HOWTO: Automatische Installation von Sicherheitsupdates für Microsoft und Third-Party Anwendungen zur Härtung der Endgeräte
Alle Tags (AD360 Advanced EPDR EDR Endpoint Hardening Endpunkt Härtung EPDR EPP Linux MacOS Microsoft Patch Patch Management Sicherheitspatch Third-Party WatchGuard-Endpoint WSUS)
Gilt für WatchGuard Advanced EPDR, EPDR, EDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).
Mit dem Zusatzmodul WatchGuard Patch Management ist es möglich, schnell und einfach Patches von Microsoft, Linux und macOS, sowie Third-Party Anwendungen (Patch-Library) zu installieren.
Der folgende Artikel beschreibt die automatische Installation von kritischen und wichtigen Sicherheitsupdates für Microsoft und Third-Party Anwendungen.
Voraussetzungen
- Zusatzmodul: WatchGuard Patch Management
- Cache Computer (Best-Practice):
-Einsparung der Internetbandbreite. Die Konfiguration wurde bereits in folgendem Blog-Artikel thematisiert:
HOWTO: Konfiguration WatchGuard Cache Computer (Manual Mode)
-In einigen Fällen müssen Patches manuell heruntergeladen und via Cache Computer verteilt werden:
HOWTO: Download und Installation von manuellen Patches via WatchGuard Patch Management
Automatische Installation von Sicherheitsupdates
- Als erstes muss eine Sicherheitsrichtlinie für die Patch-Verwaltung erstellt werden, damit auf den Clients/Servern nach fehlenden Updates/Patches gesucht wird.
“Einstellungen” -> “Patch-Verwaltung” -> Button “Hinzufügen” anklicken:
- Patch-Verwaltung wie folgt konfigurieren:
HINWEIS: Wir empfehlen die Windows-Patche ausschließlich über das WatchGuard Patch Management durchzuführen. Dadurch wird beispielsweise sichergestellt, dass die Funktion “Ausschließen” für Microsoft-Patches gewährleistet ist. Zusätzlich raten wir dringend zur Einrichtung eines Cache-Computers an. - “Aufgaben” -> “Aufgabe hinzufügen” -> “Patches installieren” anklicken:
: - Aufgabe anhand des folgenden Beispiels konfigurieren und mit der jeweiligen OU verknüpfen. Die Parameter können je nach Bedarf individuell angepasst werden:
- Zum Schluss muss noch die erstellte Aufgabe “Patch-Deployment (kritisch, wichtig)” veröffentlicht werden:
- Ob die Installation erfolgreich war, kann wie folgt überprüft werden:
Unsere Tipps:
- Starten Sie zunächst mit unkritischen Systemen (Workstations, Notebooks) und nur mit kritisch eingestuften Updates. Bauen Sie Ihren Update-Job nach und nach aus oder splitten Sie die Jobs nach den gewünschten Kriterien (Bsp. Server/Clients, automatischer Neustart/kein Neustart, OS-Updates/Application-Updates…).
- Sonstige Updates können nach Bedarf manuell (ohne Aufgabe, via Patch Management) installiert werden.
- Ob ein Neustart nach der Installation eines Patches oder nach Aktualisierung des Endpoint Agents erforderlich ist, lässt sich ganz einfach via den „geplanten Berichten“ wie folgt überwachen:
1. Computer“ -> „My Filters“ (manuell erstellter Ordner) -> „Filter hinzufügen“ anklicken:
2. Filter “Neustart ausstehend” mit folgenden Parametern erstellen:
3. Geplanten Bericht wie folgt erstellen. Name, Zeitplan/Uhrzeit usw. nach Belieben anpassen:
- Um sicherzustellen, dass nach der Patch-Installation zeitnah ein Neustart der Geräte erfolgt, empfehlen wir folgende Optionen:
-
- Bei Clients die Option „Neustart aufschieben – 7 Tage“.
Es wird eine Meldung mit der verbleibenden Zeit bis zum automatischen Neustart des Computers angezeigt:
Endpoint Ansicht:
- Bei Servern die Option „Nur während definierter Wartungsfenster neu starten“.
Es wird eine Meldung mit der verbleibenden Zeit bis zum automatischen Neustart des Endpoints angezeigt. Ein Aufschieben des Neustarts ist hier nicht möglich!
Beispiel Konfiguration vom Wartungsfenster:
Endpoint Ansicht:
- Bei Clients die Option „Neustart aufschieben – 7 Tage“.
Weitere Informationen zu diesem Thema finden Sie im WatchGuard Help Center unter >> About Patch Management.
Dnake für den Beitrag, das hat sehr geholfen