Das Patch-Management von Windows-PCs beschränkt sich nicht auf das Betriebssystem und Office-Anwendungen, die sich über WSUS aktualisieren lassen. Zahlreiche gängige Software-Pakete benötigen ebenfalls regelmäßige Updates. Aagon bietet dafür mit ACMP Managed Software eine umfassende Lösung.*
Kaum ein Firmen-PC kommt heute ohne eines der zahlreichen Standardprogramme aus, seien es Webbrowser, PDF-Reader, Editoren, Packer, Grafikprogramme oder Laufzeitumgebungen für Java. Viele davon werden kontinuierlich in kurzen Intervallen aktualisiert und einige fallen regelmäßig durch Sicherheitsprobleme auf.
Auto-Updater ungeeignet für verwaltete Umgebungen
Aus diesem Grund kommen Admins nicht umhin, diesen Standardprodukten beim Patch-Management ähnlich viel Beachtung zu schenken wie dem Betriebssystem. Aber während Microsoft die Updates für das OS und einige seiner eigenen Anwendungen über WSUS oder Microsoft Update ausliefert, müssen Anwender für die Software von Drittanbietern selbst eine Lösung finden.
Fast alle dieser Tools, seien es Webbrowser, Notepad++ oder Filezilla, verfügen über so genannte Auto-Updater. Diese sind aber primär für Privatanwender gedacht. Überlässt man ihnen das Einspielen von neuen Versionen, dann führt dies zu einem unkoordinierten sowie mehrfachen Herunterladen und Aktualisieren von Programmen.
In professionellen Umgebungen verfügen die Benutzer in der Regel gar nicht über die Berechtigung, Programme zu installieren, so dass die Updates dann scheitern und kritische Sicherheitslücken nicht geschlossen werden. Einheitliche Release-Stände lassen sich auf diese Weise ebenfalls nicht erreichen.
Managed Software als neues Modul in ACMP 6.0
Wenn Unternehmen ein Client-Management-System einsetzen, um ihre Endgeräte zentral zu warten, dann liegt es nahe, damit auch gleich die benötigte Standard-Software zu verteilen und zu aktualisieren.
Die in Soest ansässige Aagon GmbH bot mit Package Cloud schon länger eine solches Feature an, dessen wesentlicher Vorteil in der Bereitstellung von geprüften und sofort einsatzbaren Installationspaketen bestand. Die weiteren Schritte vom Download über den Import in ACMP, das Zuweisen und Verteilen an Clients erforderten jedoch manuelle Eingriffe des Admins.
Die Version 6.0 von ACMP führte daher den Nachfolger namens Managed Software ein, der diese Aufgaben weitgehend automatisieren kann. Auch dieses Modul macht sich das Online-Repository von Aagon zunutze, auf dem sich aktuell 72 Pakete befinden und Dutzende weitere kommen in Kürze hinzu.
Kombination aus Service und Software
Der Hersteller beschränkt sich bei der Bereitstellung nicht auf das Re-Packaging, das Erstellen von Hashes und das Prüfen auf Malware. Vielmehr schöpft er die Möglichkeiten aus, die sich über die Setup-Parameter der jeweiligen Software ergeben.
Zum einen können Admins oder Nutzer des ACMP-eigenen Self-Service-Portals die Installation auf diese Weise anpassen, zum anderen lässt sich auf diesem Weg etwa auch die Deinstallation anstoßen.
Wenn das Programm eine entsprechende Option vorsieht, dann richtet Aagon die Pakete so ein, dass Auto-Updater außen vor bleiben. Ist das nicht der Fall, dann stellt ACMP die proprietären Update-Tools ruhig, indem es deren Prozesse über vorgegebene Hintergrundprozesse deaktiviert.
Pakete abonnieren
Möchte man Managed Software einrichten, dann besteht der erste Schritt erwartungsgemäß darin, dass man die benötigten Pakete abonniert. Erscheinen künftig Updates für die gewählten Programme, dann lädt ACMP diese automatisch nach.
