Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Windows Patch-Management: Genehmigen, Ablehnen, Deinstallieren und Aktualisieren von Software

Thema

Dieser Artikel beschreibt den Prozess zur Installation von Patches auf Windows-Endgeräten mithilfe der Patch-Management-Funktionen von NinjaOne.

Allgemeine Informationen zur Nutzung des Patch-Managements in NinjaOne finden Sie in unserem Ressourcenkatalog zum Thema „Patching“.

Umgebung

NinjaOne-Patch-Management

Beschreibung

Im Windows-Patch-Management von NinjaOne können Sie den Kontrollmodus nutzen, um Patches entweder zu genehmigen oder abzulehnen, bevor sie bei einem Scan erkannt werden. Alternativ können Sie Patches auch manuell anhand der Knowledge-Base-Nummer (KB-Nummer) oder der Patch-ID genehmigen oder ablehnen, nachdem sie beim Scan identifiziert wurden. Je nach Ihren Richtlinieneinstellungen stuft NinjaOne den Patch als „Genehmigt“, „Abgelehnt“ oder „Ausstehend“ ein.

Wählen Sie ein Thema aus, um fortzufahren.

Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert

Es gibt vier verschiedene Ebenen, auf denen NinjaOne einen Patch genehmigen oder ablehnen kann:

  • Überschreibungen auf Geräteebene
  • Überschreibungen auf Richtlinienebene
  • Globale präventive Genehmigungen/Ablehnungen
  • Automatisierte Genehmigungen/Ablehnungen auf Richtlinienebene

NinjaOne priorisiert im Patch-Genehmigungsprozess die Ebene, die dem Gerät am nächsten liegt. Übersteuerungen auf Geräteebene haben Vorrang, gefolgt von Übersteuerungen auf Richtlinienebene, globalen Genehmigungen oder Ablehnungen sowie automatisierten Genehmigungen oder Ablehnungen auf Richtlinienebene.

Bei Konflikten zwischen der Wissensdatenbank (KB) und der Patch-ID auf derselben Ebene (Gerät, Richtlinie oder global) räumt NinjaOne der Ablehnung des Patches oberste Priorität ein. Wenn die KB einen Patch ablehnt, die Patch-ID ihn jedoch genehmigt, lehnt NinjaOne den Patch ab. Ebenso lehnt NinjaOne den Patch ab, wenn die Patch-ID ihn ablehnt, die KB ihn jedoch genehmigt.

Einen Überblick über die verschiedenen Möglichkeiten im Patch-Genehmigungsprozess bietet das folgende Diagramm.

Abbildung 1: Szenarien der Patch-Genehmigung (zum Vergrößern bitte anklicken)

Vorabgenehmigung oder -ablehnung von Patches

Nur Systemadministratoren können Patches auf globaler Ebene vorab genehmigen oder ablehnen.

Sie können Patches nur über den KB vorab genehmigen oder ablehnen. Ohne einen zugehörigen KB (z. B. bei einem Treiber) können Sie einen Patch nicht vorab genehmigen oder ablehnen.

Vorabgenehmigung oder -ablehnung von Betriebssystem-Patches auf globaler Ebene

So genehmigen oder ablehnen Sie einen Patch auf globaler Ebene:

  1. Navigieren Sie in der NinjaOne Patching-App zu „Administration “ → „Apps “ → „Installiert“„NinjaOne Patching“.
Abbildung 2: NinjaOne-Apps-Verwaltung (zum Vergrößern anklicken)
  1. Klicken Sie auf die Registerkarte „Global OS approve/reject “ und anschließend auf „Add“.
Abbildung 3: Patching-App → „Global OS approve/reject“ → „Add“ (zum Vergrößern anklicken)
  1. Geben Sie die KB-Nummer für den Patch ein und wählen Sie „Genehmigen“ oder „Ablehnen“. Weitere Informationen zu den „Genehmigung/Ablehnung von Patches automatisieren “.

Vorabgenehmigung oder -ablehnung von Betriebssystem-Patches auf Richtlinienebene

Sie können einen Patch auf Richtlinienebene mithilfe des folgenden Workflows genehmigen oder ablehnen.

