Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Vergleichstest: Die besten Patch-Management-Tools

Werkzeuge für das Patch-Management

Vergleichstest: Die besten Patch-Management-Tools

5. November 2008, 15:21 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 3

Landesk Patch Manager – Cross-Platform-Patching

Landesks Patch-Manager ist eine Cross-Platform-Lösung, die sich auf Agenten stützt. Der Patch-Manager ist als Einzelprodukt oder als Teil der Landesk-Security- oder -Management-Suite erhältlich.

Die proprietären Agenten müssen auf den Zielsystemen installiert werden. Im Test zeigte Patch-Manager eine gründliche Vulnerabilitäten-Discovery und –Behandlung. Zudem sind robuste Werkzeuge zur Anpassung dieser Aufgaben vorhanden.

Die Software ermöglicht ein Management von Endgeräten über existierende Verzeichnisstrukturen, hinweg, beispielsweise Active-Directory. Gleiches gilt für Gruppen, die in der Applikation erzeugt werden.

Das Patch-Repository lässt sich modifizieren. Ein Pluspunkt ist die große Zahl der unterstützten Betriebssysteme: Mac-OS-X, Red-Hat- und Suse-Linux, Solaris und Windows.


Landesk Patch Manager: Peer-Downloads verhindern, dass dieselben Patch-Files x-Mal heruntergeladen werden.

Zudem arbeitet das Programm mit vielen Applikationen zusammen, von Apples iTunes bis zu Suns JRE, außerdem mit populären Antivirus-Systemen, darunter denen von McAfee, Sophos und Symantec.

Beim Setup wählt der Administrator die Applikationen, nach denen er scannen und für die er Patches herunterladen möchte. Scans lassen sich mit einer Autofix-Funktion einschalten. Sie verteilt Patches automatisch, wenn der Patch-Manager eine Vulnerabilität findet.

Diese Funktion war unter den getesteten Produkten einmalig. Obwohl sie attraktiv erscheint, sollten Administratoren daran denken, Patches vor der Verteilung gründlich zu testen.

Besser als diese Funktion ist im einen oder anderen Fall die Verwendung der Benachrichtigungsoption: Der Patch-Manager informiert die IT-Abteilung via E-Mail oder Pager, sobald er eine Sicherheitslücke mit einem spezifizierten Schweregrad findet.

Landesk Patch Manager unterstützt zudem eine Implementierung, die auf Richtlinien basiert. Der Administrator kann dabei die Typen von Patches festlegen, die er installieren möchte.

Während der Verteilung von Paketen stehen Funktionen wie gezieltes Multicast (minimiert die konsumierte Bandbreite) und Peer-Download zur Verfügung. Peer-Downloads schlagen Kapital aus der lokalen Bandbreite, indem sie Pakete nutzen, die ein anderer Agent in einem anderen Subnetz bereits herunter geladen hat.

Diese Eigenschaften erlauben ein Pre-Staging von Patches. Das bietet sogar noch mehr Flexibilität als die üblichen Scheduling-Optionen. Beeindrucken konnte zudem der Inventar-Scan des Patch-Managers. In der Testumgebung lieferte er eine überraschend gründliche Inventarliste der Server.

Das Produkt von Landesk erlaubt es dem Administrator, sprachspezifische Patches zu spezifizieren. Das ist eine nützliche Funktion für international tätige Unternehmen, die Patch-Pakete standardisieren wollen. Landesk aktualisiert das Patch-Repository täglich. Die Frequenz, in der die Management-Station nach Updates sucht, lässt sich nach Bedarf einstellen.

Der Einsatz von Agenten ist für einige Organisationen sicherlich problematisch, aber die Tests haben gezeigt, dass sie für ein robustes Patch-Management einfach unerlässlich sind. Um es einfacher zu machen, die Agenten auf die Zielsysteme zu bekommen, unterstützt der Patch-Manager Push-Verteilung und Login-Script-Installation.

Der Patch-Manager macht das Bandbreiten-Monitoring leicht. Mit der Agenten-Installation ist Peer-Downloading und Bandbreiten-Throttling mit Einstellungen für minimale und maximale Nutzung verfügbar.

Der Geräte-Agent berechnet die Bandbreitenutzung dynamisch, während die Patches verteilt werden. Das Peer-Downloading ist besonders für Unternehmen mit mehreren Standorten oder Computern mit unzureichender Netzwerkanbindung interessant.

Die Berichterstellung gleicht der anderer Plattformen. Das Produkt enthält viele Standard-Reports und erlaubt dem Administrator, je nach Bedarf eigene Berichte zu erzeugen.

Diese lassen sich für jede Gruppe von Geräten oder für alle Geräte ausführen; sie können den Status der Agenten, den Vulnerabilitäts-Status und den Behandlungsfortschritt analysieren.

Ein Kritikpunkt ist, dass Patch Manager zwar viele Betriebssysteme unterstützt, die Zahl der Funktionen für Nicht-Windows-Systeme jedoch limitiert ist. So funktionieren Scanning und Behandlung zwar auf Red-Hat-Linux- und Suse-Enterprise-Linux-Systemen, nicht aber auf anderen Unix-Plattformen oder Linux-Distributionen.

Bei HP-UX, AIX und Solaris unterstützt der Patch-Manager nur Scanning, und die Agenten-Installation bei Solaris ist schwierig und zudem unzureichend dokumentiert.

Die Benutzerschnittstelle des Produkts ist adäquat, das Gesamtdesign im Vergleich zu den anderen Produkten aber weniger intuitiv. Die Agenten-Verteilung, das Scanning und Behandlungsaufgaben lassen sich über die grafische Schnittstelle steuern. In einigen Fällen sind jedoch zu viele Schritte erforderlich, um eine Task zu definieren.

Die Navigation fällt möglicherweise leichter, wenn die gesamte Landesk-Management-Suite genutzt wird. Die Patch-Deinstallation funktioniert nicht so einfach wie in den anderen getesteten Produkten.

Die Kosten: rund 29 Dollar pro Knoten.

  1. Vergleichstest: Die besten Patch-Management-Tools
  2. Lumension Patchlink – aufgeklärtes Patching
  3. Bigfix Enterprise Suite – der große Fix
  4. Landesk Patch Manager – Cross-Platform-Patching
  5. Kaseya Managed Services Edition 2008 – Windows flicken
  6. Fazit: Wie das Rennen ausging
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
WatchGuard Technologies

WatchGuard Technologies
Panduit

Panduit

dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
HP Deutschland GmbH

HP Deutschland GmbH
Vertiv GmbH

Vertiv GmbH