Vergleichstest: Die besten Patch-Management-Tools

Bigfix Enterprise Suite – der große Fix

Bigfix ist insofern ein besonderes Programm im Testfeld, als dessen Kern-Patching-Funktion Teil eines größeren Frameworks ist. Es konzentriert sich auf alle Aspekte der Endpoint-Security und des Managements.

Dieses Framework, die Bigfix-Enterprise-Suite, kann neben der getesteten Patching-Komponente IT-Richtlinienmanagement und Bigfix’ eigenes Antivirus-Produkt enthalten. Das macht die Benutzerschnittstelle komplexer als die der anderen Patch-Management-Produkte. Aber nach einer kurzen Einarbeitungszeit kommt ein Administrator auch damit zurecht.

Bigfix stützt sich auf »Sites« für jeden verwalteten Techniktyp, beispielsweise Solaris oder Windows. Sites sind in Solution-Packs gebündelt, die wiederum für die verschiedenen Rollen, die Bigfix spielen kann, gruppiert sind.

Während jedes Pack mit einer gewissen Anzahl von Sites kommt, kann der Administrator nur die Sites installieren, die für seine spezifische Umgebung notwendig sind. Das reduziert die Ressourcen, die das Programm für das Herunterladen und Speichern von Patching-Informationen nutzt.

Bigfix zeigt auf einen Blick, welche Sicherheitslöcher auf welchen Systemen vorhanden sind.

Jede Site enthält »Fixlets«. Das ist Bigfix’ Name für die Pakete, welche die zu verteilenden Patches, Applikationen oder Richtlinien enthalten. Der größte Teil der von Bigfix gebotenen Funktionen ist mit Fixlets verknüpft.

Die Struktur von Bigfix stützt sich vollständig auf Agenten, deren Verteilung an Windows-Systeme sich durch ein Client-Installationsprogramm auf einfache Weise automatisieren lässt. Aber auch Pakete für andere Betriebssysteme sind leicht zu installieren und gut dokumentiert.

Installierte Agenten können »ihre« lokalen Netzwerke sogar nach Geräten ohne Agenten durchsuchen und versuchen, die fehlende Software zu verteilen.

Mit seinen Managementfunktionen setzt Bigfix sich von den anderen Testkandidaten ab. Der Administrator kann Grundlinien von Patches erzeugen und sie vom Benutzer erstellten Gruppen, individuell spezifizierten Clients oder Client-Gruppen zuweisen. Sorgfältig konfigurierte Grundlinien helfen dabei, die für das Patch-Management erforderliche Zeit zu reduzieren.

Die Standard-Patch-Einstellung für Windows-Umgebungen ist »kein Reboot«, selbst wenn der Patch-Hersteller einen Neustart spezifiziert hat. Das ist beispielsweise für Server von Vorteil, die nur innerhalb einer bestimmten Wartungsfensters neu gestartet werden dürfen.

Im Berichtsfenster sieht der Administrator nach Einspielen solcher Patches den Status »Pending Reboot«. Er kann dann ein passendes Wartungsfenster festlegen.

Einen Patch zu deinstallieren, ist ein wenig komplizierter als bei anderen Patch-Management-Produkten. Bigfix nutzt dazu einen Wizard statt Optionen im Kontext des Patches selbst. Der Prozess funktionierte aber wie vom Hersteller versprochen.

Ein Wizard ruft die Patches ab. Das gilt auch für Sun-Solaris-Patches, denn diese verlangen neuerdings ein Login. Ein weiterer Wizard dient dem Setup des Pre-Caching der Patches, die zur Verteilung anstehen.

Berichte liefert Bigfix’ Web-Report-Komponente, nicht die Konsole selbst. Der Hersteller deckt hier mit vorgefertigten Berichten über Vulnerabilitäten-Einschätzungen, Agenten- und Client-Statistiken sowie über Resultate spezifischer Aktionen und Konsolenoperationen alle Basics ab.

Die Fähigkeiten der Grundlinien werden hier ebenfalls reflektiert, denn Berichte über die Grundlinien-Effizienz sind ein einfacher Weg, um relevante und nützliche Reports zu erstellen.

Bigfix lässt sich in eine Configuration-Management-Data-Base (CMDB) oder andere Applikationen integrieren, etwa ein Netzwerkmanagement-System. Das hilft dem Fachmann dabei, wenn er herauszufinden möchte, ob ein bestimmter Patch für den Ausfall eines Systems verantwortlich ist. Für Desktops ist dies sicherlich »Overkill«, aber für Server eine hilfreiche Sache.

Das Produkt offeriert zahlreiche Programmierschnittstellen, darunter solche für Netzwerk-Zugriffssteuerung, Datenbankzugriff, Vulnerabilitäten-Assessment und Inventarintegration.

Bigfix eignet sich vor allem für Anwender, die eine umfassende Bandbreitensteuerung benötigen. Der Administrator kann nicht nur Bandbreite begrenzen, die für Bigfix-Server und -Clients zur Verfügung steht. Er hat zudem die Möglichkeit, Relays für die Upload- und Download-Nutzung zu konfigurieren.

Die Client-Einstellung lässt sich sogar über kBit/s oder einen Prozentsatz der Gesamtbandbreite herunter regeln. Insgesamt bot Bigfix unter den getesteten Produkten die umfassendste Sammlung von Control-Funktionen.

Die Liste der von Bigfix unterstützten Betriebssysteme ist beeindruckend: Windows, Mac-OS, Solaris, HP-UX, AIX, Suse-Enterprise-Linux, Red-Hat und sogar Vmware-ESX finden sich dort.

Aber bitte nicht zu früh freuen: Die Liste der Betriebssysteme mit Patch-Inhalt weicht leicht von der Liste der unterstützten Betriebssysteme ab. Patches stehen außerdem für viele Applikationen zur Verfügung.

Um Antivirus-Produkte aktuell zu halten, bietet Bigfix ein separates Client-Manager-for-Antivirus-Repository. Es enthält Updates für Antiviren-Software von Symantec, Sophos, Trend-Micro, McAfee und eTrust.

Ein weiterer Bestandteil von Bigfix ist eine Funktion, mit der sich auf einfache Weise Patches erstellen lassen. Sie erfordert zwar die Verwendung einer speziellen Scripting-Sprache des Herstellers. Der Vorteil ist jedoch, dass Patches, die der IT-Manager mit diesem Tool erzeugt, von der Software auf dieselbe Art behandelt werden wie von Bigfix bereitgestellte Patches.

Der Listenpreis für die Testumgebung betrug 20.250 Dollar. Bei 450 Linux/Unix-Servern kostet ein System 25 Dollar; 600 Windows-Server (echte und virtuelle) schlagen mit 15 Dollar pro System zu Buche.

1. Vergleichstest: Die besten Patch-Management-Tools
2. Lumension Patchlink – aufgeklärtes Patching
3. Bigfix Enterprise Suite – der große Fix
4. Landesk Patch Manager – Cross-Platform-Patching
5. Kaseya Managed Services Edition 2008 – Windows flicken
6. Fazit: Wie das Rennen ausging