  1. Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“ und wählen Sie eine Windows-Richtlinie aus.
  2. Die Konfigurationsoptionen der Richtlinie werden geöffnet. Klicken Sie auf „Betriebssystem-Patches“ und stellen Sie sicher, dass „Betriebssystem-Patches aktivieren“ aktiviert ist.
Abbildung 5: Der Schieberegler „Richtlinie aktivieren“ (zum Vergrößern anklicken)
  1. Scrollen Sie zur Karte „Genehmigungsüberschreibungen “ und klicken Sie auf „Hinzufügen“.
  2. Klicken Sie auf den Link, der die aktuelle Anzahl genehmigter und abgelehnter Patches anzeigt, wie im folgenden Screenshot dargestellt.
Abbildung 6: Genehmigte und abgelehnte Patch-Überschreibungen (zum Vergrößern anklicken)
  1. Das Fenster „Benutzerdefinierte Genehmigungen für Patches bearbeiten “ wird angezeigt. Suchen Sie über das Suchfeld nach dem Patch oder geben Sie dessen KB-Nummer ein. Wählen Sie anschließend im Menü „Status“ die Option „Automatisch genehmigen“ oder „Automatisch ablehnen“ aus.
Abbildung 7: Hinzufügen einer Übersteuerung (zum Vergrößern anklicken)

Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen

Im NinjaOne Policy Editor können Sie Windows-Patches nach einer bestimmten Anzahl von Tagen automatisch genehmigen. Sie können für alle Updates eine Frist von bis zu 30 Tagen festlegen. Feature-Updates können Sie zudem für bis zu 365 Tage genehmigen. Diese verzögerte Genehmigung trägt dazu bei, Risiken durch potenziell fehlerhafte Patches zu verringern. Sie können für jeden Patch-Typ eine eigene, individuelle Verzögerungsfrist konfigurieren.

Wenn Sie für einen Patch die Option „Nach X Tagen genehmigen“ festlegen, beginnt der Countdown ab dem Veröffentlichungsdatum und nicht ab dem Zeitpunkt, zu dem NinjaOne den Patch identifiziert.

Befolgen Sie diese Anweisungen, um Patches nach einer bestimmten Anzahl von Tagen automatisch zu genehmigen.

  1. Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“ und wählen Sie eine Windows-Richtlinie aus.
  2. Die Konfigurationsoptionen der Richtlinie werden geöffnet. Klicken Sie auf „OS-Patching“ und stellen Sie sicher, dass „OS-Patching aktivieren“ aktiviert ist. Scrollen Sie zum Abschnitt „Genehmigungen“ und klicken Sie auf „Bearbeiten“. Dieser Abschnitt ist unterteilt in „Genehmigungen für Sicherheitsupdates“, „Allgemeine Genehmigungen“ und „Erweiterte Genehmigungen“. Weitere Informationen zu den Kategorien für Patch-Genehmigungen finden Sie unter „NinjaOne Patching: Windows-OS-Patch-Management “.
Abbildung 9: Abschnitte zur Update-Genehmigung (zum Vergrößern anklicken)

Patches manuell genehmigen oder ablehnen

Sie können Patches über das Dashboard manuell genehmigen oder ablehnen. Weitere Informationen finden Sie in unserem Artikel „Dashboards: Patch-Management “. Die folgenden Optionen zur Genehmigung und Ablehnung stehen zur Verfügung.

Optionen zum Genehmigen/AblehnenBeschreibung
Genehmigen/Ablehnen nach KBKB-Bezeichnungen auf Patches von Microsoft weisen auf ein bestimmtes Update hin. Mehrere Patches können dieselbe KB-Bezeichnung haben. Wenn Sie einen Patch anhand seiner KB genehmigen oder ablehnen, genehmigen oder lehnen Sie automatisch alle Patches ab, die mit dieser KB verknüpft sind.
Genehmigen/Ablehnen nach Patch-IDDie Patch-ID ist eine eindeutige Kennung für Microsoft-Patches. Es kann vorkommen, dass mehrere Patches dieselbe KB-Nummer haben, aber jeder verfügt über eine eigene, eindeutige Patch-ID. Verwenden Sie die jeweilige Patch-ID, um sicherzustellen, dass Sie den richtigen Patch auswählen.
Genehmigen/Ablehnen für dieses GerätWählen Sie diese Kategorie aus, um eine Überschreibung auf Geräteebene ausschließlich für ein bestimmtes Gerät zu erstellen. Sie können auf diese Option zugreifen, wenn Sie einen ausstehenden, genehmigten oder abgelehnten Patch auf Geräteebene anzeigen.
Genehmigen/Ablehnen für Richtlinie(n)Diese Option erstellt eine Überschreibung auf Richtlinienebene für die Richtlinien, die mit den Geräten verknüpft sind, für die ein ausstehender, genehmigter oder abgelehnter Patch vorliegt. Sie können diesen Workflow wählen, wenn Sie einen Patch auf dem System-Dashboard, dem Organisations-Dashboard oder auf Geräteebene anzeigen.

Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“

Wenn ein Patch auf Genehmigung oder Ablehnung wartet, entscheiden Sie, ob Sie ihn genehmigen oder ablehnen möchten. Legen Sie fest, ob die Patch-Logik die KB-Nummer oder die Patch-ID verwenden soll, und geben Sie an, ob dies für das Gerät oder die Richtlinie gilt:

  1. Navigieren Sie in NinjaOne zur Seite „Dashboard “.
  2. Bewegen Sie den Mauszeiger über die Registerkarte „Geräte “.
  3. Wählen Sie „Genehmigungen“ > „Ausstehend“.
  4. Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
  5. Scrollen Sie auf der Übers ichtsseite des Geräts zum Abschnitt „Zustand “.
  6. Klicken Sie auf das nach unten zeigende Pfeilsymbol neben dem Patch, den Sie genehmigen oder ablehnen möchten.
  7. Wählen Sie im Menü aus, ob Sie den Patch ablehnen oder genehmigen möchten und ob Sie dies anhand der KB-Nummer oder der Patch-ID für das Gerät oder die Richtlinie tun möchten.
Abbildung 11: Genehmigen oder Ablehnen eines Patches (zum Vergrößern anklicken)

Manuelles Suchen nach oder Anwenden von Updates

NinjaOne kann auf jedem Endgerät einen Patch-Scan und einen Update-Zyklus auf Abruf starten. NinjaOne installiert alle verfügbaren Updates und startet das Gerät bei Bedarf neu. Wenn ein Gerät seit mehr als 60 Tagen kein Patch-Update erhalten hat, sind möglicherweise mehrere Neustarts erforderlich, um alle Updates anzuwenden, da einige Updates davon abhängen, dass andere zuvor installiert wurden.

So suchen Sie manuell nach Updates oder wenden diese auf ein einzelnes Gerät an:

  1. Navigieren Sie in NinjaOne zur Seite „Geräte “.
  2. Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
  3. Bewegen Sie den Mauszeiger über die Option „Ausführen“ im Menü oben in der Liste.
  4. Wählen Sie „Patching“ aus und klicken Sie dann auf „OS-Scan“, um nach neuen Patches zu suchen, oder auf „OS-Update“, um vorhandene Patches zu installieren.
Abbildung 12: Scannen oder Aktualisieren eines einzelnen Geräts (zum Vergrößern anklicken)

So führen Sie einen Ad-hoc-Scan oder ein Update auf mehreren Geräten durch:

  1. Navigieren Sie in NinjaOne zur Seite „Geräte “.
  2. Aktivieren Sie die Kontrollkästchen neben den Namen der Geräte, die Sie in den Scan- oder Aktualisierungszyklus einbeziehen möchten.
  3. Bewegen Sie den Mauszeiger über die Option „Ausführen“ im Menü oben in der Liste.
  4. Wählen Sie „Patching“ aus und klicken Sie dann auf „OS-Scan“, um nach neuen Patches zu suchen, oder auf „OS-Update“, um vorhandene Patches anzuwenden.
Abbildung 13: Scannen oder Aktualisieren mehrerer Geräte (zum Vergrößern anklicken)
  1. Stellen Sie sicher, dass die Windows-Patch-Verwaltung für die auf Ihre Geräte anwendbare Richtlinie aktiviert ist, und überprüfen Sie, ob die Geräte online sind. Mit der Option „Zusätzliche Filter“ können Sie diese Geräte schnell finden.
Abbildung 14: Zusätzliche Filter (zum Vergrößern anklicken)

Sie können den Windows-Patch-Status auch auf Geräteebene einsehen. Wenn für Patches die manuelle Genehmigung oder Ablehnung eingestellt ist, können Sie diese Aktionen über die Registerkarte „Übersicht“ im Geräte-Dashboard ausführen.

Abbildung 15: Status der Betriebssystem-Patch-Verwaltung (zum Vergrößern anklicken)

Patches deinstallieren

Sie können einzelne Patches auf der Gerätedetailseite deinstallieren. Führen Sie dazu die folgenden Schritte aus.

  1. Navigieren Sie in NinjaOne zur Seite „Geräte “.
  2. Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
  3. Bewegen Sie auf der Übers ichtsseite des Geräts den Mauszeiger über das Menü „Patching “.
  4. Wählen Sie „OS-Patches“ aus. Klicken Sie anschließend auf „Installiert“.
Abbildung 16: „Patching“ → „OS-Patches“ → „Installiert“ (zum Vergrößern anklicken)
  1. Bewegen Sie den Mauszeiger über die Patch-Zeile und klicken Sie auf die Schaltfläche mit den drei Punkten auf der rechten Seite.
  2. Klicken Sie auf „Deinstallieren“.
Abbildung 17: Patch deinstallieren (zum Vergrößern anklicken)
Einige Patches lassen sich nicht deinstallieren. Sie können überprüfen, ob ein Patch deinstalliert werden kann, indem Sie in der entsprechenden Spalte „Deinstallation unterstützt“ nach dem Wert „Ja“ suchen.
Abbildung 18: Deinstallation unterstützt (zum Vergrößern anklicken)

FAQ

Nächste Schritte