Konfigurieren von Version Control Policies

Prozedur

1. Navigieren Sie in der Trend Vision One Konsole zu Endpunktsicherheit → Endpoint Security Configuration → Version Control Policies.
2. Erstellen oder bearbeiten Sie eine Richtlinie.
   • Klicken Sie auf Create Version Policy, um eine neue Richtlinie zu erstellen.
   • Um eine Richtlinie zu bearbeiten, suchen Sie die Richtlinie, die Sie bearbeiten möchten, und klicken Sie auf den Namen.
   Das Fenster „Richtlinienkonfiguration“ wird angezeigt.
3. Geben Sie einen eindeutigen Richtlinienname ein.

   Hinweis Sie können den Richtliniennamen für die Standardrichtlinie nicht bearbeiten.

4. Wählen Sie eine oder mehrere Endpunktgruppen aus, die der Richtlinie zugewiesen werden sollen.
   1. Klicken Sie im Feld Endpoint group auf das Bearbeitungssymbol ().
      Das Fenster Select Endpoint Group wird angezeigt.
   2. Suchen und wählen Sie die Endpunktgruppe aus, die Sie hinzufügen möchten.

      Wichtig Endpunktgruppen können jeweils nur einer Richtlinie zugewiesen werden. Wenn Sie eine Gruppe auswählen, die bereits einer Richtlinie zugewiesen ist, wird diese Endpunktgruppe der neuen Richtlinie zugeordnet. Das Auswählen einer Endpunktgruppe wählt automatisch alle untergeordneten Gruppen aus, einschließlich derjenigen, die bereits einer Richtlinie zugewiesen sind. Sie können die Auswahl für jede untergeordnete Gruppe aufheben, die Sie nicht in die neue Richtlinie aufnehmen möchten. Untergruppen können einer anderen Richtlinie als die übergeordnete Gruppe zugewiesen werden.

   3. Nachdem Sie eine oder mehrere Endpunktgruppen ausgewählt haben, klicken Sie auf Auswählen.
5. Konfigurieren Sie Ihre Prioritätsregeln.
   1. Um eine neue Prioritätsregel hinzuzufügen, klicken Sie auf Add Priority und geben Sie einen Namen für die Regel an.
      Neue Regeln werden automatisch als Priority 1 an den Anfang der Prioritätenliste hinzugefügt.
   2. Um die Reihenfolge Ihrer Prioritätsregeln zu ändern, klicken und ziehen Sie die Prioritätsregel, die Sie ändern möchten.
      Die Prioritätsregelnummer ändert sich automatisch.

      Beispielsweise wird durch das Verschieben von Priorität 1 unter Priorität 3 die ursprüngliche Priorität 1 automatisch zu Priorität 3, und die alte Priorität 2 und Priorität 3 werden entsprechend zu Priorität 1 und Priorität 2.
   3. Um den Namen einer Prioritätsregel zu ändern, klicken Sie auf das Optionssymbol neben dem Namen () und wählen Sie Umbenennen.
   4. Um eine Prioritätsregel zu löschen, klicken Sie auf das Optionssymbol neben dem Namen () und wählen Sie Löschen.

      Wichtig Sie können die Prioritätsregel Standard nicht löschen.

6. Klicken Sie auf die Prioritätsregel, die Sie konfigurieren möchten.
7. Konfigurieren Sie das General settings für die ausgewählte Prioritätsregel.

   Wichtig Wenn ein Endpunkt mehrere Prioritätsregel-Kriterien erfüllt, verwendet der Endpunkt die Regel mit der höchsten Priorität, die übereinstimmt. Wenn ein Endpunkt keine Prioritätsregelkriterien erfüllt, verwendet der Endpunkt die Standard-Prioritätsregel. Die Standard-Prioritätsregel-Kriterien sind Alle Endpunkte und können nicht geändert werden.

   1. Wählen Sie den Kriterien aus.
   2. Geben Sie die Kriterienwerte an.
      Die Kriterien werden verwendet, um zu bestimmen, auf welche Endpunkte innerhalb der zugewiesenen Endpunktgruppen die Prioritätsregel angewendet wird. Die Eingabemethode für den Kriterienwert ändert sich je nach ausgewähltem Kriterientyp.

