Auf Englisch lesen

Freigeben über


Essential Eight Patch-Betriebssysteme

In dieser Tabelle werden die ISM-Steuerelemente im Zusammenhang mit Patchbetriebssystemen beschrieben.

ISM-Steuerung Sep 2024 Reifegrad Control Messen
ISM-1694 1, 2, 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internetgeräten werden innerhalb von zwei Wochen nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Mithilfe von Windows Update for Business und definierten Updateringen werden die Patches mit einer Veröffentlichung von 2 Wochen installiert.
ISM-1695 1, 2 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Netzwerkgeräten, die nicht mit dem Internet verbunden sind, werden innerhalb eines Monats nach der Veröffentlichung angewendet. IT-Administratoren stellen Updates mit einer Fristkonfiguration des gewünschten Datums in Microsoft Configuration Manager
ISM-1696 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Nicht-Internet-Netzwerkgeräten werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. IT-Administratoren stellen Updates mit einer Fristkonfiguration von So bald wie möglich in Microsoft Configuration Manager
ISM-1701 1, 2, 3 Ein Sicherheitsrisikoscanner wird mindestens täglich verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internet-Netzwerkgeräten zu identifizieren. Geräte, die in Defender für Endpunkt integriert sind. Microsoft Defender Vulnerability Management überwachen und erkennen risiken kontinuierlich auf den Geräten eines organization.
ISM-1702 1, 2, 3 Ein Sicherheitsrisikoscanner wird mindestens zwei Wochen verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Nicht-Internet-Netzwerkgeräten zu identifizieren. Der IT-Administrator konfiguriert das Softwareupdatefeature von Configuration Manager so, dass mindestens alle 14 Tage eine Überprüfung auf fehlende Patches auf dem System ausgeführt wird.
ISM-1877 1, 2, 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internetgeräten werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. Mithilfe Windows Update beschleunigten Patchbereitstellungsmethode für Unternehmen werden die Patches innerhalb von 48 Stunden installiert.
ISM-1501 1, 2, 3 Betriebssysteme, die von Anbietern nicht mehr unterstützt werden, werden ersetzt. Mithilfe der definierten Ringe aktualisiert WUfB Geräte automatisch auf das neueste Featureupdate.
ISM-1879 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Treibern werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch eingestuft werden oder wenn funktionierende Exploits vorhanden sind. Mithilfe der definierten Ringe aktualisiert WUfB Geräte automatisch auf das neueste Featureupdate.
ISM-1900 3 Ein Sicherheitsrisikoscanner wird mindestens zwei Wochen verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in der Firmware zu identifizieren. Geräte werden in Defender für Endpunkt integriert. Microsoft Defender Vulnerability Management überwachen und erkennen risiken kontinuierlich auf den Geräten eines organization.
ISM-1902 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Netzwerkgeräten ohne Internetzugriff werden innerhalb eines Monats nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Der IT-Administrator konfiguriert das Softwareupdatefeature von Configuration Manager so, dass mindestens alle 14 Tage eine Überprüfung auf fehlende Patches auf dem System ausgeführt wird.
ISM-1903 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in der Firmware werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. Intune-Bereitstellungsmethode "Treiber und Firmware" stellt die neuesten sicheren Treiber und Firmwareversionen bereit.
ISM-1904 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in der Firmware werden innerhalb eines Monats nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Intune-Bereitstellungsmethode für Treiber und Firmware wird verwendet, um die neuesten sicheren Treiber und Firmwareversionen bereitzustellen.
ISM-1697 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Treibern werden innerhalb eines Monats nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Intune Bereitstellungsmethode für Treiber und Firmware wird verwendet, um die Sicherheitsrisiken in Treibern und Firmware zu patchen.
ISM-1703 3 Ein Sicherheitsrisikoscanner wird mindestens zwei Wochen verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in Treibern zu identifizieren. Geräte werden in Defender für Endpunkt integriert. Microsoft Defender Vulnerability Management überwachen und erkennen risiken kontinuierlich auf den Geräten eines organization.
ISM-17041 1, 2, 3 Office-Produktivitätssuites, Webbrowser und deren Erweiterungen, E-Mail-Clients, PDF-Software, Adobe Flash Player und Sicherheitsprodukte, die nicht mehr von Anbietern unterstützt werden, werden entfernt. Intune Application-Bereitstellungsmethode wird verwendet, um nicht unterstützte Anwendungen und Erweiterungen zu entfernen2.
ISM-18071 1, 2, 3 Eine automatisierte Methode zur Ressourcenermittlung wird mindestens zwei Wochen verwendet, um die Erkennung von Ressourcen für nachfolgende Aktivitäten zur Überprüfung auf Sicherheitsrisiken zu unterstützen. Verwenden Sie einen Scanner, um die Ressourcenermittlung durchzuführen und den Ressourcenbestandzu verwalten 2.
ISM-18081 1, 2, 3 Für Aktivitäten zur Überprüfung auf Sicherheitsrisiken wird eine Überprüfung auf Sicherheitsrisiken mit einer aktuellen Datenbank verwendet. Die Datenbank für Sicherheitsrisiken von DVM wird kontinuierlich aktualisiert, da Microsoft und andere Sicherheitsrisiken in der in Ihrem Netzwerkinstallierten Software erkennen 2.

Hinweis

1 Diese Steuerelemente decken sowohl die Patchanwendung als auch das Patchbetriebssystem in Essential 8 ab.

2 Ausführliche Informationen zum Implementieren dieser Steuerelemente finden Sie im Abschnitt Patchanwendungen.

Windows Update for Business

Windows Update for Business (WUfB) ermöglicht ES IT-Administratoren, die Windows-Geräte ihrer organization mit den neuesten Sicherheits- und Qualitätsupdates und Windows-Features auf dem neuesten Stand zu halten, indem sie diese Endpunkte direkt mit Windows Update verbinden. IT-Administratoren können die Integration zwischen Microsoft Intune und WUfB verwenden, um Updateeinstellungen auf Geräten zu konfigurieren und die Verzögerung der Updateinstallation zu konfigurieren.

Windows Update for Business bietet Verwaltungsrichtlinien für verschiedene Arten von Updates:

  • Featureupdates: Diese Updates enthalten nicht nur Sicherheits- und Qualitätsrevisionen, sondern auch erhebliche Featureerweiterungen und Änderungen. Ab Windows 10 21H2 werden Featureupdates jährlich in der zweiten Hälfte des Kalenderjahres veröffentlicht. Releaseinformationen für Featureupdates sind hier dokumentiert: Windows 10 - Releaseinformationen | Microsoft-Dokumentation
  • Qualitätsupdates: Herkömmliche Betriebssystemupdates, die in der Regel am zweiten Dienstag jedes Monats veröffentlicht werden (obwohl diese Updates jederzeit veröffentlicht werden können). Dazu gehören Sicherheitsupdates, kritische Updates und Treiberupdates. Qualitätsupdates sind kumulativ.
  • Windows-Treiber: Gerätetreiber, die auf verwaltete Geräte anwendbar sind.
  • Microsoft-Produktupdates: Updates für andere Microsoft-Produkte, z. B. MSI-Version von Microsoft 365-Apps und .NET (Dot Net) Framework. Diese Updates können mithilfe der richtlinie Windows Update for Business aktiviert oder deaktiviert werden.

