HOWTO: Automatische Installation von Sicherheitsupdates für Microsoft und Third-Party Anwendungen zur Härtung der Endgeräte
Gilt für WatchGuard Advanced EPDR, EPDR, EDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).
Mit dem Zusatzmodul WatchGuard Patch Management ist es möglich, schnell und einfach Patches von Microsoft, Linux und macOS, sowie Third-Party Anwendungen (Patch-Library) zu installieren.
Der folgende Artikel beschreibt die automatische Installation von kritischen und wichtigen Sicherheitsupdates für Microsoft und Third-Party Anwendungen.
Voraussetzungen
- Zusatzmodul: WatchGuard Patch Management
- Cache Computer (Best-Practice):
-Einsparung der Internetbandbreite. Die Konfiguration wurde bereits in folgendem Blog-Artikel thematisiert:
HOWTO: Konfiguration WatchGuard Cache Computer (Manual Mode)
-In einigen Fällen müssen Patches manuell heruntergeladen und via Cache Computer verteilt werden:
HOWTO: Download und Installation von manuellen Patches via WatchGuard Patch Management
Automatische Installation von Sicherheitsupdates
- Als erstes muss eine Sicherheitsrichtlinie für die Patch-Verwaltung erstellt werden, damit auf den Clients/Servern nach fehlenden Updates/Patches gesucht wird.
“Einstellungen” -> “Patch-Verwaltung” -> Button “Hinzufügen” anklicken:
- Patch-Verwaltung wie folgt konfigurieren:
HINWEIS: Wenn Sie die Windows-Patches ausschließlich via WatchGuard Patch Management durchführen möchten, sollten Sie den Haken „Windows Update auf Computern deaktivieren“ aktiv setzen. In diesem Fall empfehlen wir dringend einen Cache Computer. - “Aufgaben” -> “Aufgabe hinzufügen” -> “Patches installieren” anklicken:
: - Aufgabe anhand des folgenden Beispiels konfigurieren und mit der jeweiligen OU verknüpfen. Die Parameter können je nach Bedarf individuell angepasst werden:
- Zum Schluss muss noch die erstellte Aufgabe “Patch-Deployment (kritisch, wichtig)” veröffentlicht werden:
- Ob die Installation erfolgreich war, kann wie folgt überprüft werden:
Unsere Tipps:
- Starten Sie zunächst mit unkritischen Systemen (Workstations, Notebooks) und nur mit kritisch eingestuften Updates. Bauen Sie Ihren Update-Job nach und nach aus oder splitten Sie die Jobs nach den gewünschten Kriterien (Bsp. Server/Clients, automatischer Neustart/kein Neustart, OS-Updates/Application-Updates…).
- Sonstige Updates können nach Bedarf manuell (ohne Aufgabe, via Patch Management) installiert werden.
- Ob ein Neustart nach der Installation eines Patches oder nach Aktualisierung des Endpoint Agents erforderlich ist, lässt sich ganz einfach via den „geplanten Berichten“ wie folgt überwachen:1. Computer“ -> „My Filters“ (manuell erstellter Ordner) -> „Filter hinzufügen“ anklicken:
2. Filter “Neustart ausstehend” mit folgenden Parametern erstellen:
3. Geplanten Bericht wie folgt erstellen. Name, Zeitplan/Uhrzeit usw. nach Belieben anpassen:
Weitere Informationen zu diesem Thema finden Sie im WatchGuard Help Center unter >> About Patch Management.
Dnake für den Beitrag, das hat sehr geholfen