/
  • Ultimo aggiornamento
/
  • 12 min di lettura

Come creare una procedura operativa standard o SOP di patch management per MSP

di Raine Grey, Technical Writer   |  
translated by Sergio Oricci
Come creare una procedura operativa standard o SOP di patch management per MSP Immagine del banner del blog

Una SOP di patch management ben definita è obbligatoria per qualsiasi organizzazione e no, non si tratta un’esagerazione o di una frase clickbait. Abbiamo discusso in modo approfondito del patch management in diversi altri articoli (troverai i link alla fine di questo articolo). In questa guida ci concentriamo sulla creazione di una SOP di patch management per MSP, in particolare per ambienti Windows e macOS, e per applicazioni di terze parti.

Questo articolo si propone di aiutarti a stabilire un processo di patching ripetibile, scalabile e sicuro per gli endpoint in gestione, con dettagli tecnici di implementazione per l’automazione, l’auditing e la conformità.

📌 Strategie di implementazione consigliate:

Clicca per scegliere un metodo

💻

Più adatto per utenti individuali

💻💻💻

Più adatto per ambienti enterprise

Metodo 1: Scripting manuale 
Metodo 2: Criteri di gruppo e registro di sistema (solo Windows)
Metodo 3: Piattaforme RMM, come NinjaOne

Una nota sulla scelta di un metodo e sul rispetto delle fasi della SOP

Prima di continuare, è essenziale capire la differenza tra i metodi di implementazione e le fasi della SOP. Pur lavorando insieme, hanno scopi diversi.

Le fasi sono ciò che si fa nella SOP. Si tratta di azioni universali da seguire in qualsiasi processo di gestione delle patch.

I metodi sono come si implementa una SOP. Si tratta di approcci di implementazione basati sugli strumenti, sulle dimensioni dell’ambiente e sulla configurazione tecnica. Le strategie di implementazione riportate di seguito riflettono i metodi disponibili per l’esecuzione di una SOP di patch management efficace. Tieni presente che devi scegliere solo un metodo (per esempio una piattaforma RMM), optando per quello che si adatta meglio al tuo ambiente.

Vale anche la pena di notare che ci saranno sovrapposizioni di fasi e metodi.

📌 Prerequisiti:

  • I dispositivi devono essere registrati in una piattaforma RMM, MDM o in una soluzione centralizzata di patching.
  • Privilegi di amministratore sugli endpoint di destinazione.
  • Accesso Internet per i servizi di aggiornamento dei fornitori (Microsoft, Apple, fornitori di app di terze parti)
  • PowerShell 5.1 o versioni successive su Windows (verificare la versione di PowerShell)
  • Accesso al terminale o alla shell su endpoint macOS
  • Opzionale: Accesso a WSUS, JAMF, Munki o uno strumento multipiattaforma come NinjaOne

Creare una SOP di patch management: Guida passo per passo

Fase 1: Inventario e classificazione degli obiettivi delle patch

Non puoi applicare una patch a ciò che non conosci. In questa fase, rileverai tutti gli endpoint dell’ambiente e li classificherai per tipo di sistema operativo, versione e versione installata.

  1. Per Windows

  1. Apri PowerShell.
  2. Esegui questo comando:

Get-HotFix

systeminfo | findstr /B /C:”OS Name” /C:”OS Version”

  1. Per macOS 

  1. Esegui questo comando:

sw_vers

softwareupdate –history

ls /Applications

  1. Per le applicazioni di terze parti

  1. Su Windows:
    Get-WmiObject -Class Win32_Product | Select-Object Name, Version
  2. Su macOS:
    Use ls /Applications or Munki to inventory

💡 Suggerimento: Etichetta gli endpoint in base al gruppo di patch o alla criticità, per distribuire gli aggiornamenti in modo efficiente.

Fase 2: Definire le categorie di patch e la frequenza

Ora devi classificare le patch e definire la frequenza di applicazione di ciascun tipo di aggiornamento.

CategoriaFrequenza (consigliata)Obiettivi
Aggiornamenti critici per la sicurezzaSettimanaleTutti gli endpoint
Patch cumulative del sistema operativoMensileDispositivi Windows e macOS
Aggiornamenti di funzionalitàTrimestraleIn base alle necessità o all’approvazione del cliente
Applicazioni di terze partiSettimanaleEsempi: browser, Java, Zoom, Adobe

💡 Suggerimento: Utilizza strumenti come NinjaOne per impostare la tempistica dell’applicazione delle patch.

