Ohne Management-System ist das Verteilen und Installieren von Patches im Unternehmensnetz kaum noch zu bewältigen. Das Problem: Der IT-Fachmann hat die Qual der Wahl zwischen einer Unzahl von Patch-Management-Lösungen. Das macht es schwer, die richtige zu finden. Network Computing hat fünf der leistungsfähigsten Programme unter die Lupe genommen.

Network Computing lud folgende Hersteller von Patch-Management-Lösungen dazu ein, mit ihren Produkten an einem Vergleichstest teilzunehmen: Bigfix, Bladelogic, BMC Software, Computer Associates, Configuresoft, Ecora Software, IBM, Kaseya, Landesk Software, Lumension Security/Patchlink, Novell, Opsware, Shavlik Technologies und Symantec.

Von diesen 14 Anbietern kniffen neun. Nur Bigfix, Kaseya, Landesk, Lumension und Shavlik stellten ihre Produkte zur Verfügung. Ihnen sei an dieser Stelle nochmals ausdrücklich dafür gedankt.

Network Computing testete die Software-Pakete über mehrere Monate hinweg in den Real-World Labs. Wir hoffen, dass auch diejenigen Anbieter, die dieses Mal nicht dabei waren, ihre Produkte zu einem späteren Zeitpunkt zur Verfügung stellen werden.

Shavlik Netchk Protect – wie ein Rockstar

Shavlik Technologies trifft mit ihrem Netchk-Protect die hohe Note des Patch-Managements. Für den Vergleichstest forderte Network Computing Produkte an, die

· den Patch-Prozess automatisieren,

· eine leistungsfähige Änderungskontrolle enthalten und

· die verfügbare Bandbreite möglichst effizient nutzen.

Netchk erfüllte all diese Anforderungen. Der Scheduler des Produkts unterstützt sowohl das Entdecken als auch Verteilen von Patches. Außerdem scannt er kontinuierlich die Patch-Compliance. Die Scan-Resultate gibt die Software im Format von Microsofts Baseline-Security-Analyzer aus.

Shavlik Netchk liefert detallierte und übersichtliche Reports.

Wenn ein Administrator Shavliks Distribution-Server-Option hinzufügt, kann er steuern, wann das Produkt Patches an die Zielmaschinen verteilt. Unternehmen, die Linux- oder Unix-Maschinen nutzen, werden Netchk allerdings ergänzen müssen.

Microsoft-Patches innerhalb von 24 Stunden eingespielt

Das Produkt enthält ein Patch-Repository, das vor jedem Scan geprüft wird. Es aktualisiert Microsofts Sicherheits- und sonstige Patches automatisch innerhalb von 24 Stunden nach Veröffentlichung.

Repository-Verbindungen und die Gültigkeit von Patches verifiziert das Produkt mit Hilfe digitaler Signaturen. Die Kommunikationen zwischen Host- und Client-Maschinen läuft über sichere Protokolle. Im Test klappte auch das Patching virtueller Maschinen reibungslos.

IT-Manager, die bekanntlich ständig unter Zeitdruck stehen, werden weitere Funktionen des Produkts schätzen. Dazu gehören die Möglichkeit, eine automatische Benachrichtigung für Ergebnisse einzurichten, ferner das Aufspüren und Eliminieren von Spyware sowie das Verteilen von Patches mit oder ohne Unterstützung durch Software-Agenten.

Gute Reporting-Tools

Netchk Protect liefert umfassende und flexible Berichte. Der Nutzer kann sie auf vielerlei Weise nach seinen Vorstellungen gruppieren. Die Software verwendet für die Berichte die Resultate der Scan- und Patch-Verteilung.

Im Test wurden nach dem Scan einige der Standardberichte genutzt, um den Erfolg der Patch-Verteilung nach Schweregrad und der Rate des Scan-Erfolgs zu beurteilen. Die Berichte ließen sich problemlos in viele Formate exportieren.