Nach dem Synchronisieren der abonnierten Pakete findet man diese in einer Übersicht im Abschnitt Managed Software. Diese listet sämtliche verfügbaren Versionen einer Software auf. In deren Detailansicht finden sich einige Metadaten, etwa das Erscheinungsdatum oder eine Beschreibung.
Interessanter sind die Informationen, die man durch Wechsel zum Paketnamen erhält. Dort kann man auf der Registerkarte Parameter alle vom Setup unterstützten Schalter einsehen und bei Bedarf anpassen. Zudem legt der Admin an dieser Stelle fest, ob die Endbenutzer im Self-Service-Portal bestimmte Parameter sehen bzw. selbst konfigurieren dürfen.
Unter dem Tab Betroffene Clients erkennt man, welche Rechner das jeweilige Programm in welcher Version bereits installiert haben und auf welche sich die später gewählte Aktion (zum Beispiel Update oder Deinstallation) auswirken würde.
Verteilerringe
Wie beim Patchen des Betriebssystems werden Admins auch bei der Verteilung von Standard-Software nicht sofort alle Rechner adressieren. Bei Managed Software hängt das Vorgehen sicher von der Bedeutung des Programms ab. Während ein fehlgeschlagenes Update von Notepad++ normal keine größeren Folgen hat, sieht es beim bevorzugten Webbrowser oder PDF-Reader schon anders aus.
Der Admin hat daher die Möglichkeit, die Software über Verteilerringe auszurollen. Dabei handelt es sich um ein sehr flexibles Konzept für eine gestaffelte Verteilung von Updates, das Aagon bereits bei der WSUS-Alternative CAWUM auf die identische Weise umgesetzt hat. Daraus ergibt sich für Admins ein konsistentes Benutzererlebnis.
Unter Kein Ring lässt sich im Wesentlichen bestimmen, ob das Verteilen eines Pakets automatisch in Gang kommen soll, sobald seit dem Download eine bestimmte Zeit verstrichen ist, oder ob der Start manuell erfolgen soll.
Anschließend durchläuft der Prozess zwei Testringe, bis er den Freigabering erreicht. Dabei ist es jedoch keineswegs zwingend, alle Etappen zu absolvieren. Wenn eine Software erst gar nicht auf einigen PCs ausprobiert werden, sondern gleich überall installiert werden soll, kann der Admin die Testringe komplett überspringen.
Alternativ lassen sich die zeitlichen Intervalle zwischen den Verteilerringen beliebig anpassen oder der Systemverwalter befördert stattdessen eine Software manuell in den nächsten Ring.
Die Konfiguration der Verteilerringe erfolgt in den Einstellungen für Managed Software. Dort finden sich unter Optionen zwei weitere wichtige Vorgaben für das Verhalten dieses Moduls.
Zum einen legt der Admin hier fest, nach welchem Zeitraum eine nicht mehr benötigte Version automatisch gelöscht wird.
Eine Managed Software gilt als nicht mehr benötigt, wenn es eine neuere Version gibt, die den Release Ring erreicht hat. Der Vorgabewert für das Entfernen einer veralteten Ausführung liegt bei 90 Tagen.
Zum anderen lässt sich hier bestimmen, wie Managed Software verfahren soll, wenn sich auf dem Zielrechner bereits eine neuere Version eines Programms befindet. Möchten Unternehmen einheitliche Release-Stände durchsetzen, dann kann man damit auch aktuellere Ausführungen überschreiben.
Verteilung über Container
Wenn man die benötigten Software-Pakete abonniert und heruntergeladen hat, dann möchte man im nächsten Schritt die passenden Versionen an die vorgesehenen Rechner verteilen. Diese Zuordnung erfolgt durch Container, die zum einen die Liste mit den Clients enthält und zum anderen die Verbindung mit dem gewünschten Verteilerring herstellt.
Die Stärke der Container besteht darin, dass sie sich über Abfragen dynamisch befüllen lassen. Als Kriterien kommen praktisch alle Eigenschaften eines Rechners in Frage, welche der Agent erfasst und im Inventory hinterlegt.
So könnte man etwa alle Rechner mit einer Preview von Windows 10 in der Entwicklungsabteilung auswählen und sie mit dem Testring 1 verknüpfen, um eine neue Version von Firefox auszuprobieren.
