Indice
- Introduzione
- Pianificazioni di scansione
- Pianificazione degli aggiornamenti
- Pianificazioni non rispettate
- Approvazioni delle patch
- Profili comuni di patching
- Comportamento di riavvio
Questa guida fornisce informazioni sulle configurazioni di patching più comuni utilizzate dai partner NinjaOne e raccomanda le best practice da utilizzare per migliorare i risultati del tuo patch management.
Introduzione
Come gli utenti di NinjaOne impostano il patching di Windows
Il patch management è una delle attività più importanti per un team IT. Le aziende investono molto per mantenere la propria infrastruttura aggiornata, eppure più della metà delle violazioni potrebbe essere evitata installando patch disponibili del sistema operativo e dei software.
Oltre alle implicazioni per la sicurezza, una strategia di patching efficace garantisce che gli utenti finali dispongano del software più recente e completo di tutte le funzionalità per svolgere le loro attività.
Se alcune delle organizzazioni più grandi e ben finanziate del mondo hanno difficoltà con il patch management, tuttavia, che possibilità hanno le piccole e medie imprese con un supporto IT limitato? Senza gli strumenti giusti, il processo richiede tempo, è complicato, crea interruzioni delle attività per gli utenti finali ed è soggetto a errori.
Un software di patch management, come quello incluso in NinjaOne, offre agli utenti una visione completa e centralizzata del tasso di conformità alle patch e automatizza l'identificazione, il download e la distribuzione delle patch sui dispositivi gestiti.
NinjaOne ti offre un controllo granulare sul processo di approvazione delle patch, migliora il tasso di successo delle patch al primo passaggio e riduce il tempo che i tecnici dedicano al patching.
Per creare questa guida, abbiamo collaborato con i partner di NinjaOne per capire come utilizzano le funzionalità di patch management di NinjaOne e abbiamo unito la loro esperienza alla nostra.
In questa guida, condivideremo le informazioni raccolte affinché i nuovi partner possano ottenere il massimo dal patch management.
Pianificazioni delle scansioni
I criteri di NinjaOne consentono agli utenti di pianificare la scansione delle patch separatamente dal processo di aggiornamento. La scansione identifica tutte le patch non ancora installate su un dispositivo e le ordina nelle categorie "Approvate", "In attesa" o "Rifiutate" in base alle impostazioni di approvazione basate sui criteri.
Eseguendo una scansione ore o giorni prima dell'esecuzione di un aggiornamento, è possibile modificare manualmente lo stato di approvazione di una patch che sarà rispettato durante il processo di aggiornamento. Questo è incredibilmente utile per le patch approvate manualmente o per evitare patch problematiche che normalmente verrebbero approvate automaticamente.
Le patch non vengono installate durante il processo di scansione delle patch.
Quando pianificare le scansioni
Giorno della settimana
La maggior parte dei partner NinjaOne pianifica la scansione delle patch una volta alla settimana. Il venerdì è di gran lunga il giorno più comune per la scansione delle patch. La seconda opzione più comune è quella di eseguire una scansione ogni giorno. Le scansioni giornaliere delle patch utilizzano più risorse ma massimizzano il tempo a disposizione dei partner per apportare modifiche ad hoc alle patch.
Dom | Lun | Mar | Mer | Gio | Ven | Sab | Giornaliera |
3% | 3% | 5% | 10% | 7% | 40% | 7% | 25% |
Orario
L'orario più comune per la scansione delle patch è tra le 17:00 e le 18:00, ora del dispositivo. Molti utenti pianificano le scansioni dopo le 18:00 per evitare di influenzare gli utenti finali che lavorano nell’ultima parte della giornata. Sebbene la scansione delle patch non richieda un uso intensivo di risorse, la maggior parte delle scansioni viene pianificata dopo l'orario di lavoro tipico per evitare un impatto sugli utenti finali. Gli utenti che programmano le scansioni durante l'orario di lavoro possono farlo per catturare il maggior numero di dispositivi online.
00:00 - 08:50 | 09:00 – 16:59 | 17:00 – 23:59 |
16% | 24% | 60% |
Durata della scansione
La maggior parte degli utenti di NinjaOne non imposta una durata di scansione, consentendo alle scansioni di durare quanto necessario. Per quelli che limitano la durata, le opzioni più comuni sono 9 ore, 6 ore e 3 ore. Le durate delle scansioni possono essere utilizzate quando si acquisisce una nuova infrastruttura o quando utenti di diversi fusi orari devono accedere a un server e la finestra di patch deve essere più breve per ridurre al minimo l'impatto sugli utenti finali.
