dauer
Die meisten NinjaOne-Benutzer legen keine Scan-Dauer fest, sodass die Scans so lange wie nötig dauern können. Bei denjenigen, die die Dauer begrenzen, sind die gängigsten Optionen 9 Stunden, 6 Stunden und 3 Stunden. Die Scan-Dauer kann angepasst werden, wenn Sie eine neue Infrastruktur übernehmen oder wenn Benutzer aus verschiedenen Zeitzonen auf einen Server zugreifen müssen und das Patch-Zeitfenster kürzer sein muss, um die Auswirkungen auf die Endbenutzer zu minimieren.
|
1 Stunde |
2 Stunden |
3 Stunden |
4 Stunden |
5 Stunden |
6 Stunden |
7 Stunden |
8 Stunden |
Mehr als 9 Stunden |
∞ |
|
0 % |
0 % |
1 % |
1 % |
1 % |
3 % |
0 % |
0 % |
10 % |
85 % |
Update-Zeitpläne:
Der Update-Zeitplan von NinjaOne sucht zunächst nach verfügbaren Patches und lädt dann sowohl neu entdeckte Patches herunter als auch solche, die bereits durch einen Patch-Scan identifiziert wurden, und wendet sie auf der Grundlage der Genehmigungskonfigurationen und aller potenziellen Überschreibungen der Richtlinie an. Das NinjaOne Patch-Management führt dann einen weiteren Scan durch, um den Prozess abzuschließen.
Der Genehmigungsstatus kann für einzelne Geräte oder für ganze Richtlinien außer Kraft gesetzt werden, solange ein Scan den Patch identifiziert, bevor er angewendet wird.
Wenn ein Patch versucht hat, die Installation während eines Update-Zyklus durchzuführen, wird er im Dashboard als „installierter“ oder „fehlgeschlagener“ Betriebssystem-Patch eingeordnet.
Planen von Updates
Wochentag
Patches werden in der Regel am Wochenende aufgespielt, um die Endbenutzer nicht zu stören. Freitage – in der Regel nach Feierabend – sind ebenfalls üblich. Nach der ersten Inbetriebnahme eines Geräts wenden viele Benutzer auch täglich Patches an, um die Zeit, in der die Endgeräte anfällig sind, zu minimieren.
|
So |
Mo |
Di |
Mi |
Do |
Fr |
Sa |
Täglich |
|
19 % |
4 % |
5 % |
9 % |
10 % |
15 % |
19 % |
19 % |
Tageszeit
Die gängigste Zeit, um mit dem Aufspielen von Patches zu beginnen, ist zwischen 17:00 und 18:00 Uhr Gerätezeit. Viele Benutzer planen Updates nach 18:00 Uhr, um zu vermeiden, dass Endbenutzer, die später arbeiten, davon betroffen sind. Da die Patch-Anwendung ressourcenintensiver ist und oft einen Neustart erfordert, werden die meisten Aktualisierungen außerhalb der Arbeitszeiten geplant.
|
00:00 – 08:50 Uhr |
09:00 – 16:59 Uhr |
17:00 – 23:59 Uhr |
|
33 % |
18 % |
48 % |
Update-Dauer
Die meisten NinjaOne-Benutzer legen keine Dauer für die Patch-Anwendung fest, sodass Aktualisierungen so lange wie nötig dauern. Wenn die Dauer begrenzt wird, beschränken die meisten die Aktualisierungen auf vier Stunden oder weniger.
|
1 Stunde |
2 Stunden |
3 Stunden |
4 Stunden |
Mehr als 5 Stunden |
∞ |
|
3 % |
5 % |
4 % |
5 % |
10 % |
74 % |
Verpasste Zeitpläne
NinjaOne ermöglicht es Benutzern, Scans oder Updates nachzuholen, wenn sie verpasst wurden. Dies ist vor allem dann der Fall, wenn das Gerät ausgeschaltet war, als der Scan oder das Update beginnen sollte.
Die Optionen zum Nachholen von Scans und Updates können separat aktiviert werden.
Nachhol-Scans und -Updates werden ausgeführt, sobald sich der NinjaOne-Agent wieder beim Server meldet.