Windows Update for Business Rings

WUfB hat das Konzept von Ringen. Ringe sind eine Sammlung von WUfB-Einstellungen und -Richtlinien, die auf eine bestimmte Gruppe von Geräten ausgerichtet sind. Organisationen können beliebig viele Ringe verwenden, obwohl sich die meisten Organisationen auf weniger Ringe festgelegt haben, als sie zuvor mit anderen Patchtools wie Microsoft Endpoint Configuration Manager verwendet haben. Eine empfohlene Anzahl von Ringen für den Anfang liegt zwischen 3 und 5 Ringen.

Wichtige Windows Update für Geschäftseinstellungen und -terminologie

WUfB führt einige neue Konzepte und Terminologie ein, mit denen Administratoren möglicherweise nicht vertraut sind:

  • Erkennung: Geräte checken regelmäßig beim Windows Update-Dienst ein, um zu überprüfen, ob Updates angeboten werden. Dieser Check-in und die Feststellung, dass ein Update für das Gerät verfügbar ist, wird als Erkennung bezeichnet.
  • Zurückstellung: Windows Update for Business bietet die Möglichkeit, ein Update für eine bestimmte Anzahl von Tagen vom Angebot an ein Gerät zurück zu verschieben.
  • Stichtag: Mit der Stichtageinstellung können Administratoren die Anzahl der Tage angeben, bevor Qualitätsupdates auf einem Gerät installiert werden. Nach Ablauf der angegebenen Anzahl von Tagen werden die Updates automatisch installiert. Der Countdown zum Stichtag beginnt ab dem Zeitpunkt, zu dem ein Update für das Gerät angeboten wird (d. h. wenn ein Update erkannt wird, wie über die Verzögerungsoption angegeben).
  • Karenzzeit: Mit der Einstellung toleranzperiode können Administratoren eine Anzahl von Tagen angeben, bevor ein Neustart erfolgt, um Updates anzuwenden und zu installieren. Nachdem die angegebene Anzahl von Tagen verstrichen ist, erfolgt automatisch ein Neustart. Der Neustart-Countdown beginnt mit dem Zeitpunkt, zu dem ein Update erfolgreich installiert wurde.

Windows Update für Geschäftseinstellungen Zeitleiste Beispiel

Stichtagswert Karenzzeitwert Installationszeit für erzwungene Updates Erzwungener Neustart
0 0 Unmittelbar nach der Erkennung Unmittelbar nach der Installation
2 2 2 Tage nach der Erkennung 2 Tage nach der Installation des Updates

Windows Update for Business Ring-Konfiguration

Es folgt ein Beispiel für eine WUfB-Ringkonfiguration mit insgesamt 5 Ringen. Für jeden Ring werden die empfohlene Verzögerung, der Stichtag und die Toleranzperiode aufgeführt. Die vollständige Konfiguration für jeden Ring wurde zur Einfachen Referenz bereitgestellt.

  • Ring 0 – Testgeräte: Dedizierte Testgeräte (kritische Apps & anfänglichen Rauchschutz)
  • Ring 1 – Pilotgeräte: IT-Administratoren, Early Adopters (bestehend aus 1 % der gesamten Geräte)
  • Ring 2 – Schnelle Geräte: Zufällige Auswahl von Geräten (bestehend aus 9 % der gesamten Geräte)
  • Ring 3 – Allgemeine Geräte: Breite Bereitstellung (bestehend aus 90 % der gesamten Geräte)
  • Ring 4 – Kritische Geräte: Führungskräfte, unternehmenskritische Geräte usw.

WUfB 5 Ring-Konfiguration.

Ring 0: Testgeräte

  • Installieren Sie Updates 0 Tage nach der Veröffentlichung.

Organisationen sollten einen "Ring 0" konfigurieren, der aus dedizierten Testgeräten besteht. Ring 0, Testgeräte.

Diese Geräte erhalten Updates ohne Verzögerung. Administratoren können diese Geräte mit den neuesten Updates verwenden, um eine anfängliche Überprüfung kritischer Anwendungen durchzuführen, und die Funktionalität funktioniert weiterhin wie erwartet.

Zurückstellung von Qualitätsupdates Featureupdateverzögerung Stichtagswert Karenzzeitwert Installationszeit für erzwungene Qualitätsupdates Erzwungener Neustart
0 0 0 0 Unmittelbar nach Release und Erkennung Unmittelbar nach der Installation des erzwungenen Updates

Die vollständige Konfiguration für diesen Ring finden Sie unter Windows Update für Business Ring-Konfiguration.

Ring 1: Pilot

  • Installieren von Updates 2 Tage nach der Veröffentlichung (1 % der Geräte)

IT-Mitarbeiter und ausgewählte Early Adopters umfassen Ring 1, in der Regel etwa 1 % der gesamten verwalteten Geräte. Ring 1, Pilotgeräte.

Abgesehen von den ersten Tests mit Ring 0 bietet dieser Ring die erste Testreihe von Benutzern, die ihre tägliche Arbeit ausführen, um Probleme aufzudecken, bevor eine erweiterte Anzahl von Geräten die Updates erhält.

Zurückstellung von Qualitätsupdates Featureupdateverzögerung Stichtagswert Karenzzeitwert Installationszeit für erzwungene Qualitätsupdates Erzwungener Neustart
2 10 2 2 4 Tage nach Veröffentlichung und Erkennung von Qualitätsupdates 2 Tage nach erzwungener Updateinstallation

Die vollständige Konfiguration für diesen Ring finden Sie unter Windows Update für Business Ring-Konfiguration.

Hinweis

Schließen Sie Arbeitsstationen mit privilegiertem Zugriff aus, die zur Problembehandlung und Behebung von Problemen verwendet werden, wenn sie in diesem Ring auftreten. Der breite Ring wäre ein geeigneter Ring für diese Geräte.

Ring 2: Schnell

  • Installieren von Updates 4 Tage nach der Veröffentlichung (9 % der Geräte)

Ein zufälliges Sortiment, das aus 9 % der Organisationsendpunkte besteht, sollte Ring 2 hinzugefügt werden. Ring 2, Fast Ring.

Diese Geräte sind so konfiguriert, dass sie 4 Tage nach der Veröffentlichung Updates erhalten, sodass mehr Tests durch eine größere Anzahl von Benutzern durchgeführt werden können, bevor eine umfassende Bereitstellung für den Rest des organization.

Zurückstellung von Qualitätsupdates Featureupdateverzögerung Stichtagswert Karenzzeitwert Installationszeit für erzwungene Qualitätsupdates Erzwungener Neustart
4 30 2 2 6 Tage nach Veröffentlichung und Erkennung von Qualitätsupdates 2 Tage nach erzwungener Updateinstallation

Die vollständige Konfiguration für diesen Ring finden Sie unter Windows Update für Business Ring-Konfiguration.

