Windows Patch-Management: Genehmigen, Ablehnen, Deinstallieren und Aktualisieren von Software

Thema

Dieser Artikel beschreibt den Prozess zum Patchen von Windows-Endpunkten mithilfe der Patch-Management-Funktionen von NinjaOne.

Allgemeine Informationen zur Nutzung des Patch-Managements in NinjaOne finden Sie in unserem Patching-Ressourcenkatalog.

Umgebung

• NinjaOne-Patch-Management

Beschreibung

Im NinjaOne können Sie den Kontrollmodus verwenden, um Patches zu genehmigen oder abzulehnen, bevor ein Scan sie erkennt. Wenn Sie möchten, können Sie Patches auch manuell anhand der Knowledge-Base-Nummer (KB-Nummer) oder der Patch-ID genehmigen oder ablehnen, nachdem der Scan sie identifiziert hat. Je nach Ihren Richtlinieneinstellungen stuft das System den Patch als „Genehmigt“, „Abgelehnt“ oder „Ausstehend“ ein.

Wählen Sie ein Thema aus, um fortzufahren.

• Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert
• Patches präventiv genehmigen oder ablehnen
  • Vorabgenehmigung oder -ablehnung von Patches auf globaler Ebene
  • Vorabgenehmigung oder -ablehnung von Patches auf Richtlinienebene
• Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen
• Manuelles Genehmigen oder Ablehnen von Patches
• Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“
• Manuelles Suchen nach oder Anwenden von Updates
• Deinstallieren von Patches

Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert

Es gibt vier verschiedene Ebenen, auf denen NinjaOne einen Patch genehmigen oder ablehnen kann:

• Übersteuerungen auf Geräteebene
• Überschreibungen auf Richtlinienebene
• Globale präventive Genehmigungen/Ablehnungen
• Automatisierte Genehmigungen/Ablehnungen auf Richtlinienebene

NinjaOne priorisiert im Patch-Genehmigungsprozess die Ebene, die dem Gerät am nächsten liegt. Übersteuerungen auf Geräteebene haben Vorrang, gefolgt von Übersteuerungen auf Richtlinienebene, globalen Genehmigungen oder Ablehnungen und automatisierten Genehmigungen oder Ablehnungen auf Richtlinienebene.

Bei Konflikten zwischen der Wissensdatenbank (KB) und der Patch-ID auf derselben Ebene (Gerät, Richtlinie oder global) priorisiert NinjaOne die Ablehnung von Patches vor allem anderen. Wenn die KB einen Patch ablehnt, die Patch-ID ihn jedoch genehmigt, lehnt NinjaOne den Patch ab. Ebenso lehnt NinjaOne den Patch ab, wenn die Patch-ID ihn ablehnt, die KB ihn jedoch genehmigt.

Einen Überblick über die verschiedenen Möglichkeiten im Patch-Genehmigungsprozess finden Sie in der folgenden Abbildung.

Abbildung 1: Szenarien der Patch-Genehmigung (zum Vergrößern anklicken)

Vorabgenehmigung oder -ablehnung von Patches

Vorabgenehmigung oder -ablehnung von Patches auf globaler Ebene

So genehmigen oder lehnen Sie einen Patch auf globaler Ebene ab:

1. Navigieren Sie in der NinjaOne Patching-App zu „Administration “ → „Apps “ → „Installiert“ → „NinjaOne Patching“.  

Abbildung 2: NinjaOne Apps-Verwaltung (zum Vergrößern anklicken)

2. Klicken Sie auf „Hinzufügen“, 

Abbildung 3: Die Patching-App (zum Vergrößern anklicken)

3. Geben Sie die KB-Nummer für den Patch

   Abbildung 4: KB-Auswahl (zum Vergrößern anklicken)

   1. Weitere Informationen finden Sie unter „Genehmigung/Ablehnung von Patches automatisieren“.

   Vorabgenehmigung oder -ablehnung von Patches auf Richtlinienebene

   Sie können einen Patch auf Richtlinienebene über den folgenden Workflow genehmigen oder ablehnen.

   1. Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“→„Windows-Patches“.
   2. Stellen Sie sicher, dass der Schalter„Aktiviert“aktiviert ist.

   Abbildung 5: Der Schieberegler „Richtlinie aktivieren“ (zum Vergrößern anklicken)

   3. Scrollen Sie im Bereich„Windows-Patches “ zum Abschnitt „Überschreibungen “.
   4. Klicken Sie auf den Link, der die aktuelle Anzahl genehmigter und abgelehnter Patches anzeigt, wie im folgenden Screenshot dargestellt.

