NinjaOne Patching : Gestion des correctifs pour le système d'exploitation Windows

Contenu

Cet article décrit les fonctions de gestion des correctifs du système d'exploitation disponibles pour les terminaux Windows gérés par NinjaOne. Il explique également comment activer, configurer et visualiser l'activité des correctifs.

Environnement

NinjaOne Patching
Microsoft Windows

Description

NinjaOne Patch Management vous permet de créer des politiques de correctifs qui recherchent et appliquent automatiquement les nouveaux correctifs de votre système d'exploitation pour vos terminaux Windows.

Sélectionnez un sujet pour continuer.

Considérations importantes
Activation de la gestion des correctifs de Windows
Configuration des paramètres de correction du système d'exploitation
Affichage des tentatives d'analyse et d'installation des correctifs du système d'exploitation
Configuration d'un serveur WSUS à utiliser avec Windows Patching

Considérations importantes

Versions antérieures de Windows

En raison de l'abandon par Microsoft d'un point de terminaison de service Windows Update obsolète, Windows Vista et de nombreuses versions de Windows 7 et Windows Server 2008 ne prennent pas en charge le service NinjaOne Patch Management

Les appareils fonctionnant sous Windows 7 SP1, Windows Server 2008 R2 SP1 et Windows Server 2008 SP2 peuvent être mis à jour pour fonctionner avec NinjaOne Patch Management. Reportez-vous à l'article Microsoft suivant pour plus d'informations : Windows Update SHA-1-Based Endpoints Discontinued for Older Windows Devices(lien externe)

Messagerie du système et options

Lorsque la correction du système d'exploitation est activée, un message indiquant que "certains paramètres sont gérés par votre organisation" peut apparaître localement sur l'outil de mise à jour Windows de l'ordinateur.

Lorsque le patching du système d'exploitation est activé, l'option Me donner des mises à jour pour d'autres produits Microsoft lorsque je mets à jour Windows peut être grisée dans les paramètres de mise à jour de Windows sur les machines locales. Vous pouvez gérer les mises à jour des produits Microsoft à l'aide de l'outil de correction tiers. Voir Politiques de NinjaOne : Windows Third-Party Patching pour en savoir plus.

Séparation des programmes d'analyse et de correction

Nous recommandons de séparer les programmes d'analyse et de mise à jour d'au moins une heure afin de laisser suffisamment de temps pour que l'analyse soit terminée avant que la mise à jour ne commence. Si vous planifiez l'exécution simultanée des cycles d'analyse et de mise à jour, ou si un cycle d'application démarre avant que le cycle d'analyse ne soit terminé, l'analyse sera ignorée ou interrompue, et le cycle de mise à jour sera prioritaire.

Reboots en attente

Si un correctif nécessite un redémarrage de l'appareil, NinjaOne affichera une icône de redémarrage en attente sur l'appareil. Pour plus d'informations, reportez-vous à notre article sur les redémarrages en attente.

Si un redémarrage est en cours, les fonctions de recherche et d'application de correctifs ne seront pas exécutées pour ce périphérique tant que le redémarrage ne sera pas terminé et que le message de redémarrage en cours ne sera pas supprimé.

Activation de la gestion des correctifs de Windows

Vous devez activer la gestion des correctifs logiciels avant de l'utiliser pour gérer les correctifs de votre système d'exploitation Windows.

Dans NinjaOne, naviguez vers Administration → Politiques, puis choisissez une politique Windows dans la liste Politiques de l'agent .

**Figure 1 :** Administration → Policies *(cliquer pour agrandir)*

La page de configuration de la politique s'ouvre. Cliquez sur le système d'exploitation Patching puis activez l'option Statut. Aucune modification ne sera appliquée aux appareils tant que vous n’aurez pas enregistré la stratégie.

**Figure 2 :** Activation des correctifs du système d'exploitation *(cliquez pour agrandir)*

Configurez les paramètres de correction du système d'exploitation que vous préférez, puis cliquez sur Enregistrer.
- Après l'enregistrement, NinjaOne envoie un exécutable personnalisé nommé NinjaOrbit.exe à tous les points de terminaison de la politique, qui contrôle la gestion des correctifs pour ces machines.
- Une fois que les dispositifs d'extrémité ont installé l'exécutable personnalisé, ils lancent une analyse silencieuse. NinjaOne ne génère pas d'entrées de flux d' activité pour ce premier balayage silencieux.