Ring 3: Breit

  • Installieren von Updates 7 Tage nach der Veröffentlichung (90 % der Geräte)

Alle verbleibenden Geräte sollten als Teil von Ring 3 konfiguriert werden. Ring 3, Breiter Ring.

In dieser Phase haben Organisationen die Gewissheit, dass Updates auf ihren Geräten allgemein installiert werden können. Ring 3 konfiguriert Updates, die um 7 Tage nach der Veröffentlichung verzögert werden, bevor sie automatisch installiert werden.

Zurückstellung von Qualitätsupdates Featureupdateverzögerung Stichtagswert Karenzzeitwert Installationszeit für erzwungene Qualitätsupdates Erzwungener Neustart
7 60 2 2 9 Tage nach Veröffentlichung und Erkennung von Qualitätsupdates 2 Tage nach erzwungener Updateinstallation

Die vollständige Konfiguration für diesen Ring finden Sie unter Windows Update für Business Ring-Konfiguration.

Ring 4: Kritische Systeme

  • Installieren von Updates 14 Tage nach der Veröffentlichung

Einige Organisationen verfügen über eine kleine Anzahl kritischer Geräte, z. B. Geräte, die von Führungskräften verwendet werden. Ring 4, Kritischer Ring.

Für diese Gerätetypen möchten Organisationen möglicherweise die Installation von Qualitäts- und Featureupdates weiter zurückstellen, um potenzielle Unterbrechungen zu minimieren. Diese Geräte sind Speziell für diese kritischen Geräte Teil von Ring 4.

Zurückstellung von Qualitätsupdates Featureupdateverzögerung Karenzzeitwert Stichtagswert Updateinstallationszeit Erzwungener Neustart
10 90 2 2 12 Tage nach Veröffentlichung und Erkennung von Qualitätsupdates 2 Tage nach erzwungener Updateinstallation

Die vollständige Konfiguration für diesen Ring finden Sie im Anhang unter Windows Update for Business Ring Configuration.

ISM-Steuerung Sep 2024 Reifegrad Control Measure
1694 1, 2, 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internetgeräten werden innerhalb von zwei Wochen nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Mithilfe von Windows Update for Business und definierten Updateringen werden die Patches mit einer Veröffentlichung von 2 Wochen installiert.
1501 1, 2, 3 Betriebssysteme, die von Anbietern nicht mehr unterstützt werden, werden ersetzt. Mithilfe der definierten Ringe aktualisiert WUfB Geräte automatisch auf das neueste Featureupdate.

Beschleunigen von Qualitätsupdates

Intune bietet die Möglichkeit, Qualitätsupdates zu beschleunigen und die Installation von Qualitätsupdates zu beschleunigen, z. B. das neueste Patch-Dienstag-Release oder ein Out-of-Band-Sicherheitsupdate für einen Zero-Day-Fehler. Um die Installation zu beschleunigen, werden bei beschleunigten Updates verfügbare Dienste wie Windows-Pushbenachrichtigungsdienst (Windows Push Notification Service, WNS) und Pushbenachrichtigungskanäle verwendet, um die Nachricht an Geräte zu übermitteln, auf denen ein beschleunigtes Update installiert werden muss. Dieser Prozess ermöglicht es Geräten, den Download und die Installation eines beschleunigten Updates so schnell wie möglich zu starten, ohne warten zu müssen, bis das Gerät nach Updates eincheckt.

Implementierungsdetails – Beschleunigen von Qualitätsupdates

So beschleunigen Sie Qualitätsupdates:

  1. Erstellen von Qualitätsupdates für Windows 10 und höher unter Geräte>Windows-Qualitätsupdates>für Windows 10 und höher (Vorschau)
  2. Geben Sie einen Namen an. Es wird empfohlen, dass der Name der Richtlinie an der Version des Qualitätsupdates ausgerichtet ist, die zur Vereinfachung der Referenz beschleunigt wird.
  3. Definieren Sie die Qualitätsupdates, die Windows Update for Business die Installation von beschleunigen, wenn die Betriebssystemversion des Geräts kleiner als ist.
  4. Definieren der Anzahl von Tagen, bis ein Neustart des Geräts erzwungen wird
  5. Zuweisen des Profils zu einer Gruppe, die alle anwendbaren Windows-Geräte enthält

Hinweis

Wenn die Anzahl der Tage, die auf die Erzwingung eines Neustarts gewartet werden soll, auf 0 festgelegt ist, wird das Gerät sofort nach Erhalt des Updates neu gestartet. Der Benutzer erhält nicht die Option, den Neustart zu verzögern.

ISM-Steuerung Sep 2024 Reifegrad Control Measure
1877 1, 2, 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internetgeräten werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. Mithilfe Windows Update beschleunigten Patchbereitstellungsmethode für Unternehmen werden die Patches innerhalb von 48 Stunden installiert.
1879 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Treibern werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch eingestuft werden oder wenn funktionierende Exploits vorhanden sind. Mithilfe der definierten Ringe aktualisiert WUfB Geräte automatisch auf das neueste Featureupdate.

Hinweis

Es wird empfohlen, die Richtlinie für beschleunigte Qualitätsupdates zu entfernen, in der Regel, nachdem bestätigt wurde, dass der Patch erfolgreich auf allen Geräten bereitgestellt wurde, oder er wird durch die Updates des nächsten Monats ersetzt.

Übermittlungsoptimierung

Die Übermittlungsoptimierung ist eine in der Cloud verwaltete Lösung, mit der Clients Updates aus alternativen Quellen (z. B. anderen Peers im Netzwerk) zusätzlich zu den herkömmlichen internetbasierten Servern herunterladen können. Bei der Konfiguration über Intune können Einstellungen für die Übermittlungsoptimierung für Windows-Geräte konfiguriert werden, um den Internetbandbreitenverbrauch beim Herunterladen von Updatebinärdateien zu reduzieren.

Implementierungsdetails – Richtlinie zur Übermittlungsoptimierung

  1. Erstellen Einer Übermittlungsoptimierungsrichtlinie unter Geräte>Windows-Konfigurationsprofil>>Profilplattform>>erstellen Windows 10 und höher>Profiltypvorlagen>Übermittlungsoptimierung
  2. Geben Sie einen Namen für die Richtlinie an.
  3. Verwenden Sie auf der Seite Konfigurationseinstellungen die Werte gemäß den Einstellungen der Übermittlungsoptimierungsrichtlinie im Anhang, und erstellen Sie die Richtlinie.
  4. Weisen Sie das Profil einer Gruppe zu, die alle anwendbaren Windows-Geräte enthält.

