Punti chiave
- Definisci uno standard di riferimento delle patch: Stabilisci i KB o i CVE richiesti per misurare la conformità delle patch in modo coerente su tutti gli endpoint.
- Rileva il patch drift con PowerShell: Confronta gli aggiornamenti installati con il tuo standard di riferimento ed esporta i rapporti che elencano le patch mancanti.
- La verifica può essere fatta con più metodi: Utilizza CMD, i registri CBS o DISM quando i risultati di PowerShell sono incompleti o limitati.
- Memorizza i metadati delle patch per la visibilità dell’RMM: Scrivi i “MissingKB” e i timestamp nel registro in modo che strumenti come NinjaOne possano monitorare la conformità a livello centrale.
- Automatizza il tracciamento del patch drift: Programma audit ricorrenti o sfrutta il monitoraggio automatico delle patch di NinjaOne per una conformità continua.
- Priorità con Supersedence e CVSS: Tieni conto degli aggiornamenti sostituiti e concentra la correzione sulle vulnerabilità ad alta gravità per ridurre il rischio.
Patch drift si riferisce alla non conformità di un endpoint con i criteri di sicurezza nel corso del tempo: le patch mancate, le distribuzioni non riuscite e la mancanza di un controllo centralizzato corrodono gradualmente la postura di sicurezza. Tuttavia, puoi mitigare il rischio monitorando il patch drift con funzionalità integrate e i migliori strumenti RMM disponibili.
Questo articolo spiega come eseguire una verifica delle patch per le soluzioni di livello enterprise e i rapporti di responsabilità.
Come diagnosticare la gravità del patch drift
Segui i passaggi riportati qui sotto per raccogliere, analizzare e monitorare la conformità delle patch nel tempo con PowerShell.
📌 Prerequisiti:
- Privilegi di amministratore
- Windows 10/11 o Server 2016+
- PowerShell 5.1+ o successivo
- WSUS, Intune o Microsoft Update configurati
- Opzionale: Integrazione di NinjaOne RMM
- Opzionale: Elenco degli standard di riferimento delle patch (numeri di KB, CVE o date di aggiornamento)
- Criteri di patch basati su GPO per l’applicazione
📌 Strategie di implementazione consigliate:
| Fai clic per scegliere un passo | 💻 Più adatto per utenti individuali | 💻💻💻 Più adatto per ambienti enterprise |
| Fase 1: Definire uno standard di riferimento della patch | ✓ | ✓ |
| Fase 2: Interrogare gli aggiornamenti installati con PowerShell | ✓ | ✓ |
| Fase 3: Utilizzare CMD per una verifica manuale leggera | ✓ | |
| Fase 4: Memorizzazione dei metadati di patch drift nel registro per la visibilità RMM | ✓ | |
| Fase 5: Monitoraggio delle tendenze di conformità delle patch nel tempo | ✓ |
Fase 1: Definire uno standard di riferimento delle patch (aggiornamenti critici da controllare)
Inizia creando uno script personalizzato che rappresenti la conformità delle patch.
📌 Casi d’uso: Stabilisci uno standard di conformità.
- Premi la combinazione di tasti Win + R, digita powershell e premi Ctrl + Maiusc + Invio.
- Crea o importa un elenco di aggiornamenti critici della Knowledge Base (KB) che devono essere visualizzati in un sistema per garantire la piena conformità.
Ad esempio, $baselineKBs = @("KB5030211", "KB5029263", "KB5034122")
Uno standard di riferimento può essere definito come 1) l’elenco delle patch critiche che devono essere installate (proattivo) o 2) la configurazione di un endpoint noto come “golden image” (reattivo).
- Esporta un file .txt con l’elenco dei KB per i posteri.
Ad esempio, $baselineKBs | Out-File "C:\Scripts\CriticalPatchBaseline.txt"
Fase 2: Interrogare gli aggiornamenti installati con PowerShell
Recupera e confronta gli aggiornamenti installati con i criteri di conformità.
