ACMP Managed Software: Adobe Reader, Webbrowser, Java, Tools und Clients zentral verteilen

    Standard-Software für PCsDas Patch-Management von Windows-PCs beschränkt sich nicht auf das Betriebs­system und Office-Anwen­dungen, die sich über WSUS aktua­lisieren lassen. Zahl­reiche gän­gige Software-Pakete benö­tigen eben­falls regel­mäßige Updates. Aagon bietet dafür mit ACMP Managed Software eine um­fassende Lösung.*

    Kaum ein Firmen-PC kommt heute ohne eines der zahlreichen Standard­programme aus, seien es Webbrowser, PDF-Reader, Editoren, Packer, Grafik­pro­gramme oder Laufzeit­umgebungen für Java. Viele davon werden kontinuierlich in kurzen Intervallen aktualisiert und einige fallen regelmäßig durch Sicher­heits­probleme auf.

    Auto-Updater ungeeignet für verwaltete Umgebungen

    Aus diesem Grund kommen Admins nicht umhin, diesen Standard­produkten beim Patch-Management ähnlich viel Beachtung zu schenken wie dem Betriebs­system. Aber während Microsoft die Updates für das OS und einige seiner eigenen Anwendungen über WSUS oder Microsoft Update ausliefert, müssen Anwender für die Software von Dritt­anbietern selbst eine Lösung finden.

    Fast alle dieser Tools, seien es Webbrowser, Notepad++ oder Filezilla, verfügen über so genannte Auto-Updater. Diese sind aber primär für Privat­anwender gedacht. Überlässt man ihnen das Einspielen von neuen Versionen, dann führt dies zu einem unkoor­dinierten sowie mehrfachen Herunter­laden und Aktualisieren von Programmen.

    Die von Drittherstellern mitgelieferten Auto-Updater sind in verwalteten Umgebungen unerwünscht.

    In professionellen Umgebungen verfügen die Benutzer in der Regel gar nicht über die Berechtigung, Programme zu installieren, so dass die Updates dann scheitern und kritische Sicherheits­lücken nicht geschlossen werden. Einheitliche Release-Stände lassen sich auf diese Weise ebenfalls nicht erreichen.

    Managed Software als neues Modul in ACMP 6.0

    Wenn Unternehmen ein Client-Management-System einsetzen, um ihre Endgeräte zentral zu warten, dann liegt es nahe, damit auch gleich die benötigte Standard-Software zu verteilen und zu aktualisieren.

    Die in Soest ansässige Aagon GmbH bot mit Package Cloud schon länger eine solches Feature an, dessen wesentlicher Vorteil in der Bereitstellung von geprüften und sofort einsatzbaren Installations­paketen bestand. Die weiteren Schritte vom Download über den Import in ACMP, das Zuweisen und Verteilen an Clients erforderten jedoch manuelle Eingriffe des Admins.

    Die Version 6.0 von ACMP führte daher den Nachfolger namens Managed Software ein, der diese Aufgaben weitgehend automa­tisieren kann. Auch dieses Modul macht sich das Online-Repository von Aagon zunutze, auf dem sich aktuell 72 Pakete befinden und Dutzende weitere kommen in Kürze hinzu.

    Kombination aus Service und Software

    Der Hersteller beschränkt sich bei der Bereitstellung nicht auf das Re-Packaging, das Erstellen von Hashes und das Prüfen auf Malware. Vielmehr schöpft er die Möglichkeiten aus, die sich über die Setup-Parameter der jeweiligen Software ergeben.

    Zum einen können Admins oder Nutzer des ACMP-eigenen Self-Service-Portals die Installation auf diese Weise anpassen, zum anderen lässt sich auf diesem Weg etwa auch die Deinstallation anstoßen.

    Wenn ein Setup auch die Deinstallation erlaubt, dann steht diese Aktion unter den Job-Einstellungen zur Verfügung.

    Wenn das Programm eine entsprechende Option vorsieht, dann richtet Aagon die Pakete so ein, dass Auto-Updater außen vor bleiben. Ist das nicht der Fall, dann stellt ACMP die proprietären Update-Tools ruhig, indem es deren Prozesse über vorgegebene Hintergrund­prozesse deaktiviert.

    Pakete abonnieren

    Möchte man Managed Software einrichten, dann besteht der erste Schritt erwartungs­gemäß darin, dass man die benötigten Pakete abonniert. Erscheinen künftig Updates für die gewählten Programme, dann lädt ACMP diese automatisch nach.

    Zu Beginn abonniert der Admin die benötigten Software-Pakete.

    Nach dem Synchro­nisieren der abonnierten Pakete findet man diese in einer Übersicht im Abschnitt Managed Software. Diese listet sämtliche verfügbaren Versionen einer Software auf. In deren Detailansicht finden sich einige Metadaten, etwa das Erscheinungs­datum oder eine Beschreibung.

    Zu jeder Version eines Pakets zeigt Managed Software Detailinformationen an.

    Interessanter sind die Informationen, die man durch Wechsel zum Paketnamen erhält. Dort kann man auf der Registerkarte Parameter alle vom Setup unterstützten Schalter einsehen und bei Bedarf anpassen. Zudem legt der Admin an dieser Stelle fest, ob die Endbenutzer im Self-Service-Portal bestimmte Parameter sehen bzw. selbst konfigurieren dürfen.

    Über die Parameter lässt sich die Installation der Software anpassen.

    Unter dem Tab Betroffene Clients erkennt man, welche Rechner das jeweilige Programm in welcher Version bereits installiert haben und auf welche sich die später gewählte Aktion (zum Beispiel Update oder Deinstallation) auswirken würde.