Verwaltung von Intune-Treibern und Firmwareupdates

Mit der Windows-Treiberupdateverwaltung in Microsoft Intune erhalten Sie die Möglichkeit, die Bereitstellung zu überwachen, zu autorisieren und den Rollout von Treiberupdates auf Ihren verwalteten Windows 10 und Windows 11 Geräten vorübergehend anzuhalten. Intune übernimmt neben dem Windows Update for Business (WUfB) Deployment Service (DS) den komplizierten Prozess der Identifizierung relevanter Treiberupdates für Geräte im Rahmen einer Richtlinie für Treiberupdates. Diese Updates werden nach Intune und WUfB-DS kategorisiert, wodurch der Prozess der Unterscheidung zwischen empfohlenen Updates, die für alle Geräte geeignet sind, und optionalen Updates optimiert wird, die auf bestimmte Anforderungen zugeschnitten sind. Durch Windows-Treiberupdaterichtlinien behalten Sie die vollständige Kontrolle über die Installation von Treiberupdates auf Ihren Geräten.

Sie haben folgende Möglichkeiten:

  • Automatische Genehmigungen für empfohlene Treiber Updates aktivieren: Richtlinien, die für die automatische Genehmigung konfiguriert sind, stellen grünes Licht und stellen jede neue empfohlene Treiberupdateversion auf den Geräten bereit, die der Richtlinie zugewiesen sind. Empfohlene Treiber stellen in der Regel das neueste Update dar, das vom Treiberherausgeber als wesentlich gekennzeichnet wird. Darüber hinaus werden Treiber, die nicht als die aktuelle empfohlene Version festgelegt sind, als andere Treiber katalogisiert und bieten optionale Updates. Wenn anschließend ein neueres Treiberupdate vom OEM veröffentlicht und als aktuelles empfohlenes Treiberupdate identifiziert wird, fügt Intune es automatisch der Richtlinie hinzu und verschiebt den zuvor empfohlenen Treiber in die Liste der anderen Treiber.
  • Richtlinie so konfigurieren, dass eine manuelle Genehmigung aller Updates erforderlich ist: Diese Richtlinie stellt sicher, dass Administratoren ein Treiberupdate genehmigen müssen, bevor es bereitgestellt werden kann. Neuere Versionen von Treiberupdates für Geräte mit dieser Richtlinie werden der Richtlinie automatisch hinzugefügt, bleiben aber bis zur Genehmigung inaktiv.
  • Verwalten, welche Treiber für die Bereitstellung genehmigt werden: Sie können jede Treiberupdaterichtlinie bearbeiten, um zu ändern, welche Treiber für die Bereitstellung genehmigt werden. Sie können die Bereitstellung jedes einzelnen Treiberupdates anhalten, um die Bereitstellung auf neuen Geräten zu beenden, und später das angehaltene Update erneut testen, damit Windows Update die Installation auf entsprechenden Geräten fortsetzen kann.

Schritte zum Bereitstellen von Treibern und Firmwareupdates über Intune Treiber und Firmwareverwaltungsfeature

Schritt 1: Erstellen eines Treiberupdateprofils und von Bereitstellungsringen

Wenn eine Richtlinie zum Aktualisieren einer Treiberrichtlinie erstellt wird, kann der IT-Administrator zwischen automatischen und manuellen Updates wählen.

  • Automatisch: Genehmigen Sie automatisch alle empfohlenen Treiber, und legen Sie fest, wie lange sie nach der Ermittlung mit dem Angebot beginnen sollen.
  • Manuell: Genehmigen Sie Treiber manuell, und wählen Sie den Tag aus, an dem Sie mit dem Anbieten des Updates beginnen, wenn Sie sie genehmigen. Mit dieser Option werden keine Treiber bis zur manuellen Genehmigung angeboten. Um einen Satz von Bereitstellungsringen zu erstellen, empfehlen wir die Verwendung der folgenden Kombination von Einstellungen:
    • Genehmigungsmethode: Automatisches Genehmigen aller empfohlenen Treiberupdates
    • Updates nach (Tagen) verfügbar machen

Schritt 2: Überprüfen der verfügbaren Treiber

Nachdem die Richtlinie erstellt wurde, lassen Sie Geräte ungefähr einen Tag lang nach Updates suchen. Die Spalte Zu überprüfende Treiber enthält die Anzahl der neuen empfohlenen Treiberupdates, die zur manuellen Genehmigung überprüft werden können. In einer automatischen Richtlinie bleiben zu überprüfende Treiber bei 0, da empfohlene Treiber automatisch genehmigt werden. Dies ist ein guter Indikator dafür, dass neue Treiber entdeckt wurden und auf eine Entscheidung warten, ob die Bereitstellung dieser Treiber genehmigt oder abgelehnt werden soll.

Schritt 3: Genehmigen von Treibern

Wenn ein IT-Administrator einen Treiber genehmigt, kann zusätzlich ein zukünftiges Genehmigungsdatum angegeben werden. Nachdem Treiber genehmigt wurden, erhalten Intune verwaltete Windows-Gerät sie im nächsten Richtliniensynchronisierungszyklus, der in der Regel alle 8 Stunden erfolgt.

ISM-Steuerung Sep 2024 Reifegrad Control Measure
ISM-1697 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Treibern werden innerhalb eines Monats nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. die Treiber- und Firmwarebereitstellungsmethode von Intune wird verwendet, um die neueste Version des Treibers zu genehmigen und bereitzustellen, die Sicherheitsrisiken entschärft.
ISM-1903 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in der Firmware werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. IT-Administrator genehmigt die neuere Version der Firmware in der Intune-Konsole, wenn Firmware-Sicherheitsrisiken von den Anbietern als kritisch bewertet werden
ISM-1904 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in der Firmware werden innerhalb eines Monats nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Intune-Bereitstellungsmethode "Treiber und Firmware" stellt die neuesten sicheren Treiber und Firmwareversionen bereit.

Überwachen der Updateinstallation

Hinweis

Updatekonformität ist ab März 2023 veraltet.

Berichterstellung zur Compliance mithilfe von Updatekonformität (Log Analytics)

Die Updatekonformität ermöglicht die Überwachung von Qualitäts- und Featureupdates für Windows 10- oder Windows 11 Professional-, Education- und Enterprise-Editionen. Updatekonformität sortiert Windows-Clientdiagnosedaten, um Berichte über die status von Updates auf Windows-Geräten in einem Log Analytics-Arbeitsbereich zu erstellen. Updatekonformität zeigt Informationen für alle Geräte an, die in den Dienst integriert sind, um festzustellen, ob sie mit den folgenden Komponenten auf dem neuesten Stand sind:

  • Sicherheitsupdates: Ein Gerät ist bei Qualitätsupdates immer auf dem neuesten Stand, wenn das neueste anwendbare Qualitätsupdate installiert ist. Qualitätsupdates sind monatliche kumulative Updates, die für eine Version des Windows-Clients spezifisch sind.
  • Featureupdates: Ein Gerät ist bei Featureupdates immer auf dem neuesten Stand, wenn das neueste anwendbare Featureupdate installiert ist. Updatecompliance berücksichtigt den Wartungskanal, wenn die Anwendbarkeit von Updates bestimmt wird.

Weitere Informationen zu den Voraussetzungen für die Bereitstellung eines Log Analytics-Arbeitsbereichs für die Updatekonformität finden Sie unter Erste Schritte mit der Updatekonformität – Windows-Bereitstellung.