Passo 3: Attivare gli aggiornamenti di Windows

L’attivazione degli aggiornamenti di Windows è un modo semplice ed efficace per ridurre l’errore umano, soprattutto se si gestisce un parco dispositivi di grandi dimensioni. Abbiamo elencato alcuni metodi da provare, ma abbiamo preso nota dei passaggi che automatizzano veramente il processo e di quelli che forniscono un’esecuzione unica di un aggiornamento di Windows.

  1. Tramite PowerShell – Aggiornamento una tantum

  1. Apri PowerShell.
  2. Esegui questo comando:

Install-Module PSWindowsUpdate

Get-WindowsUpdate -AcceptAll -Install -AutoReboot

  1. Tramite il percorso dei Criteri di gruppo – Automazione completa

  1. Premi la combinazione di tasti Win + R, digita gpedit.msc e clicca su Invio.
  2. Vai su Configurazione del computer > Modelli amministrativi > Componenti di Windows > Windows Update.
  3. Abilita:
    • Configura gli aggiornamenti automatici
    • Giorno/ora di installazione pianificata
    • Nessun riavvio automatico con utenti connessi

💡 Nota: A seconda della versione di Windows, questi criteri possono essere visualizzati in sottocartelle quali Criteri legacy, Utenti finali gestiti o Aggiornamenti gestiti all’interno della cartella Windows Update.

  1. Tramite Registro di sistema – Automazione completa 

⚠️ Attenzione: Assicurati di eseguire un backup del Registro di sistema prima di procedere. Configurazioni errate possono causare instabilità del sistema.

  1. Premi la combinazione di tasti Win + R, digita regedit e clicca su Invio.
  2. Seleziona: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
  3. Imposta i valori come:
    • AUOptions = 4 (download automatico e installazione pianificata)
    • ScheduledInstallDay = 2 (martedì)
    • ScheduledInstallTime = 3 (3 A.M.)
    • NoAutoRebootWithLoggedOnUsers = 1

💡 Nota: Sentiti libero di regolare i valori secondo le tue necessità.

  1. Tramite il prompt dei comandi – Esecuzione una tantum

  1. Apri un prompt dei comandi elevato.
  2. Esegui il seguente comando PowerShell direttamente da CMD:

powershell -Command “(New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()”

Questo comando aiuta l’Agente di aggiornamento di Windows a verificare la disponibilità di aggiornamenti. Tieni presente che non li installerà, quindi per il processo di installazione puoi usare PowerShell (metodo A) o i metodi di automazione descritti nelle opzioni B/C.

Nota: I comandi meno recenti come wuauclt /detectnow usoclient StartScan erano utilizzati nelle versioni passate di Windows, ma ora sono deprecati o inaffidabili su Windows 10/11.CMD non fornisce più un metodo nativo per scaricare e installare direttamente gli aggiornamenti da Windows Update.

⚠️ Cose da tenere d’occhio

  • Riavvii e impatto sull’utente: Anche con “Nessun riavvio automatico con utenti connessi”, alcuni aggiornamenti potrebbero richiedere un riavvio per essere completati. Pianifica di conseguenza le finestre di manutenzione.
  • Differenze di edizione: Alcuni percorsi dei Criteri di gruppo o nomi di criteri variano a seconda dell’edizione/versione di Windows; controlla le sottocartelle come indicato.
  • Ambienti gestiti: Se utilizzi WSUS/Intune, assicurati che queste impostazioni siano in linea con i criteri di gestione per evitare conflitti.

Passo 4: Applicare gli aggiornamenti di macOS

Questo passaggio garantisce che i dispositivi Apple vengano aggiornati in modo affidabile e sicuro. Tieni presente che questo passaggio non automatizza il processo, ma applica gli aggiornamenti come esecuzione unica.

  1. Esegui questi comandi nel Terminale:

softwareupdate –list

softwareupdate -i -a

sudo shutdown -r now

Passo 5: Applicare le patch alle app di terze parti

Le applicazioni come i browser, Zoom e Java sono enormi superfici di attacco e devono essere patchate regolarmente.