Configuration des paramètres de correction du système d'exploitation

Les paramètres de correction du système d'exploitation comprennent des options de configuration de l'analyse et de la correction, ainsi que de l'installation et de la maintenance des logiciels requis. Lorsque vous avez terminé votre configuration, cliquez sur Enregistrer pour appliquer les nouveaux paramètres.

**Image 3 :** Paramètres de correction du système d'exploitation *(cliquer pour agrandir)*

Paramètres de correctifs du système d'exploitation (sans approbation)

Les paramètres de la partie supérieure de l'écran comprennent des options permettant de configurer l'analyse et l'application de correctifs, ainsi que l'exécution d'automatismes avant et après les mises à jour. Lorsque vous avez terminé votre configuration, cliquez sur Enregistrer pour appliquer les nouveaux paramètres. Le tableau suivant décrit chaque paramètre.

Paramètre	Description
Mode	NinjaOne propose deux modes de gestion des correctifs pour Windows : NinjaOne gère les correctifs du système d'exploitation: NinjaOne gère entièrement les calendriers d'analyse et de mise à jour des correctifs, les états d'approbation des catégories de correctifs et les dérogations aux correctifs. Nous recommandons ce mode pour assurer la conformité des correctifs sur l'ensemble des dispositifs de la politique. Configurer les paramètres de Windows Update via NinjaOne: Configurer NinjaOne pour qu'il transmette les paramètres de mise à jour de Windows aux périphériques par le biais des paramètres du registre. Si vous sélectionnez ce paramètre, NinjaOne remplacera les autres options visibles de configuration des correctifs du système d'exploitation par les options suivantes de mise à jour de Windows : Télécharger les mises à jour recommandées, mais permettre à l'utilisateur de choisir le moment de l'installation Télécharger les mises à jour recommandées et les installer selon un calendrier Informer l'utilisateur des mises à jour recommandées, mais ne pas les télécharger Désactiver les mises à jour de Windows Si votre stratégie est définie sur Configurer les paramètres de Windows Update via NinjaOne, NinjaOne ne peut pas installer les mises à jour de correctifs sur le périphérique. Pour exécuter les mises à jour de correctifs, modifiez la stratégie en Contrôler la gestion des correctifs de Windows.
Programme de balayage	Ce jeu de paramètres détermine le moment où l'appareil recherchera les nouveaux correctifs disponibles. Horaire: Utilisez le menu déroulant pour choisir la fréquence de balayage. Jours: Si l'intervalle de balayage est plus long qu'une fois par jour, sélectionnez les jours de la semaine où le système doit effectuer le balayage. NinjaOne ne patche les appareils que les jours choisis. Si vous ne sélectionnez aucun jour, le système affichera un message d'erreur. Heure et fuseau horaire: Sélectionnez l'heure de la journée et le fuseau horaire approprié pour effectuer la numérisation. Par défaut, les analyses commencent à 8 heures du matin, heure locale de l'appareil, et les mises à jour à 17 heures, heure locale de l'appareil. Ces valeurs par défaut ne s'appliquent qu'aux nouvelles politiques. Décalage: Définissez un intervalle de décalage pour répartir les temps d'installation des correctifs sur vos appareils et éviter les mises à jour simultanées. Pour plus d'informations, consultez le site NinjaOne Patch Management : Équilibrage de la charge des installations de correctifs avec la fonctionnalité d'échelonnement. Durée de l'enquête: Spécifiez la durée d'exécution des actions de scan avant que NinjaOne n'y mette fin. Lancer immédiatement une analyse si elle n'a pas été effectuée: Sélectionnez cette option pour lancer une analyse immédiatement si le système manque une analyse programmée. Réveille automatiquement le système: Cette option active le système pour les cycles de balayage et d'application. Lorsqu'elle est activée, une fonction de l'API Windows définit une heure de réveil pour les appareils en état de veille. Pour que cette fonction fonctionne, le système doit avoir des minuteries de réveil activées.
Calendrier des mises à jour	Ces paramètres indiquent quand NinjaOne doit appliquer les mises à jour trouvées lors de l'analyse. Horaire: Utilisez le menu déroulant pour choisir la fréquence de mise à jour. Jours: Si l'intervalle de mise à jour est supérieur à une fois par jour, sélectionnez les jours de la semaine où le système doit effectuer l'analyse. Les appareils ne sont patchés que les jours choisis. Si vous ne sélectionnez aucun jour, le système affichera un message d'erreur. Heure et fuseau horaire: Sélectionnez l'heure de la journée et le fuseau horaire approprié pour effectuer le balayage. Par défaut, les analyses commencent à 8 heures du matin, heure locale de l'appareil, et les mises à jour à 17 heures, heure locale de l'appareil. Ces valeurs par défaut ne s'appliquent qu'aux nouvelles politiques. Stagger over: Définissez un intervalle de décalage pour répartir les temps d'installation des correctifs sur vos appareils et éviter les mises à jour simultanées. Pour plus d'informations, consultez le site NinjaOne Patch Management : Équilibrage de la charge des installations de correctifs avec la fonction d'échelonnement. Durée de l'enquête: Spécifiez la durée d'exécution des actions de mise à jour avant que NinjaOne n'y mette fin. Exécutez