Thema
Dieser Artikel beschreibt den Prozess zum Patchen von Windows-Endpunkten mithilfe der Patch-Management-Funktionen von NinjaOne.
Allgemeine Informationen zur Nutzung des Patch-Managements in NinjaOne finden Sie in unseremPatching-Ressourcenkatalog.
Umgebung
- NinjaOne-Patch-Management
Beschreibung
ImNinjaOne können Sie denKontrollmodusverwenden, um Patches zu genehmigen oder abzulehnen, bevor ein Scan sie erkennt. Wenn Sie möchten, können Sie Patches auch manuell anhand der Knowledge-Base-Nummer (KB-Nummer) oder der Patch-ID genehmigen oder ablehnen, nachdem der Scan sie identifiziert hat. Je nach Ihren Richtlinieneinstellungen stuft das System den Patch als„Genehmigt“,„Abgelehnt“ oder„Ausstehend“ ein.
Wählen Sie ein Thema aus, um fortzufahren.
- Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert
- Vorabgenehmigung oder -ablehnung von Patches
- Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen
- Manuelles Genehmigen oder Ablehnen von Patches
- Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“
- Manuelles Suchen nach oder Anwenden von Updates
- Deinstallation von Patches
Wie NinjaOne Genehmigungen und Ablehnungen auf verschiedenen Ebenen priorisiert
Es gibt vier verschiedene Ebenen, auf denen NinjaOne einen Patch genehmigen oder ablehnen kann:
- Überschreibungen auf Geräteebene
- Überschreibungen auf Richtlinienebene
- Globale präventive Genehmigungen/Ablehnungen
- Automatisierte Genehmigungen/Ablehnungen auf Richtlinienebene
NinjaOne priorisiert im Patch-Genehmigungsprozess die Ebene, die dem Gerät am nächsten liegt. Übersteuerungen auf Geräteebene haben Vorrang, gefolgt von Übersteuerungen auf Richtlinienebene, globalen Genehmigungen oder Ablehnungen und automatisierten Genehmigungen oder Ablehnungen auf Richtlinienebene.
Bei Konflikten zwischen der Knowledge Base (KB) und der Patch-ID auf derselben Ebene (Gerät, Richtlinie oder global) priorisiert NinjaOne Patch-Ablehnungen vor allem anderen. Wenn die KB einen Patch ablehnt, die Patch-ID ihn jedoch genehmigt, lehnt NinjaOne den Patch ab. Ebenso lehnt NinjaOne den Patch ab, wenn die Patch-ID ihn ablehnt, die KB ihn jedoch genehmigt.
Einen Überblick über die verschiedenen Möglichkeiten im Patch-Genehmigungsprozess finden Sie in der folgenden Abbildung.
Abbildung 1: Szenarien zur Patch-Genehmigung (zum Vergrößern anklicken)
Vorabgenehmigung oder -ablehnung von Patches
Nur Systemadministratoren können Patches auf globaler Ebene präventiv genehmigen oder ablehnen.
Sie können Patches nur nach KB vorab genehmigen oder ablehnen. Sie können einen Patch ohne zugehörigen KB (z. B. einen Treiber) nicht vorab genehmigen oder ablehnen.
Vorabgenehmigung oder -ablehnung von Patches auf globaler Ebene
So genehmigen oder lehnen Sie einen Patch auf globaler Ebene ab:
- Navigieren Sie in der NinjaOne Patching-App zu„Administration“ →„Apps“ →„Installiert“→„NinjaOne Patching“.
Abbildung 2:NinjaOne Apps-Verwaltung (zum Vergrößern anklicken)
- Klicken Sie auf„Hinzufügen“,
Abbildung 3:Die Patching-App (zum Vergrößern anklicken)
- Geben Sie die KB-Nummer für den Patch ein und wählen Sie„Genehmigen“ oder„Ablehnen“.
Abbildung 4:KB-Auswahl (zum Vergrößern anklicken)
- Weitere Informationen finden Sie unter„Genehmigung/Ablehnung von Patches automatisieren“.
Vorabgenehmigung oder -ablehnung von Patches auf Richtlinienebene
Sie können einen Patch auf Richtlinienebene über den folgenden Workflow genehmigen oder ablehnen.
- Navigieren Sie in NinjaOne zu„Administration“ → „Richtlinien“ → „Windows-Patches“.
- Stellen Sie sicher, dass der Schalter„Aktiviert“aktiviert ist.
Abbildung 5:Der Schieberegler „Richtlinie aktivieren“ (zum Vergrößern anklicken)
- Scrollen Sie im Bereich„Windows-Patches“ zum Abschnitt„Überschreibungen“.
- Klicken Sie auf den Link, der die aktuelle Anzahl genehmigter und abgelehnter Patches anzeigt, wie im folgenden Screenshot dargestellt.
Abbildung 6: Genehmigte und abgelehnte Patch-Überschreibungen (zum Vergrößern anklicken)
- Das Modalfenster„Überschreibungen“wird angezeigt und listet alle Patches auf, die die folgenden Kriterien erfüllen:
- Die Patch-Kategorie-Genehmigung wurde auf„Manuell“gesetzt,und Sie haben den Patch anschließend für die Richtlinie genehmigt oder abgelehnt.
