Testserie Client-Management, Teil 4: Heat
Auf dem aktuellen Stand bleiben
Heat Patchlink erkennt systemübergreifend vorliegende Patches und aktualisiert die Endgeräte automatisch. Sicherheits-kritische und unkritische Patches von Microsoft berücksichtigt das Tool ebenso wie Nachbesserungen anderer Hersteller. Dies alles steuert der Administrator über eine zentrale Konsole.
Wem der Name Heat Software auf Anhieb nichts sagt, muss in die Historie des Unternehmens schauen und wird alsbald mit einem bekannten Namen konfrontiert: Im Jahre 2015 übernahm die Clearlake Capital Group den Anbieter Frontrange mit dessen Lösung namens "Heat" und formte Heat Software aus der Kombination von Frontrange und Lumension. Lumension Security hatte der Investor erst ein Jahr zuvor in Besitz genommen. Die CLM-Funktionalität (Client-Lifecycle-Management), die wir uns im Zuge dieser Client-Management-Serie näher anschauen, entstammt einer Übernahme aus dem Jahre 2007, als Frontrange Enteo akquirierte. Enteos Produktnamen "Netinstall" dürften ältere EDV-Kollegen noch in Erinnerung haben.
All den Übernahmen und Umbenennungen zum Trotz bildet das Client- und Server-Management nach wie vor das Kernstück im "Heat Unified Endpoint Management". Die Softwaresuite, basierend auf einer Plattform für Microsoft Windows und Microsofts SQL-Datenbank, liefert alle Bestandteile zur Administration von IT-Umgebungen beliebiger Größe. Eine Verteilung der Server-Rollen auf Systeme an unterschiedlichen Standorten ist möglich und in verteilten Umgebungen für eine ausreichende Performance ohnehin erforderlich.
Im Bereich der Inventarisierung arbeitet die Software mit allen gebräuchlichen Plattformen zusammen, auch mit mobilen Systemen wie IOS, Android oder Windows Phone. Das OS-Deployment "betankt" Clients und Server mit Windows und Mac OS X, die Softwarepaketierung arbeitet mit den Paketen MSI, MST, MSP, EXE und dem hauseigenen Netinstall-Verfahren. Ein Anwender-Self-Service und ein ausgewachsener Service-Desk mit der Möglichkeit der Anbindung von Fremdsystemen unterstreichen die Professionalität der System-Management-Lösung.
In den vergangenen Monaten arbeiteten die Heat-Entwickler in erster Linie an Verbesserungen im Bereich des Patch-Managements, Patchlink genannt, mit der Möglichkeit einer feineren Steuerung als beispielsweise der eher simpel gehaltene Microsoft WSUS. Der Schwerpunkt unserer Betrachtung liegt deshalb auf der Aktualisierung von Software auf Client- und Server-Systemen. In vielen Unternehmen beschränkt sich das Ausbringen von Patches auf die Software aus dem Hause Microsoft. Angesichts der hohen Verbreitung der Microsoft-Programme ist dies verständlich, jedoch ist die Aktualisierung anderer Programme ebenso wichtig, gegebenenfalls noch wichtiger: Laut AV-Test-Institut sind Adobe Reader, Flash und Java für 66 Prozent der Windows-Lücken verantwortlich. Windows mag so sicher sein, wie es will - geraten Trojaner oder andere Schädlinge ungebremst über die Applikations-Sicherheitslücken auf das System, wird das System dennoch kompromittiert.
Testumgebung
Unsere Teststellung bestand aus einem virtuellen Server mit Windows Server 2012R2 für die Heat-Software nebst Datenbank-Server und Active Directory, zwei virtuellen Member-Servern und einem ebenfalls virtualisierten Client-PC mit Windows 7 in der x86-Ausprägung. Sie arbeitete im Betrachtungszeitraum stabil. In produktiven Umgebungen erlaubt die Software eine Verteilung auf verschiedene Maschinen. Für eigene Tests bietet der Hersteller die einzelnen Module in einer Trial-Variante an. Aussetzer in der Administrationsoberfläche, die einen Neustart des Programms erforderten, ließen sich auf eine Interaktion mit der Bildschirmgröße im Hypervisor zurückführen und beheben. Glücklicherweise kam es nie dazu, dass eingegebene Daten verlorengingen. Die Einbindung der Clients und Server in die Verwaltungsstruktur der Heat-Software ist nicht sonderlich schwierig. Typisch benötigt die Lösung einen lokal installierten Agent, der laufend in Kommunikation mit dem Verwaltungs-Server steht. Wie bei allen gängigen System-Management-Lösungen bietet auch die Heat-Software verschiedene Möglichkeiten der Agentenverteilung. Ein Ansprechen der Server- und Client-Systeme über standardisierte Softwareschnittstellen sieht die Lösung von Heat leider nicht vor.
Schnelleinstieg ins Patch-Management?
Bereits wenige Minuten nach der Einbindung der Testmaschinen in die Verwaltungsstruktur begann der erste Datenfluss zum Verwaltungs-Server. Inventarisierungsdaten wie die Hardwareausstattung sind alsbald im Zugriff. Die Verwaltungskonsole von Heat (DSM-Konsole) ist klassisch dreigeteilt: links eine Baumstruktur, in der Bildschirmmitte die Ergebnisse und auf der rechten Seite die Eigenschaftenfenster. Erwartungsgemäß kann der Administrator diese Anzeige anpassen.