la mise à jour immédiatement, si vous l'avez manquée: Cochez cette case pour exécuter une mise à jour immédiatement si le système manque une mise à jour programmée de . Réveille automatiquement le système: Cette option permet de mettre le système en ligne pour les cycles de correction et d'application. Lorsqu'elle est activée, cette option utilise une fonction de l'API Windows pour définir une heure de réveil pour les appareils en état de veille. Le système doit avoir activé les minuteries de réveil pour que cette fonction fonctionne. Mises à jour avant le départ prévu: Cochez cette case pour que le système prépare et positionne les mises à jour avant l'heure de mise à jour prévue. Sauter sur les connexions avec compteur: Lorsqu'elle est activée, une erreur s'affiche dans le flux d'activité du tableau de bord NinjaOne si un cycle de mise à jour est tenté sur un appareil qui utilise une connexion avec compteur. Mode de maintenance : Supprimer la notification: Sélectionnez cette option pour empêcher NinjaOne d'envoyer des alertes causées par des actions se produisant pendant la mise à jour (comme le redémarrage de l'appareil). Vous pouvez affiner ce paramètre en cochant les cases Supprimer les alertes de condition et Supprimer les canaux de notification. Voir Plate-forme NinjaOne : Mode maintenance pour plus d'informations.
Exécution pré-automatique et post-automatique	Ce paramètre vous permet d'ajouter des automatismes qui s'exécuteront avant (pré) ou après (post) l'installation du correctif. Utiliser des scripts de pré-patching pour valider les prérequis ou préparer le système avant le début du patch. Utilisez des scripts de post-patching pour effectuer des tâches de nettoyage ou de vérification par la suite. Cliquez sur Ajouter pour sélectionner des automatismes dans la bibliothèque d'automatismes. Voir Politiques de NinjaOne : Automations programmées pour en savoir plus. Sélectionnez Annuler la mise à jour du correctif si le pré-script renvoie un message d'échec pour annuler automatiquement le travail de correction en cas d'échec du pré-script.
Notifications de mise à jour	Choisissez comment NinjaOne informe les utilisateurs lorsque le système doit mettre à jour un logiciel qui ne peut pas être corrigé en arrière-plan. Le réglage actuel est affiché sous forme de lien dans cette section. Cliquez sur le lien pour obtenir les options supplémentaires suivantes : Informer l'utilisateur, puis fermer le logiciel et le mettre à jour Fermer automatiquement les logiciels et les mettre à jour Ne pas fermer les logiciels ouverts
Options de redémarrage : Utilisateur connecté	Ces paramètres vous permettent de spécifier le comportement de redémarrage et les invites pour les utilisateurs qui sont connectés à un appareil récemment corrigé : Invite à redémarrer jusqu'à ce que le redémarrage soit accepté: NinjaOne affichera une invite à l'écran demandant à l'utilisateur de redémarrer et de laisser la mise à jour se terminer. Les options de programmation permettent de déterminer la fréquence de l'invite. Cochez la case Forcer le redémarrage après pour définir le nombre d'invites avant que NinjaOne ne redémarre automatiquement le périphérique. Cochez la case Boîte de dialogue de redémarrage personnalisée pour remplacer l'invite par défaut par votre propre texte. Informer l'utilisateur, puis redémarrer: Choisissez cette option pour envoyer une notification à l'utilisateur, puis redémarrer automatiquement la machine et terminer la mise à jour. Voir Plate-forme NinjaOne : Canaux de notification pour plus d'informations. Utilisez les options de planification pour déterminer combien de temps NinjaOne doit attendre avant d'envoyer la notification et de déclencher le redémarrage. Redémarrage automatique: Cette option indique à NinjaOne de redémarrer l'appareil une fois l'installation de la mise à jour terminée. Utilisez les options de planification pour déterminer combien de temps le NinjaOne doit attendre avant de redémarrer l'appareil. Ne rien faire: NinjaOne n'effectuera aucune action de redémarrage automatique sur l'appareil. Période: Si vous avez sélectionné Inviter l'utilisateur à redémarrer jusqu'à ce que le redémarrage soit accepté, utilisez ces champs pour spécifier la fréquence de l'invitation. Cochez la case pour forcer un redémarrage après un certain nombre d'invites. Boîte de dialogue de redémarrage: Cochez cette case pour ajouter un texte personnalisé à l'invite de redémarrage. Si un utilisateur final interagit avec une invite de redémarrage, NinjaOne affichera une activité dans le flux d'activité. Pour plus d'informations, reportez-vous à la section Flux de notification de l'activité du dispositif et du système.
Options de redémarrage : Pas d'utilisateur connecté	Ces paramètres vous permettent de spécifier le comportement en matière de redémarrage et d'invite pour les appareils récemment corrigés et pour lesquels aucun utilisateur n'est connecté : Tentez de redémarrer jusqu'à ce que vous réussissiez: NinjaOne continuera à tenter de redémarrer l'appareil, même si les redémarrages échouent, jusqu'à ce que l'action soit terminée. Les options de planification permettent de déterminer la fréquence des tentatives de redémarrage. Redémarrer immédiatement: NinjaOne redémarre l'appareil lorsque la mise à jour est prête. Ne rien faire: NinjaOne ne prendra aucune mesure pour redémarrer l'appareil.

