Kürzlich gab es im Ivanti DSM Forum eine Anfrage eines Benutzers, der das Problem hatte, veraltete DSM-Computer aus seiner DSM-Umgebung löschen zu wollen. Ich habe das Thema aufgegriffen und ein kleines PowerShell-Skript erstellt (PSX PowerShell-Erweiterungen von NWC-Services erforderlich). Das Skript löscht Computerobjekte, die seit einem bestimmten Datum entfernt wurden (kann im Skript angegeben werden). Bevor Sie live gehen, sollten Sie einen Testlauf durchführen (das Skript fordert Sie dazu auf - siehe Zeile 30).

Jeder, der mit Ivanti DSM Patch Management arbeitet, kennt das Problem. Es gibt keine allgemeine Übersicht über alle Sicherheitslücken. Basierend auf den Jobs scannt DSM alle Computer und erstellt für jeden eine Übersicht über “Sicherheitslücken”. Basierend auf den gefundenen Sicherheitslücken weist DSM dem Computer jetzt Patch-Richtlinieninstanzen zu.

Jeder, der Ivanti DSM verwendet, kennt das Problem: Manchmal läuft es beim Verpacken und Ausrollen nicht immer reibungslos, selbst nach einer langen Test- und Pilotinstallationsphase.

Fehlende Abhängigkeiten in Paketen oder auf andere Weise installierten produktiven Computern können dazu führen, dass einige Richtlinieninstanzen in Ivanti DSM fehlschlagen. Oft treten die Fehler nur durch Zeitüberschreitungen auf. Mit den PSX Powershell-Erweiterungen von NWC-Services können Sie solche Richtlinieninstanzen problemlos auf “Neuinstallation” zurücksetzen.

Natürlich sollte dieses PowerShell-Skript mit Vorsicht verwendet werden. In den meisten Fällen gibt es einen gültigen Grund, warum die Richtlinieninstanzen fehlgeschlagen sind. Bitte verwenden Sie das Skript mit Bedacht. Es sollte klar sein, dass Sie selbst für das Risiko verantwortlich sind.

Ivanti DSM verwendet Jobrichtlinien, um Patch-Pakete zu installieren, mit denen zeitgesteuert nach Sicherheitslücken gesucht und diese geschlossen werden können. Diese Jobrichtlinien können auf einen Fehler stoßen. Wenn das Problem weiterhin besteht, werden möglicherweise keine Updates mehr auf einzelnen Geräten installiert. Ebenso kommt es häufig vor, dass ein Computer auf einen Neustart wartet, bevor Updates erneut installiert werden können. Dies ist im Kommentar der Jobrichtlinieninstanz zu sehen, wird jedoch normalerweise erst bemerkt, wenn Sie feststellen, dass ein Computer lange Zeit keine Updates installiert hat. Mein Ivanti DSM - Patch Management Powershell-Skript kann diese Fehler identifizieren und in einem Bericht zusammenfassen.

Vermissen Sie eine Option in Ivanti DSM, um Ihre Patch-Übersicht sinnvoll zu organisieren? Sie können einen CSV-Export der Patch-Richtlinien auf jedem Client durchführen. Dies ist jedoch mit 1000 Clients nicht mehr möglich und auch nicht mehr praktikabel. Wenn Sie die Powershell-Erweiterungen von “NWC-Services” verwenden, können Sie mit einem Powershell-Skript eine Patch-Übersicht erstellen, die Daten in Excel konvertieren und sogar schöne Pivot-Diagramme erstellen. Mit meinem Ivanti DSM - Patch Status to Excel Tool (oder Skript) können Sie dies sehr einfach tun.

Ivanti DSM kann mit den Patch-Rollout-Verwaltungsregeln sehr flexibel konfiguriert werden. Die wichtigsten Einstellungen (Verzögerung der Release-Zeit, einschließlich Patch-Kategorien) lassen sich sehr einfach über die DSM-Konsole implementieren.

Patch-Pakete, sei es APM oder PatchLink, werden in der DSM-Umgebung heruntergeladen, wenn ein Client Sicherheitslücken aufweist und diese nicht gepatcht werden. Infolgedessen sammeln sich im Laufe der Zeit einige Gigabyte an, insbesondere wenn viele Produkte von Drittanbietern verwendet werden. Das Löschen von nicht mehr verwendeten Ivanti DSM-Patch-Paketen kann zeitaufwändig sein. In Version 2016.2 R2 gibt es keine Option zum automatischen Löschen von Patch-Paketen basierend auf festgelegten Kriterien. Die Powershell-Erweiterungen können für dieses Szenario hilfreich sein. In diesem Beispiel werden alle Patch-Pakete gelöscht, die nicht mehr verwendet werden oder für die keine offene (ausstehende) Richtlinieninstanz vorhanden ist. Sie können das Ivanti DSM PowerShell Script anschließend natürlich anpassen oder erweitern.