Verpasste Scans und Updates nachholen
Verpasste Scans
Fast die Hälfte der NinjaOne-Benutzer holen verpasste Patch-Scans automatisch nach. Diese Funktion ist besonders hilfreich für diejenigen, die normalerweise außerhalb der Geschäftszeiten scannen, wenn mehr Geräte ausgeschaltet sein dürften.
|
Holen Scan nach |
Holen Scan nicht nach |
|
51 % |
49 % |
Verpasste Updates
Das Nachholen verpasster Updates ist seltener als das Nachholen von Scans. Bei Updates außerhalb der eigentlichen Zeitpläne ist es wahrscheinlicher, dass Endbenutzer bei der Arbeit unterbrochen werden, entweder aufgrund der Ressourcenauslastung oder weil das Gerät nach der Aktualisierung neu gestartet werden muss.
|
Holen Update nach |
Holen Update nicht nach |
|
60 % |
40 % |
Patch-Genehmigungen
NinjaOne bietet Ihnen die Möglichkeit, Genehmigungs-Workflows für jede der vier Microsoft Sicherheitsupdate-Schweregrade und sieben Microsoft Update-Kategorien zu konfigurieren. Sie können Patches je nach Patch-Kategorie automatisch genehmigen, automatisch ablehnen oder manuell genehmigen/ablehnen.
Auf den nächsten Seiten stellen wir Ihnen die gängigsten Patching-Profile vor, die NinjaOne-Benutzer auf ihre Geräte anwenden.
Genehmigungen für Sicherheitsupdates
|
Schweregrad |
Beschreibung (von Microsoft) |
|
Kritisch |
Eine Sicherheitslücke, deren Ausnutzung die Ausführung von Code ohne Benutzerinteraktion ermöglichen könnte. Zu diesen Szenarien gehören sich selbst verbreitende Malware (z. B. Netzwerkwürmer) oder unvermeidbare Anwendungsszenarien, bei denen Code ohne Warnungen oder Aufforderungen ausgeführt wird. Dies kann beispielsweise beim Aufrufen einer Webseite oder Öffnen einer E-Mail der Fall sein. |
|
Wichtig |
Eine Sicherheitslücke, deren Ausnutzung zu einer Beeinträchtigung der Sicherheit, Integrität oder Verfügbarkeit von Benutzerdaten oder der Integrität oder Verfügbarkeit von Verarbeitungsressourcen führen kann. Zu diesen Szenarien gehören häufig Anwendungsszenarien, bei denen der Client mit Warnungen oder Eingabeaufforderungen angegriffen wird, unabhängig von der Herkunft, Qualität oder Benutzerfreundlichkeit der Eingabeaufforderung. |
|
Mittel |
Die Auswirkungen der Schwachstelle werden durch Faktoren wie Authentifizierungsanforderungen oder die Anwendbarkeit nur auf Nicht-Standardkonfigurationen deutlich abgeschwächt. |
|
Niedrig |
Die Auswirkungen der Schwachstelle werden durch die Eigenschaften der betroffenen Komponente umfassend abgeschwächt. Microsoft empfiehlt in diesem Fall zu prüfen, ob die Kunden ein Sicherheitsupdate auf die betroffenen Systeme anwenden sollten. |
Update-Kategorien
|
Schweregrad |
Beschreibung (von Microsoft) |
|
Kritisch |
Ein allgemein freigegebener Fix zur Behebung eines bestimmten Problems, das sich um einen kritischen, nicht sicherheitsrelevanten Bug dreht. |
|
Regulär |
Ein allgemein freigegebener Fix zur Behebung eines bestimmten Problems, das sich um einen nicht kritischen, nicht sicherheitsrelevanten Bug dreht. |
|
Update-Rollups |
Eine getestete und zusammenfassende Sammlung aller Hotfixes, Sicherheitsupdates, wichtiger Updates und Updates, die zur einfachen Bereitstellung zusammengestellt wurden. |
|
ServicePack |
Eine getestete und zusammenfassende Sammlung aller Hotfixes, Sicherheitsupdates, wichtiger Updates und Updates. Servicepacks können zudem zusätzliche Korrekturen für intern seit Produktveröffentlichung gefundene Probleme enthalten. |
|
Feature Pack |
Neue Produktfunktion, die zunächst unabhängig von der Produktveröffentlichung verbreitet wird und normalerweise in der nächsten Vollversion des Produkts enthalten ist. |
|
Definition Pack |
Ein allgemein freigegebenes und häufiges Software-Update, das Ergänzungen zur Definitionsdatenbank eines Produkts enthält. Definitionsdatenbanken werden oft verwendet, um Objekte mit spezifischen Attributen aufzufinden, zum Beispiel schädlicher Code. |
|
Treiber |
Software, die Ein- und Ausgabe eines Geräts steuert. |
|
Feature Update |
Legt Upgrades für Funktionen und Funktionalitäten von Windows 10 fest. |
Übliche Patching-Profile
Standard-Patching-Profile
Das Standard-Patching-Profil von NinjaOne wird von vielen unserer Partner genutzt. Dieses Profil konzentriert sich auf eine Balance zwischen zeitsparender Automatisierung und Risikominderung.