Paramètres d'approbation et d'annulation

Les paramètres dans la partie inférieure de l'écran comprennent des options pour :

Définir des approbations automatiques pour les mises à jour de sécurité et les mises à jour générales.
Définir les états d'approbation des mises à jour avancées pour les pilotes de périphériques et les fonctionnalités de Windows.
Activer les dérogations à l'approbation de l'IA de Patch Intelligence.
Ajouter des dérogations d'approbation à la politique de correction.

Options de paramétrage de l'approbation

Chaque type de patch dispose des options d'approbation suivantes : Approuver, Manuel et Rejeter.

Approuver: Cette option permet d'approuver automatiquement tous les correctifs de cette catégorie en vue de leur installation lors du prochain cycle de mise à jour.
Manuel: Lorsqu'ils sont trouvés, les correctifs de cette catégorie apparaissent dans un état "en attente", nécessitant une approbation manuelle ou un rejet (soit pour le dispositif, soit pour l'ensemble de la politique).
Rejeter: Cette option rejette automatiquement tous les correctifs de cette catégorie, de sorte que NinjaOne ne les installe pas sur l'appareil.

Explication des paramètres d'approbation de la mise à jour du système d'exploitation

Utilisez le tableau ci-dessous pour en savoir plus sur chaque paramètre.