Integrieren von Geräten zur Updatekonformität

  1. Nachdem die Updatecompliance-Lösung erstellt wurde, rufen Sie Ihre kommerzielle ID ab, indem Sie zur Registerkarte Lösungen für Ihren Log Analytics-Arbeitsbereich navigieren und dann die Lösung WaaSUpdateInsights auswählen. Eine CommercialID ist ein global eindeutiger Bezeichner, der einem bestimmten Log Analytics-Arbeitsbereich zugewiesen ist.
  2. Konfigurieren der Richtlinie für die Übereinstimmung mit der Updatekonformitätsrichtlinie
  3. Ändern Sie in der Konsole den Wert von CommercialID in Ihre eindeutige CommercialID (gesammelt in Schritt 1).
  4. Weisen Sie das Profil einer Gruppe zu, die alle anwendbaren Windows-Geräte enthält.

Verwenden von Berichten zur Updatekonformität

Konsolidierte Diagnose Daten werden in verschiedenen Berichtsabschnitten unter Updatecompliance leicht verfügbar dargestellt. Die gesammelten Daten werden innerhalb der Updatekonformität 28 Tage lang gespeichert.

Abschnitt "Compliancebericht zur Aufmerksamkeit erforderlich"

Dieser Abschnitt enthält eine Aufschlüsselung aller Windows-Clientgeräte und Updateprobleme, die von der Updatekonformität erkannt wurden. Die Zusammenfassungskachel für diesen Abschnitt zählt die Anzahl der Geräte, auf denen Probleme auftreten, während die Blätter im Abschnitt die aufgetretenen Probleme aufschlüsseln, z. B. Geräte mit nicht unterstützten Betriebssystemversionen und fehlende Sicherheitsupdates. Geräte, die in diesen Berichten angezeigt werden, müssen von einem Administrator behoben werden. Es gibt auch eine vordefinierte Liste von Abfragen, die Werte bereitstellen, aber nicht in einen anderen Standard Abschnitt passen, z. B. Geräte mit ausstehenden Neustarts, angehaltene Konfigurationen und mehr.

Abschnitt

Abschnitt "Sicherheitsupdate status Kompatibilitätsbericht"

In diesem Abschnitt wird der Prozentsatz der Geräte aufgeführt, die das neueste Sicherheitsupdate verwenden, das für die Windows-Version veröffentlicht wurde, auf der das Gerät ausgeführt wird. Wenn Sie diesen Abschnitt auswählen, finden Sie Blätter, die die allgemeine status von Sicherheitsupdates auf allen Geräten sowie eine Zusammenfassung des Bereitstellungsfortschritts für die letzten beiden Sicherheitsupdates zusammenfassen.

Sicherheitsupdatestatus.

Abschnitt "Featureupdate status Compliancebericht"

In diesem Abschnitt wird der Prozentsatz der Geräte aufgeführt, die sich auf dem neuesten Featureupdate befinden, das für ein bestimmtes Gerät gilt. Wenn Sie diesen Abschnitt auswählen, finden Sie Blätter, auf denen die allgemeine featureupdate-status auf allen Geräten sowie eine Zusammenfassung der Bereitstellung status für verschiedene Versionen des Windows-Clients in Ihrer Umgebung zusammengefasst sind.

Featureupdatestatus.

Abschnitt "Übermittlungsoptimierung status Compliancebericht"

In diesem Abschnitt werden Bandbreiteneinsparungen durch die Verwendung der Übermittlungsoptimierung in Ihrer Umgebung zusammengefasst. Es bietet eine Aufschlüsselung der Konfiguration der Übermittlungsoptimierung auf allen Geräten und fasst Bandbreiteneinsparungen und -nutzung für mehrere Inhaltstypen zusammen.

Übermittlungsoptimierungsstatus.

Automatisches Windows-Patchen

Einer der teuersten Aspekte des Softwareupdateverwaltungsprozesses besteht darin, sicherzustellen, dass Geräte (physisch und virtuell) immer fehlerfrei sind, um Softwareupdates für jeden Releasezyklus von Softwareupdates zu empfangen und zu melden. Eine Möglichkeit zu haben, mit laufenden Change Management-Prozessen zu messen, schnell zu erkennen und zu beheben, wenn etwas schief geht, ist wichtig. Es trägt dazu bei, das hohe Helpdesk-Ticketvolumen zu verringern, die Kosten zu senken und die Gesamtergebnisse der Updateverwaltung zu verbessern.

Windows Autopatch ist ein Clouddienst, der Das Patchen für Windows, Microsoft 365 Apps for Enterprise, Microsoft Edge, Microsoft Teams, Surface-Treiber/Firmware, veröffentlichte Treiber/Firmware automatisiert, die in Windows Update Store als obligatorisch gekennzeichnet sind, Windows 365 und Azure Virtual Desktop (AVD) für Ihre organization. Windows Autopatch bietet eine zusätzliche Ebene für Ihre organization, um Probleme bei der Bereitstellung von Windows Updates zu beheben. Windows Autopatch-Bereitstellungsringe sind auf Geräteebene getrennt, d. h., während des Windows Autopatch-Geräteregistrierungsprozesses weisen wir Geräte einem der Bereitstellungsringe zu: Test, First, Fast oder Broad.

Windows Autopatch ist in Windows 10/11 Enterprise E3 oder höher enthalten. Es gibt zusätzliche Voraussetzungen für die Verwendung von Autopatch, einschließlich einiger Netzwerkkonfigurationen , die als Teil des Rollouts betrachtet werden sollten.

Schritte zur automatischen Registrierung

Schritt 1: Bereitschaftsbewertung

Das Bereitschaftsbewertungstool überprüft die Einstellungen in Microsoft Intune und Microsoft Entra ID, um sicherzustellen, dass es mit Windows Autopatch im Rahmen der Registrierung Ihres Mandanten funktioniert.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei.

So aktivieren Sie die Bereitschaftsbewertung:

  1. Navigieren Sie als globaler Administrator zu Intune
  2. Wählen Sie im linken Bereich Mandantenverwaltung aus, und navigieren Sie dann zu Windows Autopatch-Mandantenregistrierung>.

Das Readiness-Bewertungstool überprüft Intune Einstellungen, um Bereitstellungsringe für Windows 10 oder höher sowie Mindestadministratoranforderungen und nicht lizenzierte Administratoren zu bestätigen. Außerdem werden Ihre Microsoft Entra Einstellungen überprüft, einschließlich Co-Verwaltung und Lizenzen.

Das Tool für die Bereitschaftsbewertung stellt einen Bericht bereit und informiert sie über alle Probleme, die behoben werden müssen, und darüber, welche Schritte ausgeführt werden müssen , um in den Zustand "Bereit" zu gelangen. Nachdem die Probleme behoben wurden, können Sie mit dem nächsten Schritt fortfahren.

Schritt 2: Überprüfen von Administratorkontakten

Der Zweck dieses Schritts besteht darin, zu bestätigen, dass Ihr organization über Administratoren für jeden Schwerpunktbereich verfügt, sodass das Windows Autopatch Service Engineering-Team den Administrator Ihres organization kontaktieren kann, um Ihre Supportanfrage in Zukunft zu erhalten und den Mindestadministrator während des Registrierungsprozesses zu erweitern.