Fast alle Genehmigungen in diesem Profil sind automatisiert. Wichtige Updates werden damit genehmigt und optionale Updates abgelehnt, um die Zeitersparnis zu maximieren. Optionale Patches und Patches mit niedriger Priorität werden automatisch abgelehnt, um den Automatisierungsgrad hoch zu halten, aber gleichzeitig betriebliche Risiken zu vermeiden.
Treiber- und Feature-Updates sind in diesem Profil deaktiviert, da diese Arten von Updates eher zu Problemen bei den Endbenutzern führen können.
|
Genehmigungen für Sicherheitsupdates |
Genehmigungsstatus |
|
Niedrig |
Ablehnen |
|
Mittel |
Manuell |
|
Wichtig |
Genehmigen |
|
Kritisch |
Genehmigen |
|
Genehmigungen |
Wichtig |
Optional |
|
Wichtige Updates |
Genehmigen |
Ablehnen |
|
Reguläre Updates |
Genehmigen |
Ablehnen |
|
Update-Rollups |
Genehmigen |
Ablehnen |
|
Service Packs |
Genehmigen |
Ablehnen |
|
Definition Packs |
Genehmigen |
Ablehnen |
|
Erweiterte Zulassungen |
|
|
Treiber |
Deaktiviert |
|
Feature-Updates |
Deaktiviert |
Profil „Volle Zustimmung für Automatisierung“
Das Profil mit vollständiger Automatisierung ist das am zweithäufigsten von NinjaOne-Partnern verwendete Profil. Dieses Profil genehmigt automatisch alle Microsoft-Patches.
Dieses Profil stellt sicher, dass alle mit der Richtlinie verknüpften Geräte immer auf dem neuesten Stand sind, setzt die Geräte aber auch einem gewissen Betriebsrisiko durch problematische Patches aus.
Wenn Sie dieses Profil mit häufigen Patch-Scans kombinieren, können Techniker Betriebsrisiken vermeiden, indem sie problematische Patches ablehnen, sobald sie auftreten und bevor sie installiert werden.
Wenn Sie dieses Profil mit einzelnen Testgeräten kombinieren, können Sie darüber hinaus das Ergebnis von Patches beobachten, bevor Sie diese auf die Produktionsgeräte anwenden.
|
Genehmigungen für Sicherheitsupdates |
Genehmigungsstatus |
|
Niedrig |
Genehmigen |
|
Mittel |
Genehmigen |
|
Wichtig |
Genehmigen |
|
Kritisch |
Genehmigen |
|
Genehmigungen |
Wichtig |
Optional |
|
Wichtige Updates |
Genehmigen |
Genehmigen |
|
Reguläre Updates |
Genehmigen |
Genehmigen |
|
Update-Rollups |
Genehmigen |
Genehmigen |
|
Service Packs |
Genehmigen |
Genehmigen |
|
Definition Packs |
Genehmigen |
Genehmigen |
|
Erweiterte Zulassungen |
||
|
Treiber |
Aktiviert |
Genehmigen |
|
Feature-Updates |
Aktiviert |
Genehmigen |
Profil „Niedriges Risiko, ausbalancierte Automatisierung“
Bei diesem Profil steht das Erreichen einer 100-prozentigen Patch-Compliance im Vordergrund, während gleichzeitig versucht wird, das Betriebsrisiko zu minimieren, indem eine Balance zwischen Automatisierung und manuellen Genehmigungen angestrebt wird.
