NinjaOne Patching: Gestione delle patch del sistema operativo Windows

Argomento

Questo articolo descrive le funzioni di gestione delle patch del sistema operativo (OS) disponibili per gli endpoint Windows gestiti da NinjaOne. Spiega inoltre come attivare, configurare e visualizzare l'attività di patching.

Ambiente

Patching NinjaOne
Microsoft Windows

Descrizione

NinjaOne Patch Management consente di creare politiche di patching che eseguono automaticamente la scansione e l'applicazione di nuove patch del sistema operativo per gli endpoint Windows.

Seleziona un argomento per continuare.

Considerazioni importanti
Attivazione di Windows Patch Management
Configurazione delle impostazioni di patch del sistema operativo
Visualizzazione dei tentativi di scansione e installazione delle patch del sistema operativo
Configurazione di un server WSUS da utilizzare con Windows Patching

Considerazioni importanti

Versioni di Windows più vecchie

A causa dell'interruzione da parte di Microsoft di un endpoint del servizio Windows Update obsoleto, Windows Vista e molte versioni di Windows 7 e Windows Server 2008 non supportano NinjaOne Patch Management

I dispositivi con Windows 7 SP1, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2 possono essere aggiornati per funzionare con NinjaOne Patch Management. Per ulteriori informazioni, consultare il seguente articolo di Microsoft: Gli endpoint basati su SHA-1 di Windows Update vengono eliminati per i dispositivi Windows più vecchi(link esterno)

Messaggistica di sistema e opzioni di regolazione

Quando viene attivata la patch del sistema operativo, nel programma di aggiornamento di Windows del computer potrebbe apparire un messaggio che dice "alcune impostazioni sono gestite dalla vostra organizzazione".

Quando la patch del sistema operativo è attivata, l'opzione Forniscimi aggiornamenti per altri prodotti Microsoft quando aggiorno Windows potrebbe essere disattivata nelle impostazioni di Windows Update sui computer locali. È possibile gestire gli aggiornamenti per i prodotti Microsoft attraverso lo strumento di patching di terze parti. Consultare il sito NinjaOne Policies: Windows Third-Party Patching per saperne di più.

Separazione dei programmi di scansione e patch

Si consiglia di separare le pianificazioni della scansione e dell'aggiornamento di almeno un'ora, in modo da avere tempo sufficiente per completare l'azione di scansione prima dell'inizio dell'aggiornamento. Se si pianifica l'esecuzione simultanea dei cicli di scansione e di aggiornamento o se un ciclo di applicazione inizia prima che il ciclo di scansione sia terminato, la scansione verrà saltata o interrotta e il ciclo di aggiornamento avrà la priorità.

In attesa di riavvio

Se una patch richiede il riavvio del dispositivo per essere completata, NinjaOne mostrerà l'icona Riavvio in sospeso sul dispositivo. Per ulteriori informazioni, consultare l'articolo Riavvii in sospeso.

Se è in corso un riavvio, le funzioni di scansione e applicazione delle patch non verranno eseguite per questo dispositivo finché il riavvio non sarà completato e il messaggio di riavvio in corso non sarà più visualizzato.

Attivazione di Windows Patch Management

È necessario attivare la gestione delle patch software prima di utilizzarla per gestire le patch del sistema operativo Windows.

In NinjaOne, navigare in Amministrazione → Criteri, quindi scegliere un criterio Windows dall'elenco Criteri agente .

**Figura 1:** Amministrazione → Politiche *(fare clic per ingrandire*)

Si aprirà la pagina di configurazione del criterio. Fare clic sul sistema operativo Patching quindi attivare la levetta Stato. Le modifiche non verranno applicate ai dispositivi finché non salvi il criterio.

**Immagine 2**: Abilitazione del patching del sistema operativo *(fare clic per ingrandire*)

Configurare le impostazioni di patch del sistema operativo preferite, quindi fare clic su Salva.
- Dopo il salvataggio, NinjaOne invia a tutti gli endpoint del criterio un eseguibile personalizzato denominato NinjaOrbit.exe, che controlla la gestione delle patch per tali macchine.
- Una volta che i dispositivi endpoint installano l'eseguibile personalizzato, eseguono una scansione silenziosa. NinjaOne non genera voci di feed attività per questa scansione iniziale silenziosa.

