Thema
Dieser Artikel beschreibt die Funktionen zur Patch-Verwaltung für Betriebssysteme (OS), die für von NinjaOne verwaltete Microsoft Windows-Endpunkte verfügbar sind. Außerdem wird erläutert, wie Sie die Patch-Verwaltung aktivieren, konfigurieren und die Patch-Aktivitäten anzeigen können.
Umgebung
- NinjaOne-Patching
- Microsoft Windows
Beschreibung
Mit dem NinjaOne-Patch-Management können Sie Patch-Richtlinien erstellen, die automatisch nach neuen Betriebssystem-Patches für Ihre Windows-Endgeräte suchen und diese installieren.
Windows-Patch-Management (NinjaOne, Inc., 01:36)
Wählen Sie ein Thema aus, um fortzufahren.
- Wichtige Hinweise
- Aktivierung der Windows-Patch-Verwaltung
- Konfiguration der Betriebssystem-Patch-Einstellungen
- Einstellungen für Genehmigung und Übersteuerung
- Anzeigen von Betriebssystem-Patch-Scans und Installationsversuchen
- Konfigurieren eines WSUS-Servers für die Verwendung mit Windows-Patches
Wichtige Überlegungen
Ältere Microsoft Windows-Versionen
Da Microsoft einen veralteten Windows Update-Service-Endpunkt eingestellt hat, unterstützen Windows Vista sowie viele Versionen von Windows 7 und Windows Server 2008 NinjaOne Patch Management nicht.
Sie können Geräte mit Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 aktualisieren, damit sie mit NinjaOne Patch Management kompatibel sind. Weitere Informationen zur Aktualisierung älterer Windows-Versionen für die Kompatibilität mit NinjaOne Patch Management finden Sie unter „Windows Update SHA-1-basierte Endpunkte für ältere Windows-Geräte eingestellt“(externer Link).
Systemmeldungen und Optionssteuerung
Wenn die Betriebssystem-Patch-Verwaltung aktiviert ist, wird möglicherweise lokal im Windows-Update-Programm des Computers die Meldung „Einige Einstellungen werden von Ihrer Organisation verwaltet“ angezeigt.
Wenn die Betriebssystem-Patch-Funktion aktiviert ist, ist die Option „Updates für andere Microsoft-Produkte beim Aktualisieren von Windows bereitstellen“ in den Windows Update-Einstellungen auf lokalen Computern möglicherweise nicht verfügbar. Sie können Updates für Microsoft-Produkte über das Drittanbieter-Patching-Tool (3PP) verwalten. Weitere Informationen finden Sie unter
- Die Seite zur Richtlinienkonfiguration wird geöffnet. Klicken Sie auf die Option „OS-Patching “ und aktivieren Sie dann den Schalter „Status “. NinjaOne wendet Änderungen erst an, wenn Sie die Richtlinie speichern.
- Konfigurieren Sie die Einstellungen für das Betriebssystem-Patching und klicken Sie anschließend auf „Speichern“. Weitere Informationen finden Sie im Abschnitt „Konfigurieren der Einstellungen für das Betriebssystem-Patching “ dieses Artikels.
- Nach dem Speichern überträgt NinjaOne eine benutzerdefinierte ausführbare Datei namens „NinjaOrbit.exe“ an alle Endpunkte in der Richtlinie, die das Patch-Management für diese Rechner steuert.
- Nachdem die Endgeräte die benutzerdefinierte ausführbare Datei installiert haben, führen sie einen stillen Scan durch. NinjaOne generiert für diesen ersten stillen Scan keine Einträge im Aktivitäts-Feed.
Konfigurieren der Einstellungen für Betriebssystem-Patches
Die Einstellungen im oberen Bereich der Seite „OS-Patching“ umfassen Konfigurationsoptionen für das Scannen, das Patchen und das Ausführen von Automatisierungen vor und nach Updates. Wenn Sie Ihre Konfiguration abgeschlossen haben, klicken Sie auf „Speichern“, um die neuen Einstellungen zu übernehmen. In der folgenden Tabelle werden die einzelnen Einstellungen beschrieben.