  1. Per Windows (disinstallazione/installazione basata su PowerShell o uso di Chocolatey)

  1. Installa Chocolatey.
  2. Esegui questo comando:

Set-ExecutionPolicy Bypass -Scope Process -Force

iex ((New-Object System.Net.WebClient).DownloadString(‘https://chocolatey.org/install.ps1’))

choco upgrade all -y

  1. Per macOS (utilizzando Homebrew)

  1. Installa Homebrew.
  2. Esegui questo comando:

/bin/bash -c “$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)”

brew upgrade

💡 Nota: Puoi monitorare i log o i codici di uscita per individuare eventuali errori e riprovare l’automazione se necessario.

Passo 6: Flusso di lavoro per l’approvazione e il test delle patch

I test e la distribuzione graduale sono essenziali per garantire la stabilità di tutte le patch.

  • Definisci un gruppo di test (5-10% del totale)
  • Distribuisci ai dispositivi di prova e documenta i risultati
  • Applica le patch in gruppi quando sei pronto per un rollout più ampio
    Tieni traccia dei KB o delle versioni delle app per ogni gruppo
  • Utilizza NinjaOne o SharePoint per tenere traccia delle eccezioni in termini di patch

Passo 7: Strategia di rollback

A volte l’applicazione delle patch presenta dei problemi. Quando si verificano, è necessario un modo rapido e affidabile per annullare l’applicazione senza perdere dati o produttività.

  1. Per Windows

  1. Apri un prompt dei comandi elevato.
  2. Esegui questo comando:

wusa /uninstall /kb:XXXXXXX /quiet /norestart

Checkpoint-Computer -Description “Pre-Patch Restore” -RestorePointType “MODIFY_SETTINGS”

💡 Nota: Ricordati di sostituire “XXXXXXX” con il numero KB effettivo dell’aggiornamento che vuoi rimuovere.

  1. Per macOS

  • Utilizza Time Machine o gli snapshot.
  • Ti consigliamo di eseguire un backup completo prima di eseguire aggiornamenti importanti.

Passo 8: Reporting, conformità e avvisi

Gli avvisi aiutano a identificare tempestivamente le patch non riuscite, mentre i report mostrano ai clienti o al management che la tua azienda è sicura e conforme.

  1. Per Windows

Questo comando crea un file CSV contenente un elenco dettagliato degli aggiornamenti installati. Questo file consente di rivedere facilmente la cronologia degli aggiornamenti, di condividere le informazioni sulle patch e di utilizzare i dati per i controlli di conformità o la risoluzione dei problemi.

  1. Apri PowerShell.
  2. Esegui questo comando:

Get-HotFix | Export-Csv “patch_report.csv”

Get-WindowsUpdateLog

  1. Per macOS

  1. Esegui questo comando:

softwareupdate –history

  1. Utilizza NinjaOne o un RMM di terze parti

  • Per mandare avvisi quando una patch non riesce
  • Per generare riepiloghi di conformità
  • Per monitorare lo stato delle patch delle app terze parti
  • Per produrre rapporti esecutivi sulle patch

Metodi di distribuzione

Metodo 1: Scripting manuale

📌 Casi d’uso: Per ambienti senza gestione centralizzata o per test e piccole implementazioni.

📌 Prerequisiti:

  • Privilegi di amministratore locale sugli endpoint
  • PowerShell 5.1 o versioni successive installato su Windows, o accesso al terminale su macOS
  • Accesso a Internet per i servizi di aggiornamento dei fornitori
  • (Facoltativo) Se il modulo PSWindowsUpdate non viene installato, potresti dover installare prima il provider NuGet e registrare il repository PowerShell Gallery.