Configurazione delle impostazioni di patch del sistema operativo

Le impostazioni di patching del sistema operativo includono opzioni per la configurazione della scansione e del patching, nonché l'installazione e la manutenzione del software richiesto. Al termine della configurazione, fare clic su Salva per applicare le nuove impostazioni.

**Immagine 3:** Impostazioni di patch del sistema operativo *(cliccare per ingrandire*)

Impostazioni di patch del sistema operativo (non approvate)

Le impostazioni nella parte superiore della schermata includono opzioni per la configurazione della scansione e del patching, nonché l'esecuzione di automazioni prima e dopo gli aggiornamenti. Al termine della configurazione, fare clic su Salva per applicare le nuove impostazioni. La tabella seguente descrive ogni impostazione.

Impostazione	Descrizione
Modalità	NinjaOne offre due modalità per la gestione delle patch di Windows: NinjaOne gestisce le patch del sistema operativo: NinjaOne gestisce in modo completo le pianificazioni di scansione e aggiornamento delle patch, gli stati di approvazione delle categorie di patch e gli annullamenti delle patch. Si consiglia questa modalità per imporre la conformità delle patch tra i dispositivi del criterio. Configurare le impostazioni di Windows Update tramite NinjaOne: Impostate NinjaOne per inviare le impostazioni di Windows Update ai dispositivi tramite le impostazioni del registro. Se si seleziona questa impostazione, NinjaOne sostituisce le altre opzioni di configurazione delle patch del sistema operativo visibili con le seguenti opzioni di Windows Update: Scarica gli aggiornamenti consigliati, ma lascia che sia l'utente a scegliere quando installarli Scaricare gli aggiornamenti consigliati e installarli in base a una pianificazione Notificare all'utente gli aggiornamenti consigliati, ma non scaricarli Disattivare gli aggiornamenti di Windows Se il criterio è impostato su Configura impostazioni di Windows Update tramite NinjaOne, NinjaOne non può installare gli aggiornamenti delle patch sul dispositivo. Per eseguire gli aggiornamenti delle patch, modificare il criterio in Controllo di Windows Patch Management.
Programma di scansione	Questo parametro determina quando il dispositivo esegue la scansione delle nuove patch disponibili. Programma: Utilizzare il menu a discesa per scegliere la frequenza di scansione. Giorni: Se l'intervallo di scansione è più lungo di quello giornaliero, selezionare i giorni della settimana in cui il sistema deve eseguire la scansione. NinjaOne esegue la patch dei dispositivi solo nei giorni prescelti. Se non si seleziona alcun giorno, il sistema visualizza un messaggio di errore. Ora e fuso orario: selezionare l'ora del giorno e il fuso orario appropriato per eseguire la scansione. Per impostazione predefinita, le scansioni iniziano alle 8.00 ora locale del dispositivo e gli aggiornamenti alle 17.00 ora locale del dispositivo. Queste impostazioni predefinite si applicano solo ai nuovi criteri. Scaglionamento: impostate un intervallo di scaglionamento per distribuire i tempi di installazione delle patch tra i dispositivi ed evitare aggiornamenti simultanei. Per ulteriori informazioni, consultare NinjaOne Patch Management: Bilanciamento del carico delle installazioni di patch con la funzione Stagger. Durata: Specificare il tempo di esecuzione delle azioni di scansione prima che NinjaOne le interrompa. Eseguire immediatamente la scansione, se non viene rilevata: Selezionare questa opzione per eseguire immediatamente una scansione se il sistema non riesce a eseguire una scansione programmata. Svegliare automaticamente il sistema: Questa opzione attiva il sistema per i cicli di scansione e applicazione. Quando viene attivata, una funzione API di Windows imposta un orario di risveglio per i dispositivi in stato di riposo. Affinché questa funzione funzioni, il sistema deve avere i timer di sveglia attivati.
