Come visualizzare la conformità delle patch e l’integrità del sistema su tutti i clienti

Il mantenimento della conformità delle patch è parte integrante della stabilità del sistema e della riduzione della superficie di attacco. Tuttavia, alcuni aspetti che rappresentano lo stato di integrità dell’infrastruttura possono confondere i non addetti ai lavori, rendendo fondamentale una visualizzazione completa dei dati.

Scopri quali sono le metriche che incidono maggiormente sulla conformità delle patch, come ottimizzare il processo e come visualizzare i dati utilizzando i migliori strumenti disponibili.

Monitoraggio della conformità delle patch con metodi avanzati

Ecco come sfruttare gli strumenti integrati di Windows per ottenere dati aggregati su tutti i dispositivi endpoint.

📌 Prerequisiti:

• Windows 10 (v1903 e successivi) o Windows 11 (v21H2 o successivi)
• Privilegi di amministratore
• Accesso a una piattaforma RMM centralizzata (ad esempio, NinjaOne)
• Accesso all’endpoint per PowerShell, query di registro ed estrazione dei registri
• Segnalazione delle autorizzazioni da Windows Update for Business, WSUS o Intune
• Microsoft Defender per il monitoraggio della salute degli endpoint
• Power BI o Excel per la visualizzazione (opzionale)

📌 Strategie di implementazione consigliate:

Fase 1: definire le metriche chiave per la visibilità delle patch e dello stato di integrità

Ecco un elenco completo di metriche relative alla conformità e al modo in cui misurano l’integrità del sistema.

💡 Nota: Ogni cliente attribuisce maggiore importanza a determinati benchmark rispetto ad altri. Prima di controllare le metriche, assicurati che il tuo report copra solo i dettagli rilevanti.

📌 Casi d’uso: Delinea rapporti basati sui dati, confronta le tendenze e crea grafici.

KPI di conformità delle patch

• % di sistemi completamente patchati: riflette il numero di sistemi patchati rispetto all’intera infrastruttura.
• Numero di aggiornamenti critici o di sicurezza mancanti: evidenzia le lacune nella distribuzione delle patch.
• Dispositivi con installazioni di patch non riuscite: workstation che hanno riscontrato errori di patch.
• Giorni dall’ultimo aggiornamento riuscito: aiuta a identificare i sistemi non serviti.
• Tempo medio di riparazione (o MTTR): il tempo medio di risposta dell’applicazione della patch.
  • Offri approfondimenti basati sul tempo con time-to-detect (MTTD), time-to-prioritize (MTTP) e time-to-communicate (MTTC).

KPI di integrità del sistema

Verifica che il tuo sistema funzioni al meglio attraverso queste metriche:

• Stato di AV e firewall: blocca le minacce informatiche e naviga in Internet sul dispositivo endpoint in tutta sicurezza.
• Integrità del disco, soglie di CPU/memoria: tieni traccia dei tempi di risposta, dei problemi di coda e dello stato di integrità dei componenti.
• Ora dell’ultimo riavvio: una metrica cruciale che determina quando una patch viene applicata completamente a una workstation.
• Disponibilità del servizio (ad es. Defender, Windows Update): prontezza dei servizi critici come Windows Update o SQL Server Services.

Fase 2: raccogliere i dati delle patch con PowerShell

Distribuisci potenti script per un monitoraggio costante.

📌 Casi d’uso: Ottieni informazioni approfondite sulla conformità dei clienti per creare ed esportare registri leggibili.

1. Premi Win + R, digita powershell e premi Ctrl+ Maiusc + Invio.
2. Per elencare le patch installate di recente, esegui questo comando:

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5

3. Per generare e salvare un file di registro .txt di Windows Update leggibile sul desktop, esegui quanto segue:

Get-WindowsUpdateLog

4. Per elencare gli aggiornamenti in sospeso, falliti e riusciti di un endpoint nel tempo, esegui la seguente operazione:

Get-WUHistory

⚠️ Importante: il cmdlet Get-WUHistory di cui sopra non è integrato in PowerShell. Per accedervi, installa il modulo PSWindowsUpdate eseguendo Install-Module -Name PSWindowsUpdate.

5. Per salvare i dati degli hotfix in CSV per la creazione di report, esegui il questo comando:

Get-HotFix | Select-Object Description, HotFixID, InstalledBy,
InstalledOn | Export-Csv “<Percorso file>“ -NoTypeInformation

Sostituisci <Percorso file> con il percorso completo del file .csv (ad esempio, C:\User\Reports\Desktop).

💡 Nota: questo esporta solo gli hotfix, non tutti i tipi di aggiornamento.

Passo 3: utilizzare l’Editor del Registro di sistema per verificare lo stato di conformità

⚠️ Attenzione: la modifica del registro può causare problemi al sistema. Crea un backup prima di procedere.

📌 Casi d’uso: conferma la conformità della patch con la presenza di alcune chiavi di registro.

1. Premi Win + R, digita regedit e premi Ctrl+ Maiusc + Invio.
2. Vai su:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install

• • La chiave LastSuccessTime memorizza i timestamp dell’ultimo aggiornamento riuscito e indica che l’endpoint ha ricevuto hotfix recenti.

💡 Nota: l’assenza della chiave LastSuccessTime non significa necessariamente che il sistema non sia conforme. Potrebbe mancare a causa di strumenti di patch di terze parti (ad esempio non WSUS), di una mancanza di aggiornamenti recenti o di pulizie del registro.

In alternativa, puoi controllare i sistemi che non hanno ricevuto aggiornamenti:

• Controllo dei registri della cronologia di installazione nel Visualizzatore eventi di Windows.
• Confronto tra le versioni del sistema operativo e l’ultimo aggiornamento del fornitore.
• Utilizza dashboard RMM come NinjaOne per filtrare i dispositivi con scarsa conformità.
• Identifica i sistemi che non hanno effettuato il check-in di recente tramite il timestamp LastCheckIn.

3. In alternativa, vai su:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

• La chiave RebootRequired è un avvertimento per una patch in attesa. In genere questo conferma che un aggiornamento è in attesa, ma non tutti gli aggiornamenti richiedono un riavvio. Ecco altri modi per verificare se il sistema richiede un riavvio per un aggiornamento in corso:
  1. Tramite la GUI di Windows Update: Impostazioni > Aggiornamento e Sicurezza > Windows Update
  2. Tramite PowerShell:

Get-WindowsUpdateLog
Get-WUHistory | Where-Object {$_.ResultCode -eq 2}

1. 3. Tramite l’Editor di registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager (è necessario un riavvio se è presente la chiave PendingFileRenameOperations).

💡 Nota: se il tasto Auto Update è assente, può essere l’indicatore del fatto che il problema è stato risolto:

• il sistema utilizza strumenti di patch di terze parti invece di WSUS.
• Windows Update è disattivato.
• Non ci sono stati aggiornamenti recenti.
• La pulizia del registro potrebbe aver rimosso la chiave.

In alternativa, puoi controllare lo stato di aggiornamento tramite:

• GUI di Windows Update: Impostazioni > Windows Update.
• PowerShell: Get-HotFix o Get-WindowsUpdateLog.
• Visualizzatore eventi: Registro applicazioni e servizi > Microsoft > Windows > WindowsUpdateClient.

4. Vai su:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

La chiave SusClientIdValidation fa parte della configurazione del client WSUS. Conferma se il dispositivo viene convalidato correttamente durante la sincronizzazione.

💡 Nota: se l’organizzazione non utilizza WSUS (ad esempio, è gestita da NinjaOne RMM o da strumenti di terze parti), la chiave SusClientIdValidation non sarà presente.
In alternativa, convalida la conformità delle patch degli endpoint attraverso:

• PowerShell: Esegui Get-HotFix per elencare gli aggiornamenti hotfix recenti.
• Windows Update: Accedi a Impostazioni > Windows Update > Cronologia aggiornamenti.
• Visualizzatore eventi: Accedi a Registri applicazioni e servizi > Microsoft > Windows > WindowsUpdateClient.

Passo 4: utilizzare CMD per convalidare i servizi di aggiornamento e l’integrità del sistema

📌 Casi d’uso: script che automatizzano i controlli sullo stato di integrità dei dispositivi; rapporti sui dati forensi.

1. Premi Win + R, digita cmd e premi Ctrl+ Maiusc + Invio.
2. Per verificare se il servizio Windows Update funziona correttamente, esegui quanto segue:

sc query wuauserv

Questo aiuta a risolvere gli errori del motore di aggiornamento.

3. Per trovare l’ultimo orario di avvio noto del sistema, esegui questo comando:

systeminfo | find “System Boot Time”

Questo aiuta a tenere traccia dell’ultima implementazione completa di una patch.

⚠️ Importante: disattiva l’avvio rapido per ottenere risultati più precisi.

4. Per elencare i fallimenti dell’installazione di Windows Update, esegui quanto segue:

wevtutil qe System “/q:*[System[(EventID=20)]]” /c:5 /f:text

I registri degli eventi passati con l’ID evento 20 possono individuare i guasti della patch.

💡 Suggerimento: modifica “c:5” per visualizzare più o meno voci di registro.

Passo 5: applicazione dei criteri di patch tramite Criteri di gruppo

📌 Casi d’uso: riduzione dei tempi di inattività dei servizi di aggiornamento richiesti (ad esempio, Windows Update, Registro eventi).

📌 Prerequisiti: Windows 10/11 Pro, Education o Enterprise.

1. Premi Win + R, digita gpedit.msc e premi Ctrl+ Maiusc + Invio.
2. Vai su:

Configurazione del computer > Modelli amministrativi > Componenti di Windows > Windows Update

3. Fai doppio clic su Configura gli aggiornamenti automatici.
   • Imposta su Abilitato.
   • Scegli la configurazione che preferisci (ad esempio, download automatico e pianificazione dell’installazione).
     1. Questo garantisce agli amministratori un controllo granulare sulle modalità di applicazione degli aggiornamenti al sistema.
4. Fai doppio clic su Specifica la posizione del servizio di aggiornamento Microsoft Intranet (per WSUS).
   • Imposta su Abilitato.
   • Inserisci l’URL del server WSUS (ad esempio, https://www.wsusworkserver:1234).
     1. Questo reindirizza il client da Microsoft Update a un server WSUS con le configurazioni e i dati statistici.
5. Fai doppio clic su No Auto-Restart with Logged-On Users for Scheduled Automatic Updates Installations.
   • Imposta su Abilitato.
     1. Questa funzionalità impedisce il riavvio automatico quando un utente è connesso. Funziona solo quando “Configura aggiornamenti automatici” è abilitato.
6. Vai su:

Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Servizi di sistema

💡 Nota: la chiave System Services esiste solo in GPMC sui sistemi uniti a un dominio. Non sarà visibile nelle macchine standalone e nei PC Windows Home edition.

Apri invece manualmente services.msc > Fai clic con il pulsante destro del mouse sul servizio di aggiornamento (ad esempio, Windows Update) > Seleziona Proprietà > Modifica il comportamento all’avvio in “Automatico” per ottenere tempi di installazione uniformi > Fai clic su Applica, quindi su OK.

7. Abilita i seguenti servizi di sistema per modificare il comportamento all’avvio degli aggiornamenti essenziali.
   • Aggiornamento di Windows (wuauserv)
   • Servizio di trasferimento intelligente di sfondo (BITS)
   • Windows Event Log
   • Windows Installer
   • Servizi crittografici
   • Strumentazione di gestione di Windows (WMI)

Per ulteriori dettagli, leggi la documentazione ufficiale di Microsoft sulla configurazione delle impostazioni di aggiornamento tramite Criteri di gruppo.

Passo 6: visualizzare i dati in report e dashboard

Ecco i servizi più utilizzati per la visualizzazione dei dati e come aiutano a presentare la conformità ai criteri:

NinjaOne

La dashboard semplificata di NinjaOne visualizza dati grafici basati su dati in tempo reale (per tenant, sistema operativo o gruppo di dispositivi), offrendo una comodità immediata agli MSP e al personale IT.

Con sezioni di visualizzazione per il patch management in ambienti misti (in attesa, approvate, rifiutate, ecc.), l’interfaccia di NinjaOne semplifica i rapporti sulla conformità ai criteri.

Microsoft Power BI

La piattaforma di visualizzazione dei dati di Microsoft offre dashboard interattive che incoraggiano la modularità, report CSV portatili e dati API da altri software di gestione degli endpoint.

Mappe di calore interattive, grafici a torta, slicer personalizzabili e altro ancora possono essere adattati alle preferenze dei clienti, sia per le riunioni degli stakeholder che per i dipartimenti di sicurezza informatica.

Excel

Puoi analizzare e illustrare i dati sulla conformità delle patch con due strumenti specializzati di Excel: Tabelle pivot e formattazione condizionale.

Le tabelle pivot sono una funzionalità di Excel che consente di estrarre i dati rilevanti da fogli di calcolo di grandi dimensioni per creare rapporti condensati che possono essere riformattati e rappresentati con le funzionalità di visualizzazione dei dati di Excel.