Paramètre	Description
Approbation des mises à jour de sécurité	Configurer les paramètres d'approbation pour les vulnérabilités liées à la sécurité et spécifiques à un produit. Dans son bulletin de sécurité, Microsoft classe les failles de sécurité dans les catégories suivantes : critique, importante, modérée ou faible. Nous recommandons d'appliquer immédiatement les correctifs critiques et importants. Pour les correctifs modérés, nous conseillons de lire la KB correspondante avant d'appliquer le correctif. Cliquez sur Modifier pour configurer NinjaOne de manière à ce qu'il approuve, rejette ou exige l'approbation manuelle des correctifs automatiquement.
Agréments généraux	Configurer les paramètres d'approbation pour les bogues qui ne sont pas liés à la sécurité par catégorie désignée par Microsoft. Pour plus d'informations, consultez l' article de Microsoft sur la terminologie des mises à jour logicielles(lien externe). Cliquez sur Modifier pour définir les paramètres suivants : Corrections/mises à jour importantes: Définissez chaque catégorie comme approuvée, rejetée, manuelle ou approuvée après un délai spécifié, en jours. Nous recommandons de définir les mises à jour importantes sur Approuver, ce qui permet à NinjaOne d'appliquer automatiquement tous les correctifs. Corrections/mises à jour facultatives: Définissez chaque catégorie comme Approuver, Rejeter ou Manuel. Nous recommandons à de définir les correctifs et les mises à jour optionnels sur Reject. De nombreux correctifs optionnels nécessitent une saisie de la part de l'utilisateur, ce qui entraînera un échec de l'installation s'ils sont exécutés à partir de la gestion des correctifs sur le web. Ces correctifs sont encore disponibles sur des machines spécifiques si vous souhaitez les appliquer.
Approbations avancées	Activer et définir le statut d'approbation des pilotes de périphériques et des mises à jour des fonctionnalités de Windows, qui peuvent inclure des mises à niveau complètes de la version de Windows. Les mises à jour d'approbation avancées nécessitent l'activation d'un paramètre supplémentaire. En outre, vous devez activer les cases à cocher correspondant au type de mise à jour(Pilotes ou Mises à jour de fonctionnalités). Sinon, NinjaOne n'essaiera pas de patcher ces mises à jour, quel que soit le statut d'approbation sélectionné. Une autre méthode de déploiement des mises à jour de fonctionnalités consiste à installer le script personnalisé suivant : Script personnalisé : Mise à jour de Windows 10 Build.
Patch Intelligence Approvals AI overrides (en anglais)	Activer les changements de statut d'approbation pour les correctifs que l'IA de Patch Intelligence considère comme des problèmes connus, ou pour les correctifs dont le statut est " Attention". Pour en savoir plus, reportez-vous à l' analyse du sentiment des correctifs du système d'exploitation (Patch Intelligence AI).
Dérogations à l'approbation	Configurez NinjaOne pour qu'il remplace votre politique d'application de correctifs pour des correctifs spécifiques. Cliquez sur Ajouter pour ouvrir la boîte de dialogue Modifier les dérogations d'approbation , puis recherchez le nom du correctif. Le deuxième menu déroulant permet d'approuver ou de rejeter le correctif. Exemples de scénarios dans lesquels les correctifs apparaîtraient dans la section des dérogations: Si la catégorie d'approbation est définie sur Manual, et vous approuvez ou rejetez le correctif pour la politique. Si la catégorie d'approbation est définie sur Approve, et que vous rejetez manuellement le correctif pour la politique. Si l'approbation de la catégorie est définie sur Rejeter et que vous approuvez ensuite manuellement le correctif pour la politique. Les correctifs dont vous avez choisi d'ignorer le statut apparaissent dans la section Ignorer. Cliquez sur Ajouter dans le champ Dérogations pour ajouter et supprimer des dérogations si nécessaire. Soyez prudent lorsque vous consultez la page " Overrides" de la politique de correctifs alors que des filtres sont en place. Si vous utilisez un filtre et que vous cliquez ensuite sur le bouton Effacer tout, cette action effacera toutes les dérogations (rejetées et approuvées), et pas seulement celles qui ont été filtrées.

Affichage des tentatives d'analyse et d'installation des correctifs du système d'exploitation

Vous pouvez consulter les correctifs trouvés et les correctifs installés dans l'onglet Tableau de bord → Patching → OS patches. Utilisez le menu déroulant pour filtrer l'état des correctifs(En attente, Approuvé, Rejeté, Installé ou Échoué).

Lorsqu'un correctif a tenté de s'installer au cours d'un cycle de mise à jour, le système l'enregistre dans l'onglet OS Patches du tableau de bord avec la mention"Installé " ou"Échec".