Sobald sich das Update als unproblematisch erweist, könnte der Admin einen neuen Container erstellen, der alle vorgesehenen Clients für diese Software enthält und diesen mit dem Freigabering assoziieren.
Jede künftige Version, welche diesen Verteilerring erreicht, würde dann automatisch auf die betreffenden Rechner installiert.
Durch einen entsprechenden Filter für den Container könnte man solche automatischen Updates auch auf PCs beschränken, die bereits eine Vorgängerversion der jeweiligen Software installiert haben. Alternativ lässt sich dieses Ziel erreichen, indem man alle Clients in den Container aufnimmt und als Aktion Nur vorhandene Installationen updaten auswählt.
Job definieren oder Paket in Kiosk anbieten
Als letzte Maßnahme, um die Software auf die Endpunkte zu bringen, definiert man einen Job für den betreffenden Container. Über diesen legt man primär fest, zu welchem Zeitpunkt oder bei welchem Ereignis (zum Beispiel Anmelden eines Benutzers, Herunterfahren des Rechners) er ausgeführt werden soll.
Alternativ zu einem solchen Push-Verfahren via Job kann der Admin ein Paket über den Kiosk zur Verfügung stellen. Die Anwender bedienen sich über dieses Portal dann selbst und entscheiden, welche Programme sie benötigen.
Dabei lässt sich natürlich vorgeben, welche Versionen auf diesem Weg verfügbar sein sollen oder ob der Anwender, wie erwähnt, die Installation über die Konfiguration der Parameter selbst steuern darf.
Denkbar ist auch eine Mischform, bei der ein Job die Software an bestimmte Abteilungen zuteilt und andere Mitarbeiter die betreffenden Programme im Kiosk angeboten bekommen.
Fazit
Mit Managed Software ergänzt Aagon seine Client-Management-Lösung um ein Software-Modul und einen Service für das Management von weit verbreiteten PC-Anwendungen. Angesichts immer kürzerer Update-Zyklen durch die Dritthersteller sowie regelmäßig auftretender Sicherheitsprobleme handelt es sich dabei um eine wesentliche Aufgabe für die Systemverwaltung.
Eine manuelle Umsetzung ist sehr zeit- und arbeitsaufwändig, vor allem wenn man zusätzlich das Paketieren der Software in Betracht zieht. Managed Software entlastet die IT-Abteilung gleich zweifach, indem sie vertrauenswürdige und installationsfertige Packages bereitstellt sowie einen Mechanismus, der sie weitgehend automatisch auf die Clients ausbringt.
Als vorteilhaft erweist sich, dass das neue Modul die gleiche Logik der Verteilerringe nutzt wie das Patch-Management für Windows mit CAWUM. Die enge Integration mit dem ebenfalls in ACMP 6.0 eingeführten Kiosk bietet eine Alternative zur Installation per Push-Verfahren. Endbenutzer können damit die von ihnen benötigte Software in Eigenregie installieren.
Schließlich sorgt die Aufnahme von Paketen aus Managed Software in Job Collections dafür, dass neue PCs gleich bei ihrer Bereitstellung die aktuellen Versionen häufig benutzter Anwendungen erhalten.
Lizenzierung und Verfügbarkeit
Während die für eine Übergangszeit noch verfügbare Package Cloud über einen Pauschalbetrag pro Jahr abgerechnet wurde, folgt Managed Software dem Vorbild der anderen ACMP-Module und erfordert eine Lizenzierung pro Client.
Wie bei der WSUS-Alternative CAWUM erleichtert Aagon den Neukunden den Einstieg durch eine Minimalkonfiguration, die nur aus Managed Software und der Inventarisierung besteht. Interessenten können eine Testlizenz beim Hersteller anfordern.
Bestandskunden können Managed Software ohne den Erwerb einer Lizenz ausprobieren, weil es mehrere Pakete enthält, die auf bis zu 15 Clients auch so ausgerollt werden können.
*Dies ist ein bezahlter Beitrag der Aagon GmbH.
Weitere Beiträge von diesem Anbieter