Dieses Profil erfordert mehr manuelle Eingriffe, um eine vollständige Patch-Compliance zu erreichen, hat aber den zusätzlichen Vorteil, dass problematische Patches, die für die Sicherheit oder Funktion eines Geräts nicht entscheidend sind, vermieden werden können.
Um die Vorteile dieses Profils voll nutzen zu können, müssen Techniker manuelle Patches regelmäßig überprüfen und genehmigen oder ablehnen.
|
Genehmigungen für Sicherheitsupdates |
Genehmigungsstatus |
|
Niedrig |
Manuell |
|
Mittel |
Manuell |
|
Wichtig |
Genehmigen |
|
Kritisch |
Genehmigen |
|
Genehmigungen |
Wichtig |
Optional |
|
Wichtige Updates |
Genehmigen |
Manuell |
|
Reguläre Updates |
Genehmigen |
Manuell |
|
Update-Rollups |
Genehmigen |
Manuell |
|
Service Packs |
Genehmigen |
Manuell |
|
Definition Packs |
Genehmigen |
Manuell |
|
Erweiterte Zulassungen |
||
|
Treiber |
Aktiviert |
Manuell |
|
Feature-Updates |
Aktiviert |
Manuell |
Profil „Niedriges Risiko, niedrige Automatisierung“
Auch bei diesem Profil gibt es eine Balance zwischen Automatisierung und manuellen Eingriffen.
In diesem Fall werden optionale Patches automatisch abgelehnt, während Sicherheits- und wichtige Updates manuell genehmigt werden müssen.
Mit diesem Profil wird versucht, weniger wichtige Patches zu automatisieren und gleichzeitig die Betriebsrisiken durch problematische Patches zu minimieren.
NinjaOne-Partner, die dieses Profil verwenden, müssen anstehende Patches regelmäßig überprüfen und genehmigen, um die Sicherheit der Endgeräte zu gewährleisten.
|
Genehmigungen für Sicherheitsupdates |
Genehmigungsstatus |
|
Niedrig |
Manuell |
|
Mittel |
Manuell |
|
Wichtig |
Manuell |
|
Kritisch |
Manuell |
|
Genehmigungen |
Wichtig |
Optional |
|
Wichtige Updates |
Manuell |
Ablehnen |
|
Reguläre Updates |
Manuell |
Ablehnen |
|
Update-Rollups |
Manuell |
Ablehnen |
|
Service Packs |
Manuell |
Ablehnen |
|
Definition Packs |
Manuell |
Ablehnen |
|
ErweiterteZulassungen |
||
|
Treiber |
Aktiviert |
Manuell |
|
Feature-Updates |
Aktiviert |
Manuell |
Profil „Komplett manuell“
Mit dem komplett manuellen Patching-Profil können Techniker vollständig kontrollieren, welche Patches angewendet werden und welche nicht.
Jeder Patch, der für ein Gerät zur Verfügung gestellt wird, wird als ausstehend aufgelistet, bis er entweder genehmigt oder abgelehnt wird.
Dieses Profil ist zwar immer noch weitaus effizienter als das herkömmliche Patching, aber es ist das arbeitsintensivste Patching-Profil in NinjaOne und könnte Benutzer sowohl Sicherheits- als auch Betriebsrisiken aussetzen, wenn Patches nicht schnell genug angewendet werden.
