Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Vergleichstest: Die besten Patch-Management-Tools

Werkzeuge für das Patch-Management

Vergleichstest: Die besten Patch-Management-Tools

5. November 2008, 15:21 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 1

Lumension Patchlink – aufgeklärtes Patching

Lumension Securitys Patchlink-Updates nutzt Agenten. Das Programm arbeitet gut in heterogenen Umgebungen. Im Gegensatz zu Shavliks Netchk-Protect unterstützt Patchlink-Update nicht nur Windows, sondern auch Mac-OS-X, Unix, Linux, Solaris und Vmware.

Darüber hinaus schützt es viele Applikationen, die auf diesen Plattformen laufen. Dazu gehören Adobe-Flash, Antivirus-Produkte und alternative Web-Browser wie Firefox.

Wer ungern Agenten verteilt, wird Patchlinks Agent-Management-Center mögen. Dabei handelt es sich um eine zentrale Schnittstelle, die bei der Administration und Verteilung der Agenten hilft. Patchlink arbeitet mit Microsofts Active-Directory zusammen, um dynamisch Gruppen zu erzeugen.

Diese Gruppen können kaskadierte Baseline-Zuweisungen, Agentenrichtlinien und Benutzerberechtigungen haben. Die Inventar-Management-Funktion des Produkts erlaubt es, Software, Hardware und Dienste zu identifizieren und entsprechende Berichte zu erzeugen.

Das Richtlinien-Feature wiederum ermöglicht eine gewisse Delegation der Administration. Das Sicherheitsniveau bleibt davon jedoch unberührt. Das Patch-Repository des Systems wird täglich aktualisiert, nachdem Lumension die Patches getestet hat. Das System verpackt die Patches und übermittelt sie an die Applikationen.

Die Berichtskomponenten stellen flexible Charts und Grafiken zur Verfügung. Sie erlauben eine Analyse der Vulnerabilitäten, des Verteilungsstatus sowie der Agenten- und Baseline-Compliance. Benachrichtigungen sendet das Programm via E-Mail für nahezu jeden Ereignistyp.


Lumension Patchlink: Die Software kann auch in großen Netzen mit vielen Servern und Clients eingesetzt werden.

Die Agenten von Patchlink sind glücklicherweise sehr einfach zu installieren; dazu genügt eine Verbindung zum Update-Server via Browser. Mit eingeschalteter Remote-Registrierung und Datei- und Drucker-Sharing automatisiert das Agent-Management-Center die Installation von Windows-Agenten.

»Silent-Installs« über die Befehlszeile beschleunigen die Installation auf Computern mit anderen Betriebssystemen.

Anfängliche Scan-Resultate liefert das Produkt fast sofort. Sie zeigen verfügbare Patches als »Vulnerabilitäten«. Die installierten Agenten sind nach Betriebssystem gruppiert; Geräte lassen sich zudem mehreren Gruppen zuordnen.

Organisationen, die Anpassungen benötigen, können auf eine Vielzahl von Optionen zurückgreifen. Mit dem Programm ist ein Administrator nicht nur in der Lage, die Verteilung mehrfacher Patches zu planen. Er kann den Roll-out im Fehlerfall auch stoppen, die Verteil-Reihenfolge oder die Optionen eines spezifischen Patches ändern, die Benutzerbenachrichtigung modifizieren und vor notwendigen Neustarts warnen. Jeder Patch darf seine eigene Nachricht, eigene Optionen und Zeitlimits besitzen.

Lumensions Patch-Repository antwortet schnell auf Anforderungen neuer Paket-Downloads. Die Kommunikation zwischen dem Update-Server und dem Repository läuft über ein sicheres Protokoll. Zudem verifiziert der Server jedes Paket.

Ein Manko: Die Art und Weise, in der die Anwendung mit der vorhandenen Bandbreite umgeht, ist verbesserungsbedürftig. Die Bandbreite beziehungsweise deren Nutzung lässt sich mit Patchlink auf zwei Wegen steuern: durch eine kBit/s-Einstellung auf der Client-Seite und durch aufeinander folgende oder limitierte parallele Verteilvorgänge.

Letzteres spezifiziert der Administrator pro Verteilung, während die Client-Einstellung alle Verteilvorgänge betrifft. Eine Option zur Beschränkung der Bandbreitennutzung auf einen Prozentsatz der Gesamtbandbreite würde eine bessere Nutzung der Ressourcen erlauben und Auswirkungen auf andere Dienste minimieren.

Auch das Rollback von Patches funktioniert bei Patchlink etwas »roh«: Das Programm listet vorausgegangene Verteilungen pro Gerät auf. Um eine Patch zu deinstallieren, sind im Verteilungs-Dialog die Eigenschaften dieses Patches zu öffnen.

Darin klickt der Administrator dann das Uninstall-Kästchen an und führt die Verteilung erneut durch. Das ist natürlich mühsam, wenn viele Patches zu deinstallieren sind.

Die Skalierbarkeit testete Network Computing zwar nicht, aber Patchlinks Architektur dürfte auch großen Organisationen die Implementierung des Produkts erlauben. Viele große Enterprise-Software-Hersteller arbeiten mit Lumension als OEM für ihre Patching- und Konfigurations-Management-Systeme.

Weil das Administrationsschema von Lumension Richtlinien nutzt, eignet es sich gut für Organisationen, die ein Best-Practice-Framework für die Prozess-Steuerung und Compliance einsetzen. Patchlink kann gewährleisten, dass alle Systeme einer vorgeschriebenen Grundrichtlinie entsprechen.

Die Server-Software kostet einmalig 1695 Dollar, 300 physische Windows-Server 19 Dollar pro Knoten und Jahr. Für 200 Linux-Server sind jährlich 40 Dollar pro Knoten, für 150 Solaris-Server ebenfalls 40 Dollar pro Knoten zu bezahlen.

Die Kosten für 100 Vmware-ESX-Server mit 300 Instanzen von Windows-Betriebssystemen belaufen sich auf 19 Dollar pro Knoten. Für die Testumgebung wären im ersten Jahr 27.000 Dollar zu zahlen gewesen, für die folgenden Jahre dann jeweils 25.000 Dollar.

  1. Vergleichstest: Die besten Patch-Management-Tools
  2. Lumension Patchlink – aufgeklärtes Patching
  3. Bigfix Enterprise Suite – der große Fix
  4. Landesk Patch Manager – Cross-Platform-Patching
  5. Kaseya Managed Services Edition 2008 – Windows flicken
  6. Fazit: Wie das Rennen ausging
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
d.velop AG

d.velop AG
HP Deutschland GmbH

HP Deutschland GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
Dahua Technology GmbH

Dahua Technology GmbH