In der folgenden Tabelle erfahren Sie mehr über die einzelnen Einstellungen.
| Einstellung | Beschreibung |
|---|---|
| Modus | NinjaOne bietet zwei Modi für die Windows-Patch-Verwaltung:
Wenn Sie Ihre Richtlinie auf „Windows-Update-Einstellungen über NinjaOne konfigurieren“ einstellen, kann NinjaOne keine Patch-Updates auf dem Gerät installieren. |
| Zeitpläne für Scans und Updates | Diese Parametersätze legen fest, wann das Gerät nach verfügbaren neuen Patches sucht und wann es diese Updates anwendet.
|
| Ausführung vor und nach der Automatisierung | Mit dieser Einstellung können Sie Automatisierungen hinzufügen, die vor (vor) oder nach (nach) der Patch-Installation ausgeführt werden.
Klicken Sie auf „Hinzufügen“, um Automatisierungen aus der Automatisierungsbibliothek auszuwählen. Weitere Informationen finden Sie unter „NinjaOne-Richtlinien: Geplante Automatisierungen “. Wählen Sie „Patch-Update abbrechen“, wenn das Vorskript eine Fehlermeldung zurückgibt, um den Patch-Auftrag automatisch abzubrechen, falls das Vorskript fehlschlägt. |
| Benachrichtigungen zu Updates | Legen Sie fest, wie NinjaOne Benutzer benachrichtigt, wenn Software aktualisiert werden muss, die nicht im Hintergrund gepatcht werden kann. Die aktuelle Einstellung wird in diesem Abschnitt als Link angezeigt. Klicken Sie auf den Link, um die folgenden zusätzlichen Optionen anzuzeigen:
|
| Neustart-Optionen: Angemeldeter Benutzer | Mit diesen Einstellungen können Sie das Neustartverhalten und die Aufforderung für Benutzer festlegen, die auf einem neu gepatchten Gerät angemeldet sind:
Wenn ein Endbenutzer auf eine Neustartaufforderung reagiert, zeigt NinjaOne eine Aktivität im Aktivitätsfeed an. Weitere Informationen finden Sie unter Geräte- und Systemaktivitäten “. |
| Neustartoptionen: Kein angemeldeter Benutzer | Mit diesen Einstellungen können Sie das Neustart- und Aufforderungsverhalten für neu gepatchte Geräte festlegen, bei denen kein Benutzer angemeldet ist:
|
Erstellen einer benutzerdefinierten Neustart-Aufforderung
Wenn Sie bei der Konfiguration der Einstellungen für „Neustartoptionen: Angemeldeter Benutzer“ die Option „Benutzerdefinierter Neustartdialog“ auswählen, öffnet NinjaOne ein Fenster „Benutzerdefinierter Neustartdialog“, in dem Sie einen Titel für Ihre Aufforderung und eine benutzerdefinierte Nachricht zur Neustartaufforderung eingeben können. Sie können diese Nachricht mithilfe von HTML-Tags formatieren.
Einstellungen für Genehmigung und Übersteuerung
Die Einstellungen im unteren Bereich der Seite „OS-Patching“ umfassen folgende Optionen:
- Automatische Genehmigungen für Sicherheitsupdates und allgemeine Updates festlegen.
- Erweiterte Genehmigungsstatus für Gerätetreiber und Windows-Funktionen festlegen.
- Aktivierung von Patch Intelligence-AI-Genehmigungsüberschreibungen.
- Hinzufügen von Genehmigungsausnahmen zur Patching-Richtlinie.
Optionen für Genehmigungseinstellungen
Für jeden Patch-Typ stehen die folgenden Genehmigungsoptionen zur Verfügung: „Genehmigen“, „Manuell“ und „Ablehnen“.
- Genehmigen: Diese Option genehmigt automatisch alle Patches dieser Kategorie zur Installation im nächsten Update-Zyklus.
- Manuell: Wenn Patches dieser Kategorie gefunden werden, werden sie als „ausstehend“ angezeigt und müssen manuell genehmigt oder abgelehnt werden (entweder für das Gerät oder für die gesamte Richtlinie).
- Ablehnen: Diese Option lehnt alle Patches dieser Kategorie automatisch ab, sodass NinjaOne sie nicht auf dem Gerät installiert.
