Як віддалено і централізовано керувати патчами і оновленнями ПО в компанії



Своєчасне оновлення встановленого в компанії програмного забезпечення та встановлення необхідних патчів – це одна з важливих завдань, виконання якої дозволяє уникнути різних збоїв в роботі програм, а також забезпечувати належний рівень безпеки. Як можна централізовано і дистанційно керувати оновленнями і виправленнями ЗА в компанії? Розглянемо на прикладі хмарного RMM-рішення Panda Systems Management.

Завдання: своєчасне оновлення

Виробники програмного забезпечення регулярно випускають оновлення і патчі, які, за великим рахунком, переслідує дві мети: з одного боку, вони дозволяють виправити наявні помилки в програмі, з іншого боку, закривають виявлені вразливості або діри безпеки. Тому не дивно, що своєчасне оновлення є однією з пріоритетних завдань.

Відповідно, для вирішення цієї задачі потрібно знати вчасно про те, що доступні оновлення/виправлення, а також оперативно контролювати, які пристрої вже були оновлені, а які ще немає. Очевидно, що при зростанні парку ІТ-пристроїв компанії (особливо при наявності віддалених офісів) потрібні інструменти централізованого віддаленого управління і контролю.

Для автоматизованого вирішення даної задачі пропонуємо Вам звернути увагу на RMM-рішення, призначені для віддаленого та централізованого моніторингу, обслуговування та підтримки корпоративних мереж.

Пропонуємо розглянути рішення задачі по управлінню патчами на прикладі одного з таких рішень — хмарного сервісу Panda Systems Management.

У своїх попередніх статтях ми докладно розповідали про те, як можна швидко впровадити даний сервіс, як здійснювати моніторинг роботи мережі, керувати мобільними пристроями, віддалено і централізовано встановлювати і здійснювати інвентаризацію всіх ІТ-активів компанії. Сьогодні ми зупинимося саме на управлінні патчами.

До речі, Ви можете безкоштовно зареєструвати ліцензії Panda Systems Management на сайті www.pandasecurity.com і разом з нами налаштувати управління патчами безпосередньо у Вашій мережі.
Отже, поїхали.

Що таке управління патчами

В даному випадку управління патчами – це набір інструментів для централізованого контролю, впровадження та установки патчів і оновлень. Функції управління патчами в Panda Systems Management не тільки полегшують вирішення питань, пов'язаних з регулярним оновленням ПЗ, але також дозволяють виконувати аудити, завдяки яким швидко і легко можна отримати список пристроїв, які не оновлені або мають відомі уразливості.
Як ми вже говорили, завдяки управлінню патчами можна уникнути конфліктів в роботі, а також підвищити рівень безпеки корпоративної мережі.

Функції управління патчами в Panda Systems Management зараз підтримують Windows-системи, що використовують Windows Update API, який присутній на всіх пристроях з Microsoft Windows, де встановлений агент даного рішення.

Які патчі можна впроваджувати/застосовувати?

Panda Systems Management дозволяє Вам централізовано керувати всіма патчами і оновленнями, опублікованими корпорація Microsoft Windows Update. Microsoft публікує оновлення для операційних систем Windows, що підтримуються в даний момент, а також розробляються корпорацією програмних продуктів:

• Microsoft Office
• Microsoft Exchange
• SQL Server
• Windows Live
• Windows Defender
• Visual Studio
• Zune Software
• Virtual PC
• Virtual Server
• CAPICOM
• Microsoft Lync
• SilverLight
• Windows Media Player
• ...і інші

Впровадження і установка патчів

Panda Systems Management пропонує три взаємодоповнюючих методів управління патчами. Кожен з них має різні функції для адаптації всіх можливих потреб та/або сценаріїв.

• Ручне управління патчами
• Політика Windows Updates
• Політика Patch Management

Управління патчами з допомогою політик Windows Update і Patch Management є взаємовиключними. Рекомендується відключати Windows Updates при використанні політик Patch Management для оновлення операційних систем Windows, інакше це може призвести до непередбачуваних наслідків.

Процедури, описані нижче, можуть конфліктувати з іншими процедурами, що визначені виробниками стороннього ПЗ, наприклад, як політики Windows Update, визначені в GPO. Тому рекомендується відключати політики сторонніх виробників, які можуть перешкоджати політикам, визначеним у Panda Systems Management.

Порівняльна таблиця методів



Метод 1: Ручне управління патчами
Загальна інформація

Ручне управління патчами дозволяє Вам окремо вибрати патчі, які потрібно встановити, згідно з критерієм, що застосовуються адміністратором. Цей метод дозволяє досягти максимальної гнучкості, оскільки весь час з'являються всі патчі, встановлені на кожному пристрої, а також патчі, очікують установки.

Цей метод може бути застосований на будь-якому рівні: Account, Site або Device. Таким чином, Ви можете вибрати патчі для певного пристрою (рівень Device), для певної групи пристроїв або проекту (Site) або ж для всіх пристроїв, які управляються Вами в рамках Вашого аккаунта в Panda Systems Management (Account).

Доступ до ручного управління патчами

Незалежно від обраного рівня, ручний метод доступний при відкритті закладки Manage



Доступні дії

Вибір доступних дій здійснюється за допомогою іконок, розміщених на панелі дій.



Дозволити патч (Approve Patch)

Виберіть патч і натисніть зелену іконку. В результаті цього патч буде чекати установки. Дозволені вручну патчі встановлюються в той момент часу, як налаштоване на закладці Manage на рівні Account.



Зверніть увагу, що час для установки патчів, налаштованих вручну, Ви можете налаштувати тільки на рівні всього облікового запису. Таким чином, все вручну керовані патчі для всіх пристроїв в рамках облікового запису будуть встановлюватися в один і той же час.

Приховати патч (Hide patch)
Виберіть патч і натисніть синю кнопку, щоб приховати патч зі списку доступних патчів.

Швидка установка патчів (Quick patch)
Виберіть патч і натисніть зелену кнопку зі стрілкою, щоб відразу ж встановити патч, не чекаючи часу, налаштованого для встановлення всіх вручну дозволених патчів (на рівні Account на закладці Manage).

Скинути вибір патчів (Reset patch)
Натисніть білу іконку, щоб скинути вибір патчів.

Перегляд патчів
Всі опубліковані патчі згруповані в три розкривного списку, залежно від їх статусу по відношенню до керованого пристрою.



Статуси:

• Missing Patches: Патчі, які ще не були встановлені на пристроях, що належать даному рівню. На рівнях вище рівня Device також показується кількість пристроїв, на яких кожен конкретний патч ще не був встановлений.

• Installed Patches: Патчі, які вже були встановлені на обраному рівні. На рівнях вище рівня Device також показується кількість пристроїв, на яких кожен конкретний патч вже був встановлений.

• Hidden Patches: Патчі, які адміністратор вирішив приховати у зв'язку з тим, що їх не потрібно застосовувати і за ним не потрібно отримувати нагадування.

Щоб полегшити пошуки, при розкритті кожного списку доступна додаткова інформація за патчам, а також доступна додаткова панель управління для фільтрації списку патчів.



Ця додаткова панель управління дозволяє Вам легко вибрати в списку ті патчі, які відповідають наступним критеріям:

• Severity: дозволяє вибрати ступінь критичності патча, встановлений корпорацією Microsoft:Critical (Критичний), Important (Важливий), Moderate (Помірний),Low (Низький) і Unspecified (Не визначений). До речі, треба відзначити, що Microsoft, як правило, встановлює ступінь критичності тільки для патчів безпеки, а тому інші патчі зазвичай мають ступінь Unspecified.

• Reboot required: якщо пристрій має бути перезагружено після застосування патча.

• User input required: якщо для застосування патча потрібна участь користувача.

• Category: дозволяє вибрати патчі, які застосовуються до певної програми.

Panda Systems Management по кожній запису надає наступну інформацію:



• Check: чекбокс для вибору патча.

• Action icon: відображається іконка, відповідна статусу патча. У тих патчів, які очікують установку, ця іконка буде зеленим кольором, у прихованих пачтей – синя і т. д.

• Title: повна назва патча згідно з інформацією від Windows Update.

• Severity: ступінь критичності патча за інформацією від Windows Update.

• Reboot: у тому випадку, якщо після установки патча потрібне перезавантаження пристрою, в даному стовпчику буде показуватися галочка.

• User input: показник того, чи потрібне втручання користувача для установки патча (діалогові віконця для вирішення установки, EULA і пр).

Коли застосовується даний метод

Можна використовувати даний метод у тому випадку, якщо адміністратору потрібно дуже точний контроль над застосуванням патчів на керованих пристроях.

Метод 2: Політика Windows Update
Загальна інформація

Політика Windows Update дозволяють централізовану конфігурацію функцій Windows Update на пристроях Windows в корпоративній мережі. Дана політика доступна на рівнях Account і Site.

Доступ до методу Політика Windows Update

Щоб скористатися цим методом, необхідно створити політику Windows Update на рівні Account або Site. Для цього на відповідному рівні на закладці Policies натисніть кнопку для додавання політики (на рисунку нижче представлений приклад додавання нової політики на рівні Site, натисканням кнопки New Site Policy...).



Після цього у випадаючому вікні необхідно вказати назву політики і вибрати тип політики Windows Update.



В результаті цього відкриється вікно, в якому Ви можете централізовано налаштувати поведінку Windows Update на всіх пристроях, до яких буде застосована дана політика. Політики Windows Update налаштовуються аналогічним чином, як і ресурси Windows Update на кожному індивідуальному пристрої Windows.

Windows Update класифікує патчі за трьома категоріями:

• Important (Важливі)
• Recommended (Рекомендовані)
• Optional (Не обов'язкові)

Лише важливі та рекомендовані патчі можуть бути встановлені автоматично. Інші патчі будуть встановлені вручну з пристрою користувача або через Panda Systems Management при використанні інших методів управління патчами.

Всі налаштування даної політики є транспозицією функцій Windows Update на пристроях Windows. Таким чином, всі зазначені дії відносяться до пристроїв, а не до Агента або Консолі управління.

Незважаючи на те, що налаштування політики однакові для всіх пристроїв, поведінка Windows Update на кожному пристрої може незначно змінюватись в залежності від версії операційної системи Windows.

Отже, вікно з налаштуваннями політики:



Нижче наводимо опис деяких опцій політики:

• Add target: дозволяє Вам додати фільтри або групи, які обмежують область застосування політики

• Patch Policy: дозволяє Вам вказати основне поведінка Windows Update на кожному пристрої у відношенні до патчам, які класифіковані корпорацією Microsoft як «Important» (Важливі): автоматично завантажувати і встановлювати, ручне завантаження і вибір користувачем, повідомляти без скачування, відключити Windows Update. При цьому, щоб запобігти перетин політик в тому випадку, якщо Ви вже використовуєте інший метод оновлення патчів з допомогою Panda Systems Management або сторонніх продуктів, рекомендується створити політику Windows Update зі значенням цього параметра «Disable Windows Update»

• Install new updates: вкажіть періодичність установки патчів

• Give me recommended updates the same way I receive important updates: застосовує параметр політики, вказаний в опції Patch Policy, як для важливих патчів, так і для рекомендованих

• Allow all users to install updates on the computer: дозволяє користувачам вручну встановлювати патчі

• Give me updates for Microsoft products and check for new optional Microsoft software when updating Windows: перевіряє необов'язкові патчі, основні патчі для інших продуктів Microsoft

• Show me detailed notifications when new Microsoft software is available: показує користувачеві докладні повідомлення в тому випадку, коли доступно нове Microsoft

• No auto-restart with users logged on scheduled for automatic updates installations: якщо вибрана ця опція, то після установки патчів користувач повідомляється про те, що необхідно перезавантажити ПК. Якщо опція включена, то в цьому випадку після установки патчів користувач буде повідомлений про те, що його ПК буде перезавантажений через 5 хвилин

• Re-prompt for restart with scheduled installations: пропонує вказати, за яку кількість хвилин Windows Update запропонує користувачеві перезавантажити ПК в тому випадку, якщо були встановлені патчі, вимагають перезавантаження пристрою

• Delay restart scheduled for installations: визначає кількість хвилин, протягом яких після установки патчів система буде очікувати перезавантаження. Якщо нічого не вказано, то за замовчуванням час – 15 хвилин

• WSUS: дозволяє використовувати альтернативний локальний або віддалений сервер Windows Server Update Services для того щоб мінімізувати завантаження індивідуальних патчів на кожний пристрій у мережі

• Enable Client-Side Targeting: якщо використовується WSUS-сервер з включеною опцією Client-Side Targeting, групи та пристрої, які вони містять, будуть вручну визначені на WSUS-сервері. Цей параметр дозволяє Вам вказати групи, до яких належать пристрої, де буде застосована дана політика (для поділу використовуйте кому). При цьому якщо деякі або всі пристрої, на яких повинна бути застосована політика Windows Update, не збігаються з тими пристроями, що налаштовані в групах WSUS, то до таких пристроїв політика застосовуватися не буде.

Коли застосовується даний метод

• Якщо адміністратору необхідно гарантувати, що всі важливі патчі автоматично встановлюються на всіх пристроях мережі, при цьому користувачі не можуть перешкодити цьому
• Якщо адміністратора не потрібно контролювати кожний встановлений патч і він може делегувати рішення про встановлення патча корпорації Microsoft у відповідності з їх класифікацією патчів в якості важливих або рекомендованих
• Якщо не потрібно автоматично встановлювати патчі, класифіковані як необов'язкові.

Метод 3. Політика Patch Management
Загальна інформація

Політики Patch Management дозволяють автоматичну установку патчів аналогічно тому, як це реалізовано для політик Windows Update. Основна відмінність полягає в тому, як згруповані патчі, які необхідно встановлювати. У той час як ручний спосіб дозволяє Вам вибрати застосування кожного окремо взятого патча, а політика Windows Update дозволяє Вам застосовувати патчі за рівнем (важливі, рекомендовані або необов'язкові), то політика Patch Management дозволяє Вам вибрати патчі, які необхідно застосувати, групуючи їх більш гнучким способом: по назві, опису, розміром, типом та ін

Даний метод підтримується на рівнях Account і Site.

Доступ до методу Політика Patch Management

Щоб скористатися цим методом, необхідно на рівні Account або Site створити нову політику з типом Patch Management.



В результаті цього з'явиться вікно, у якому Ви зможете централізовано налаштувати поведінку політики управління патчами для всіх пристроїв, до яких буде застосована дана політика.



• Add target: дозволяє Вам додати фільтри або групи, які обмежують область застосування політики

• Shedule Options: дозволяє Вам вказати час застосування патчів. Натисніть Click to change в блоці Shedule для відображення форми, де Ви зможете вибрати інтервал установки патчів і періодичність



У формі, що з'явилася, ліворуч виберіть періодичність, в залежності від якої буде змінюватися права частина форми, дозволяючи Вам вказувати точні дату і час, коли патчі повинні бути встановлені.

• Install criteria: дозволяє Вам вибрати патчі для установки на пристрій. Тут передбачено три опції:

— Install all patches: встановлює всі випускаються патчі

— Filter patches by: дозволяє Вам налаштувати фільтр з одним або декількома критеріями: категорія, умова (в залежності від вибраної категорії) і об'єкт пошуку (також залежить від вибраної категорії).



Ви можете створити складні критерії вибірки, налаштувавши кілька категорій з логікою застосування ТА/АБО (відповідає положенню перемикача AND/OR). Ви також можете налаштувати різні значення для кожної категорії за допомогою логічних операторів AND/OR.

Коли застосовується даний метод

• Якщо адміністратору необхідна більш висока гнучкість у порівнянні з методом Політика Windows Update

• Якщо адміністратору необхідно автоматично і централізовано встановлювати всі патчі без винятку.

Аудити
На закладці Manage на рівні сайту або аккаунта Ви можете одним поглядом оцінити статус всій мережі в плані оновлення додатків.



Критерії вибору дозволяють показувати інформацію по всім пристроям, тільки серверів або тільки робочим станціям на сайті або в рамках облікового запису.

В залежності від критеріїв вибору в круговій діаграмі нижче буде показуватися відповідна статистика. При цьому синім кольором показується кількість пристроїв з невстановленими некритическими оновленнями, помаранчевим кольором показується кількість пристроїв з невстановленими критичними оновленнями, а зеленим кольором показується кількість пристроїв, які є повністю оновленими.

Праворуч від кругової діаграми показується список 10 найбільш вразливих пристроїв в залежності від критеріїв вибору. Якщо Ви натиснете на зацікавив Вас сегмент на круговій діаграмі, то даний список оновиться, і він буде показувати інформацію тільки щодо даного сегменту.

Якщо в даному списку натиснути на назву у стовпці Hostname, то Ви перейдете в детальну інформацію по даному пристрою для того, щоб подивитися, які конкретно патчі на даному пристрої не були встановлені, і вирішити необхідні патчі.

Якщо в даному списку натиснути на зелену кнопку зі стрілкою в стовпці Quick patch, то в цьому разі на даному пристрої будуть негайно застосовані патчі у відповідності з обраними критеріями (критичні або критичні) в залежності від того, кликнули на синьому або помаранчевому сегменті кругової діаграми.

Висновок
Сучасні комплексні RMM-рішення дозволяють централізовано вирішувати одну із важливих завдань будь-якого ІТ-департаменту: забезпечення своєчасного оновлення встановленого в корпоративній мережі, щоб уникнути проблем у його роботі та усунення відомих дірок безпеки і вразливостей. Не важко зрозуміти, що ефективне рішення поставленої задачі дозволяє підвищити ефективність роботи співробітників компанії, а значить і її конкурентоспроможність.

До речі, у другій половині лютого стане доступна нова версія Panda Systems Management, в якій будуть внесені певні зміни в управління патчами, що дозволить зробити цей процес ще більш керованим, простим і ефективним.
Досягайте більшого, роблячи менше!
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.