Patches Installieren

Gilt für: WatchGuard Patch Management

WatchGuard Patch Management nutzt Aufgaben für das Installieren von Patches und Updates. Um Patches auf Computern zu installieren, müssen Sie eine Aufgabe hinzufügen.

Sie können entweder eine Aufgabe hinzufügen, um einen Patch sofort zu installieren, oder eine Aufgabe planen, die zu einer vorgegebenen Zeit ausgeführt wird. Wenn Sie eine Aufgabe sofort ausführen, lädt Patch Management den Patch zwar herunter und installiert ihn in Echtzeit, startet aber den Windows- oder Linux Computer nicht neu, selbst wenn die Installation einen Neustart erfordert. Manche Mac-Patches starten den Computer automatisch neu (z.B. _SoftwareUpdate.pkg).

Mit geplanten Aufgaben können Sie alle Einstellungen in Bezug auf die Patch-Installation konfigurieren und die Aufgabe zur gewünschten Zeit starten. Sie können auch Aufgaben für die Deinstallation zuvor installierter Patches hinzufügen, falls diese Probleme verursachen.

Weitere Informationen finden Sie in den folgenden Abschnitten:

Herunterladen von Patches

Bevor WatchGuard Patch Management einen Patch installiert, lädt der Computer ihn vom Software-Anbieter herunter. Der Download findet auf allen Computern im Hintergrund statt, wenn eine Patch-Installationsaufgabe beginnt.

Um den Verbrauch an Bandbreite zu minimieren, nutzt Patch Management die Cache-Computer im Netzwerk für das Herunterladen und Verteilen von Patches und Updates.

  • Windows- oder macOS-Betriebssystem: Computer können Patches von Cache-Computern oder aus dem Internet herunterladen. Sie können keine Patches vom WatchGuard-Proxy herunterladen.
  • Linux-Betriebssystem: Computer nutzen den Paketmanager der Distribution, um Patches aus dem Internet herunterzuladen. Sie können keine Patches vom WatchGuard-Proxy oder von Cache-Computern herunterladen.

Patch-Installationsaufgaben könnten Patches von einem Software-Anbieter herunterladen müssen, falls Cache- oder Repository-Computer die Patches nicht bereits haben. Schnellaufgaben starten mit dem Download der Patches, sobald Sie die Aufgabe erstellen. Dies kann zu einem hohen Bandbreitenverbrauch führen, falls die Aufgabe viele Computer umfasst oder die Patches groß sind.

Geplante Patch-Installationsaufgaben beginnen mit dem Download der Patches, wenn Sie die Aufgabe konfigurieren. Wenn mehrere Aufgaben zur gleichen Zeit starten, verzögert Patch Management die Aufgaben um bis zu 2 Minuten, um gleichzeitige Downloads zu verhindern und den Bandbreitenverbrauch zu minimieren.

Cache-Computer speichern Patches für bis zu 30 Tage, anschließend werden die Patches gelöscht. Wenn ein Computer einen Patch von einem Cache-Computer anfordert, der Cache-Computer den Patch aber nicht in seinem Archiv hat, wartet der Computer, bis der Cache-Computer ihn herunterlädt. Die Wartezeit hängt von der Größe des herunterzuladenden Patch ab. Wenn der Cache-Computer den Patch nicht herunterladen kann, versucht stattdessen der Zielcomputer, den Patch herunterzuladen.

Sie können einen Patch auch manuell herunterladen und auf den Cache-Computer kopieren. Weitere Informationen finden Sie unter Patches manuell herunterladen.

Patch-Installationsaufgaben hinzufügen

Sie können eine Aufgabe zur Installation von Patches aus der Liste Verfügbare Patches sowie von der Seite Computer bzw. Aufgaben hinzufügen.

Software-Anbieter definieren die Kritikalität der Sicherheitspatches, die sie zur Behebung von Schwachstellen bereitstellen. Patch-Klassifizierungen sind allerdings nicht einheitlich und unterscheiden sich je nach Anbieter. Um zu entscheiden, ob Sie einen Patch installieren wollen, empfehlen wir Ihnen, dessen Beschreibung zu prüfen, besonders für Patches, die vom Anbieter nicht als Kritisch klassifiziert wurden.

Ihre Operator-Rolle bestimmt, was Sie in WatchGuard Cloud anzeigen und tun können. Ihre Rolle muss die Berechtigung Patches installieren, deinstallieren und ausschließen haben, um diese Funktion anzuzeigen oder zu konfigurieren. Weitere Informationen finden Sie unter WatchGuard Cloud-Operatoren und -Rollen verwalten.

  1. Wählen Sie in WatchGuard Cloud Überwachen > Endpoints.
  2. Wählen Sie Status > Patch-Verwaltung.
  3. Klicken Sie in der Kachel Verfügbare Patches auf Alle verfügbaren Patches anzeigen.
    Die Liste Verfügbare Patches wird geöffnet.

    Screen shot of Available Patches list

  4. Klicken Sie auf Filter und filtern Sie die Liste, um die Patches zu überprüfen, die Sie installieren möchten (z. B. Filtern nach Betriebssystem, Computertyp, Patch-Typ, Installationsoption, Priorität, Installationsstatus oder Programmanbieter).
  5. Aktivieren Sie in den Ergebnissen die Kontrollkästchen derjenigen Computer und Patches, die Sie installieren wollen.
    Das Symbol wird neben Computern angezeigt, die als Test-Computer für die Patch-Installation festgelegt sind.
  6. In der Symbolleiste:
    • Zum sofortigen Installieren der Patches klicken Sie auf Installieren. Klicken Sie im dann angezeigten Dialogfeld auf Patch installieren.
      Patch Management fügt eine Patch-Installationsaufgabe hinzu und startet sie sofort.
    • Zum Installieren der Patches zu einer vorgegebenen klicken Sie auf Installation planen. Klicken Sie im dann angezeigten Dialogfeld auf Installation planen.
      Die Seite Aufgabe bearbeiten wird geöffnet. Folgen Sie den Schritten für das Verfahren Eine geplante Patch-Installationsaufgabe konfigurieren.
  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Computer.
    Die Seite Computer wird geöffnet.
  3. Wählen Sie im linken Fenster Das Ordner-Symbol Meine Organisation. Meine Organisation.
  4. Wählen Sie den Computer oder die Gruppe, auf dem/der Sie Patches installieren wollen.
    Das Symbol wird neben Computern angezeigt, die als Test-Computer für die Patch-Installation festgelegt sind.
  5. Wählen Sie im Optionsmenü Das Optionen-Symbol. für den Computer oder die Gruppe Patch-Installation planen.
    Die Seite Aufgabe bearbeiten wird geöffnet. Folgen Sie den Schritten für das Verfahren Eine geplante Patch-Installationsaufgabe konfigurieren.
  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Aufgaben.
    Die Seite Aufgaben wird geöffnet.
  3. Klicken Sie auf Aufgabe hinzufügen.
  4. Wählen Sie Patches installieren.
    Die Seite Neue Aufgabe wird geöffnet.
  5. Folgen Sie den Schritten für das Verfahren Eine geplante Patch-Installationsaufgabe konfigurieren.

Eine geplante Patch-Installationsaufgabe konfigurieren

Nachdem Sie eine geplante Patch-Installationsaufgabe hinzugefügt haben, müssen Sie die Aufgabe konfigurieren und veröffentlichen.

So konfigurieren Sie eine geplante Patch-Installationsaufgabe:

  1. Geben Sie auf der Seite Neue Aufgabe oder Aufgabe bearbeiten im Textfeld Name einen Namen für die Aufgabe ein.

    Screen shot of the New Task page

  2. Geben Sie im Textfeld Beschreibung eine Beschreibung der Aufgabe ein.
  3. Geben Sie den Startzeitpunkt für die Aufgabe vor.
    • Um die Aufgabe schnellstmöglich zu starten, wählen Sie das Kontrollkästchen So schnell wie möglich.
    • Um die Aufgabe zu einer spezifischen Zeit zu starten, wählen Sie Datum und Uhrzeit.
    • Um die Zeit auf Basis der Zeit auf dem Erkennungscomputer festzulegen, aktivieren Sie das Kontrollkästchen Lokale Zeit des Computers.
      Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird die Zeit des WatchGuard-Servers genommen.
  4. (Nur Subscriber) Wählen Sie eine Option, um anzugeben, wann die Aufgabe ausgeführt wird, falls der Computer zur geplanten Zeit ausgeschaltet ist.
  5. Wählen Sie in der Dropdown-Liste Häufigkeit, wie oft die Aufgabe ausgeführt werden soll (Einmal, täglich, wöchentlich, monatlich).
    • Wenn Sie Wöchentlich wählen, geben Sie an, an welchen Wochentagen die Aufgabe jede Woche ausgeführt werden soll.
    • Wenn Sie Monatlich auswählen, geben Sie den Tag oder das Datum an, an dem die Aufgabe jeden Monat ausgeführt werden soll.
  6. Wählen Sie die Wichtigkeit der Sicherheitspatches, die installiert werden sollen (Kritisch, Wichtig, Mittel, Niedrig oder Keine Angabe).

    Screen shot of the New Task page Criticality settings

  7. Um nicht sicherheitsbezogene Patches zu installieren, aktivieren Sie Sonstige Patches (nicht sicherheitsrelevant).
    Diese Kategorie beinhaltet Patches mit Fehlerbehebungen und Funktionsverbesserungen für Mac- und Linux-Computer.
  8. Um Service Packs zu installieren, aktivieren Sie Service Pack.
    Windows Service Packs werden auf Mac- oder Linux-Computer und -Geräte nicht angewendet.
  9. Um vorzugeben, für welches Betriebssystem und welche Produkte Patches installiert werden sollen, aktivieren bzw. deaktivieren Sie im Abschnitt Patches für die folgenden Produkte installieren die Kontrollkästchen neben den entsprechenden Betriebssystemen, Software-Anbietern, Software-Produkten und Patches. Um alle verfügbaren Patches zu installieren, wählen Sie das Kontrollkästchen Alle.

    Screen shot of New Task page product settings.

Falls Sie macOS wählen, fordert eine Warnmeldung Sie auf, zu bestätigen, dass Sie Patches für Mac-Computer einbeziehen wollen. Manche macOS-Patches starten den Computer automatisch neu (_SoftwareUpdate.pkg). Wir empfehlen Ihnen, alle offenen Dateien zu speichern und zu schließen.

Patches für Mac-Computer erfordern darüber hinaus, dass der Benutzer den Benutzernamen und das Passwort des Volume Owners (Erstbenutzer, der einen Mac für seine Nutzung konfiguriert hat) eingibt. Dies beinhaltet keine Intel-Mac-Computer. Wenn die Patch-Installationsaufgabe für einen Mac-Computer Patches beinhaltet, die keine Zugangsdaten erfordern, wird mit der Installation der Patches fortgefahren.

  1. Wählen Sie im Abschnitt Optionen für den Neustart eine Option, um vorzugeben, ob die Computer nach der Patchinstallation automatisch neu gestartet werden. Wenn Sie Nicht automatisch starten wählen, sehen Benutzer eine Meldung, dass ihr Computer neu gestartet werden muss, und können wählen, ob sie ihn sofort oder später neu starten wollen.
  2. Wählen Sie in der Dropdown-Liste Neustart aufschieben die zulässige Zeitspanne, bis Patch Management einen Neustart erzwingt (von 5 Minuten bis zu 7 Tagen).
  3. Klicken Sie oben rechts auf Speichern.
  4. Wählen Sie die Aufgabe aus und weisen Sie ihr Empfänger zu.
    1. Klicken Sie im Textfeld Empfänger zum Hinzufügen von Computern auf die Empfänger oder auf Noch keine Empfänger ausgewählt.
      Die Seite Empfänger wird geöffnet.
    2. So fügen Sie Computergruppen und Computer hinzu:

      1. Um die Aufgabe nur Test-Computern in den von Ihnen ausgewählten Gruppen zuzuweisen, aktivieren Sie Aufgabe nur auf Test-Computern ausführen. Diese Option ist standardmäßig deaktiviert. Wenn Sie diese Option nicht aktivieren, wird die Aufgabe für alle Computer ausgeführt, einschließlich der Test-Computer. Informationen über das Identifizieren von Test-Computern finden Sie unter Patch Management-Einstellungen konfigurieren.

      2. Klicken Sie auf The Add icon..
      3. Wählen Sie die gewünschten Computergruppen oder Computer aus.
      4. Klicken Sie auf Hinzufügen.
  5. Klicken Sie auf Zurück.
  6. Klicken Sie auf Speichern.
  7. Veröffentlichen Sie die Aufgabe. Weitere Informationen finden Sie unter Aufgaben veröffentlichen.

Patches deinstallieren

Sie können keine Linux- oder Mac-Computer-Patches deinstallieren.

Manchmal funktionieren von Software-Anbietern veröffentlichte Patches nicht richtig und verursachen Probleme. Mit WatchGuard Patch Management können Sie installierte Patches deinstallieren (rückgängig machen).

Sie können installierte Patches deinstallieren, wenn der Patch die Funktion Deinstallation unterstützt. Wenn der Software-Anbieter es Ihnen nicht erlaubt, einen Patch zu deinstallieren, sehen Sie den Text Nicht deinstallierbarer Patch auf der Detailseite Installiertes Patch und können den Patch nicht deinstallieren.

Von Ihnen deinstallierte Patches werden wieder auf der Liste Verfügbare Patches angezeigt und erneut installiert, wenn eine geplante Patch-Installationsaufgabe ausgeführt wird. Wenn Sie einen bestimmten Patch gar nicht auf Ihren Computern installieren wollen, können Sie ihn ausschließen. Weitere Informationen finden Sie unter Patches ausschließen.

Wir empfehlen Ihnen, Patches auf wenigen Computern zu testen, bevor Sie die Patches in Ihrem gesamten Netzwerk installieren. Sie können Computer für die Patch-Installation als Test-Computer festlegen. Weitere Informationen finden Sie unter Patch Management-Einstellungen konfigurieren.

So deinstallieren Sie einen Patch:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Status > Patch-Verwaltung.
    Das Patch Management-Dashboard wird geöffnet.
  3. Klicken Sie in der Kachel Verfügbare Patches oder Letzte Patch-Installationsaufgaben auf Installationsverlauf anzeigen.
    Die Liste Installationsverlauf wird geöffnet.

    Screen shot of Installation History page

  4. Klicken Sie auf die Zeile mit dem Patch, den Sie deinstallieren wollen.
    Die Detailseite Installierter Patch wird geöffnet.

    Screen shot of Patch Installed page

  5. Klicken Sie, falls vorhanden, auf Den Patch deinstallieren.
    Das Dialogfeld Patch deinstallieren wird geöffnet.

    Screen shot of Uninstall Patch dialog box

  6. Wählen Sie aus, ob Sie den Patch vom gewählten Computer oder von allen Computern im Netzwerk deinstallieren möchten.
  7. Klicken Sie auf Den Patch deinstallieren.
    Patch Management erstellt eine Aufgabe zum Deinstallieren des Patches.

Falls für die Deinstallation ein Neustart erforderlich ist, erhält der Benutzer eine Aufforderung, den Computer neu zu starten.

Ergebnisse der Installationsaufgabe überprüfen

Nachdem eine Aufgabe zum Installieren oder Deinstallieren eines Patches ausgeführt wurde, können Sie die Ergebnisse überprüfen.

Nur Endpoints mit dem relevanten Betriebssystem erhalten die Aufgabe und werden als Empfänger angezeigt.

So zeigen Sie die Ergebnisse der Installationsaufgabe an:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Aufgaben.
    Die Seite Aufgaben wird geöffnet.
  3. Klicken Sie in der Zeile der Installations- bzw. Deinstallationsaufgabe auf Ergebnisse anzeigen.
    Die Seite Scan-Ergebnisse wird geöffnet und zeigt den Status der Aufgabe für die einzelnen Computer an.

Screen shot of task results in Endpoint Security

Werte für den Installationsstatus

Die Tabelle mit den Ergebnissen der Aufgaben kann die folgenden Statuswerte zeigen:

  • Ausstehend — Die Aufgabe wurde noch nicht gestartet und erfordert eine Aktion. Sie können eine ausstehende Aufgabe aus der Liste Installationsverlauf auswählen, um die Ergebnisse und ggf. damit zusammenhängende Fehler zu überprüfen. Weitere Informationen finden Sie unter Installationsverlauf anzeigen und Patch Management-Installationsfehler.
  • In Bearbeitung — Die Aufgabe wird derzeit ausgeführt.
  • Abgeschlossen — Die Aufgabe wurde erfolgreich abgeschlossen.
  • Fehlgeschlagen — Die Aufgabe ist fehlgeschlagen und hat einen Fehler zurückgegeben.
  • Storniert (die Aufgabe konnte nicht zum geplanten Zeitpunkt gestartet werden) — Auf den Zielcomputer konnte zum geplanten Startzeitpunkt der Aufgabe oder im vorgegebenen Zeitraum nicht zugegriffen werden.
  • Abgebrochen — Die Aufgabe wurde manuell abgebrochen.
  • Abgebrochen (maximale Ausführungszeit überschritten) — Die Aufgabe wurde automatisch abgebrochen, weil sie die konfigurierte maximale Ausführungszeit überschritten hat.

Installationsverlauf anzeigen

In der Liste Installationsverlauf sind die Details der Patches aufgeführt, die Patch Management im angegebenen Zeitraum installiert und zu installieren versucht hat.

So überprüfen Sie den Installationsverlauf:

  1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
  2. Wählen Sie Status > Patch-Verwaltung.
    Das Patch Management-Dashboard wird geöffnet.
  3. Klicken Sie in der Kachel Verfügbare Patches oder Letzte Patch-Installationsaufgaben auf Installationsverlauf anzeigen.
    Die Liste Installationsverlauf wird geöffnet.

    Screen shot of Installation History page

  4. Um die Liste Installationsverlauf zu filtern, klicken Sie auf Filter.

    • Daten — Wählen Sie, ob Sie die Ergebnisse für die letzten 24 Stunden, 7 Tage oder den letzten Monat sehen möchten.
    • Plattform — Wählen Sie die Betriebssystemplattform, nach der Sie die Liste filtern wollen.
    • Computertyp — Aktivieren Sie das Kontrollkästchen für jeden Endpointtyp, nach dem Sie die Liste filtern wollen (z. B. Workstation, Laptop oder Server).
    • Computer, Programm, Patch — Geben Sie den Namen des Computers, Programms oder Patches ein, nach dem Sie die Liste filtern wollen.
    • Register — Wählen Sie, ob Sie die Liste nach Alle anzeigen für Patch-Installationsversuche filtern oder Nur letzten anzeigen wollen.
    • Priorität — Aktivieren Sie das Kontrollkästchen für die Patch-Priorität, nach der Sie die Liste filtern wollen (z. B. Kritisch, Wichtig, Mittel, Service Pack und weitere).
    • Installation — Aktivieren Sie das Kontrollkästchen für den Installationsstatus, nach dem Sie die Liste filtern wollen (z. B. Installiert, Erfordert Neustart, Fehler beim Herunterladen und Installationsfehler). Wenn der Status Erfordert Neustart war und der Patch nach dem Neustart auf dem Computer erfolgreich installiert ist, dann wird die Tabelle dynamisch zu Installiert aktualisiert.
    • CVE — Geben Sie die Patch-CVE-ID ein (z. B. CVE-2018-2790).

  5. Klicken Sie auf Filter.

  6. Die Spalte Installation zeigt den Installationsstatus. Um die installierten Patches zu überprüfen, klicken Sie in der Zeile eines Computers auf Das Optionen-Symbol. und wählen Sie Installierte Patches auf dem Computer anzeigen.

  7. Um alle Computer anzuzeigen, auf denen derselbe Patch installiert ist, klicken Sie in der Zeile für einen Computer auf Das Optionen-Symbol. und wählen Sie Computer mit installiertem Patch anzeigen.

  8. Um eine CSV-Datei des Installationsverlaufs zu exportieren, klicken Sie auf .

    • Wählen Sie Exportieren, um die Informationen in der Tabelle als eine CSV-Datei zu exportieren.

    • Wählen Sie Erweiterter Export, um die Informationen in der Tabelle sowie Informationen über die Aufgabe (Name, Startdatum und Enddatum) und den letzten Installationsversuch als CSV-Datei zu exportieren.

Ähnliche Themen

Über Patch Management

Patches manuell herunterladen

Patches ausschließen

Cache-Computer festlegen (Windows-Computer)