Programma di aggiornamento	Queste impostazioni specificano quando NinjaOne deve applicare gli aggiornamenti trovati durante la scansione. Programma: Utilizzare il menu a discesa per scegliere la frequenza di aggiornamento. Giorni: Se l'intervallo di aggiornamento è più lungo di quello giornaliero, selezionare i giorni della settimana in cui il sistema deve eseguire la scansione. I dispositivi vengono patchati solo nei giorni prescelti. Se non si seleziona alcun giorno, il sistema visualizza un messaggio di errore. Ora e fuso orario: Selezionare l'ora del giorno e il fuso orario appropriato per eseguire la scansione. Per impostazione predefinita, le scansioni iniziano alle 8.00 ora locale del dispositivo e gli aggiornamenti alle 17.00 ora locale del dispositivo. Queste impostazioni predefinite si applicano solo ai nuovi criteri. Cammina verso di noi: Impostate un intervallo di scaglionamento per distribuire i tempi di installazione delle patch tra i dispositivi ed evitare aggiornamenti simultanei. Per ulteriori informazioni, consultare NinjaOne Patch Management: Bilanciamento del carico delle installazioni di patch con la funzione Stagger. Durata: Specificare il tempo di esecuzione delle azioni di aggiornamento prima che NinjaOne le interrompa. Eseguire immediatamente l'aggiornamento, se non lo si è fatto: Selezionare questa casella di controllo per eseguire immediatamente un aggiornamento se il sistema non riesce a eseguire un aggiornamento pianificato di . Svegliare automaticamente il sistema: Questa opzione rende il sistema online per i cicli di patch e di applicazione. Se attivata, questa opzione utilizza una funzione API di Windows per impostare un orario di risveglio per i dispositivi in stato di sospensione. Affinché questa funzione funzioni, il sistema deve avere attivato i timer di sveglia. Aggiornamenti pre-stage prima dell'inizio previsto: Selezionare questa casella di controllo per fare in modo che il sistema prepari e posizioni gli aggiornamenti prima dell'orario di aggiornamento previsto. Salta le connessioni con contatore: Quando è attivata, viene visualizzato un errore nel Feed attività della dashboard di NinjaOne se si tenta di eseguire un ciclo di aggiornamento su un dispositivo che utilizza una connessione con contatore. Modalità di manutenzione: Sopprimere la notifica: Selezionare questa opzione per evitare che NinjaOne invii avvisi causati da azioni che si verificano durante l'aggiornamento (come il riavvio del dispositivo). È possibile affinare questa impostazione selezionando le caselle di controllo Sopprimi avvisi di condizione e Sopprimi canali di notifica. Fare riferimento a Piattaforma NinjaOne: Modalità di manutenzione per ulteriori informazioni.
Esecuzione pre-automazione e post-automazione	Questa impostazione consente di aggiungere automazioni da eseguire prima (pre) o dopo (post) l'installazione della patch. Utilizzare gli script di pre-patching per convalidare i prerequisiti o preparare il sistema prima dell'inizio della patch. Usate gli script di post-patching per eseguire le attività di pulizia o di verifica successive. Fare clic su Aggiungi per selezionare le automazioni dalla Libreria delle automazioni. Consultare il sito NinjaOne Policies: Automazioni pianificate per saperne di più. Selezionare Annulla l'aggiornamento della patch se il pre-script restituisce un messaggio di errore per annullare automaticamente il lavoro di patch se il pre-script non riesce.