Fokusbereich Beschreibung
Geräte Geräteregistrierung
Geräteintegrität
Updates Windows Qualitätsupdates
Microsoft 365 Apps for Enterprise-Updates
Microsoft Edge-Updates
Microsoft Teams-Updates

Führen Sie die folgenden Schritte aus, um Administratorkontakte hinzuzufügen:

  1. Melden Sie sich bei Intune an.
  2. Wählen Sie unter Mandantenverwaltung im Abschnitt Windows Autopatchdie Option Admin Kontakte aus.
  3. Klicken Sie auf Hinzufügen.
  4. Geben Sie die Kontaktdetails ein, einschließlich Name, E-Mail-Adresse, Telefonnummer und bevorzugte Sprache. Bei einem Supportticket bestimmt die bevorzugte Sprache des primären Kontakts des Tickets die Sprache, die für die E-Mail-Kommunikation verwendet wird.
  5. Wählen Sie einen Fokusbereich aus, und geben Sie Details zum Wissen und zur Autorität des Kontakts im angegebenen Fokusbereich ein.
  6. Wählen Sie Speichern aus, um den Kontakt hinzuzufügen.
  7. Wiederholen Sie dies für jeden Schwerpunktbereich.

Hinweis

Ein Administrator kann mehrere Schwerpunktbereiche haben, insbesondere in kleineren Organisationen.

Schritt 3: Geräteregistrierung

Der Windows Autopatch-Geräteregistrierungsprozess ist für Endbenutzer transparent.

Geräteregistrierung in Windows Autopatch.

Windows Autopatch muss Ihre vorhandenen Geräte in seinem Dienst registrieren, um Updatebereitstellungen in Ihrem Namen zu verwalten. So führen Sie die Geräteregistrierung aus:

  • IT-Administrator überprüft die Voraussetzungen für die Windows Autopatch-Geräteregistrierung vor der Registrierung von Geräten mit Windows Autopatch
  • DER IT-Administrator identifiziert Geräte, die von Windows Autopatch verwaltet werden sollen, und fügt sie der Gruppe Windows Autopatch Device Registration Microsoft Entra hinzu.
  • Windows Autopatch dann:
    • Führt die Gerätebereitschaft vor der Registrierung durch (Voraussetzungsprüfungen)
    • Berechnet die Verteilung des Bereitstellungsrings
    • Zuweisen von Geräten zu einem Bereitstellungsring basierend auf der vorherigen Berechnung
    • Zuweisen von Geräten zu anderen Microsoft Entra Gruppen, die für die Verwaltung erforderlich sind
    • Markiert Geräte als aktiv für die Verwaltung, damit die Updatebereitstellungsrichtlinien angewendet werden können.
  • Der IT-Administrator überwacht dann die Geräteregistrierungstrends und die Updatebereitstellungsberichte Den detaillierten Workflow zur Geräteregistrierung finden Sie hier.

Windows Autopatch-Gerätetypen

Jedes Gerät (physisch oder virtuell), das eine Microsoft Entra Geräte-ID enthält, kann der Windows Autopatch-Geräteregistrierung Microsoft Entra Gruppe hinzugefügt werden. Dies kann entweder durch direkte Mitgliedschaft oder durch Die Mitgliedschaft in einer anderen Microsoft Entra Gruppe (entweder dynamisch oder zugewiesen) erfolgen, die in dieser Gruppe geschachtelt ist, sodass sie bei Windows Autopatch registriert werden kann. Die einzige Ausnahme sind Windows 365 Cloud-PCs, da diese virtuellen Geräte über die Windows 365-Bereitstellungsrichtlinie bei Windows Autopatch registriert werden müssen.

Autopatch für Windows 365

Windows 365 Enterprise bietet IT-Administratoren die Möglichkeit, Geräte im Rahmen der Erstellung der Windows 365-Bereitstellungsrichtlinie beim Windows Autopatch-Dienst zu registrieren. Diese Option bietet Administratoren und Benutzern eine nahtlose Erfahrung, um sicherzustellen, dass Ihre Cloud-PCs immer auf dem neuesten Stand sind. Wenn IT-Administratoren entscheiden, ihre Windows 365 Cloud-PCs mit Windows Autopatch zu verwalten, ruft der Windows 365 erstellungsprozess für die Bereitstellungsrichtlinie Windows Autopatch-Geräteregistrierungs-APIs auf, um Geräte im Namen des IT-Administrators zu registrieren. So registrieren Sie eine neue Windows 365 Cloud-PC-Geräte mit Windows Autopatch aus der Windows 365-Bereitstellungsrichtlinie:

  1. Wechseln Sie zu Intune.
  2. Wählen Sie im linken Bereich Geräte aus.
  3. Navigieren Sie zu Bereitstellung>Windows 365.
  4. Wählen Sie Bereitstellungsrichtlinien>Richtlinie erstellen aus.
  5. Geben Sie einen Richtliniennamen an, und wählen Sie Join-Typ aus.
  6. Wählen Sie Weiter aus.
  7. Wählen Sie das gewünschte Bild und dann Weiter aus.
  8. Wählen Sie im Abschnitt Von Microsoft verwaltete Dienste die Option Windows Autopatch aus. Klicken Sie dann auf Weiter.
  9. Weisen Sie Ihre Richtlinie entsprechend zu, und wählen Sie Weiter aus.
  10. Wählen Sie Erstellen aus.

Jetzt werden Ihre neu bereitgestellten Windows 365 Enterprise Cloud-PCs automatisch von Windows Autopatch registriert und verwaltet.

Windows Autopatch in Azure Virtual Desktop

Windows Autopatch ist für Azure Virtual Desktop verfügbar. Unternehmensadministratoren können ihre Azure Virtual Desktop-Workloads bereitstellen, die von Windows Autopatch verwaltet werden, indem sie den vorhandenen Geräteregistrierungsprozess gemäß physischen Computern verwenden. Windows Autopatch bietet den gleichen Dienstbereich für virtuelle Computer wie für physische Geräte. Windows Autopatch verschiebt jedoch jegliche Azure Virtual Desktop-spezifische Unterstützung auf Azure-Support, sofern nicht anders angegeben.