**Figure 4**: Tableau de bord → Patching → Corrections du système d'exploitation *(cliquer pour agrandir)*

Affichage des dispositifs applicables à un correctif

Au niveau du tableau de bord Système ou Organisation , vous pouvez cliquer sur le numéro de la colonne Dispositifs pour générer une liste des dispositifs auxquels s'applique l'état du correctif. Par exemple, en cliquant sur le numéro d'un correctif dans l'onglet Approuvé, on peut voir les appareils pour lesquels il est approuvé (mais pas encore installé).

**Image 5 :** La liste des patchs dans le tableau de bord *(cliquer pour agrandir)*

Configuration d'un serveur WSUS à utiliser avec Windows Patching

Un serveur Windows Server Update Services (WSUS) peut contribuer à réduire le trafic réseau associé à l'application des correctifs.

S'assurer que les objets de stratégie de groupe (GPO) de WSUS sont désactivés lors de l'utilisation des stratégies NinjaOne. Dans le cas contraire, NinjaOne s'en remet aux paramètres des stratégies de groupe. Veillez également à ce que les correctifs soient activés au niveau de la politique.

Dans NinjaOne, cliquez sur Administration → Organisations, puis choisissez une organisation dans la liste.

**Image 6 :** Administration → Organisations *(cliquez pour agrandir)*

Cliquez sur l'onglet Patching configuration, puis sur le lien Edit.

**Image 7 :** Patching → Paramètres WSUS *(cliquer pour agrandir)*

La boîte de dialogue WSUS Settings s'ouvre. Cliquez sur Utiliser le serveur WSUS suivant, puis utilisez le champ Adresse IP/Nom DNS pour cibler le serveur. Cette action réinitialise les clés de registre actuelles dans "WindowsUpdate" et entre dans le serveur WSUS.
- Si l'agent NinjaOne est installé sur le serveur WSUS: Cliquez sur Sélectionner, puis choisissez le serveur WSUS dans la liste.
- Si l'agent NinjaOne n'est pas installé sur le serveur WSUS, entrez son adresse IP ou son nom DNS.

Configurez votre protocole et votre port, puis indiquez si vous souhaitez utiliser le serveur de mise à jour par défaut de Microsoft si WSUS n'est pas accessible pour l'application des correctifs. Lorsque vous avez terminé, cliquez sur Enregistrer. Les paramètres WSUS nouvellement configurés s'affichent dans l'interface utilisateur.

**Image 8** : La boîte de dialogue WSUS Settings *(cliquer pour agrandir)*

Activer un serveur WSUS par emplacement

Vous pouvez installer les serveurs WSUS à différents endroits afin d'optimiser la bande passante et la vitesse de fourniture du service.

Dans l'éditeur d' organisation, cliquez sur l'onglet Emplacements, puis sur Ajouter un emplacement.

**Figure 9 :** Sites → Ajouter un site *(cliquer pour agrandir)*

Dans la fenêtre Ajouter un emplacement, sélectionnez WSUS, puis cliquez sur Utiliser les paramètres au niveau de l'organisation. Le serveur utilisera les paramètres WSUS que vous avez précédemment configurés.

**Figure 10 :** La boîte de dialogue Ajouter un emplacement *(cliquez pour agrandir*)

Utilisation d'autres paramètres du serveur WSUS basés sur la localisation

Vous pouvez définir des paramètres spécifiques à un appareil pour un serveur WSUS situé à un autre endroit.

Utiliser le serveur de mise à jour Microsoft par défaut: Cliquez sur cette sélection pour utiliser le serveur de mise à jour Microsoft par défaut. Si vous choisissez cette option, NinjaOne réinitialisera les paramètres existants et veillera à ce que l'appareil utilise le nuage pour les correctifs. NinjaOne ne corrige pas les dispositifs par le biais d'un serveur WSUS.
Utilisez le serveur WSUS suivant : Sélectionnez cette option pour configurer ces paramètres pour le lieu. Lorsque cette option est choisie, des paramètres supplémentaires s'ouvrent dans la fenêtre Ajouter un lieu. Configurez l' adresse IP/le nom DNS, le protocole et le port. Cochez la case Utiliser le serveur de mise à jour par défaut si WSUS n'est pas disponible pour recevoir les mises à jour directement de Microsoft si le système ne peut pas atteindre votre serveur WSUS.

NinjaOne Patching : Gestion des correctifs pour le système d’exploitation Windows