- Die Patch-Kategorie-Genehmigung wurde auf„Genehmigen“gesetzt,und Sie haben den Patch anschließend manuell für die Richtlinie abgelehnt.
- Die Patch-Kategorie-Genehmigung wurde auf„Ablehnen“gesetzt,und Sie haben den Patch anschließend manuell für die Richtlinie genehmigt.
- Klicken Sie auf„Hinzufügen“.
Abbildung 7: Hinzufügen einer Überschreibung (zum Vergrößern anklicken)
- Das Modalfenster„Vorabgenehmigung/Ablehnung eines OS-Patches hinzufügen“ wird angezeigt.
- Geben Sie die KB-Nummer für den Patch ein, den Sie präventiv genehmigen oder ablehnen möchten, sowie eine Beschreibung des Patches. Wählen Sie dann aus dem Dropdown-Menü„Genehmigen“ oder„Ablehnen“ aus.
- Um einen weiteren Patch hinzuzufügen, den Sie genehmigen oder ablehnen möchten, klicken Sie auf„Hinzufügen“.
- Um die Konfiguration zu speichern, klicken Sie auf„Speichern“.
Abbildung 8: Vorabgenehmigung/-ablehnung eines Betriebssystem-Patches hinzufügen (zum Vergrößern anklicken)
Automatische Genehmigung von Patches nach einer festgelegten Anzahl von Tagen
Im NinjaOne Policy Editor können Sie Windows-Patches nach einer bestimmten Anzahl von Tagen automatisch genehmigen. Sie können für alle Updates eine Frist von bis zu 30 Tagen festlegen. Außerdem können Sie Feature-Updates für bis zu 365 Tage genehmigen. Diese verzögerte Genehmigung trägt dazu bei, Risiken durch potenziell fehlerhafte Patches zu reduzieren. Sie können für jeden Patch-Typ eine eigene Verzögerungsfrist konfigurieren.
Wenn Sie für einen Patch„Nach X Tagen genehmigen“ festlegen, beginnt der Countdown ab dem Veröffentlichungsdatum und nicht ab dem Zeitpunkt, zu dem NinjaOne den Patch identifiziert.
Befolgen Sie diese Anweisungen, um Patches nach einer bestimmten Anzahl von Tagen automatisch zu genehmigen.
- Navigieren Sie in NinjaOne zu„Administration“ → „Richtlinien“ → „Windows-Patches“.
- Scrollen Sie zum Abschnitt„Genehmigungen“.
- Klicken Sie neben den Patch-Optionen, die Sie anpassen möchten, auf„Genehmigen“.
Abbildung 9: Genehmigungen konfigurieren (zum Vergrößern anklicken)
- Durch Klicken auf dieSchaltfläche „Genehmigen“wird das Fenster„Genehmigung bearbeiten“geöffnet, in dem Sie den Genehmigungszeitraum anpassen können.
Abbildung 10: Genehmigung bearbeiten (zum Vergrößern anklicken)
Patches manuell genehmigen oder ablehnen
Sie können Patches über das System-Dashboard manuell genehmigen oder ablehnen. Weitere Informationen finden Sie in unseremArtikel „Dashboards: Patch-Management“. Die folgenden Genehmigungs- und Ablehnungsoptionen stehen zur Verfügung.
| Genehmigungs-/Ablehnungsoptionen | Beschreibung |
|---|---|
| Genehmigen/Ablehnen nach KB | KB-Bezeichnungen auf Patches von Microsoft weisen auf ein bestimmtes Update hin. Mehrere Patches können dieselbe KB-Bezeichnung haben. Wenn Sie einen Patch anhand seiner KB genehmigen oder ablehnen, genehmigen oder lehnen Sie automatisch alle Patches ab, die mit dieser KB verknüpft sind. |
| Genehmigen/Ablehnen nach Patch-ID | Die Patch-ID ist eine eindeutige Kennung für Microsoft-Patches. Es kann vorkommen, dass mehrere Patches dieselbe KB-Nummer haben, aber jeder verfügt über eine eigene, eindeutige Patch-ID. Wenn Sie einen Patch genehmigen oder ablehnen, empfehlen wir Ihnen, dessen spezifische Patch-ID zu verwenden, um sicherzustellen, dass Sie den richtigen Patch auswählen. |
| Genehmigen/Ablehnen für dieses Gerät | Wählen Sie diese Kategorie aus, um eine Überschreibung auf Geräteebene nur für ein bestimmtes Gerät zu erstellen. Sie können auf diese Option zugreifen, wenn Sie einen ausstehenden, genehmigten oder abgelehnten Patch auf Geräteebene anzeigen. |
| Genehmigen/Ablehnen für Richtlinie(n) | Diese Option erstellt eine Überschreibung auf Richtlinienebene für die Richtlinien, die mit den Geräten verknüpft sind, für die ein ausstehender, genehmigter oder abgelehnter Patch vorliegt. Sie können diesen Workflow auswählen, wenn Sie einen Patch auf dem System-Dashboard, dem Organisations-Dashboard oder auf Geräteebene anzeigen. |
Manuelles Ablehnen oder Genehmigen von Patches im Status „Ausstehend“
Wenn ein Patch auf Genehmigung oder Ablehnung wartet, entscheiden Sie, ob Sie ihn genehmigen oder ablehnen möchten. Legen Sie fest, ob die Patch-Logik die KB-Nummer oder die Patch-ID verwenden soll, und geben Sie an, ob dies für das Gerät oder die Richtlinie gilt:
- Navigieren Sie in NinjaOne zurDashboard-Seite.