Netchk unterstützt die meisten Microsoft-Betriebssysteme und -Applikationen der Enterprise-Klasse, darunter Office, Exchange und Sharepoint. Die Option, Netchk ohne Agenten einzusetzen, ist überzeugend: Auch dann sind alle Funktionen sind verfügbar.

Über die zentrale Managementkonsole führte das Produkt ein vollständiges Scanning aus, installierte und deinstallierte Patches und erkannte beziehungsweise beseitigte Spyware. Dazu war es nicht notwendig, auf den Zielmaschinen eine Shavlik-Software zu installieren. Für Umgebungen mit unzureichender Netzwerkanbindung sind Agenten erhältlich, und das ohne zusätzliche Kosten.

Belastung des Netzwerks herabsetzen

Netchk enthält ein handliches Feature, um Ziel-Office-Suites so zu patchen, dass sie einer spezifizierten Office-Master-Installation gleichen, statt Patches zu verteilen, sobald diese verfügbar sind. Das ist für Unternehmen hilfreich, die Patches erst testen wollen, bevor sie eine Massenverteilung durchführen.

Wenn die Software-Flicken verteilt werden, lässt sich die Netzwerknutzung verringern, indem die Copy-Speed-Einstellung heruntergesetzt wird. Diese Fähigkeit, das Kopieren von Patches nativ zu verzögern, ohne Distribution-Server zu nutzen, würde auch dem Produkt von Symantec gut zu Gesicht stehen.

Installation und Konfiguration

Die Installation des Produkts auf dem Server war eine Kleinigkeit, aber der anfängliche Netzwerk-Scan brauchte seine Zeit. Zu Anfang hinderte die XP-Firewall die Konsole daran, XP-Maschinen zu scannen. Und selbst nachdem der Port geöffnet wurde, musste das einfache File-Sharing ausgeschaltet werden, um Netchk zu erlauben, sich mit den erforderlichen Rechten anzumelden.

Den ersten Scan aufzusetzen, war einfach. Ziele lassen sich durch Host-Namen, IP-Adressen, Domänen und Active-Directory-Organisationseinheiten definieren. Durch Kombinationen davon können schnell Gruppen und Subgruppen erzeugt werden. Nach dem erfolgreichen Scan der Test-Windows-Umgebung präsentierte das Produkt eine klare Analyse, aus der sich weitere Aktionen ableiten ließen.

Für die Verteilung selektiert der Administrator die Patches entweder von Hand oder er nutzt Kontextmenü-Optionen, um alle Patches oder alle kritischen Patches zu installieren.

Bandbreitenmanagement funktionierte reibungslos

Die Lösung von Shavlik erlaubt das sofortige oder spätere Verteilen von Patches und bietet zudem Reboot- und Copy-Speed-Optionen. Beim Testen der Kopiergeschwindigkeit ließ sich tatsächlich ein Unterschied zwischen den Einstellungen 1 und 5 für einen 12 MByte großen Patch feststellen, sprich das Bandbreiten-Throttling funktionierte einwandfrei.

Beim Versuch, einen Patch-Vorgang zu verzögern, fiel allerdings auf, dass Netchk die Patch-Dateien nicht zur geplanten Zeit, sondern sofort kopierte. Laut Shavlik ist dieses Verhalten gewollt, um die Patch-Verfügbarkeit zu gewährleisten und Verzögerungen bei der Verteilung durch langsames Kopieren zu vermeiden.

Die Resultate der Verteilung zeigten klar, welche Patches fehlschlugen. Im Test lieferte das Programm auch gleich einen Hinweis auf die vermutliche Fehlerursache mit. Die Entfernung eines installierten Patches funktionierte einwandfrei.

Für 300 Windows-Maschinen plus 300 VMs mit Windows kostet Netchk-Protect 19.200 Dollar. Im Preis enthalten ist ein Jahr Support.

1. Vergleichstest: Die besten Patch-Management-Tools
2. Lumension Patchlink – aufgeklärtes Patching
3. Bigfix Enterprise Suite – der große Fix
4. Landesk Patch Manager – Cross-Platform-Patching
5. Kaseya Managed Services Edition 2008 – Windows flicken
6. Fazit: Wie das Rennen ausging