📌 Casi d’uso: Fai un elenco degli aggiornamenti riusciti e confrontalo con il tuo standard di riferimento.
- Premi la combinazione di tasti Win + R, digita powershell e premi Ctrl + Maiusc + Invio.
- Per elencare le patch installate, esegui il comando qui sotto:
$installed = Get-HotFix | Select-Object -ExpandProperty HotFixID
- Per rilevare il patch drift, esegui quanto segue:
$missing = $baselineKBs | Where-Object { $installed -notcontains $_ }
if ($missing.Count -gt 0) {
$patchDriftReport = [PSCustomObject]@{
ComputerName = $env:COMPUTERNAME
MissingKBs = $missing -join ", "
Timestamp = (Get-Date).ToString("u")
}
}
- Per esportare un rapporto sul patch drift, esegui il comando qui sotto:
$patchDriftReport | Export-Csv "C:\Reports\PatchDrift_$env:COMPUTERNAME.csv" -NoTypeInformation
Dopo aver generato il report $missing, i professionisti IT devono eseguire una fase di ricerca per assegnare un punteggio di sicurezza a ciascun KB mancante prima di dare priorità alla correzione.
💡 Suggerimento: Utilizza la query Sessions.xml in C:\Windows\Servicing\Sessions to include all update types.
Mentre le query di PowerShell possono creare un elendo delle patch installate, le moderne piattaforme RMM come NinjaOne sono in grado di garantire approfondimenti e di consolidare i dettagli del patch drift in un pannello unico centralizzato.
Fase 3: Utilizzare CMD per una verifica manuale leggera
📌 Casi d’uso: Verifica rapida degli endpoint che eseguono sistemi legacy quando l’accesso a PowerShell è limitato.
- Premi Win + R, digita cmd e premi Ctrl + Maiusc + Invio.
- Per fare l’elenco degli aggiornamenti installati in una shell leggera, esegui quanto segue:
wmic qfe get HotFixID
💡 Nota: I comandi WMIC vengono gradualmente eliminati per supportare gli script PowerShell più sicuri.
Fase 4: Memorizzazione dei metadati di patch drift nel registro per la visibilità RMM
Sfrutta le piattaforme di gestione degli endpoint come NinjaOne per ottenere maggiori informazioni sulla conformità degli standard di riferimento.
⚠️ Attenzione: La modifica del registro può causare problemi al sistema. Crea un backup prima di procedere.
📌 Casi d’uso: Crea metadati basati sul registro per l’integrazione del monitoraggio e della gestione remoti (RMM).
- Premi la combinazione di tasti Win + R, digita powershell e premi Ctrl + Maiusc + Invio.
- Per memorizzare i metadati della patch nel registro di un endpoint, eseguire in sequenza le seguenti operazioni:
New-Item -Path "HKLM:\SOFTWARE\Org\PatchDrift" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Org\PatchDrift" -Name "LastChecked" -Value (Get-Date).ToString("u")
Set-ItemProperty -Path "HKLM:\SOFTWARE\Org\PatchDrift" -Name "MissingKBs" -Value ($missing -join "; ")
- Per verificare i valori aggiunti, esegui con CMD il comando riportato qui sotto:
reg query HKLM\SOFTWARE\Org\PatchDrift
Fase 5: Monitoraggio delle tendenze di conformità delle patch nel tempo
Ecco come programmare i controlli automatizzati di patch drift.
📌 Casi d’uso: Automatizza il rilevamento del patch drift e controlla dove vengono archiviati i rapporti.
- Premi la combinazione di tasti Win + R, digita powershell e premi Ctrl + Maiusc + Invio.
- Utilizza NinjaOne o esegui manualmente i cmdlet dell’Utilità di pianificazione per pianificare i controlli del patch drift (ad esempio, giornalmente, settimanalmente):
schtasks /create /tn "PatchDriftAudit" /tr "powershell.exe -File C:\Scripts\PatchDriftAudit.ps1" /sc weekly /ru SYSTEM
- Per registrare i risultati in un file .csv memorizzato, esegui il seguente comando:
$patchDriftReport | Export-Csv "\\server\compliancelogs\DriftLog.csv" -Append -NoTypeInformation
Invece di eseguire attività pianificate manualmente, puoi integrare le funzionalità di gestione unificata degli endpoint (UEM) di NinjaOne nella tua routine per monitorare costantemente la conformità e avvisare gli amministratori di sistema in tempo reale.
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Elenco KB non aggiornato | Patch drift dovuto a patch mancate | Aggiornare regolarmente le KB di riferimento utilizzando fonti affidabili. |
| Registro endpoint corrotto | Dati errati visualizzati sugli strumenti RMM | Ripristina il registro ed esporta i file .reg di backup prima di applicare le modifiche. |
| L’attività pianificata non riesce | Lacune di conformità causate dal patch drift | Utilizza le funzionalità di avviso in tempo reale per le esecuzioni non riuscite. |
Considerazioni importanti per la misurazione del patch drift
Ecco i fattori chiave da tenere a mente per monitorare il patch drift nel tuo parco dispositivi.
Aggiornamenti superati
Quando le vecchie patch vengono sostituite con altre nuove, diventano obsolete. Quando costruisci il tuo standard di riferimento delle patch, implementa la logica delle sostituzioni per eliminare la confusione sulla conformità.
Priorità basata su CVSS
Sebbene l’inoculazione del sistema sia fondamentale, alcune applicazioni hanno la precedenza se i loro fornitori hanno una scarsa esperienza e rilasciano aggiornamenti lenti. Il punteggio del Common Vulnerability Scoring System(CVSS) viene utilizzato per valutare la gravità dei potenziali incidenti, guidando la definizione delle priorità delle patch.
Patch multi-vendor
La maggior parte delle organizzazioni utilizza più applicazioni di terze parti per supportare i propri flussi di lavoro. Le dashboard intuitive esistono per il controllo centralizzato, ma è necessario codificare gli strumenti in modo che accettino dati da diverse fonti.
Ambienti ibridi
La coesistenza di sistemi fisici e basati su cloud può rendere più complesso il patching del sistema. Gestisci e automatizza la revisione delle patch di PowerShell con soluzioni economiche che fanno metà del lavoro.
Quick-Start Guide
NinjaOne offre funzionalità complete di patch management, con diverse funzionalità che aiutano a misurare e segnalare il patch drift:
1. Dashboard di patch management
Mostra i 10 principali dispositivi con:
– La maggior parte delle patch approvate e in attesa di approvazione – Il maggior numero di patch fallite
Visualizza le patch approvate e in attesa di approvazione da parte di:
– Età – Categoria (aggiornamenti critici, aggiornamenti di sicurezza, ecc.)
2. Tracciamento del patch drift
Le informazioni dettagliate sulla patch includono:
– Nome della patch – Sistema operativo – Numero KB – Identificatore CVE – Punteggio CVSS – Stato dell’installazione
3. Capacità di filtraggio
Filtra i dati delle patch in base a:
– Tipo di sistema operativo (Windows, Linux, Mac) – Tipo di dispositivo (Workstation, Server) – Categoria di patch – Stato del dispositivo (online/offline)
4. Patch Intelligence
– Analisi del sentiment delle patch basata sull’intelligenza artificiale – Valuta i rischi delle patch e i problemi noti – Aggiorna lo stato di approvazione delle patch ogni sei ore
5. Report dettagliati
– Rintracciare i dispositivi che non hanno ricevuto aggiornamenti critici – Visualizzazione della conformità delle patch in tutto l’ambiente – Identificare i dispositivi con patch in sospeso o non funzionanti
Risoluzione degli errori di revisione delle patch
Ecco come risolvere i più comuni problemi di monitoraggio del patch drift che i professionisti IT si trovano ad affrontare oggi.