Notifiche di aggiornamento	Scegliete come NinjaOne notifica agli utenti quando il sistema deve aggiornare il software che non può essere patchato in background. L'impostazione corrente viene visualizzata come un link in questa sezione. Fare clic sul link per le seguenti opzioni aggiuntive: Avvisare l'utente, quindi chiudere il software e aggiornarlo Chiusura automatica del software e aggiornamento Non chiudere il software aperto
Opzioni di riavvio: Utente collegato	Queste impostazioni consentono di specificare il comportamento e la richiesta di riavvio per gli utenti che hanno effettuato l'accesso a un dispositivo con patch recente: Viene richiesto il riavvio fino a quando non viene accettato il riavvio: NinjaOne visualizzerà un messaggio sullo schermo che indica all'utente di riavviare e di consentire il completamento dell'aggiornamento. Utilizzare le opzioni di pianificazione per determinare la frequenza di richiesta. Selezionare la casella di controllo Forza il riavvio dopo per impostare il numero di richieste prima che NinjaOne riavvii automaticamente il dispositivo. Selezionare la casella di controllo Finestra di riavvio personalizzata per sostituire la richiesta predefinita con un testo personalizzato. Avvisare l'utente, quindi riavviare: Scegliere questa opzione per inviare all'utente una notifica, quindi riavviare automaticamente il computer e completare l'aggiornamento. Fare riferimento a Piattaforma NinjaOne: Canali di notifica per ulteriori informazioni. Utilizzare le opzioni di pianificazione per determinare il tempo di attesa di NinjaOne prima di inviare la notifica e attivare il riavvio. Riavvio automatico: Questa opzione indica a NinjaOne di riavviare il dispositivo al termine dell'installazione dell'aggiornamento. Utilizzare le opzioni di pianificazione per determinare il tempo di attesa di NinjaOne prima di riavviare la periferica. Non fare nulla: NinjaOne non eseguirà alcuna azione di riavvio automatico del dispositivo. Periodo: Se si è selezionato , si chiede all'utente di riavviare fino a quando non viene accettato il riavvio, utilizzare questi campi per specificare la frequenza di richiesta. Selezionare la casella di controllo per forzare il riavvio dopo un numero specifico di richieste. Dialogo di riavvio: Selezionare questa casella di controllo per aggiungere un testo personalizzato alla richiesta di riavvio. Se un utente finale interagisce con una richiesta di riavvio, NinjaOne visualizzerà un'attività nel Feed attività. Per ulteriori informazioni, consultare la sezione Feed di notifica dell'attività del dispositivo e del sistema.
Opzioni di riavvio: Nessun utente connesso	Queste impostazioni consentono di specificare il comportamento di riavvio e di richiesta per i dispositivi appena patchati senza utenti connessi: Tentare di riavviare fino a quando non si riesce: NinjaOne continuerà a tentare di riavviare il dispositivo, anche se i riavvii falliscono, fino al completamento dell'azione. Utilizzare le opzioni di pianificazione per determinare la frequenza dei tentativi di riavvio. Riavviare immediatamente: NinjaOne riavvierà il dispositivo quando l'aggiornamento sarà pronto. Non fare nulla: NinjaOne non interverrà per riavviare il dispositivo.