In der folgenden Tabelle erfahren Sie mehr über die einzelnen Einstellungen.
| Einstellung | Beschreibung |
|---|---|
| Genehmigungen für Sicherheitsupdates | Konfigurieren Sie die Genehmigungs-Einstellungen für produktspezifische, sicherheitsrelevante Schwachstellen. Microsoft stuft Sicherheitslücken in seinen Sicherheitsbulletins als „kritisch“, „wichtig“, „mäßig“ oder „gering“ ein. Wir empfehlen, Korrekturen für „kritische“ und „wichtige“ Sicherheitslücken sofort zu installieren. Bei „mäßigen“ Korrekturen raten wir dazu, vor der Installation den entsprechenden KB-Artikel zu lesen. Klicken Sie auf „Bearbeiten“, um NinjaOne so einzustellen, dass Patches automatisch genehmigt, abgelehnt oder eine manuelle Genehmigung erforderlich ist. |
| Allgemeine Genehmigungen | Konfigurieren Sie die Genehmigungs-Einstellungen für Fehler, die nicht sicherheitsrelevant sind, gemäß der von Microsoft festgelegten Kategorie. Weitere Informationen finden Sie im Artikel von Microsoft zur Terminologie von Software-Updates(externer Link). Klicken Sie auf „Bearbeiten“, um die folgenden Parameter festzulegen:
|
| Erweiterte Genehmigungen | Aktivieren Sie erweiterte Genehmigungen für Gerätetreiber und Windows-Funktionsupdates und legen Sie deren Genehmigungsstatus fest. Klicken Sie in diesem Abschnitt auf „Bearbeiten“, um erweiterte Genehmigungen zu aktivieren oder zu deaktivieren.
Wir empfehlen die folgenden Einstellungen, sofern Ihr Anwendungsfall keine andere Konfiguration erfordert:
Als alternative Methode zur Bereitstellung von Funktionsupdates können Sie das folgende benutzerdefinierte Skript installieren: Benutzerdefiniertes Skript: Windows 10-Build aktualisieren. |
| Überschreibungen der Genehmigungen durch die „Patch Intelligence“-KI | Aktivieren Sie Änderungen des Genehmigungsstatus für Patches, die von der Patch Intelligence-KI als bekannte Probleme eingestuft werden, oder für Patches mit dem Status „Vorsicht “. Weitere Informationen finden Sie unter „NinjaOne Patching: Patch Intelligence-KI “. |
| Genehmigungsüberschreibungen | Konfigurieren Sie NinjaOne so, dass Ihre Patching-Richtlinie für bestimmte Patches außer Kraft gesetzt wird. Klicken Sie auf „Hinzufügen“, um das Fenster „Genehmigungsüberschreibungen bearbeiten“ zu öffnen, und suchen Sie dann nach dem Namen des Patches. Wählen Sie im zweiten Dropdown-Menü aus, ob der Patch genehmigt oder abgelehnt werden soll. Beispiele für Szenarien, in denen Patches im Abschnitt „Überschreibungen“ erscheinen würden:
Patches mit Status, die Sie überschreiben möchten, werden im Abschnitt „Überschreibungen“ angezeigt. Klicken Sie im Feld „Überschreibungen“ auf „Hinzufügen“, um Überschreibungen nach Bedarf hinzuzufügen oder zu entfernen. Seien Sie vorsichtig, wenn Sie die Seite „Überschreibungen“ der Patch-Richtlinie mit aktivierten Filtern anzeigen. Wenn Sie einen Filter verwenden und anschließend auf die Schaltfläche „Alle löschen“ klicken, werden durch diese Aktion alle Überschreibungen (sowohl abgelehnte als auch genehmigte) gelöscht, nicht nur die gefilterten. |
Anzeigen von Betriebssystem-Patch-Scans und Installationsversuchen
Sie können gefundene und installierte Patches unter „Dashboard → Patching → OS-Patches“ anzeigen. Verwenden Sie das Flyout-Menü, um nach Patch-Status zu filtern („Ausstehend“, „Genehmigt“, „Abgelehnt“, „Installiert“ oder „Fehlgeschlagen“).