   Abbildung 6: Genehmigte und abgelehnte Patch-Überschreibungen (zum Vergrößern anklicken)

   5. Das Modalfenster „Überschreibungen“ wird angezeigt und listet alle Patches auf, die die folgenden Kriterien erfüllen:
   • • Die Genehmigung der Patch-Kategorie wurde auf „Manuell“ gesetzt , und Sie haben den Patch anschließend für die Richtlinie genehmigt oder abgelehnt.
     • Die Patch-Kategorie-Genehmigung wurde auf „Genehmigen“ gesetzt , und Sie haben den Patch anschließend manuell für die Richtlinie abgelehnt.
     • Die Patch-Kategorie-Genehmigung wurde auf „Ablehnen“ gesetzt , und Sie haben den Patch anschließend manuell für die Richtlinie genehmigt.
   6. Klicken Sie auf „Hinzufügen“. 

   Abbildung 7: Hinzufügen einer Überschreibung (zum Vergrößern anklicken)

   7. Das Modalfenster„Vorabgenehmigung/Ablehnung eines OS-Patches hinzufügen“ wird angezeigt.
   8. Geben Sie die KB-Nummer für den Patch ein, den Sie präventiv genehmigen oder ablehnen möchten, sowie eine Beschreibung des Patches. Wählen Sie dann aus dem Dropdown-Menü „Genehmigen“ oder „Ablehnen“ aus.
   9. Um einen weiteren Patch hinzuzufügen, den Sie genehmigen oder ablehnen möchten, klicken Sie auf „Hinzufügen“.
   10. Um die Konfiguration zu speichern, klicken Sie auf „Speichern“.

   Abbildung 8: Vorabgenehmigung/-ablehnung eines Betriebssystem-Patches hinzufügen (zum Vergrößern anklicken)

   Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen

   Im NinjaOne Policy Editor können Sie Windows-Patches nach einer bestimmten Anzahl von Tagen automatisch genehmigen. Sie können für alle Updates eine Frist von bis zu 30 Tagen festlegen. Außerdem können Sie Feature-Updates für bis zu 365 Tage genehmigen. Diese verzögerte Genehmigung trägt dazu bei, Risiken durch potenziell fehlerhafte Patches zu verringern. Sie können für jeden Patch-Typ eine eigene Verzögerungsfrist konfigurieren.

   Wenn Sie für einen Patch „Nach X Tagen genehmigen“ festlegen, beginnt der Countdown ab dem Veröffentlichungsdatum und nicht ab dem Zeitpunkt, zu dem NinjaOne den Patch identifiziert.

   Befolgen Sie diese Anweisungen, um Patches nach einer bestimmten Anzahl von Tagen automatisch zu genehmigen.

   1. Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“→„Windows-Patches“.
   2. Scrollen Sie zum Abschnitt „Genehmigungen “.
   3. Klicken Sie neben den Patch-Optionen, die Sie anpassen möchten, auf „Genehmigen “.

   Abbildung 9: Genehmigungen konfigurieren (zum Vergrößern anklicken)

   4. Durch Klicken auf die Schaltfläche „Genehmigen“ wird das Fenster „Genehmigung bearbeiten“ geöffnet, in dem Sie den Genehmigungszeitraum anpassen können.

   Abbildung 10: Genehmigung bearbeiten (zum Vergrößern anklicken)

   Patches manuell genehmigen oder ablehnen 

   Sie können Patches über das System-Dashboard manuell genehmigen oder ablehnen. Weitere Informationen finden Sie in unserem Artikel „Dashboards: Patch-Management “. Die folgenden Genehmigungs- und Ablehnungsoptionen stehen zur Verfügung.

   Genehmigungs-/Ablehnungsoptionen	Beschreibung
   Genehmigen/Ablehnen nach KB	KB-Bezeichnungen auf Patches von Microsoft weisen auf ein bestimmtes Update hin. Mehrere Patches können dieselbe KB-Bezeichnung haben. Wenn Sie einen Patch anhand seiner KB genehmigen oder ablehnen, genehmigen oder lehnen Sie automatisch alle Patches ab, die mit dieser KB verknüpft sind.
   Genehmigen/Ablehnen nach Patch-ID	Die Patch-ID ist eine eindeutige Kennung für Microsoft-Patches. Es kann vorkommen, dass mehrere Patches dieselbe KB-Nummer haben, aber jeder verfügt über eine eigene, eindeutige Patch-ID. Wenn Sie einen Patch genehmigen oder ablehnen, empfehlen wir Ihnen, dessen spezifische Patch-ID zu verwenden, um sicherzustellen, dass Sie den richtigen Patch auswählen.
   Genehmigen/Ablehnen für dieses Gerät	Wählen Sie diese Kategorie aus, um eine Überschreibung auf Geräteebene nur für ein bestimmtes Gerät zu erstellen. Sie können auf diese Option zugreifen, wenn Sie einen ausstehenden, genehmigten oder abgelehnten Patch auf Geräteebene anzeigen.
   Genehmigen/Ablehnen für Richtlinie(n)	Diese Option erstellt eine Überschreibung auf Richtlinienebene für die Richtlinien, die mit den Geräten verknüpft sind, für die ein ausstehender, genehmigter oder abgelehnter Patch vorliegt. Sie können diesen Workflow auswählen, wenn Sie einen Patch auf dem System-Dashboard, dem Organisations-Dashboard oder auf Geräteebene anzeigen.

   Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“

   Wenn ein Patch auf Genehmigung oder Ablehnung wartet, entscheiden Sie, ob Sie ihn genehmigen oder ablehnen möchten. Legen Sie fest, ob die Patch-Logik die KB-Nummer oder die Patch-ID verwenden soll, und geben Sie an, ob dies für das Gerät oder die Richtlinie gilt:

   1. Navigieren Sie in NinjaOne zur Dashboard -Seite.
   2. Bewegen Sie den Mauszeiger über die Registerkarte „Geräte “.
   3. Wählen Sie„Genehmigungen“ > „Ausstehend“.
   4. Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
   5. Scrollen Sie auf der Übers ichtsseite des Geräts zum Abschnitt „Zustand “.
   6. Klicken Sie auf das nach unten zeigende Pfeilsymbol neben dem Patch, den Sie genehmigen oder ablehnen möchten.
   7. Wählen Sie im Menü aus, ob Sie den Patch ablehnen oder genehmigen möchten und ob Sie dies anhand der KB- oder Patch-ID für das Gerät oder die Richtlinie tun möchten.

   Abbildung 11: Genehmigen oder Ablehnen eines Patches (zum Vergrößern anklicken)

   Manuelles Scannen nach oder Anwenden von Updates

   NinjaOne kann auf jedem Endpunkt einen On-Demand-Patch-Scan und einen Update-Zyklus initiieren. NinjaOne installiert alle verfügbaren Updates und startet das Gerät bei Bedarf neu. Wenn ein Gerät seit mehr als 60 Tagen kein Patch-Update erhalten hat, sind möglicherweise mehrere Neustarts erforderlich, um alle Updates anzuwenden, da einige Updates davon abhängen, dass andere zuvor installiert wurden.

   So suchen Sie manuell nach Updates oder wenden diese auf einem einzelnen Gerät an:

   1. Navigieren Sie in NinjaOne zur Seite „Geräte “.
   2. Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
   3. Bewegen Sie auf der Übersichtsseite des Geräts den Mauszeiger über die Schaltfläche ▶ (Wiedergabe) im oberen Navigationsmenü.
   4. Wählen Sie „Software-Update“. Klicken Sie anschließend auf „Scannen “ oder „Anwenden“.

   Abbildung 12: Scannen oder Aktualisieren eines einzelnen Geräts (zum Vergrößern anklicken)

   So führen Sie einen Ad-hoc-Scan oder ein Update auf mehreren Geräten durch:

   1. Navigieren Sie in NinjaOne zur Seite „Geräte “.
   2. Aktivieren Sie die Kontrollkästchen neben den Namen der Geräte, die Sie in den Scan- oder Aktualisierungszyklus einbeziehen möchten.
   3. Bewegen Sie den Mauszeiger über die Option „Ausführen“ im Menü oben in der Liste.
   4. Wählen Sie „Software-Update“. Klicken Sie anschließend auf „Scannen “ oder „Anwenden“.

   Abbildung 13: Scannen oder Aktualisieren mehrerer Geräte (zum Vergrößern anklicken)

   5. Stellen Sie sicher, dass die Windows-Patchverwaltung für die auf Ihre Geräte anwendbare Richtlinie aktiviert ist, und überprüfen Sie, ob diese online sind. Mit der Option „Zusätzliche Filter“ können Sie diese Geräte schnell finden.

   Abbildung 14: Zusätzliche Filter (zum Vergrößern anklicken)

   Sie können den Windows-Patch-Status auch auf Geräteebene einsehen. Wenn für Patches die manuelle Genehmigung oder Ablehnung eingestellt ist, können Sie diese Aktionen über die Registerkarte „Übersicht“ im Geräte-Dashboard ausführen.

   Abbildung 15: Status der Betriebssystem-Patch-Verwaltung (zum Vergrößern anklicken)

   Patches deinstallieren

   Sie können einzelne Patches über die Gerätedetailseite deinstallieren. Führen Sie dazu die folgenden Schritte aus.

   1. Navigieren Sie in NinjaOne zur Seite „Geräte “.
   2. Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
   3. Bewegen Sie auf der Übers ichtsseite des Geräts den Mauszeiger über das Menü „Patching “.
   4. Wählen Sie „OS-Patches“ aus. Klicken Sie anschließend auf „Installiert“.

   Abbildung 16: Patching > OS-Patches > Installiert (zum Vergrößern anklicken)

   5. Bewegen Sie den Mauszeiger über die Patch-Zeile und klicken Sie auf die Schaltfläche mit den drei Punkten auf der rechten Seite. 
   6. Klicken Sie auf „Deinstallieren“.

   Abbildung 17: Deinstallieren (zum Vergrößern anklicken)

   Einige Patches unterstützen keine Deinstallation. Sie können überprüfen, ob ein Patch die Deinstallation unterstützt, indem Sie in der entsprechenden Spalte „Deinstallation unterstützt“ nach dem Wert „Ja“ suchen.

   Abbildung 18: Deinstallation unterstützt (zum Vergrößern anklicken)