Impostazioni di approvazione e annullamento

Le impostazioni nella parte inferiore della schermata includono le opzioni per:

Impostare le approvazioni automatiche per gli aggiornamenti di sicurezza e gli aggiornamenti generali.
Impostare gli stati di approvazione degli aggiornamenti avanzati per i driver dei dispositivi e le funzioni di Windows.
Attivare l'approvazione di Patch Intelligence AI.
Aggiungete gli override di approvazione al criterio di patch.

Opzioni di impostazione dell'approvazione

Ogni tipo di patch ha le seguenti opzioni di approvazione: Approvare, Manuale e Rifiutare.

Approvare: Questa opzione approva automaticamente tutte le patch di quella categoria per l'installazione nel ciclo di aggiornamento successivo.
Manuale: Una volta trovate, le patch di questa categoria appariranno in uno stato "in attesa", richiedendo l'approvazione o il rifiuto manuale (per il dispositivo o per l'intera policy).
Rifiuto: Questa opzione rifiuta automaticamente tutte le patch per quella categoria, quindi NinjaOne non le installerà sul dispositivo.

Spiegazione delle impostazioni di approvazione delle patch del sistema operativo

Utilizzate la tabella sottostante per saperne di più su ciascuna impostazione.

Impostazione	Descrizione
Approvazioni degli aggiornamenti di sicurezza	Configurare le impostazioni di approvazione per le vulnerabilità di sicurezza specifiche del prodotto. Microsoft classifica le vulnerabilità di sicurezza nel suo bollettino di sicurezza come critiche, importanti, moderate o basse. Si consiglia di applicare immediatamente le correzioni Critico e Importante. Per le correzioni moderate, si consiglia di leggere la relativa KB prima di applicare la patch. Fare clic su Modifica per impostare NinjaOne in modo che approvi, rifiuti o richieda automaticamente l'approvazione manuale delle patch.
Approvazioni generali	Configurare le impostazioni di approvazione per i bug non legati alla sicurezza in base alla categoria designata da Microsoft. Per ulteriori informazioni, consultare l 'articolo di Microsoft sulla terminologia degli aggiornamenti software(link esterno ). Fare clic su Modifica per impostare i seguenti parametri: Importanti patch/aggiornamenti: Impostare ogni categoria su Approva, Rifiuta, Manuale o su Approva dopo un determinato periodo di tempo, in giorni. Si consiglia di impostare gli aggiornamenti importanti su Approva, per consentire a NinjaOne di applicare automaticamente tutte le patch. Patch/aggiornamenti facoltativi: Impostare ogni categoria su Approva, Rifiuta o Manuale. Si consiglia a di impostare le patch e gli aggiornamenti opzionali su Rifiuta. Molte patch opzionali richiedono l'immissione di dati da parte dell'utente, il che causerà il fallimento dell'installazione se eseguita da Gestione patch web. Queste patch sono ancora disponibili su macchine specifiche, se volete applicarle.
Approvazioni avanzate	Attivare e impostare lo stato di approvazione per i driver dei dispositivi e gli aggiornamenti delle funzionalità di Windows, che possono includere aggiornamenti completi della versione di Windows. Gli aggiornamenti avanzati dell'approvazione richiedono l'attivazione di un'ulteriore impostazione. Inoltre, è necessario attivare le levette per il tipo di aggiornamento(Driver o Aggiornamenti delle funzioni). In caso contrario, NinjaOne non tenterà di applicare la patch a questi aggiornamenti, indipendentemente dallo stato di approvazione selezionato. Come metodo alternativo per distribuire gli aggiornamenti delle funzioni, è possibile installare il seguente script personalizzato: Script personalizzato: Aggiornamento di Windows 10 Build.
Patch Intelligence Le approvazioni dell'intelligenza artificiale vengono annullate	Attivare le modifiche allo stato di approvazione per le patch che l'intelligenza artificiale di Patch Intelligence considera problemi noti o per le patch con stato di Attenzione. Per saperne di più, consultare OS Patch Sentiment Analysis (Patch Intelligence AI).
Approvazione di modifiche	Impostate NinjaOne per sovrascrivere i vostri criteri di patch per patch specifiche. Fare clic su Aggiungi per aprire la finestra di dialogo Modifica sostituzioni di approvazione , quindi cercare il nome della patch. Utilizzare il secondo menu a discesa per selezionare se approvare o rifiutare la patch. Esempi di scenari in cui le patch appaiono nella sezione Sovrascritture: Se l'approvazione della categoria è impostata su Manual, e l'utente approva o rifiuta la patch per il criterio. Se l'approvazione della categoria è impostata su Approva, e si rifiuta manualmente la patch per il criterio. Se l'approvazione della categoria è impostata su Rifiuta e poi si approva manualmente la patch per il criterio. Le patch con gli stati che si è scelto di sovrascrivere appaiono nella sezione Sovrascritture. Fare clic su Aggiungi nel campo Sovrascritture per aggiungere e rimuovere le sovrascritture come necessario. Prestare attenzione quando si visualizza la pagina Overrides del criterio di patch con i filtri attivati. Se si utilizza un filtro e poi si fa clic sul pulsante Cancella tutto, questa azione cancellerà tutte le sostituzioni (sia rifiutate che approvate), non solo quelle filtrate.

Visualizzazione dei tentativi di scansione e installazione delle patch del sistema operativo

È possibile visualizzare le patch trovate e quelle installate nella scheda Dashboard → Patching → Patch del sistema operativo . Utilizzare il menu a comparsa per filtrare in base allo stato della patch(In attesa, Approvato, Rifiutato, Installato o Fallito).

Una volta che una patch ha tentato di essere installata durante un ciclo di aggiornamento, il sistema la registra nella scheda OS Patches del dashboard come"Installata " o"Fallita".