Passi:

  1. Per Windows (tramite PowerShell)

  1. Apri PowerShell.
  2. Esegui questi comandi in ordine:
    • Install PSWindowsUpdate module.: Install-Module PSWindowsUpdate
    • Per eseguire una scansione degli aggiornamenti e installare tutte le patch disponibili: Get-WindowsUpdate -AcceptAll -Install -AutoReboot
    • Se necessario, forza la scansione manuale.

wuauclt /detectnow

usoclient StartScan

  1. Per macOS (tramite Terminale) 

  1. Esegui questi comandi in ordine:
    • Per mostrare gli aggiornamento disponibili: softwareupdate –list
    • Per installare tutti gli aggiornamenti disponibili: softwareupdate -i -a
    • Per riavviare dopo l’aggiornamento, se necessario: sudo shutdown -r now

Metodo 2: Criteri di gruppo e registro di sistema (solo Windows)

📌 Casi d’uso: Ideale per gli ambienti Windows che si basano sulla gestione del dominio e necessitano di un’applicazione coerente dei criteri.

📌 Prerequisiti:

Passi:

  1. Tramite i Criteri di gruppo

  1. Premi la combinazione di tasti Win + R, digita gpedit.msc e clicca su Invio.
  2. Vai su:
    Configurazione del computer > Modelli amministrativi > Componenti di Windows > Windows Update
  3. Abilita e configura:
    • Configura aggiornamenti automatici = Abilitato.
    • Imposta il giorno e l’ora dell’installazione.
    • Abilita “Nessun riavvio automatico con utenti connessi”.
    • (Facoltativo) Specifica l’origine dell’aggiornamento interno tramite WSUS.

💡 Nota: A seconda della versione di Windows, questi criteri possono essere visualizzati in sottocartelle quali Criteri legacy, Utenti finali gestiti o Aggiornamenti gestiti all’interno della cartella Windows Update.

  1. Tramite l’applicazione del registro (legacy o non di dominio)

  1. Premi la combinazione di tasti Win + R, digita regedit e clicca Invio.
  2. Vai su: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
  3. Imposta i valori:
    • AUOptions = 4 (download automatico e installazione pianificata)
    • ScheduledInstallDay = 2 (martedì)
    • ScheduledInstallTime = 3 (3 A.M.)
    • NoAutoRebootWithLoggedOnUsers = 1

💡 Sentiti libero di regolare i valori secondo le tue esigenze. 

Metodo 3: Piattaforme RMM, come NinjaOne

📌 Casi d’uso: Ideale per patching scalabile e automatizzato in ambienti di grandi dimensioni con dashboard, avvisi, rollback e report di conformità.

📌 Prerequisiti:

  • Endpoint registrati in una piattaforma RMM come NinjaOne
  • Criteri di patching creati e assegnati ai gruppi
  • Accesso da amministratore per definire le regole di automazione e di pianificazione

Passi:

  1. Accedi alla console NinjaOne.
  2. Crea un criterio di patching che copra Windows, macOS e le applicazioni di terze parti.
  3. Organizza i dispositivi per tag, gruppi o livelli di urgenza.
  4. Imposta pianificazioni di patch ricorrenti con finestre di manutenzione definite.
  5. Abilita gli avvisi per i guasti, le patch scadute o i riavvii necessari.
  6. Monitora in tempo reale le dashboard e i report di conformità.
  7. Distribuisci script di rollback o di correzione quando necessario.

💡 Suggerimento: Combina il patching con le attività successive alla distribuzione, come gli script di pulizia, i rinvii del riavvio o i riavvii dei servizi utilizzando l’automazione di NinjaOne. Questo garantisce aggiornamenti più fluidi e riduce al minimo le interruzioni. Puoi ottenere istruzioni più dettagliate qui:

Come NinjaOne supporta la tua SOP di patch management

  • Automatizzando il patching di sistemi operativi e app in ambiente Windows e MacOS: NinjaOne ottimizza la distribuzione delle patch per sistemi operativi e applicazioni di terze parti grazie a criteri personalizzabili e all’automazione zero-touch. Ciò significa che le patch possono essere distribuite automaticamente senza intervento manuale, riducendo l’errore umano e migliorando l’efficienza operativa.
  • Permettendoti di definire finestre di patch, gruppi di test ed eccezioni: Puoi impostare pianificazioni di patch ricorrenti, assegnare i dispositivi a gruppi di test e creare regole di eccezione per soddisfare esigenze specifiche di conformità o aziendali.
  • Fornendoti dashboard e report di conformità: Dashboard visivi in tempo reale e report esportabili ti consentono di monitorare lo stato delle patch, visualizzare i tassi di conformità dei dispositivi e dimostrare l’allineamento agli SLA o alle normative.
  • Avvisandoti in caso di guasti, riavvii mancati o ritardi delle patch: NinjaOne avvisa automaticamente i tecnici quando una patch non funziona, un endpoint richiede un riavvio o non viene rispettata una finestra di aggiornamento pianificata.
  • Consentendo rollback o correzioni tramite script: Gli amministratori possono eseguire script PowerShell o shell personalizzati all’interno di NinjaOne per disinstallare gli aggiornamenti problematici, riavviare i servizi o correggere un software non funzionante senza necessità di intervento manuale.
  • Raggruppando/etichettando gli endpoint in base all’urgenza delle patch o all’ambiente: I dispositivi possono essere etichettati in base alla posizione, alla funzione o alla criticità per imporre diverse priorità di patch e ridurre il rischio per i sistemi critici per l’azienda.

Scopri perché oltre 30.000 clienti in tutto il mondo si affidano a NinjaOne per il patch management

→ Clicca per saperne di più su NinjaOne Patch Management

Creare una SOP di patch management efficace

Una solida SOP di patch management garantisce cicli di aggiornamento sicuri, coerenti ed efficienti in tutti gli ambienti. Non dare per scontata questa procedura: Anche le organizzazioni più piccole hanno bisogno di una solida SOP di patch management per ridurre il rischio di malware e altre minacce.

Argomenti correlati:

Inizia una prova gratuita

FAQs

Le procedure di patch management sono le fasi standardizzate che un team IT o un MSP segue per identificare, testare, distribuire e verificare gli aggiornamenti software (patch) su dispositivi e sistemi. Queste procedure garantiscono che i sistemi operativi, le applicazioni e il firmware siano sempre aggiornati con le ultime correzioni di sicurezza, i miglioramenti delle prestazioni e i requisiti di conformità. Una procedura ben definita comprende in genere l’inventario delle risorse, la classificazione delle patch, la pianificazione della distribuzione, i test, la pianificazione del rollback e i report.

Il patch management dei server di produzione richiede un approccio cauto e strutturato per ridurre al minimo i tempi di inattività ed evitare interruzioni dell’attività.

Le best practice includono:

  1. La definizione di finestre di manutenzione per ogni server o gruppo durante le ore di basso traffico.
  2. Applica le patch prima ai server di staging o di prova per individuare tempestivamente i problemi di compatibilità.
  3. Utilizza strumenti di automazione (come NinjaOne, WSUS o Ansible) per pianificare, applicare e verificare le patch.
  4. Informa in anticipo le parti interessate e documenta le modifiche previste.
  5. Esegui backup completi o snapshot prima di applicare le patch.
  6. Monitora il comportamento post-patch per almeno 24 ore prima di contrassegnare una distribuzione di patch come completata.
  7. Opzioni di rollback del registro di sistema e passaggi di disinstallazione via script in caso di operazione non andata a buon fine.

💡 Suggerimento: Tratta il patching in produzione come un processo di rilascio controllato, con tracciamento delle versioni, approvazioni e piani di rollback.

Potresti trovare interessante anche

5 fondamenti dell'Agentic AI che ogni leader IT deve conoscere immagine del banner del blog

5 fondamenti dell’Agentic AI che ogni leader IT deve conoscere

Strategie di archiviazione delle e-mail: una guida completa Immagine banner del blog

Strategie di archiviazione delle e-mail: guida completa per amministratori IT e MSP

Creare una lista di controllo per la risposta agli incidenti per i tecnici MSP Immagine del banner del blog

Creare una lista di controllo per la risposta agli incidenti per i tecnici MSP

Come integrare RMM e PSA per una risposta agli incidenti efficace immagine banner del blog

Come integrare RMM e PSA per una risposta agli incidenti efficace

Come impostare l'archiviazione di backup immutabile utilizzando Azure Blob con blocchi basati sul tempo immagine banner del blog

Come impostare l’archiviazione di backup immutabile utilizzando Azure Blob con blocchi basati sul tempo

Come far rispettare le SOP di backup dei clienti tramite i modelli di onboarding Immagine banner del blog

Come applicare le SOP di backup dei clienti tramite modelli di onboarding

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo