Before any security vulnerability detection on systems, the LANDesk Security Suite must be updated with security bulletins. These bulletins will be downloaded from a database hosted by LANDesk.
Unlike a traditional WSUS, EPM allows for managing patches from « standard » publishers.
Downloading Definitions
Creating Groups
We will create multiple groups to manage the approval of patches and pilot terminals.
- In “Patch and Compliance” \ “Public Custom Groups”, we will create the following groups
- _NewPatches => For new patches awaiting validation
- L1 => For technical recipe testing of patches on a small group of terminals
- L2 => For widespread deployment
Creating Scopes
We will create scopes that will be associated with the groups, consisting of:
- L1_PilotTerminals
- L2_Widespread
Creating Rollout Projects
Rollout Projects
- In “Rollout Projects”, we will initiate a new project
- The project will involve three key steps
- Patch validation => _NewPatch (need validation)
- Technical recipe transition => Move Patch To L1
- Broaden the deployment of patches => Move Patch To L2
Step _NewPatch (Need Validation)
- Create a new step
- Rename it to _NewPatch (Need Validation)
- In Approval, request an approval.
Patches will be moved to L1, provided they are validated.
Step Move Patch to L1
- Create a new step.
- Rename it to Move Patch To L1.
- In Actions \ Autofix settings, change the autofix for the L1_PilotTerminals scope.
- In Actions \ Group membership,
- Add to the L1 group.
- Remove from the _NewPatch group.
- In Actions \ Tags, we will make the following changes:
- Add Tag_PatchL1.
- Remove Tag_WaitValidation.
- Dans Exit criteria \Minimum duration
- Ajouter 1 semaine
Etape Move Patch To L2
- Créer une nouvelle étape
- La renommer en Move Patch To L2
- Dans Actions \ Autofix setting
- Ajouter l’autofix pour le scope L2_Generalisation
- Supprimer l’autofix pour le scope L1_PostesPilote
- Dans Actions \ Group membership,
- Ajouter le groupe L2
- Supprimer le groupe L1
- Dans Actions \Tags, On va ajouter
- Ajouter Tag_PatchL2
- Supprimer Tag_PatchL1
Téléchargement des signatures
Téléchargement
- Sélectionnez le bouton « Télécharger les mises à jour »
Onglet Updates
- Dans Select update source site
- Sélectionner « Europe »
- Dans les définitions
- Activer au minium les vulnérabilités Microsoft
- Dans définition grouping
- Sélectionner “unassigned”
- Cliquez ensuite sur “Définition download settings”
- Appliquer le scan pour les patchs critiques et les patchs importants (par exemple)
Le scan n’applique pas le patch mais identifie simplement les postes ou les patchs ne sont pas installés
ATTENTION : si vous souhaitez télécharger les drivers il faut configurer le HII LANDESK avant (permet de configurer l’emplacement des drivers)
Onglet Patch location
- Dans cet onglet indiquez le chemin UNC et http ou seront copiés les patchs
- Activez le nettoyage automatique des patchs
Onglet Filter Definition
- Créer un nouveau filtre
- Sous Onglet Name
- Indiquez un nom pour ce filtre
- Sous Onglet OS
- Sélectionnez les OS que vous voulez gérer
- Sous Onglet Products
- Sélectionnez les applications que vous voulez gérer
- Sous Onglet Severity
- Indiquez les Patchs Critiques au minimum
- Sous Onglet Groups
- Ajouter les patchs dans le groupe _NewPatch
- Sous Onglet “Rollout Projet”
- Associer à Rollout Projet » créer précédemment
Tâches planifiés
On aura 3 taches pour le paching, vous pouvez donc créer un dossier pour “Ranger les tâches”
“Rollout projets”
- Si vous ne voulez pas planifier le projet cliquez simplement sur le bouton “Process selected Item Now”
- Sinon planifier le projet avec le bouton Create a task
Téléchargement des patchs
- Cliquer sur « Planifier le téléchargement » afin de créer une tâche planifiée qui va télécharger les nouvelles définitions.
- Il est possible de modifier le nom de la tâche. Cliquer sur « Ok »
- La tâche est planifiée tous les jours
Collecte des données
- Aller dans « Créer une tâche \ Collecter les informations d’historique… »
- Cliquer sur « Créer une tâche »
Aller dans les propriétés de la tâche.
- La tâche est planifiée tous les soirs à 22h30
Comment le patching va se faire ?
Téléchargement des patchs
C’est le rôle de la tâche planifié Download patch content
Une fois lancée, les nouveaux patchs “critiques” et « importants » seront copiés dans _NewPatch
Approbation des patchs
Lors de l’exécution de :
- La tâche planifié “Rollout project task”
- ou avec le bouton “Process selected Item Now”
Les nouveaux patchs seront dans le “rollout projet” en attente de validation.
Installation sur le groupe L1 (pilote)
Une fois les patchs validés, lors de l’exécution de :
- La tâche planifié “Rollout project task”
- ou avec le bouton “Process selected Item Now”
Les patchs vont passer le groupe L1
Installation sur le groupe L2
Une fois le délai d’une semaine passée, lors de l’exécution de :
- La tâche planifié “Rollout project task”
- ou avec le bouton “Process selected Item Now”
Les patchs vont passer le groupe L2