      Kriterienart	Beschreibung	Eingabemethode
      Endpunktname	Die Prioritätsregel wird auf jeden Endpunkt angewendet, der mindestens einen angegebenen Wert im Endpunktnamen enthält Wenn Sie zum Beispiel Test angeben, wird die Prioritätsregel auf den Endpunkt Test01 angewendet.	Geben Sie einen Wert ein und trennen Sie die Werte entweder durch ein Komma (,) oder drücken Sie die EINGABETASTE.
      Endpoint policy	Die Prioritätsregel wird auf jeden Endpunkt angewendet, der der ausgewählten Server & Workload Protection oder Standard Endpoint Protection Richtlinie zugewiesen ist	Klicken Sie auf das Bearbeitungssymbol (), um Endpunkt-Richtlinien zu finden und auszuwählen.
      IP-Bereich	Die Prioritätsregel wird auf jeden Endpunkt angewendet, der eine IP-Adresse innerhalb eines der angegebenen Bereiche hat	Geben Sie einen IP-Bereich entweder im IPv4- oder IPv6-Format an. Klicken Sie auf das Hinzufügen-Symbol (), um bis zu 200 IP-Bereiche hinzuzufügen.
      Betriebssystem	Die Prioritätsregel wird auf jeden Endpunkt mit dem angegebenen Betriebssystem angewendet	Klicken Sie auf das Bearbeitungssymbol (), um die OS-Familie oder eine bestimmte OS-Version auszuwählen.
      Specify target(s)	Die Prioritätsregel wird auf spezifische Endpunkte aus der Endpoint Inventory angewendet	Klicken Sie auf das Bearbeitungssymbol (), um bis zu 200 Endpunkte aus der Endpoint Inventory auszuwählen. Klicken Sie auf das Filtersymbol (), um die Endpunkte zu finden, die Sie anvisieren möchten.

8. Konfigurieren Sie das Agent version settings für die ausgewählte Prioritätsregel.
   1. Wählen Sie die Einstellung Update check für das Agenten-Update.
      • Zeitgesteuert: Der Endpunkt-Agent überprüft auf Updates.
      • Deaktiviert: Der Endpunkt-Agent überprüft nicht auf Updates.
   2. Wählen Sie den Update policy aus.
      Geben Sie die Agentenprogrammversion an, auf die die Endpunkt-Agenten aktualisiert werden, wenn die Agenten die zeitgesteuerte Update-Prüfung durchführen.

      Einstellung	Beschreibung
      n (latest version)	Der Agent wird immer auf die neueste verfügbare Version aktualisiert Die neben dieser Option aufgeführte Version ist die aktuellste Version. Verwenden Sie diese Einstellung, wenn Sie möchten, dass der Agent immer auf die neueste Version aktualisiert wird, sobald eine neue Version veröffentlicht wird.
      n - 1 (previous)	Der Agent wird immer auf die zuvor veröffentlichte Version aktualisiert Die neben dieser Option aufgeführte Version ist die aktuelle vorherige Version. Wählen Sie diese Option, wenn Sie möchten, dass der Agent nur auf die vorherige Version aktualisiert wird, wenn eine neue Agentenprogrammversion veröffentlicht wird.
      n - 2	Der Agent aktualisiert sich immer auf die nächstältere Version vor n - 1 Die neben dieser Option aufgeführte Version ist die aktuelle n - 2 Version. Wählen Sie diese Option, wenn Sie möchten, dass der Agent immer auf zwei Versionen hinter der neuesten Version aktualisiert wird, wenn eine neue Version veröffentlicht wird.
      !!Fixed!!	Der Agent aktualisiert nur auf die angegebene Version Der Agent wird auf die ausgewählte Version aktualisiert und aktualisiert nicht über die ausgewählte Version hinaus, selbst wenn eine neuere Version veröffentlicht wird. Sie können eine Version innerhalb der letzten 12 Veröffentlichungen auswählen. Wichtig Diese Einstellung erfordert, dass Sie die ausgewählte Version manuell ändern, wenn Sie die Agent-Version aktualisieren möchten. Ältere Agent-Versionen müssen möglicherweise neu bereitgestellt werden, wenn sie zu veraltet sind.

      Hinweis Falls ein Hotfix erforderlich ist, um die neueste Version zu patchen, ersetzt der Hotfix die neueste Version und die ungepatchte Version wird unzugänglich gemacht. Die Hotfix-Version behält die gleiche Versionsnummer wie die ungepatchte Version. Zum Beispiel, wenn ein Hotfix für Version 202412 veröffentlicht wird, zeigt die Hotfix-Version weiterhin 202412 an. Die Hotfix-Version wird in nachfolgenden Updates für Richtlinien verwendet, die auf n - 1 und n - 2 eingestellt sind. Gelegentlich stellt Trend Micro benutzerdefinierte Hotfixes für begrenzte Regionen oder Kunden zur Verfügung. Benutzerdefinierte Hotfixes haben normalerweise eine geänderte Versionsnummer, wie zum Beispiel 202412A. Ein benutzerdefinierter Hotfix kann nur als feste Version ausgewählt werden. Richtlinien, die auf n, n - 1 und n - 2 eingestellt sind, ignorieren benutzerdefinierte Hotfixes beim Aktualisieren.