Utilizza la formattazione condizionale per migliorare ulteriormente i rapporti di Excel. Queste regole codificate per colore (tipicamente utilizzate per gli indicatori di rischio visivi) possono separare visivamente i dispositivi conformi da quelli non conformi, dare priorità alla correzione e rendere più intuitivi i rapporti rivolti ai clienti.

💡 Suggerimento: gli stakeholder, i clienti o i dirigenti in genere si aspettano che i dati vengano illustrati tramite:

• Mappe di calore
• Grafici a torta
• Grafici a linee
• Dati segmentati (ad esempio, suddivisi per sito web, urgenza, sistemi operativi, ecc.)

⚠️  Cose da tenere d’occhio

Ulteriori considerazioni per il monitoraggio dell’integrità del sistema

Tieni a mente questi spunti per ottimizzare il tuo processo, evitare le insidie e comprendere i potenziali ostacoli.

Criteri di riavvio

Gli aggiornamenti richiedono un riavvio per completare il processo di installazione. L’applicazione dei criteri di riavvio sugli endpoint con strumenti come NinjaOne, Autopatch o Intune può rendere questa operazione semplice.

Aggiornamenti fuori banda

Le nuove minacce alla sicurezza informatica in continua evoluzione possono richiedere patch non programmate per proteggere la sicurezza e la funzionalità del sistema. Per accelerare questo processo, considera la possibilità di applicare eccezioni che consentano agli aggiornamenti urgenti di aggirare i criteri di rinvio.

Patching di terze parti

Anche il software non Microsoft richiede un monitoraggio costante per mantenere una solida posizione di sicurezza. Molte vulnerabilità provengono da applicazioni di terze parti, quindi utilizza piattaforme RMM come NinjaOne per un’efficace sorveglianza una volta che le patch sono state applicate.

Dispositivi offline

I dispositivi client scollegati possono perdere gli aggiornamenti, compromettendo la sicurezza degli endpoint e alterando i rapporti di conformità ai criteri. Per tenere conto di queste workstation, puoi utilizzare strumenti di patch offline come WSUS.

Risoluzione degli errori più comuni di conformità delle patch

Ecco come diagnosticare e risolvere i problemi di aggiornamento riscontrati dagli MSP e dal personale IT.

Fallimento del patching

Se l’aggiornamento non viene installato o applicato correttamente, esegui le verifiche dei registri eventi e il software di monitoraggio degli endpoint (ad esempio, NinjaOne, Intune) per rimediare.

Dati mancanti

La disabilitazione dei servizi di telemetria può creare lacune nei dati nella dashboard di gestione. Per risolvere il problema, riattiva la raccolta dei dati diagnostici in Intune.

Chiavi di registro mancanti

La mancanza di alcune voci del registro (in particolare quelle che rappresentano l’avanzamento degli aggiornamenti) può impedire l’iscrizione del dispositivo e persino produrre letture errate. Per gestire questo problema, verifica l’integrità del registro e la cronologia degli aggiornamenti.

Errori di visualizzazione

I problemi di sincronizzazione e le regole di formattazione dei dati possono ostacolare la visualizzazione dei dati. Previeni la scarsa supervisione e le lacune non colmate con Performance Diagnostics e altri software di monitoraggio.

Servizi NinjaOne

🥷🏽 Le funzionalità RMM di NinjaOne, le migliori della categoria, forniscono rapporti sullo stato di integrità del sistema:

• Estrazione dei dati del registro di sistema e del registro eventi tramite script PowerShell interni
• Riepilogo dello stato di conformità per cliente, per regione o multi-tenant per un reporting rapido
• Monitoraggio dell’avanzamento dell’installazione delle patch nell’infrastruttura
• Notifica al personale IT degli aggiornamenti incompleti/falliti, delle richieste di riavvio e dello stato del dispositivo
• Segnalazione in tempo reale dei dispositivi per le derive di conformità

Osservare la conformità delle patch con rapporti completi

La conformità delle patch può essere monitorata e verificata utilizzando strumenti avanzati o attraverso piattaforme di gestione remota con generazione di report integrati. In ogni caso, dovrai creare sempre dei backup per le impostazioni di sistema importanti, per mantenere i criteri di integrità dei dati e supportare le compilazioni future.

Argomenti correlati:

• Che cos’è la conformità alle patch?
• 10 metriche essenziali per un patch management di successo
• Patch vs. aggiornamento: comprendere le principali differenze
• Visualizzazione di un sistema integro
• Come eseguire un rapporto di diagnostica del PC in Windows