Patch Management-Einstellungen konfigurieren

Gilt für: WatchGuard Patch Management Dieses Thema betrifft das WatchGuard Endpoint Security-Modul Patch Management. Patch Management ist verfügbar für WatchGuard EPDR, WatchGuard EDR und WatchGuard EPP.

Im Einstellungsprofil von Patch Management können Sie Einstellungen konfigurieren, um vorzugeben, wann WatchGuard Patch Management nach neuen Patches und Software-Updates und nach welchen Patch-Typen sucht. Sie können ebenfalls Windows Update auf Ihren Computern deaktivieren.

Screen shot of Patch Management settings for a Subscriber account

Sie können die folgenden Patch Management-Einstellungen konfigurieren:

Windows Update auf Computern deaktivieren

Aktivieren Sie Windows Update auf Computern deaktivieren im Patch Management-Einstellungsprofil, um sicherzustellen, dass Patch Management die Windows Updates auf Ihren Computern verwaltet.

Wenn Sie diese Option aktivieren, verwaltet ausschließlich Patch Management die Updates für Computer in Ihrem Netzwerk. Lokale Windows Update-Einstellungen werden nicht verwendet.

Auf Geräten, die mit Windows 10 oder höher laufen, erlaubt es Ihnen das Betriebssystem, Qualitäts-Updates hinauszuzögern, aber nicht, sie zu deaktivieren. Diese Updates werden nach 30 Tagen angewendet, selbst wenn Sie Windows Update auf Computern deaktivieren aktivieren.

Automatisch nach Patches suchen

Um Patch Management automatisch nach verfügbaren Patches suchen zu lassen, aktivieren Sie Automatisch nach Patches suchen. Ist diese Option nicht aktiviert, werden in den Listen von Patch Management keine fehlenden Patches angezeigt. Sie können aber trotzdem mithilfe von Patch-Installationsaufgaben fehlende Patches auf Computern installieren.

Patch-Installation (nur Subscribers)

Gibt an, ob der Patch auf den Geräten in einer Gruppe installiert wird, wenn das Einstellungsprofil zugewiesen ist. Sie können auch Computer in der Gruppe als Test-Computer für die Patch-Installation bestimmen.

Suchhäufigkeit

Gibt vor, wie häufig Patch Management die Cloud-basierte Patch-Datenbank nach fehlenden Patches für Ihre Computer durchsucht.

Sie können alle 1, 3, 6 oder 12 Stunden oder einmal täglich nach fehlenden Patches suchen. Wenn Sie die Häufigkeit ändern, wird die Liste Fehlende Patches automatisch aktualisiert.

Patch-Priorität

Gibt die Bedeutung bzw. Wichtigkeit (oder Priorität) der Sicherheits-Patches an, nach denen Patch Management sucht, und ob nach anderen, nicht sicherheitsbezogenen Patches und Service Packs gesucht werden soll. Die Kategorie Sonstige Patches beinhaltet Patches mit Fehlerbehebungen und Funktionsverbesserungen für macOS und Linux.

Software-Anbieter definieren die Kritikalität der Sicherheitspatches, die sie zur Behebung von Schwachstellen bereitstellen. Patch-Klassifizierungen sind allerdings nicht einheitlich und unterscheiden sich je nach Anbieter.

Um zu entscheiden, ob Sie einen Patch installieren wollen, empfehlen wir Ihnen, dessen Beschreibung zu prüfen, besonders für Patches, die vom Anbieter nicht als Kritisch klassifiziert wurden.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Patch-Verwaltung konfigurieren haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

So konfigurieren Sie die Patch Management-Einstellungen:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster Patch Management.
   
4. Wählen Sie ein bestehendes Sicherheitseinstellungsprofil zum Bearbeiten, kopieren Sie ein bestehendes Profil oder klicken Sie oben rechts im Fenster auf Hinzufügen, um ein neues Profil zu erstellen.
   Die Seite Einstellungen hinzufügen oder Einstellungen bearbeiten wird geöffnet.

   