Nachdem während eines Update-Zyklus ein Installationsversuch für einen Patch stattgefunden hat, protokolliert NinjaOne diesen auf der Registerkarte „OS-Patches “ des Dashboards entweder als „Installiert “ oder „Fehlgeschlagen“.
Anzeige der für einen Patch in Frage kommenden Geräte
Auf der Ebene des System- oder Organisations-Dashboards können Sie auf die Zahl in der Spalte „Geräte“ klicken, um eine Liste der Geräte zu generieren, für die der Patch-Status gilt. Wenn Sie beispielsweise auf die Zahl für einen Patch auf der Registerkarte „Genehmigt“ klicken, werden die Geräte angezeigt, für die NinjaOne den Patch genehmigt, aber noch nicht installiert hat.
Konfigurieren eines WSUS-Servers für die Verwendung mit Windows-Patches
Ein Windows Server Update Services (WSUS)-Server kann dazu beitragen, den mit der Patch-Installation verbundenen Netzwerkverkehr zu reduzieren.
- Klicken Sie in NinjaOne auf „Administration“ → „Organisations“ und wählen Sie dann eine Organisation aus der Liste aus.
- Klicken Sie auf die Registerkarte „Patching -Konfiguration“ und anschließend auf „Bearbeiten“.
- Das Fenster „WSUS-Einstellungen“ wird geöffnet. Klicken Sie auf „Folgenden WSUS-Server verwenden“ und geben Sieim Feld „IP-Adresse/DNS-Name“ die Adresse des Servers ein. Dadurch werden die aktuellen Registrierungsschlüssel in Windows Update zurückgesetzt und der WSUS-Server eingetragen.
- Wenn der NinjaOne-Agent auf dem WSUS-Server installiert ist: Klicken Sie auf „Auswählen“ und wählen Sie den WSUS-Server aus der Liste aus.
- Wenn der NinjaOne-Agent nicht auf dem WSUS-Server installiert ist: Geben Sie dessen IP-Adresse oder DNS-Namen ein.
- Konfigurieren Sie das Protokoll und den Port und legen Sie anschließend fest, ob Sie den Standard-Update-Server von Microsoft verwenden möchten, falls WSUS für die Installation von Patches nicht erreichbar ist. Klicken Sie anschließend auf „Speichern“. Ihre neu konfigurierten WSUS-Einstellungen werden in der Benutzeroberfläche angezeigt.
Aktivieren des WSUS-Servers pro Standort
Sie können WSUS-Server an verschiedenen Standorten einrichten, um die Bandbreite und die Geschwindigkeit der Dienstbereitstellung zu optimieren.
- Klicken Sie im Organisationseditor auf die Registerkarte „Standorte “ und anschließend auf „Standort hinzufügen“.
Wählen Sie im Fenster „Standort hinzufügen “ die Option „WSUS“ aus und klicken Sie anschließend auf „Einstellungen auf Organisationsebene verwenden“. Der Server verwendet dann die zuvor von Ihnen konfigurierten WSUS-Einstellungen.
Verwendung anderer standortbezogener WSUS-Server-Einstellungen
Sie können gerätespezifische Einstellungen für einen WSUS-Server an einem anderen Standort festlegen.
- Standard-Microsoft-Update-Server verwenden: Klicken Sie auf diese Option, um den Standard-Microsoft-Update-Server zu verwenden. Wenn Sie diese Option wählen, setzt NinjaOne die bestehenden Einstellungen zurück und stellt sicher, dass das Gerät die Cloud für die Installation von Patches nutzt. NinjaOne installiert keine Patches auf Geräten über einen WSUS-Server.
- Folgenden WSUS-Server verwenden: Wählen Sie diese Option, um diese Einstellungen für den Standort zu konfigurieren. Bei Auswahl dieser Option werden im Fenster „Standort hinzufügen“ zusätzliche Einstellungen angezeigt. Konfigurieren Sie die IP-Adresse/den DNS-Namen, das Protokoll und den Port. Aktivieren Sie das Kontrollkästchen „Standard-Update-Server verwenden, wenn WSUS nicht verfügbar ist“ , um Updates direkt von Microsoft zu erhalten, falls NinjaOne Ihren WSUS-Server nicht erreichen kann.