Test: Baramundi Management Suite 6.3
Patch-Management inklusive
Die Baramundi Management Suite 6.3 integriert nun auch eine Patch-Verwaltung, die neue Microsoft-Hotfixes automatisch oder auf Anforderung herunterlädt und installiert. Das für Baramundi-Anwender als kostenloses Add-on erhältliche Update bietet dieselben Steuerungsfunktionen wie die Softwareinventarisierungs- und Verteilungs-Tools der Suite.
Kaum eine Woche vergeht, in der Microsoft nicht mindestens einen Hotfix zum Download
bereitstellt. Häufig handelt es sich dabei um kritische Patches, die möglichst schnell auf allen
Systemen eingespielt werden sollten, die von der jeweiligen Sicherheitslücke betroffen sind. Denn
wenn eine Schwachstelle erst einmal bekannt ist, steigt die Gefahr, dass Hacker sie für Angriffe
ausnutzen. Baramundi Software hat deshalb ihre Netzwerkmanagementsuite um ein Patch-Management
erweitert. Das neue Tool integriert sich nahtlos in das Management-Center der Baramundi Suite, das
auf der Microsoft Management Console (MMC) basiert. Für Anwender, die bereits die Inventory- oder
die Deploy-Module einsetzen, steht das Patch-Management als Update kostenlos zur Verfügung.
Einfache Installation
Für den LANline-Test wurde die Baramundi Management Suite 6.3 auf einem Windows-2000-Server
installiert. Die Software läuft auch unter Windows 2003 sowie auf NT-4.0-Systemen. Die Suite kann
über das Netzwerk auf Client-Rechner die Betriebssysteme Windows XP, 2003, 2000 und NT 4.0
aufspielen und diese Systeme anschließend zentral verwalten. Zu den wichtigsten Funktionen zählen
die Verteilung von Betriebssystemen und Applikationen sowie die Hardware- und
Softwareinventarisierung. Darüber hinaus sind weitere Module wie das Scripting- und das
Packaging-Studio sowie die Fernverwaltung erhältlich.
Der Testserver wurde vor dem Baramundi-Setup als Domänen-Controller konfiguriert, um eine
Rechtevergabe auf Domänenebene zu ermöglichen. Die Baramundi-Agents kamen sowohl auf dem Server als
auch auf den zu verwaltenden Rechnern, einem Windows-2000-Professional- und einem XP-System, zum
Einsatz.
Die Suite speichert die durch die Inventarisierung und andere Aktionen erfassten Informationen
in einer SQL-Datenbank. Wenn noch kein SQL-Server vorhanden ist (mindestens Version 7.0), richtet
das Setup die MSDE 2000 SP3a ein (Microsoft SQL Server Desktop Engine). Das Setup legt
standardmäßig den Installationsbenutzer Barainst an. Dieser Account muss auf jedem zu verwaltenden
Client-Rechner über lokale Administrationsrechte verfügen.
Agenten remote aufspielen
Damit die Baramundi-Suite die Client-Rechner verwalten kann, muss der Systembetreuer auf ihnen
einen Agenten installieren. Dies lässt sich vom zentralen Managementserver aus erledigen, indem der
Administrator unter "Umgebung"/"Logische Gruppierung" für jeden Client die IP- und MAC-Adresse
sowie den Host-Namen einträgt. Daraufhin erfasst das Tool den Client und fügt ihn in die
Baramundi-Verwaltung ein. Anschließend ist es möglich, den Agenten remote auf den Client
aufzuspielen.
Ist ein System komplett neu zu installieren, kann die Baramundi-Suite den Rechner auch per
PXE-Boot (Pre-Boot Execution Environment) starten und anschließend das Betriebssystem und die
benötigten Anwendungen aufspielen. Falls die Netzwerkkarte des Clients kein PXE unterstützt,
simuliert die Suite mithilfe der Funktion PXE-on-Disk den PXE-Boot per Diskette.
Die Verteilung der Software erfolgt immer über ein Bundle, das mindestens ein Betriebssystem
oder eine Anwendung enthält. Der Administrator kann zum Beispiel passende Pakete für
Office-Anwendungen oder für die Finanzbuchhaltung schnüren. Um ein Software-Bundle an die
gewünschten Client-Rechner zu verteilen, richtet der Administrator einen Deploy-Job ein und weist
ihm Rechner zu, die die Anwendungen erhalten sollen. Auch die Hardware- und die
Softwareinventarisierung verwaltet er per Job-Konfiguration. Außerdem bietet die Suite ein
Lizenzmanagement, Fernverwaltung, verschiedene Tools für die Automatisierung sowie
Reporting-Funktionen.
Patch-Verwaltung mit Komfort
Baramundi hat die neue Patch-Verwaltung vollständig in die Management-Suite 6.3 integriert. Sie
hilft Administratoren dabei, alle Rechner im Netz immer auf dem aktuellsten Stand zu halten. Das
Patch-Tool installiert englische und deutsche Hotfixes auf den Betriebssystemen Windows 2003,
Windows 2000 und XP.