5. Geben Sie falls nötig Name und Beschreibung für das Profil ein.
6. Aktivieren Sie den Schalter Windows Update auf Computern deaktivieren, um sicherzustellen, dass Patch Management die Windows Updates auf Ihren Computern verwaltet.
7. Um automatisch nach Patches suchen zu lassen, aktivieren Sie Automatisch nach Patches suchen.
8. (Nur Subscribers) Geben Sie an, wann und wo Sie Patches installieren wollen. Wählen Sie eine der folgenden verfügbaren Optionen auf der Dropdown-Liste Patch-Installation:
   • Patches installieren — Wendet Patches automatisch auf die Geräte in den zugewiesenen Gruppen an.
   • Als Test-Computer festlegen und Patches installieren — Legt Geräte in den zugewiesenen Gruppen als Test-Computer fest. Wenn Sie eine Patch-Installationsaufgabe planen, können Sie die Aufgabe nur Test-Computern in den ausgewählten Gruppen zuweisen. Weitere Informationen finden Sie unter Computer als Test-Computer für die Patch-Installation festlegen.
   • Patches nicht installieren — Wendet Patches auf Geräte in den zugewiesenen Gruppen nicht an.
9. Um festzulegen, wie häufig nach Patches gesucht wird, wählen Sie in der Dropdown-Liste Suchhäufigkeit eine Häufigkeit.
10. Um festzulegen, nach welchen Patches gesucht wird, aktvieren bzw. deaktivieren Sie im Abschnitt Patch-Priorität die Schalter für die verschiedenen Typen von Sicherheitspatches, Sonstige Patches und Service Packs.
    Die Kategorie Sonstige Patches beinhaltet Patches mit Fehlerbehebungen und Funktionsverbesserungen für macOS und Linux.
11. Klicken Sie auf Speichern.
12. Wählen Sie das Profil und weisen Sie falls nötig Empfänger zu.
    Weitere Informationen finden Sie unter Einstellungsprofile zuweisen.

Patch-Installation mit mehreren Einstellungsprofilen verwalten

Wenn ein Service-Provider die Sicherheit mehrerer verwalteter Konten von einer einzigen Endpoint Security-Verwaltungsoberfläche aus verwaltet, nutzen einige verwaltete Konten eventuell Patch Management und andere nicht. Um sicherzustellen, dass der Service-Provider keine Patch-Installationsaufgabe an Computer sendet, die keine Patch Management haben, können Sie verschiedene Einstellungsprofile für die Patch-Installation erstellen.

So konfigurieren Sie das Durchführen bzw. Unterlassen der Installation durch Patch Management auf Computern:

1. Erstellen Sie in einem Subscriber-Konto ein Einstellungsprofil für Computer mit einer Patch Management-Lizenz.
   1. Wählen Sie im Einstellungsprofil Patches installieren in der Dropdown-Liste Patch-Installation.
   2. Weisen Sie das Einstellungsprofil den Computern mit der Lizenz zu.
2. Erstellen Sie ein zweites Einstellungsprofil für Client-Computer ohne eine Patch Management-Lizenz.
   1. Wählen Sie im Einstellungsprofil Patches nicht installieren in der Dropdown-Liste Patch-Installation.
   2. Weisen Sie das Einstellungsprofil den Computern ohne Lizenz zu.
3. Erstellen Sie in einem Service-Provider-Konto eine Patch-Installationsaufgabe und weisen Sie sie dem Konto mit Computern zu, die eine Patch Management-Lizenz und die keine Patch Management-Lizenz haben. Weitere Informationen finden Sie unter Mehrmandantenfähige Verwaltung — Aufgaben verwalten.

Computer als Test-Computer für die Patch-Installation festlegen

Test-Computer können verwendet werden, um die Installationsergebnisse eines Patches zu überprüfen, bevor Sie den Patch auf anderen Computern im Netzwerk installieren. Der Prozess zur Installation von Patches auf einem Test-Computer besteht aus zwei Schritten — Festlegen des Computers als Test-Computer mittels eines Patch Management-Einstellungsprofils und Erstellen einer geplanten Patch-Installationsaufgabe, die nur auf Test-Computern ausgeführt wird.

So konfigurieren Sie Patch Management dazu, Patches nur auf Test-Computern zu installieren:

1. Erstellen Sie in einem Subscriber-Konto ein Patch Management-Einstellungsprofil.
   1. Wählen Sie im Einstellungsprofil Als Test-Computer festlegen und Patches installieren auf der Dropdown-Liste Patch-Installation aus.
   2. Weisen Sie das Einstellungsprofil den Computern zu, die Sie als Test-Computer bestimmen wollen.
2. Erstellen Sie im Subscriber-Konto oder einem Service-Provider-Konto eine Patch-Installationsaufgabe.
   1. Weisen Sie die Aufgabe Empfängern zu.
   2. Aktivieren Sie Aufgabe nur auf Test-Computern ausführen.
• In einem Subscriber-Konto aktivieren Sie den Schalter.



• Klicken Sie in einem Service-Provider-Konto auf Aufgabe nur auf Computern der folgenden Typen ausführen und wählen Sie Ja.

Diese Option ist standardmäßig deaktiviert. Wenn Sie diese Option nicht aktivieren, wird die Aufgabe für alle Computer ausgeführt, einschließlich der Test-Computer.

Ähnliche Themen

Über Patch Management

Einstellungen verwalten

Patches Installieren