1 ora | 2 ore | 3 ore | 4 ore | 5 ore | 6 ore | 7 ore | 8 ore | oltre 9 ore | ∞ |
0% | 0% | 1% | 1% | 1% | 3% | 0% | 0% | 10% | 85% |
Pianificazione degli aggiornamenti
La pianificazione di aggiornamento di NinjaOne esegue una prima scansione delle patch disponibili, quindi scarica e applica sia le patch appena scoperte che quelle già identificate tramite una scansione delle patch, in base alle configurazioni di approvazione dei criteri e a qualsiasi override applicabile. NinjaOne patch management esegue quindi un'ulteriore scansione per completare il processo.
Lo stato di approvazione dei criteri da applicare può essere sovrascritto per singoli dispositivi o per interi criteri purché sia identificato dalla scansione prima dell'applicazione.
Dopo il tentativo di installazione di una patch durante un ciclo di aggiornamento, la patch verrà indicata come “Installata” o “Non riuscita” nella dashboard delle patch del sistema operativo.
Quando pianificare gli aggiornamenti
Giorno della settimana
Le patch vengono applicate più comunemente nei fine settimana per evitare di interrompere gli utenti finali. Anche il venerdì, di solito dopo l'orario di lavoro, è un’opzione frequente. Dopo l'onboarding iniziale del dispositivo, molti utenti applicano quotidianamente le patch nel tentativo di ridurre al minimo il tempo in cui gli endpoint sono vulnerabili.
Dom | Lun | Mar | Mer | Gio | Ven | Sab | Giornaliera |
19% | 4% | 5% | 9% | 10% | 15% | 19% | 19% |
Orario
L'orario più comune per avviare il processo di applicazione delle patch è tra le 17:00 e le 18:00, ora del dispositivo. Molti utenti programmano gli aggiornamenti dopo le 18:00 per evitare di influenzare gli utenti finali che lavorano nell’ultima parte della giornata. Poiché l'applicazione delle patch richiede più risorse e spesso un riavvio, la maggior parte degli aggiornamenti viene pianificata al di fuori dell'orario di lavoro.
00:00 - 08:50 | 09:00 – 16:59 | 17:00 – 23:59 |
33% | 18% | 48% |
Durata degli aggiornamenti
La maggior parte degli utenti di NinjaOne non imposta una durata di applicazione delle patch, consentendo agli aggiornamenti di durare quanto necessario. Per quelli che limitano la durata, la maggior parte limita gli aggiornamenti a quattro ore o meno.
1 ora | 2 ore | 3 ore | 4 ore | oltre 5 ore | ∞ |
3% | 5% | 4% | 5% | 10% | 74% |
Pianificazioni non rispettate
NinjaOne consente agli utenti di recuperare le scansioni o gli aggiornamenti nel caso in cui venissero mancati. Ciò si verifica soprattutto se il dispositivo è spento quando è stato programmato l'avvio della scansione o dell'aggiornamento.
Le opzioni di recupero delle scansioni e degli aggiornamenti possono essere abilitate separatamente.
I recuperi delle scansioni e degli aggiornamenti vengono eseguiti non appena l'agente NinjaOne effettua il check-in con il server.
Recupero di scansioni e aggiornamenti non eseguiti
Scansioni non eseguite
Quasi la metà degli utenti di NinjaOne recupera automaticamente le scansioni delle patch mancate. Questa funzione è particolarmente utile per coloro che normalmente effettuano scansioni al di fuori dell'orario di lavoro, quando un maggior numero di dispositivi potrebbe essere spento.
Utenti che recuperano le scansioni | Utenti che non recuperano le scansioni |
51% | 49% |
Aggiornamenti mancati
Il recupero degli aggiornamenti mancati è meno comune del recupero delle scansioni. Gli aggiornamenti non programmati hanno maggiori probabilità di interrompere gli utenti finali a causa dell'utilizzo delle risorse o della necessità di riavviare il dispositivo dopo l'aggiornamento.