Autopatch-Dashboard und Berichterstellung

Autopatch bietet eine Zusammenfassung Dashboard und verschiedene Berichte der aktuellen status und Verlaufsberichte (bis zu 90 Tage) aller geräte, die bei Autopatch registriert sind, die bei Bedarf in eine CSV-Datei exportiert werden können. So zeigen Sie die aktuellen Update-status für alle registrierten Geräte an:

  1. Melden Sie sich beim Intune an.
  2. Navigieren Sie zu Berichte>Windows Autopatch>Windows Quality Updates.

Der Bericht "Alle Geräte" enthält Folgendes:

Informationen Beschreibung
Gerätename Der Name des Geräts.
Microsoft Entra Geräte-ID Die aktuelle Microsoft Entra ID aufgezeichnete Geräte-ID für das Gerät.
Seriennummer Die aktuelle Intune aufgezeichnete Seriennummer für das Gerät.
Bereitstellungsring Der derzeit zugewiesene Windows Autopatch-Bereitstellungsring für das Gerät.
Status aktualisieren Die aktuelle Update-status für das Gerät
Unterversion status aktualisieren Die aktuelle Status des Updates für das Gerät
BS-Version Die aktuelle Version von Windows, die auf dem Gerät installiert ist.
Betriebssystemrevision Die aktuelle Revision von Windows, die auf dem Gerät installiert ist.
Intune zeitpunkt des letzten Eincheckens Das letzte Mal, wenn das Gerät bei Intune eingecheckt wurde.
ISM-Steuerung Sep 2024 Reifegrad Control Measure
1694 1, 2, 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internetgeräten werden innerhalb von zwei Wochen nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. Für Geräte, die mit Windows Autopatch registriert sind, werden Updates innerhalb von 2 Wochen installiert.
1877 1, 2, 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internetgeräten werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. Autopatch-Gruppen geben dem organization die Flexibilität, Fristen bei Bedarf innerhalb von 48 Stunden einzubringen.
1879 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Treibern werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch eingestuft werden oder wenn funktionierende Exploits vorhanden sind. Autopatch-Gruppen geben dem organization die Flexibilität, Fristen bei Bedarf innerhalb von 48 Stunden einzubringen.

Verwenden von Microsoft Defender Vulnerability Management zum Identifizieren von Sicherheitsrisiken

Microsoft Defender Vulnerability Management (DVM) bietet Ressourcensichtbarkeit, intelligente Bewertungen und integrierte Korrekturtools für Windows-, macOS-, Linux-, Android-, iOS- und Netzwerkgeräte.

Als Voraussetzung müssen Endpunkte in Microsoft Defender for Endpoint integriert werden. Es gibt weitere zusätzliche Voraussetzungen für die Verwendung von DVM. Nach dem Onboarding kann DVM bewerten, ob Sicherheitsrisiken auf einzelne Geräte anwendbar sind, und empfohlene Aktionen bereitstellen.

Implementierungsdetails: Onboarding von Endpunkten in Microsoft Defender for Endpoint

  1. Erstellen Sie ein neues Windows-Konfigurationsprofil mit dem Typ Vorlage>Microsoft Defender for Endpoint (Desktopgeräte mit Windows 10 oder höher).
  2. Legen Sie Häufigkeit der Telemetrieberichterstellung beschleunigen auf Aktivieren fest.
  3. Weisen Sie das Profil einer Gruppe zu, die alle anwendbaren Windows-Geräte enthält.

Ermittlung von Sicherheitsrisiken mithilfe von Microsoft Defender Vulnerability Management

Nachdem Geräte in Defender für Endpunkt integriert wurden, kann DVM ermitteln, ob Geräte potenziell Sicherheitsrisiken ausgesetzt sind, und Sicherheitsempfehlungen für jede identifizierte Schwachstelle bereitstellen.

Im Microsoft-Sicherheitsportal werden unter Sicherheitsrisikoverwaltungsbestände > Softwareprodukte angezeigt, die über Endpunkte hinweg identifiziert wurden, die in Defender für Endpunkt integriert sind, einschließlich des Anbieternamens, gefundener Schwachstellen, damit verbundener Bedrohungen und verfügbar gemachter Geräte.

Softwareinventur.

Sie können auch Softwarebestände auf bestimmten Geräten anzeigen, indem Sie zur Seite Gerätebestand navigieren. Wählen Sie den Namen eines Geräts aus, um die Geräteseite zu öffnen (z. B. Computer1), und wählen Sie dann die Registerkarte Softwareinventur aus, um eine Liste aller bekannten Software anzuzeigen, die auf dem Gerät vorhanden ist. Wählen Sie einen bestimmten Softwareeintrag aus, um das Flyout mit weiteren Informationen zu öffnen.

Softwaredetails.

Wenn Sie die Spezifische Softwareseite öffnen, erhalten Sie weitere Details zur Anwendung, wie im folgenden Screenshot gezeigt. Zu den angezeigten Details gehören:

  • Entsprechende Sicherheitsempfehlungen für die identifizierten Schwachstellen und Sicherheitsrisiken.
  • Benannte CVEs von ermittelten Sicherheitsrisiken.
  • Geräte, auf denen die Software installiert ist (zusammen mit Gerätename, Domäne, Betriebssystem usw.).
  • Softwareversionsliste (einschließlich anzahl der Geräte, auf der die Version installiert ist, die Anzahl der entdeckten Sicherheitsrisiken und die Namen der installierten Geräte).

Anfordern einer Korrektur für ausgewählte Sicherheitsrisiken – Bildschirm 1.

Beheben von Sicherheitsrisiken mithilfe von Microsoft Intune

Die DVM-Funktionen wurden entwickelt, um die Lücke zwischen Sicherheits- und IT-Administratoren durch den Workflow für Wartungsanforderungen zu schließen. Die DVM-Wartungsaktionen können native Integrationen verwenden, um Wartungstasks in Intune zu generieren. Darüber hinaus kann die DVM-API verwendet werden, um Korrekturprozesse und -aktionen bei Bedarf mit Drittanbietertools zu orchestrieren. Die folgenden Schritte beschreiben den Wartungsworkflow mithilfe von DVM und Intune:

Um diese Funktion zu verwenden, aktivieren Sie die Microsoft Intune-Verbindung.

  1. Im Microsoft Defender-Portal.
  2. Navigieren Sie zu Einstellungen>Endpunkte>Allgemein>Erweiterte Features.
  3. Scrollen Sie nach unten, und suchen Sie nach der Microsoft Intune Verbindung.
  4. Standardmäßig ist die Umschaltfläche deaktiviert. Schalten Sie den Microsoft Intune-Verbindungsschalter auf Ein.

Hinweis

Das Aktivieren der Verbindung mit Microsoft Intune ist erforderlich, um eine entsprechende Intune Sicherheitsaufgabe beim Erstellen einer Wartungsanforderung in DVM zu erstellen. Die Option zum Erstellen einer Intune Sicherheitsaufgabe wird nicht angezeigt, wenn die Verbindung nicht aktiviert ist.

  1. Navigieren Sie im Microsoft Defender Portal zum Navigationsmenü für die Verwaltung von Sicherheitsrisiken, und wählen Sie Empfehlungen aus.
  2. Wählen Sie eine Sicherheitsempfehlung aus, für die Sie Korrekturen anfordern möchten, und wählen Sie dann Wartungsoptionen aus.
  3. Füllen Sie das Formular aus, einschließlich der Von Ihnen angeforderten Korrekturen, anwendbaren Gerätegruppen, Priorität, Fälligkeitsdatum und optionalen Hinweisen.

Anfordern einer Korrektur für ausgewählte Sicherheitsrisiken , Bildschirm 2. Anfordern einer Korrektur für ausgewählte Sicherheitsrisiken – Bildschirm 3.