**Figura 4:** Cruscotto → Patching → Patch del sistema operativo *(fare clic per ingrandire*)

Visualizzazione dei dispositivi applicabili per una patch

A livello di dashboard Sistema o Organizzazione , è possibile fare clic sul numero nella colonna Dispositivi per generare un elenco dei dispositivi a cui si applica lo stato della patch. Ad esempio, facendo clic sul numero di una patch nella scheda Approvata, vengono visualizzati i dispositivi per i quali è stata approvata (ma non ancora installata).

**Immagine 5:** L'elenco delle patch nella dashboard *(fare clic per ingrandire*)

Configurazione di un server WSUS da utilizzare con Windows Patching

Un server Windows Server Update Services (WSUS) può contribuire a ridurre il traffico di rete associato alle patch.

Assicurarsi che gli oggetti dei criteri di gruppo (GPO) di WSUS siano disattivati quando si utilizzano i criteri NinjaOne. Altrimenti, NinjaOne differirà dalle impostazioni GPO. Inoltre, assicuratevi che il patching sia attivato a livello di policy.

In NinjaOne, fare clic su Administration → Organizations, quindi scegliere un'organizzazione dall'elenco.

**Figura 6:** Amministrazione → Organizzazioni *(cliccare per ingrandire*)

Fare clic sulla scheda di configurazione Patching, quindi fare clic sul collegamento Edit.

**Immagine 7:** Patching → Impostazioni WSUS *(fare clic per ingrandire*)

Si aprirà la finestra di dialogo Impostazioni WSUS. Fare clic su Usa il seguente server WSUS, quindi utilizzare il campo Indirizzo IP/Nome DNS per selezionare il server. Questa azione ripristina le chiavi di registro correnti in "WindowsUpdate" e inserisce il server WSUS.
- Se l'agente NinjaOne è installato sul server WSUS: Fare clic su Seleziona, quindi scegliere il server WSUS dall'elenco.
- Se l'Agente NinjaOne non è installato sul server WSUS, inserire l'indirizzo IP o il nome DNS.

Configurare il protocollo e la porta, quindi selezionare se si desidera utilizzare il server di aggiornamento predefinito di Microsoft se WSUS non è raggiungibile per il patching. Dopo averlo fatto, clicca su Salva Le impostazioni di WSUS appena configurate verranno visualizzate nell'interfaccia utente.

**Figura 8:** La finestra di dialogo Impostazioni WSUS *(fare clic per ingrandire*)

Abilitazione del server WSUS per posizione

È possibile configurare i server WSUS in luoghi diversi per ottimizzare la larghezza di banda e la velocità di erogazione del servizio.

Nell'editor dell' organizzazione, fare clic sulla scheda Posizioni, quindi su Aggiungi posizione.

**Immagine 9**: Località → Aggiungi località *(clicca per ingrandire*)

Nella finestra Aggiungi posizione, selezionare WSUS, quindi fare clic su Usa impostazioni a livello di organizzazione. Il server utilizzerà le impostazioni di WSUS precedentemente configurate.

**Figura 10:** La finestra di dialogo Aggiungi posizione *(fare clic per ingrandire*)

Utilizzo di altre impostazioni del server WSUS basate sulla posizione

È possibile impostare le impostazioni specifiche del dispositivo per un server WSUS in un'altra posizione.

Utilizzare il server di aggiornamento Microsoft predefinito: Fare clic su questa selezione per utilizzare il server di aggiornamento Microsoft predefinito. Se si sceglie questa opzione, NinjaOne ripristina le impostazioni esistenti e assicura che il dispositivo utilizzi il cloud per il patching. NinjaOne non applica patch ai dispositivi tramite un server WSUS.
Utilizzare il seguente server WSUS: Selezionare questa opzione per configurare queste impostazioni per la posizione. Una volta scelto, nella finestra Aggiungi posizione si apriranno ulteriori impostazioni. Configurare l' indirizzo IP/nome DNS, il protocollo e la porta. Selezionate la casella di controllo Usa server di aggiornamento predefinito se WSUS non è disponibile per ricevere gli aggiornamenti direttamente da Microsoft se il sistema non è in grado di raggiungere il vostro server WSUS.