Utenti che recuperano gli aggiornamenti | Utenti che non recuperano gli aggiornamenti |
60% | 40% |
Approvazioni delle patch
NinjaOne ti consente di configurare i flussi di lavoro di approvazione per ciascuna delle quattro classi di gravità degli aggiornamenti di sicurezza Microsoft e delle sette categorie di aggiornamenti Microsoft. Puoi approvare automaticamente, rifiutare automaticamente o approvare/rifiutare manualmente le patch in base alla loro categoria.
Nelle prossime pagine condivideremo i profili di patching più comuni che gli utenti di NinjaOne applicano ai loro dispositivi.
Approvazioni degli aggiornamenti di sicurezza
Gravità | Descrizione (da Microsoft) |
Critica | Una vulnerabilità il cui sfruttamento potrebbe consentire l'esecuzione di codice senza l'interazione dell'utente. Questi scenari includono malware che si autopropagano (ad esempio, worm di rete) o scenari di uso comune inevitabili in cui l'esecuzione di codice avviene senza avvisi o richieste. Ciò può significare la navigazione in una pagina web o l'apertura di una e-mail. |
Importante | Una vulnerabilità il cui sfruttamento potrebbe compromettere la riservatezza, l'integrità o la disponibilità dei dati dell'utente, oppure l'integrità o la disponibilità delle risorse di elaborazione. Questi scenari includono scenari d'uso comuni in cui il cliente è compromesso con avvisi o prompt, indipendentemente dalla provenienza, dalla qualità o dall'usabilità del prompt. |
Moderata | L'impatto della vulnerabilità è ridotto in misura significativa da fattori quali i requisiti di autenticazione o la sola applicabilità a configurazioni non predefinite. |
Bassa | L'impatto della vulnerabilità è ridotto in modo completo dalle caratteristiche del componente interessato. Microsoft consiglia ai clienti di valutare se applicare l'aggiornamento di sicurezza ai sistemi interessati. |
Categorie degli aggiornamenti
Gravità | Descrizione (da Microsoft) |
Critica | Correzione diffusa per un problema specifico che consente di risolvere un errore critico e non correlato alla sicurezza. |
Normale | Correzione diffusa per un problema specifico che consente di risolvere un errore non critico e non correlato alla sicurezza. |
Aggiornamento cumulativo | Set cumulativo e testato di hotfix, aggiornamenti di sicurezza, aggiornamenti critici e aggiornamenti raggruppati nello stesso pacchetto per un'implementazione agevole. |
ServicePack | Un set testato e cumulativo di tutti gli hotfix, gli aggiornamenti di sicurezza, gli aggiornamenti critici e gli aggiornamenti. Inoltre, i service pack possono contenere ulteriori correzioni per i problemi riscontrati internamente dopo il rilascio del prodotto. |
Feature Pack | Nuova funzionalità del prodotto distribuita per la prima volta al di fuori del contesto di una nuova release del prodotto e che viene in genere inclusa nella successiva release completa del prodotto. |
Definition Pack | Un aggiornamento software rilasciato in modo generale e frequente che contiene aggiunte al database delle definizioni di un prodotto. I database delle definizioni sono spesso utilizzati per rilevare oggetti con attributi specifici, come il codice maligno. |
Driver | Software che controlla l'input e l'output di un dispositivo. |
Aggiornamento delle funzionalità | Indica un aggiornamento delle funzionalità e delle caratteristiche di Windows 10. |
Profili di patching comuni
Profilo di patching predefinito
Il profilo di patching predefinito di NinjaOne è utilizzato da molti dei nostri partner. Questo profilo si concentra sull'equilibrio tra l'automazione per risparmiare tempo e la riduzione dei rischi.
Quasi tutte le approvazioni in questo profilo sono automatizzate e impostate per approvare gli aggiornamenti importanti e rifiutare quelli facoltativi, al fine di massimizzare il risparmio di tempo. Le patch opzionali e a bassa priorità vengono scartate automaticamente per mantenere alta l'automazione ma evitare rischi operativi.
In questo profilo gli aggiornamenti di driver e funzionalità sono disabilitati perché questi tipi di aggiornamenti tendono a creare più problemi agli utenti finali.