KB mancanti che sono installati
A volte, un aggiornamento installato potrebbe non riflettersi negli script Get-Hotfix. Ciò si verifica quando l’installazione non è stata tracciata da WMI o quando mancano alcune voci del registro.
Per colmare la lacuna, controlla i registri CBS e i dati del registro di sistema situati in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages per trovare i dati delle patch che potrebbero esserti sfuggiti.
Accesso negato
Gli script PowerShell che eseguono HKLM richiedono permessi elevati. Se si verifica questo errore, convalida le impostazioni UAC e verifica che siano presenti tutti i prerequisiti corretti.
HotFixID restituisce un elenco incompleto
I prodotti non installati tramite strumenti di terze parti potrebbero non essere elencati quando esegui Get-Hotfix o wmic qfe. Per una visione d’insieme, esegui DISM /Online /Get-Packages o interroga i registri di CBS.
Errori di scrittura del registro
Problemi di autorizzazione o chiavi bloccate possono causare errori durante la memorizzazione dei metadati nel registro. Per risolvere questo problema, utilizza i blocchi Test-Path e Try/Catch in PowerShell per visualizzare e analizzare i registri degli errori di scrittura del registro.
Puoi anche provare a controllare le autorizzazioni con Get-Acl e a verificare l’ereditarietà delle chiavi di registro.
Come NinjaOne può aiutarti a tracciare il patch drift
NinjaOne migliora il tuo percorso di conformità delle patch dopo meno di un’ora di configurazione. Funzionalità integrate come dashboard centralizzate e reportistica automatizzata consentono di ottimizzare le procedure e di posizionarsi al di sopra della concorrenza. Ecco come:
| Aspetto | Metodo manuale (Powerhell, CMD, GPO) | Con NinjaOne RMM |
| Tempo di configurazione | Ci vogliono ore per scrivere e testare gli script di riferimento e pianificare manualmente le attività | Bastano 15 minuti per impostare flussi di lavoro automatizzati con la libreria di script integrata. |
| Manutenzione degli standard di riferimento | I fogli di calcolo degli elenchi di dispositivi richiedono continui aggiornamenti manuali. | Gli standard di riferimento della piattaforma si aggiornano automaticamente. |
| Programmazione | I tecnici devono configurare i criteri GPO e l’Unità di pianificazione | Pianificazione automatica delle patch integrata. |
| Visibilità dei dati | Sono necessarie esportazioni CSV o modifiche del registro. | Centralizza tutte le metriche degli endpoint in un’unica dashboard semplificata. |
| Rilevamento del patch drift | Viene eseguito durante l’esecuzione dello script. | I dispositivi sono costantemente monitorati tramite agenti leggeri. |
| Contesto delle patch | Il monitoraggio manuale dei dettagli di supporto nel corso del tempo può essere arduo. | Patch Intelligence segnala preventivamente le patch a rischio sulla base di dati globali. |
| Agibilità | La revisione manuale e i follow-up possono ritardare i flussi di lavoro. | Avvisi automatici e rapporti di conformità pronti per il QBR. |
Perché NinjaOne è l’alternativa più intelligente
I rapporti sulla conformità delle patch forniscono ai clienti un contesto più ampio sullo stato di integrità della loro infrastruttura. Per questo motivo, le piattaforme RMM come NinjaOne offrono una visione a 360 gradi della postura di sicurezza del parco dei dispositivi, condensando tutto in un unico cruscotto.
La Patch Intelligence di NinjaOne sfrutta anche il feedback di tutti i suoi utenti e i problemi noti per segnalare in modo proattivo i potenziali rischi di conformità, riducendo il carico di risorse e migliorando i flussi di lavoro.
Mitigare gli scenari di implementazione falliti con avvisi in tempo reale
Il patch drift è il killer silenzioso dell’integrità del sistema e l’adozione precoce di misure preventive con le migliori piattaforme della categoria può fare la differenza. Assicurati sempre di preparare dei backup prima di modificare le impostazioni di livello basso per una gestione sicura e sostenibile del patch drift.
Argomenti correlati:
