Thema
Dieser Artikel beschreibt den Prozess zur Installation von Patches auf Windows-Endgeräten mithilfe der Patch-Management-Funktionen von NinjaOne.
Allgemeine Informationen zur Nutzung des Patch-Managements in NinjaOne finden Sie in unserem Ressourcenkatalog zum Thema „Patching“.
Umgebung
NinjaOne-Patch-Management
Beschreibung
Im Windows-Patch-Management von NinjaOne können Sie den Kontrollmodus nutzen, um Patches entweder zu genehmigen oder abzulehnen, bevor sie bei einem Scan erkannt werden. Alternativ können Sie Patches auch manuell anhand der Knowledge-Base-Nummer (KB-Nummer) oder der Patch-ID genehmigen oder ablehnen, nachdem sie beim Scan identifiziert wurden. Je nach Ihren Richtlinieneinstellungen stuft NinjaOne den Patch als „Genehmigt“, „Abgelehnt“ oder „Ausstehend“ ein.
Wählen Sie ein Thema aus, um fortzufahren.
- Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert
- Vorabgenehmigung oder -ablehnung von Patches
- Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen
- Manuelles Genehmigen oder Ablehnen von Patches
- Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“
- Manuelles Suchen nach oder Anwenden von Updates
- Patches deinstallieren
Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert
Es gibt vier verschiedene Ebenen, auf denen NinjaOne einen Patch genehmigen oder ablehnen kann:
- Überschreibungen auf Geräteebene
- Überschreibungen auf Richtlinienebene
- Globale präventive Genehmigungen/Ablehnungen
- Automatisierte Genehmigungen/Ablehnungen auf Richtlinienebene
NinjaOne priorisiert im Patch-Genehmigungsprozess die Ebene, die dem Gerät am nächsten liegt. Übersteuerungen auf Geräteebene haben Vorrang, gefolgt von Übersteuerungen auf Richtlinienebene, globalen Genehmigungen oder Ablehnungen sowie automatisierten Genehmigungen oder Ablehnungen auf Richtlinienebene.
Bei Konflikten zwischen der Wissensdatenbank (KB) und der Patch-ID auf derselben Ebene (Gerät, Richtlinie oder global) räumt NinjaOne der Ablehnung des Patches oberste Priorität ein. Wenn die KB einen Patch ablehnt, die Patch-ID ihn jedoch genehmigt, lehnt NinjaOne den Patch ab. Ebenso lehnt NinjaOne den Patch ab, wenn die Patch-ID ihn ablehnt, die KB ihn jedoch genehmigt.
Einen Überblick über die verschiedenen Möglichkeiten im Patch-Genehmigungsprozess bietet das folgende Diagramm.
Vorabgenehmigung oder -ablehnung von Patches
Nur Systemadministratoren können Patches auf globaler Ebene vorab genehmigen oder ablehnen.
Sie können Patches nur über den KB vorab genehmigen oder ablehnen. Ohne einen zugehörigen KB (z. B. bei einem Treiber) können Sie einen Patch nicht vorab genehmigen oder ablehnen.
Vorabgenehmigung oder -ablehnung von Betriebssystem-Patches auf globaler Ebene
So genehmigen oder ablehnen Sie einen Patch auf globaler Ebene:
- Navigieren Sie in der NinjaOne Patching-App zu „Administration “ → „Apps “ → „Installiert“ → „NinjaOne Patching“.
- Klicken Sie auf die Registerkarte „Global OS approve/reject “ und anschließend auf „Add“.
- Geben Sie die KB-Nummer für den Patch ein und wählen Sie „Genehmigen“ oder „Ablehnen“. Weitere Informationen zu den „Genehmigung/Ablehnung von Patches automatisieren “.
Vorabgenehmigung oder -ablehnung von Betriebssystem-Patches auf Richtlinienebene
Sie können einen Patch auf Richtlinienebene mithilfe des folgenden Workflows genehmigen oder ablehnen.
- Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“ und wählen Sie eine Windows-Richtlinie aus.
- Die Konfigurationsoptionen der Richtlinie werden geöffnet. Klicken Sie auf „Betriebssystem-Patches“ und stellen Sie sicher, dass „Betriebssystem-Patches aktivieren“ aktiviert ist.
- Scrollen Sie zur Karte „Genehmigungsüberschreibungen “ und klicken Sie auf „Hinzufügen“.
- Klicken Sie auf den Link, der die aktuelle Anzahl genehmigter und abgelehnter Patches anzeigt, wie im folgenden Screenshot dargestellt.
- Das Fenster „Benutzerdefinierte Genehmigungen für Patches bearbeiten “ wird angezeigt. Suchen Sie über das Suchfeld nach dem Patch oder geben Sie dessen KB-Nummer ein. Wählen Sie anschließend im Menü „Status“ die Option „Automatisch genehmigen“ oder „Automatisch ablehnen“ aus.
Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen
Im NinjaOne Policy Editor können Sie Windows-Patches nach einer bestimmten Anzahl von Tagen automatisch genehmigen. Sie können für alle Updates eine Frist von bis zu 30 Tagen festlegen. Feature-Updates können Sie zudem für bis zu 365 Tage genehmigen. Diese verzögerte Genehmigung trägt dazu bei, Risiken durch potenziell fehlerhafte Patches zu verringern. Sie können für jeden Patch-Typ eine eigene, individuelle Verzögerungsfrist konfigurieren.
Wenn Sie für einen Patch die Option „Nach X Tagen genehmigen“ festlegen, beginnt der Countdown ab dem Veröffentlichungsdatum und nicht ab dem Zeitpunkt, zu dem NinjaOne den Patch identifiziert.
Befolgen Sie diese Anweisungen, um Patches nach einer bestimmten Anzahl von Tagen automatisch zu genehmigen.
- Navigieren Sie in NinjaOne zu „Administration“ → „Richtlinien“ und wählen Sie eine Windows-Richtlinie aus.
- Die Konfigurationsoptionen der Richtlinie werden geöffnet. Klicken Sie auf „OS-Patching“ und stellen Sie sicher, dass „OS-Patching aktivieren“ aktiviert ist. Scrollen Sie zum Abschnitt „Genehmigungen“ und klicken Sie auf „Bearbeiten“. Dieser Abschnitt ist unterteilt in „Genehmigungen für Sicherheitsupdates“, „Allgemeine Genehmigungen“ und „Erweiterte Genehmigungen“. Weitere Informationen zu den Kategorien für Patch-Genehmigungen finden Sie unter „NinjaOne Patching: Windows-OS-Patch-Management “.
Patches manuell genehmigen oder ablehnen
Sie können Patches über das Dashboard manuell genehmigen oder ablehnen. Weitere Informationen finden Sie in unserem Artikel „Dashboards: Patch-Management “. Die folgenden Optionen zur Genehmigung und Ablehnung stehen zur Verfügung.
| Optionen zum Genehmigen/Ablehnen | Beschreibung |
|---|---|
| Genehmigen/Ablehnen nach KB | KB-Bezeichnungen auf Patches von Microsoft weisen auf ein bestimmtes Update hin. Mehrere Patches können dieselbe KB-Bezeichnung haben. Wenn Sie einen Patch anhand seiner KB genehmigen oder ablehnen, genehmigen oder lehnen Sie automatisch alle Patches ab, die mit dieser KB verknüpft sind. |
| Genehmigen/Ablehnen nach Patch-ID | Die Patch-ID ist eine eindeutige Kennung für Microsoft-Patches. Es kann vorkommen, dass mehrere Patches dieselbe KB-Nummer haben, aber jeder verfügt über eine eigene, eindeutige Patch-ID. Verwenden Sie die jeweilige Patch-ID, um sicherzustellen, dass Sie den richtigen Patch auswählen. |
| Genehmigen/Ablehnen für dieses Gerät | Wählen Sie diese Kategorie aus, um eine Überschreibung auf Geräteebene ausschließlich für ein bestimmtes Gerät zu erstellen. Sie können auf diese Option zugreifen, wenn Sie einen ausstehenden, genehmigten oder abgelehnten Patch auf Geräteebene anzeigen. |
| Genehmigen/Ablehnen für Richtlinie(n) | Diese Option erstellt eine Überschreibung auf Richtlinienebene für die Richtlinien, die mit den Geräten verknüpft sind, für die ein ausstehender, genehmigter oder abgelehnter Patch vorliegt. Sie können diesen Workflow wählen, wenn Sie einen Patch auf dem System-Dashboard, dem Organisations-Dashboard oder auf Geräteebene anzeigen. |
Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“
Wenn ein Patch auf Genehmigung oder Ablehnung wartet, entscheiden Sie, ob Sie ihn genehmigen oder ablehnen möchten. Legen Sie fest, ob die Patch-Logik die KB-Nummer oder die Patch-ID verwenden soll, und geben Sie an, ob dies für das Gerät oder die Richtlinie gilt:
- Navigieren Sie in NinjaOne zur Seite „Dashboard “.
- Bewegen Sie den Mauszeiger über die Registerkarte „Geräte “.
- Wählen Sie „Genehmigungen“ > „Ausstehend“.
- Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
- Scrollen Sie auf der Übers ichtsseite des Geräts zum Abschnitt „Zustand “.
- Klicken Sie auf das nach unten zeigende Pfeilsymbol neben dem Patch, den Sie genehmigen oder ablehnen möchten.
- Wählen Sie im Menü aus, ob Sie den Patch ablehnen oder genehmigen möchten und ob Sie dies anhand der KB-Nummer oder der Patch-ID für das Gerät oder die Richtlinie tun möchten.
Manuelles Suchen nach oder Anwenden von Updates
NinjaOne kann auf jedem Endgerät einen Patch-Scan und einen Update-Zyklus auf Abruf starten. NinjaOne installiert alle verfügbaren Updates und startet das Gerät bei Bedarf neu. Wenn ein Gerät seit mehr als 60 Tagen kein Patch-Update erhalten hat, sind möglicherweise mehrere Neustarts erforderlich, um alle Updates anzuwenden, da einige Updates davon abhängen, dass andere zuvor installiert wurden.
So suchen Sie manuell nach Updates oder wenden diese auf ein einzelnes Gerät an:
- Navigieren Sie in NinjaOne zur Seite „Geräte “.
- Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
- Bewegen Sie den Mauszeiger über die Option „Ausführen“ im Menü oben in der Liste.
- Wählen Sie „Patching“ aus und klicken Sie dann auf „OS-Scan“, um nach neuen Patches zu suchen, oder auf „OS-Update“, um vorhandene Patches zu installieren.
So führen Sie einen Ad-hoc-Scan oder ein Update auf mehreren Geräten durch:
- Navigieren Sie in NinjaOne zur Seite „Geräte “.
- Aktivieren Sie die Kontrollkästchen neben den Namen der Geräte, die Sie in den Scan- oder Aktualisierungszyklus einbeziehen möchten.
- Bewegen Sie den Mauszeiger über die Option „Ausführen“ im Menü oben in der Liste.
- Wählen Sie „Patching“ aus und klicken Sie dann auf „OS-Scan“, um nach neuen Patches zu suchen, oder auf „OS-Update“, um vorhandene Patches anzuwenden.
- Stellen Sie sicher, dass die Windows-Patch-Verwaltung für die auf Ihre Geräte anwendbare Richtlinie aktiviert ist, und überprüfen Sie, ob die Geräte online sind. Mit der Option „Zusätzliche Filter“ können Sie diese Geräte schnell finden.
Sie können den Windows-Patch-Status auch auf Geräteebene einsehen. Wenn für Patches die manuelle Genehmigung oder Ablehnung eingestellt ist, können Sie diese Aktionen über die Registerkarte „Übersicht“ im Geräte-Dashboard ausführen.
Patches deinstallieren
Sie können einzelne Patches auf der Gerätedetailseite deinstallieren. Führen Sie dazu die folgenden Schritte aus.
- Navigieren Sie in NinjaOne zur Seite „Geräte “.
- Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
- Bewegen Sie auf der Übers ichtsseite des Geräts den Mauszeiger über das Menü „Patching “.
- Wählen Sie „OS-Patches“ aus. Klicken Sie anschließend auf „Installiert“.
- Bewegen Sie den Mauszeiger über die Patch-Zeile und klicken Sie auf die Schaltfläche mit den drei Punkten auf der rechten Seite.
- Klicken Sie auf „Deinstallieren“.