Den Wechsel auf eine Web-Oberfläche haben die Heat-Entwickler noch nicht ganz abgeschlossen: Zwar gibt es eine Web-Oberfläche mit frei definierbaren Dashboards und Drill-Down-Funktion, aber noch sind nicht alle Funktionen der Windows-Konsole umgestellt. Das mag zwar altmodisch anmuten, doch viele Marktbegleiter im CLM/Systems-Management-Umfeld sind auch noch nicht viel weiter.
Im Vergleich zu WSUS muss der Administrator bei Heats Patch-Management Patchlink umdenken. Statt automatisch alle Patches über das Internet herunterzuladen, beschränkt sich die Software auf die notwendigen Aktualisierungen. Folglich benötigt Patchlink zunächst die Software-Inventardaten von den Clients. Ob die vorgefundene Software per Software-Deployment mit Netinstall verteilt wurde oder ob der Administrator oder Anwender ein Programm selbst eingerichtet hat, spielt hierfür keine Rolle. Die Inventardaten sammelt die Software vollautomatisch, doch braucht es zunächst eine Organisationseinheit, die die Clients- und Server-Systeme zusammenfasst. Bei Heat steht es dem Administrator frei, ob er Regelwerke auf einzelne Systeme oder Gruppen beziehungsweise Organisationseinheiten (OUs) legen will. Für bessere Verwaltbarkeit empfiehlt es sich stets, die Systeme in Gruppen und OUs einzuordnen, wie vom Active Directory bekannt.
Leider erzwingt die Oberfläche eine gewisse Lernkurve. Einen Teil der Einstellungen legt der Administrator im Abschnitt "Organization Tree" fest, einige Anpassungen gilt es unter "Software Library" vorzunehmen, während der Adminstrator das Gros der Konfigurationsaufgaben im Abschnitt "Patch Management" findet. Die logische Struktur, wann in welchem Menüzweig zu arbeiten ist, ergibt sich relativ zügig. Aber wir vermissen einen Konfigurations-Wizard, der uns sicher durch das Programm führt. Ohne Hilfe, und die bestand in unserem Fall in einem Webcast des Herstellers, ist der Einstieg in die Software nur schwer denkbar.
Eine besonders wichtige Einstellung für die Aktualisierung bei Heat sind die sogenannten "Wartungspläne". Diese kann der Administrator definieren - sie stellen sicher, dass der Computer insbesondere beim Patch-Management den Benutzer nicht aus dem Tagesgeschäft stößt. Statt nur einen Zeitplan mit Werk- und Wochenendtagen anzubieten, gibt es ein weiteres Register für einen kompletten Jahresplan - praktisch, wenn Administratoren dynamische Fenster einrichten wollen.
Eine ebenfalls sehr hilfreiche Einrichtung sind die Gruppen, nach denen das Patch-Management sortiert wird. Der Aufbau von Gruppen erleichtert die Abbildung einer automatischen Patch-Freigabe mit Testphase, zum Beispiel mittels einer "Evaluationsgruppe" (Server und Clients, bei denen die Software die Patches zunächst anwendet) und "Produktivgruppen", die der Administrator mit ein paar Stunden oder Tagen Versatz aktiviert. Die dynamischen Gruppen in Heat DSM erlauben eine automatische und flexible Zuordnung neuer Clients oder Server.
Während der Zeit, die der Administrator der Software zur Aktualisierung geben muss, gibt die Oberfläche stets Auskunft darüber, welche fehlenden Patches entdeckt und welche Lücken bereits geschlossen sind. Alle Anforderungen im Zuge der Teststellung erledigte die Software zuverlässig. Ohne viel Aufsehen wurde aus unserem Notepad++ in der Version 6.1 die aktuelle Version 6.8.8. Das Patch-Management aktualisierte im Test das Windows-Betriebssystem, Office-Komponenten, die Dotnet-Dateien und auch Adobe-Produkte.
Die Liste der Anbieter für das Patch-Management ist umfangreich und enthält neben Adobe auch Apache Software Foundation, Apple, Autodesk, Cisco, Citrix, EMC, Dropbox, Keepass, Libreoffice, Oracle, Quest, Mozilla oder Yahoo. Insgesamt stehen 58 Anbieternamen und mehrere hundert Produktnamen auf der Liste.
Preislich ist die Lösung durchaus interessant: Im "Endpoint Management"-Bundle von Heat DSM, Netinstall, Patchlink, Discovery, OS Deployment und Mobile-Device-Management kostet die Lizenz 65,45 Euro pro Gerät (Staffelpreis für 250 bis 999 Lizenzen).
Fazit
Auf den ersten Blick erschlägt die DSM-Konsole einen neuen Anwender. Die vielen Optionen wirken zunächst unlernbar - Assistenten, die den Neuling in der richtigen Reihenfolge durch die Software führen, sucht man vergeblich. Dafür bietet die Heat-Software eine enorm große Anzahl von Konfigurationsmöglichkeiten. Insbesondere im betrachteten Bereich des Patch-Managements bleiben keine Wünsche offen.
Der Autor auf LANline.de: BÄR
Der Autor auf LANline.de: Frank-Michael Schlede
Info: Heat SoftwareTel.: 089/3188-30 oder 0711/3401900Web: heatsoftware.com/de
Lesen Sie mehr zum Thema