   3. Um die Aktualisierungseinstellungen des Linux-Kernel-Support-Pakets zu konfigurieren, erweitern Sie Erweiterte Einstellungen.
      Das Kernel-Support-Paket ist ein Komponentenpaket innerhalb des Trend Vision One Endpunkt-Sicherheitsagent, das die Kompatibilität mit den neuesten Linux-Updates sicherstellt. Updates für das Kernel-Support-Paket können einem anderen Veröffentlichungszeitplan als Agent-Updates folgen. Agent-Update-Pakete enthalten immer das neueste Kernel-Support-Paket für diese Version.
   4. Wählen Sie, wann der Agent nach Updates für das Kernel-Support-Paket suchen soll.

      Wichtig Das Installieren eines Agenten-Update-Pakets installiert immer das enthaltene Kernel-Support-Paket, unabhängig von den Einstellungen des Kernel-Support-Pakets.

      • Immer: Der Agent überprüft die Kernel-Support-Paket-Updates gemäß dem Veröffentlichungszeitplan.
      • Kernel compatibility: Der Agent überprüft nur auf Kernel-Support-Paket-Updates, wenn das aktuelle Paket nicht mit dem auf dem Endpunkt installierten Linux-Kernel kompatibel ist.
      • Nie: Der Agent überprüft nie auf Updates.
   5. Wählen Sie das Update policy für das Kernel-Support-Paket.

      Einstellung	Beschreibung
      n (latest version)	Das Kernel-Support-Paket wird immer auf die neueste verfügbare Version aktualisiert
      !!Fixed!!	Das Kernel-Support-Paket wird nur auf die angegebene Version aktualisiert Das Kernel-Support-Paket wird auf die ausgewählte Version aktualisiert und wird nicht über die ausgewählte Version hinaus aktualisiert, selbst wenn eine neuere Version veröffentlicht wird. Sie können eine Version innerhalb der letzten 8 Veröffentlichungen auswählen. Wichtig Diese Einstellung erfordert, dass Sie die ausgewählte Version manuell ändern, wenn Sie die Version des Kernel-Support-Pakets aktualisieren möchten.

9. Unter Component update wählen Sie die Update policy für die Agentenerkennungskomponenten aus.
   Der Endpunkt-Agent verfügt über viele verschiedene Erkennungskomponenten, die zu unterschiedlichen Zeiten und Frequenzen aktualisiert werden. Die Aktualisierungsrichtlinie verwendet eine Reihe von täglichen Snapshots, die es Ihnen ermöglichen, zu steuern, auf welche Komponentenversionen Ihre Agenten aktualisieren.

   Einstellung	Beschreibung
   n (latest version)	Der Agent wird immer auf die neuesten verfügbaren Komponentenversionen aktualisiert Diese Richtlinie verwendet keinen Snapshot und aktualisiert stattdessen auf die neuesten Komponentenversionen. Verwenden Sie diese Einstellung, wenn Sie möchten, dass Ihre Agenten immer auf die neuesten Sicherheitskomponenten-Updates aktualisieren.
   n - 1 (one snapshot prior)	Die Agenten aktualisieren immer auf den Snapshot vom Tag vor dem aktuellen Datum
   n - 2 (two snapshots prior)	Die Agenten aktualisieren immer auf den Snapshot von zwei Tagen vor dem aktuellen Datum
   n - 3, n - 4, …, n - 8	Die Agenten aktualisieren immer auf den Snapshot von der entsprechenden Anzahl von Tagen vor dem aktuellen Datum Zum Beispiel aktualisiert n - 5 auf den Schnappschuss von fünf Tagen vor dem aktuellen Datum.

   Wichtig Die Planung von Komponenten-Updates wird in Server & Workload Protection und Standard Endpoint Protection konfiguriert. Für Standard Endpoint Protection greifen Sie auf den Produktserver verwalten zu und gehen Sie zu Updates → Agents → Automatisches Update. Um die Update-Einstellungen im Protection Manager zu konfigurieren, siehe Komponenten-Updates. Für Server & Workload Protection gehen Sie zu Endpunktsicherheit → Server & Workload Protection → Administration → Scheduled Tasks und erstellen Sie eine Komponenten-Update-Aufgabe. Um die Update-Einstellungen zu konfigurieren, siehe Komponenten-Updates anwenden.

10. Nachdem Sie alle Ihre Prioritätsregeln konfiguriert haben, klicken Sie auf Speichern.

    Tipp Wenn Sie eine neue Richtlinie erstellen, stellen Sie sicher, dass Sie die Standard-Prioritätsregel konfigurieren.