Durch das Übermitteln einer Wartungsanforderung wird ein Wartungsaktivitätselement in DVM erstellt, das zum Überwachen des Fortschritts der Wartung verwendet werden kann. Wenn ein Administrator eine Wartungsanforderung von der Seite Sicherheitsempfehlungen sendet, wird eine Sicherheitsaufgabe erstellt, die auf der Seite Wartung nachverfolgt werden kann, und ein Wartungsticket wird in Microsoft Intune erstellt. Dadurch werden keine Korrekturen ausgelöst oder Änderungen auf Geräte angewendet.

Die folgende Abbildung zeigt eine Sicherheitsaufgabe, die in Intune erstellt wurde:

Sicherheitsaufgabe in Intune.

  1. Der Intune Administrator wählt die Sicherheitsaufgabe aus, um Details zur Aufgabe anzuzeigen. Der Administrator wählt dann Annehmen aus, wodurch die status sowohl in Intune als auch in Defender für Endpunkt auf Akzeptiert aktualisiert wird.

Der Intune Administrator korrigiert dann die Aufgabe basierend auf den bereitgestellten Anleitungen. Die Anleitung variiert je nach Art der erforderlichen Korrektur. Sofern verfügbar, enthält eine Anleitung für Abhilfemaßnahmen Links, über die relevante Bereiche für Konfigurationen in Intune geöffnet werden.

Weitere Informationen zu DVM finden Sie im Abschnitt Patchanwendungen.

ISM-Steuerung Sep 2024 Reifegrad Control Measure
1701 1, 2, 3 Ein Sicherheitsrisikoscanner wird mindestens täglich verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in Betriebssystemen von Servern mit Internetzugriff und Internet-Netzwerkgeräten zu identifizieren. Geräte werden in Defender für Endpunkt integriert. Microsoft Defender Vulnerability Management überwachen und erkennen risiken kontinuierlich auf den Geräten eines organization.
1703 3 Ein Sicherheitsrisikoscanner wird mindestens zwei Wochen verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in Treibern zu identifizieren. Geräte werden in Defender für Endpunkt integriert. Microsoft Defender Vulnerability Management überwachen und erkennen risiken kontinuierlich auf den Geräten eines organization.
1900 3 Ein Sicherheitsrisikoscanner wird mindestens zwei Wochen verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in der Firmware zu identifizieren. Geräte werden in Defender für Endpunkt integriert. Microsoft Defender Vulnerability Management überwachen und erkennen risiken kontinuierlich auf den Geräten eines organization.

Compliance basierend auf der Betriebssystemversion des Geräts

Konformitätsrichtlinien in Intune bieten die Möglichkeit, basierend darauf, ob ein Gerät eine oder mehrere konfigurierte Anforderungen erfüllen kann, zu bestimmen, ob ein Gerät konform oder nicht konform ist. Dieser Konformitätsstatus des Geräts wird beim Zugriff auf Unternehmensressourcen bewertet, die durch bedingten Zugriff geschützt sind, um den Zugriff auf die Ressource zuzulassen oder zu verweigern.

Intune können basierend auf der aktuellen Betriebssystemversion des Geräts ermitteln, ob ein Gerät kompatibel oder nicht konform ist. Mithilfe der Steuerung zur Gewährung der Gerätekonformität im bedingten Zugriff können Benutzer nur auf Geräten, die die Mindestversion des Betriebssystems erfüllen oder überschreiten, auf Unternehmensressourcen zugreifen.

Implementierungsdetails: Windows Update Konformitätsrichtlinie

  1. Erstellen Sie eine Windows-Konformitätsrichtlinie unter Geräte > Windows-Kompatibilitätsrichtlinien >> Richtlinien Windows 10 >> und höher erstellen.
  2. Geben Sie einen Namen für die Richtlinie an.
  3. Wählen Sie Geräteeigenschaften aus, und geben Sie die Mindestversion des Betriebssystems ein, die in der Mindestversion des Betriebssystems als kompatibel betrachtet werden soll.
  4. Weisen Sie das Profil einer Gruppe zu, die alle anwendbaren Windows-Geräte enthält.

Eine typische Konformitätsrichtlinie, die Geräte basierend auf ihrem Betriebssystemwert bewertet, wurde bereitgestellt.

Hinweis

Der für die Mindestversion des Betriebssystems angegebene Wert für Windows 11 und Windows 10 muss im Laufe der Zeit erhöht werden.

ISM-Steuerung Sep 2024 Reifegrad Control Measure
1407 3 Es werden die neueste Version oder die vorherige Version von Betriebssystemen verwendet. Benutzer, die Geräte verwenden, die die in der zugewiesenen Konformitätsrichtlinie definierte Betriebssystemversion nicht erfüllen, können nicht auf Unternehmensressourcen zugreifen, wenn sie in Kombination mit bedingtem Zugriff verwendet werden.

Patchen von Systemen ohne Internetzugriff

Microsoft empfiehlt die Verwendung von Clouddiensten wie Microsoft Intune und Azure Update Manager, um die Betriebssystemversion des Systems beizubehalten und die Sicherheitsrisiken zu patchen.

Für Systeme und Server, die offline sind, empfiehlt Microsoft jedoch die Verwendung der Patchverwaltungsfunktionen von Microsoft Configuration Manager. Weitere Informationen finden Sie unter Microsoft Configuration Manager.

ISM-Steuerung Sep 2024 Reifegrad Control Measure
ISM-1695 1, 2 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Netzwerkgeräten, die nicht mit dem Internet verbunden sind, werden innerhalb eines Monats nach der Veröffentlichung angewendet. IT-Administratoren stellen Updates mit einer Fristkonfiguration des gewünschten Datums in Microsoft Configuration Manager
ISM-1696 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Nicht-Internet-Netzwerkgeräten werden innerhalb von 48 Stunden nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als kritisch bewertet werden oder wenn funktionierende Exploits vorhanden sind. IT-Administratoren stellen Updates mit einer Fristkonfiguration von So bald wie möglich in Microsoft Configuration Manager
ISM-1702 1, 2, 3 Ein Sicherheitsrisikoscanner wird mindestens zwei Wochen verwendet, um fehlende Patches oder Updates für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Nicht-Internet-Netzwerkgeräten zu identifizieren. Der IT-Administrator konfiguriert das Softwareupdatefeature von Configuration Manager so, dass mindestens alle 14 Tage eine Überprüfung auf fehlende Patches auf dem System ausgeführt wird.
ISM-1902 3 Patches, Updates oder andere Risikominderungen von Anbietern für Sicherheitsrisiken in Betriebssystemen von Arbeitsstationen, Servern ohne Internetzugriff und Netzwerkgeräten ohne Internetzugriff werden innerhalb eines Monats nach der Veröffentlichung angewendet, wenn Sicherheitsrisiken von Anbietern als nicht kritisch bewertet werden und keine funktionierenden Exploits vorhanden sind. IT-Administratoren stellen Updates mit einer Fristkonfiguration des gewünschten Datums in Microsoft Configuration Manager bereit.