Die Analyse der Client-Rechner erfolgt mithilfe des Microsoft Baseline Security Analyzers
v1.2.1. Dieser ermittelt für Microsoft-Produkte die vorhandenen und fehlenden Patches: Das Tool
vergleicht die installierte Software mit der von Microsoft gepflegten XML-Datei MSSCECURE, die alle
verfügbaren Patches enthält. Die Webseiten für die automatische Aktualisierung dieser Informationen
sind in der Baramundi-Suite hinterlegt, sodass immer die aktuellsten Daten über verfügbare Hotfixes
vorliegen. Das Aktualisierungsintervall lässt sich individuell einstellen. Zusätzlich verwendet
Baramundi eine eigene Datei BMSSECURE, die Informationen zur Verteilung der Patches enthält.
Der Administrator hat mehrere Möglichkeiten, die Hotfix-Verwaltung zu steuern. Zum einen kann er
festlegen, ob neue Patches sofort automatisch aus dem Internet oder erst bei Bedarf auf den
Baramundi-Server heruntergeladen werden. Im zweiten Fall erfolgt der Download erst, wenn ein Client
bei einem Scan einen Patch als fehlend ermittelt hat.
Auch die Verteilung und Installation der Hotfixes auf den Clients führt die Suite wahlweise
automatisch oder erst nach Freigabe durch den Administrator durch. Hierfür konfiguriert der
Administrator die gewünschten Patch-Update-Jobs und ordnet die Zielsysteme zu, auf denen sie
auszuführen sind. Das Patch-Management verfügt über dieselben Steuerungsoptionen wie die anderen
Jobarten, unter anderem Zeitplanung, Wake-on-LAN und Client-Einstellungen.
Der Hersteller empfiehlt, für den Scan und die Installation jeweils einen eigenen Job
einzurichten. Prinzipiell wäre dies auch in einem Durchgang möglich, allerdings kann der
Systemverwalter dann nicht kontrollieren, welche Hotfixes als fehlend erkannt wurden.
Nach einem Scan-Job zeigt die Suite unter "Logische Gruppierung" den Patch-Status des jeweiligen
Rechners an und listet alle installierten und alle noch benötigten Patches. Über die rechte
Maustaste lässt sich für jeden Patch das zugehörige Security-Bulletin von Microsoft anzeigen, das
eine Beschreibung des Hotfixes enthält.
Um einen Patch installieren zu können, muss der Administrator ihn in der Patch-Liste der
Baramundi-Suite explizit freigeben. Unter "Softwareverwaltung"/"Patches" sieht er alle verfügbaren
Hotfixes und gibt einzelne Patches oder ganze Bulletins für die Verteilung an die Clients frei.
Diese Freigabe lässt sich auch wieder aufheben. Wenn mehrere Patches installiert werden, führt das
Tool erst nach dem Aufspielen des letzten Hotfixes einen Reboot durch.
Immer auf dem aktuellsten Stand
Im Test erkannte die Baramundi-Suite beim Scan des Windows-XP-Clients, der bereits über
Service-Pack 2 verfügte, dass ein Patch fehlte. Auch beim zweiten Test-Client mit Windows 2000
Professional, der nicht auf dem aktuellsten Stand war, listete das Tool die vorhandenen und
fehlenden Hotfixes korrekt auf. Allerdings war zuvor auf diesem Rechner der XML-Parser von
Microsoft zu installieren (mindestens Version 3), da das Patch-Tool ihn für den Scan-Vergleich
benötigt. Nachdem er installiert war, funktionierte der Patch-Update-Job erwartungsgemäß.
Anschließend ging es daran, die fehlenden Patches nachzuinstallieren. Dabei klappte zunächst der
automatische Download von der Microsoft-Webseite nicht. Der Fehler war schnell gefunden: Es lag an
dem fehlenden Eintrag des Testnetz-Proxy-Servers, dessen IP-Adresse und Port-Nummer der Anwender im
Konfigurationsmenü angeben muss. Sobald dies geschehen war, liefen sowohl die Downloads als auch
die Installation der Hotfixes reibungslos durch.
Die Ereignisanzeige für den Baramundi-Server und die Historie zu jedem verwalteten System
liefern zahlreiche Meldungen über die durchgeführten Aktionen, zum Beispiel ob sie erfolgreich
abgeschlossen wurden oder ob Fehler aufgetreten sind. Die Fehlerbeschreibung enthält häufig
konkrete Hinweise auf die mögliche Ursache. Diese Meldungen wären noch besser nutzbar, wenn es wie
beim Windows-Event-Log möglich wäre, in den Events vor und zurück zu scrollen. Bislang muss der
Administrator jede Meldung per Doppelklick öffnen und einzeln schließen.
Fazit
Das Patch-Management ist eine sehr sinnvolle Erweiterung der Baramundi Management Suite 6.3. Wer
dieses Produkt bereits einsetzt, sollte sich auf jeden Fall das kostenlose Update besorgen. Es
hilft dem Administrator dabei, die Windows-Systeme auf dem aktuellsten Hotfix-Stand zu halten.
Info: Baramundi Tel.: 0821/56708-0 Web: www.baramundi.com
Lesen Sie mehr zum Thema