Benutzer, die dieses Profil verwenden, sollten über SOPs verfügen, um den Patching-Rhythmus konsequent und regelmäßig zu überprüfen.
|
Genehmigungen für Sicherheitsupdates |
Genehmigungsstatus |
|
Niedrig |
Manuell |
|
Mittel |
Manuell |
|
Wichtig |
Manuell |
|
Kritisch |
Manuell |
|
Genehmigungen |
Wichtig |
Optional |
|
Wichtige Updates |
Manuell |
Manuell |
|
Reguläre Updates |
Manuell |
Manuell |
|
Update-Rollups |
Manuell |
Manuell |
|
Service Packs |
Manuell |
Manuell |
|
Definition Packs |
Manuell |
Manuell |
|
Erweiterte Zulassungen |
||
|
Treiber |
Aktiviert |
Manuell |
|
Feature-Updates |
Aktiviert |
Manuell |
Reboot-Verhalten
Um die Windows-Updates abzuschließen, muss das Gerät neu gestartet werden
Es ist nahezu unmöglich, Endbenutzer dazu zu bringen, ihr Gerät neu zu starten. Daher können Sie mit NinjaOne diesen Prozess automatisieren.
Mit NinjaOne-Richtlinien können Sie verschiedene Aktionen und Zeitpläne anwenden, je nachdem, ob ein Benutzer angemeldet ist oder nicht.
Nutzer angemeldet
Neustart-Aktionen
Die meisten NinjaOne-Benutzer verwenden die Richtlinien nicht, um einen Neustart der Endbenutzer nach dem Patching zu erzwingen, sondern fordern den Benutzer stattdessen auf, den Rechner neu zu starten. Viele Richtlinien führen überhaupt keinen automatischen Neustart durch. Nur ein kleiner Prozentsatz der Richtlinien erzwingt einen Neustart.
|
Aktion |
Beschreibung |
Frequenz |
|
Benutzer auffordern |
Aufforderung zum Neustart, bis Neustart bestätigt wird |
65 % |
|
Benutzer informieren |
Benutzer benachrichtigen und nach einer bestimmten Zeit neu starten |
10 % |
|
Automatischer Neustart |
Nach einer bestimmten Zeit automatisch neu starten |
4 % |
|
Keine |
Keine Aktion |
20 % |
Neustart/Aufforderung Zeitüberschreitung
Der gängigste Zeitraum zwischen einzelnen Aufforderungen, zwischen Aufforderung und Neustart oder zwischen Patch-Abschluss und Neustart beträgt 5 Minuten. Je aggressiver die Neustart-Aktion wird, desto länger wird auch die Zeitspanne.
|
Dauer |
Aufforderung |
Benachrichtigung |
Automatischer Neustart |
|
5 Minuten |
65 % |
41 % |
76 % |
|
5 – 59 |
9 % |
37 % |
18 % |
|
60 – 239 |
14 % |
13 % |
4 % |
|
mehr als 240 |
12 % |
9 % |
6 % |
Benutzer nicht angemeldet
Neustart-Aktionen
Die meisten NinjaOne-Richtlinien starten Geräte nach dem Patching nach einem bestimmten Zeitplan neu. Da es in diesem Fall keinen angemeldeten Benutzer gibt, kommt es häufiger zu sofortigen Neustarts als bei angemeldeten Benutzern.
|
Aktion |
Beschreibung |
Frequenz |
|
Geplanter Neustart |
Benutzer benachrichtigen und nach einer bestimmten Zeit neu starten |
67 % |
|
Sofortiger Neustart |
Gerät sofort neu starten |
18 % |
|
Keine |
Keine Aktion |
14 % |
Neustart-Zeitplan (wöchentlich)
Die 12 % der Richtlinien, die nach einem wöchentlichen Zeitplan neu starten, werden an den folgenden Tagen neu gestartet:
|
So |
Mo |
Di |
Mi |
Do |
Fr |
Sa |
|
46 % |
5 % |
5 % |
3 % |
5 % |
8 % |
27 % |
Neustart-Zeitplan (täglich)
Die 8 5% der Richtlinien, die nach einem täglichen Zeitplan neu starten, werden zu den folgenden Uhrzeiten neu gestartet:
|
00:00 – 08:50 Uhr |
09:00 – 16:59 Uhr |
17:00 – 17:59 Uhr |
18:00 – 23:59 Uhr |
|
19 % |
2 % |
57 % |
22 % |