Approvazioni degli aggiornamenti di sicurezza | Stato di approvazione |
Bassa | Rifiuta |
Moderata | Manuale |
Importante | Approva |
Critica | Approva |
Approvazioni | Importante | Opzionale |
Aggiornamenti critici | Approva | Rifiuta |
Aggiornamenti regolari | Approva | Rifiuta |
Aggiornamento cumulativo | Approva | Rifiuta |
Service Pack | Approva | Rifiuta |
Definition Pack | Approva | Rifiuta |
Approvazioni avanzate | |
Driver | Disabilitato |
Aggiornamenti delle funzionalità | Disabilitato |
Profilo di automazione con approvazione completa
Il profilo di automazione completa è il secondo profilo più comunemente utilizzato dai partner NinjaOne. Questo profilo approva automaticamente tutte le patch Microsoft.
Questo profilo garantisce che tutti i dispositivi associati al criterio siano sempre aggiornati, ma li espone ad alcuni rischi operativi a causa delle patch con problemi.
La combinazione di questo profilo con scansioni frequenti delle patch consente ai tecnici di evitare rischi operativi rifiutando le patch con problemi quando si verificano e prima della loro applicazione.
Inoltre, utilizzare questo profilo con dispositivi di test permette di osservare il risultato dell'applicazione delle patch prima della distribuzione ai dispositivi di produzione.
Approvazioni degli aggiornamenti di sicurezza | Stato di approvazione |
Bassa | Approva |
Moderata | Approva |
Importante | Approva |
Critica | Approva |
Approvazioni | Importante | Opzionale |
Aggiornamenti critici | Approva | Approva |
Aggiornamenti regolari | Approva | Approva |
Aggiornamento cumulativo | Approva | Approva |
Service Pack | Approva | Approva |
Definition Pack | Approva | Approva |
Approvazioni avanzate | ||
Driver | Abilitato | Approva |
Aggiornamenti delle funzionalità | Abilitato | Approva |
Profilo di automazione bilanciata a basso rischio
Questo profilo dà la priorità al raggiungimento di una conformità delle patch del 100% tentando, al tempo stesso, di ridurre al minimo i rischi operativi attraverso il bilanciamento di automazione e approvazioni manuali.
Questo profilo richiede un maggiore intervento manuale per raggiungere la totale conformità delle patch, offrendo anche il vantaggio di evitare le patch con problemi che non sono critiche per la sicurezza o il funzionamento di un dispositivo.
I tecnici dovranno controllare e approvare o rifiutare regolarmente le patch manuali per sfruttare i vantaggi di questo profilo.
Approvazioni degli aggiornamenti di sicurezza | Stato di approvazione |
Bassa | Manuale |
Moderata | Manuale |
Importante | Approva |
Critica | Approva |
Approvazioni | Importante | Opzionale |
Aggiornamenti critici | Approva | Manuale |
Aggiornamenti regolari | Approva | Manuale |
Aggiornamento cumulativo | Approva | Manuale |
Service Pack | Approva | Manuale |
Definition Pack | Approva | Manuale |
Approvazioni avanzate | ||
Driver | Abilitato | Manuale |
Aggiornamenti delle funzionalità | Abilitato | Manuale |
Profilo di automazione ridotta a basso rischio
Anche questo profilo bilancia l'automazione e l'intervento manuale.
In questo caso, le patch facoltative vengono rifiutate automaticamente, mentre gli aggiornamenti importanti e relativi alla sicurezza richiedono l'approvazione manuale.
Questo profilo tenta di automatizzare le patch meno importanti riducendo al minimo i rischi operativi derivanti dalle patch con problemi.
I partner NinjaOne che utilizzano questo profilo dovranno controllare e approvare regolarmente le patch in sospeso per garantire la sicurezza degli endpoint.
Approvazioni degli aggiornamenti di sicurezza | Stato di approvazione |
Bassa | Manuale |
Moderata | Manuale |
Importante | Manuale |
Critica | Manuale |
Approvazioni | Importante | Opzionale |
Aggiornamenti critici | Manuale | Rifiuta |
Aggiornamenti regolari | Manuale | Rifiuta |
Aggiornamento cumulativo | Manuale | Rifiuta |
Service Pack | Manuale | Rifiuta |
Definition Pack | Manuale | Rifiuta |
Approvazioniavanzate | ||
Driver | Abilitato | Manuale |
Aggiornamenti delle funzionalità | Abilitato | Manuale |
Profilo completamente manuale
Il profilo di patching completamente manuale consente ai tecnici di avere un controllo totale sulle patch che vengono applicate.