- Bewegen Sie den Mauszeiger über die Registerkarte„Geräte“.
- Wählen Sie„Genehmigungen“ > „Ausstehend“.
- Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
- Scrollen Sie auf derÜbersichtsseite des Geräts zum Abschnitt„Zustand“.
- Klicken Sie auf das nach unten zeigende Pfeilsymbol neben dem Patch, den Sie genehmigen oder ablehnen möchten.
- Wählen Sie im Menü aus, ob Sie den Patch ablehnen oder genehmigen möchten und ob Sie dies anhand der KB- oder Patch-ID für das Gerät oder die Richtlinie tun möchten.
Abbildung 11: Genehmigen oder Ablehnen eines Patches (zum Vergrößern anklicken)
Manuelles Scannen nach oder Anwenden von Updates
NinjaOne kann auf jedem Endpunkt einen On-Demand-Patch-Scan und einen Update-Zyklus initiieren. NinjaOne installiert alle verfügbaren Updates und startet das Gerät bei Bedarf neu. Wenn ein Gerät seit mehr als 60 Tagen kein Patch-Update erhalten hat, sind möglicherweise mehrere Neustarts erforderlich, um alle Updates anzuwenden, da einige Updates davon abhängen, dass andere zuvor installiert wurden.
So suchen Sie manuell nach Updates oder wenden diese auf einem einzelnen Gerät an:
- Navigieren Sie in NinjaOne zurSeite „Geräte“.
- Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
- Bewegen Sie auf derÜbersichtsseitedes Geräts den Mauszeiger über die Schaltfläche ▶ (Wiedergabe) im oberen Navigationsmenü.
- Wählen Sie„Software-Update“. Klicken Sie anschließend auf„Scannen“ oder„Anwenden“.
Abbildung 12: Scannen oder Aktualisieren eines einzelnen Geräts (zum Vergrößern anklicken)
So führen Sie einen Ad-hoc-Scan oder ein Update auf mehreren Geräten durch:
- Navigieren Sie in NinjaOne zurSeite „Geräte“.
- Aktivieren Sie die Kontrollkästchen neben den Namen der Geräte, die Sie in den Scan- oder Aktualisierungszyklus einbeziehen möchten.
- Bewegen Sie den Mauszeiger über die Option„Ausführen“im Menü oben in der Liste.
- Wählen Sie„Software-Update“. Klicken Sie anschließend auf„Scannen“ oder„Anwenden“.
Abbildung 13: Scannen oder Aktualisieren mehrerer Geräte (zum Vergrößern anklicken)
- Stellen Sie sicher, dass die Windows-Patchverwaltung für die auf Ihre Geräte anwendbare Richtlinie aktiviert ist, und überprüfen Sie, ob diese online sind. Mit der Option„Zusätzliche Filter“können Sie diese Geräte schnell finden.
Abbildung 14: Zusätzliche Filter (zum Vergrößern anklicken)
Sie können den Windows-Patch-Status auch auf Geräteebene einsehen. Wenn für Patches die manuelle Genehmigung oder Ablehnung eingestellt ist, können Sie diese Aktionen über die Registerkarte„Übersicht“im Geräte-Dashboard ausführen.
Abbildung 15:Status der Betriebssystem-Patch-Verwaltung (zum Vergrößern anklicken)
Patches deinstallieren
Sie können einzelne Patches auf der Gerätedetailseite deinstallieren. Führen Sie dazu die folgenden Schritte aus.
- Navigieren Sie in NinjaOne zurSeite „Geräte“.
- Klicken Sie auf den Namen des Geräts, das Sie verwalten möchten.
- Bewegen Sie auf derÜbersichtsseite des Geräts den Mauszeiger über das Menü„Patching“.
- Wählen Sie„OS-Patches“ aus. Klicken Sie anschließend auf„Installiert“.
Abbildung 16: Installierte Betriebssystem-Patches (zum Vergrößern anklicken)
- Bewegen Sie den Mauszeiger über die Patch-Zeile und klicken Sie auf die Schaltfläche mit den drei Punkten auf der rechten Seite.
- Klicken Sie auf„Deinstallieren“.
Abbildung 17: Deinstallieren (zum Vergrößern anklicken)
Abbildung 18: Deinstallation unterstützt (zum Vergrößern anklicken)