Ogni patch resa disponibile per un dispositivo sarà indicata come in sospeso finché non sarà approvata o rifiutata.
Sebbene sia ancora molto più efficiente del patching tradizionale, questo profilo sarà il più laborioso tra quelli disponibili in NinjaOne e potrebbe esporre gli utenti a rischi operativi e di sicurezza se le patch non vengono applicate abbastanza rapidamente.
Gli utenti che scelgono di usare di questo profilo dovrebbero seguire delle SOP per controllare regolarmente la frequenza di applicazione delle patch.
Approvazioni degli aggiornamenti di sicurezza | Stato di approvazione |
Bassa | Manuale |
Moderata | Manuale |
Importante | Manuale |
Critica | Manuale |
Approvazioni | Importante | Opzionale |
Aggiornamenti critici | Manuale | Manuale |
Aggiornamenti regolari | Manuale | Manuale |
Aggiornamento cumulativo | Manuale | Manuale |
Service Pack | Manuale | Manuale |
Definition Pack | Manuale | Manuale |
Approvazioni avanzate | ||
Driver | Abilitato | Manuale |
Aggiornamenti delle funzionalità | Abilitato | Manuale |
Comportamento di riavvio
Per completare gli aggiornamenti Windows, spesso è necessario riavviare i dispositivi.
Far riavviare il dispositivo agli utenti finali è quasi impossibile, quindi NinjaOne consente di automatizzare questo processo.
I criteri di NinjaOne consentono di applicare azioni e pianificazioni diverse quando un utente è o non è connesso.
Utente connesso
Azioni di riavvio
La maggior parte degli utenti di NinjaOne non utilizzerà i criteri per forzare il riavvio delle macchine degli utenti finali dopo l'applicazione delle patch, ma invierà un prompt all'utente in cui verrà richiesto di riavviare il computer. Molti criteri e non prevendono un riavvio automatico. Una piccola percentuale di criteri forza i riavvii.
Azione | Descrizione | Frequenza |
Richiedi all'utente | Richiedi all'utente di riavviare finché il riavvio non viene accettato | 65% |
Notifica all'utente | Informa l'utente ed esegui il riavvio dopo un certo intervallo di tempo | 10% |
Riavvio automatico | Riavvia automaticamente dopo un certo intervallo di tempo | 4% |
Nessuno | Nessuna azione | 20% |
Timeout di richiesta/riavvio
Il periodo di tempo più comune tra i prompt, tra il prompt e il riavvio o tra il completamento della patch e il riavvio è di 5 minuti. Man mano che l'azione di riavvio diventa più aggressiva, lo stesso vale per le tempistiche.
Durata | Prompt | Notifica | Riavvio automatico |
5 Minuti | 65% | 41% | 76% |
5 – 59 | 9% | 37% | 18% |
60 – 239 | 14% | 13% | 4% |
Oltre 240 | 12% | 9% | 6% |
Utente non connesso
Azioni di riavvio
La maggior parte dei criteri NinjaOne riavvia i dispositivi dopo il patching secondo una pianificazione. Poiché non c'è un utente connesso, i riavvii immediati sono più comuni rispetto a quando gli utenti sono connessi.
Azione | Descrizione | Frequenza |
Riavvio pianificato | Informa l'utente ed esegui il riavvio dopo un certo intervallo di tempo | 67% |
Riavvia immediatamente | Riavvia immediatamente il dispositivo | 18% |
Nessuno | Nessuna azione | 14% |
Pianificazione del riavvio (settimanale)
Il 12% dei criteri che prevedono il riavvio secondo una pianificazione settimanale prevedono il riavvio nei giorni:
Dom | Lun | Mar | Mer | Gio | Ven | Sab |
46% | 5% | 5% | 3% | 5% | 8% | 27% |
Schema di riavvio (giornaliero)
L'85% dei criteri che prevedono un riavvio con frequenza quotidiana prevede il riavvio ogni giorno nei seguenti orari:
00:00 - 08:50 | 09:00 – 16:59 | 5:00 pm – 5:59 pm | 6:00 pm – 11:59 pm |
19% | 2% | 57% | 22% |