    Verteilerringe

    Wie beim Patchen des Betriebs­systems werden Admins auch bei der Verteilung von Standard-Software nicht sofort alle Rechner adressieren. Bei Managed Software hängt das Vorgehen sicher von der Bedeutung des Programms ab. Während ein fehl­geschlagenes Update von Notepad++ normal keine größeren Folgen hat, sieht es beim bevorzugten Webbrowser oder PDF-Reader schon anders aus.

    Der Admin hat daher die Möglichkeit, die Software über Verteilerringe auszurollen. Dabei handelt es sich um ein sehr flexibles Konzept für eine gestaffelte Verteilung von Updates, das Aagon bereits bei der WSUS-Alternative CAWUM auf die identische Weise umgesetzt hat. Daraus ergibt sich für Admins ein konsistentes Benutzererlebnis.

    Die einzelnen Versionen einer Software lassen sich eigenen Verteilerringen zuordnen.

    Unter Kein Ring lässt sich im Wesentlichen bestimmen, ob das Verteilen eines Pakets automatisch in Gang kommen soll, sobald seit dem Download eine bestimmte Zeit verstrichen ist, oder ob der Start manuell erfolgen soll.

    Anschließend durchläuft der Prozess zwei Testringe, bis er den Freigabering erreicht. Dabei ist es jedoch keineswegs zwingend, alle Etappen zu absolvieren. Wenn eine Software erst gar nicht auf einigen PCs ausprobiert werden, sondern gleich überall installiert werden soll, kann der Admin die Testringe komplett überspringen.

    Packages können zeitgesteuert oder manuell in den nächsten Ring vorrücken.

    Alternativ lassen sich die zeitlichen Intervalle zwischen den Verteiler­ringen beliebig anpassen oder der Systemverwalter befördert stattdessen eine Software manuell in den nächsten Ring.

    Die Konfiguration der Verteilerringe erfolgt in den Einstellungen für Managed Software. Dort finden sich unter Optionen zwei weitere wichtige Vorgaben für das Verhalten dieses Moduls. 

    Zum einen legt der Admin hier fest, nach welchem Zeitraum eine nicht mehr benötigte Version automatisch gelöscht wird.

    Eine Managed Software gilt als nicht mehr benötigt, wenn es eine neuere Version gibt, die den Release Ring erreicht hat. Der Vorgabewert für das Entfernen einer veralteten Ausführung liegt bei 90 Tagen.

    Über die Optionen lassen sich nicht mehr benötigte Pakete automatisch entfernen.

    Zum anderen lässt sich hier bestimmen, wie Managed Software verfahren soll, wenn sich auf dem Zielrechner bereits eine neuere Version eines Programms befindet. Möchten Unternehmen einheitliche Release-Stände durchsetzen, dann kann man damit auch aktuellere Ausführungen überschreiben.

    Verteilung über Container

    Wenn man die benötigten Software-Pakete abonniert und herunter­geladen hat, dann möchte man im nächsten Schritt die passenden Versionen an die vorgesehenen Rechner verteilen. Diese Zuordnung erfolgt durch Container, die zum einen die Liste mit den Clients enthält und zum anderen die Verbindung mit dem gewünschten Verteilerring herstellt.

    Die Stärke der Container besteht darin, dass sie sich über Abfragen dynamisch befüllen lassen. Als Kriterien kommen praktisch alle Eigenschaften eines Rechners in Frage, welche der Agent erfasst und im Inventory hinterlegt.

    Ein Container verknüpft eine Gruppe von Rechnern mit Packages und einem Verteilerring.

    So könnte man etwa alle Rechner mit einer Preview von Windows 10 in der Entwicklungs­abteilung auswählen und sie mit dem Testring 1 verknüpfen, um eine neue Version von Firefox auszuprobieren.

    Sobald sich das Update als unproblematisch erweist, könnte der Admin einen neuen Container erstellen, der alle vorgesehenen Clients für diese Software enthält und diesen mit dem Freigabering assoziieren. 

    Jede künftige Version, welche diesen Verteilerring erreicht, würde dann automatisch auf die betreffenden Rechner installiert.

    Durch einen entsprechenden Filter für den Container könnte man solche automatischen Updates auch auf PCs beschränken, die bereits eine Vorgänger­version der jeweiligen Software installiert haben. Alternativ lässt sich dieses Ziel erreichen, indem man alle Clients in den Container aufnimmt und als Aktion Nur vorhandene Installationen updaten auswählt.

    Job definieren oder Paket in Kiosk anbieten

    Als letzte Maßnahme, um die Software auf die Endpunkte zu bringen, definiert man einen Job für den betreffenden Container. Über diesen legt man primär fest, zu welchem Zeitpunkt oder bei welchem Ereignis (zum Beispiel Anmelden eines Benutzers, Herunterfahren des Rechners) er ausgeführt werden soll.

    Der Job bestimmt, unter welchen Bedingungen der Roll-out erfolgt.

    Alternativ zu einem solchen Push-Verfahren via Job kann der Admin ein Paket über den Kiosk zur Verfügung stellen. Die Anwender bedienen sich über dieses Portal dann selbst und entscheiden, welche Programme sie benötigen.

    Dabei lässt sich natürlich vorgeben, welche Versionen auf diesem Weg verfügbar sein sollen oder ob der Anwender, wie erwähnt, die Installation über die Konfiguration der Parameter selbst steuern darf.

    Alternativ zu einem Push der Software-Pakete auf die PCs per Job können sie im Kiosk bereitgestellt werden.

    Denkbar ist auch eine Mischform, bei der ein Job die Software an bestimmte Abteilungen zuteilt und andere Mitarbeiter die betreffenden Programme im Kiosk angeboten bekommen.

    Fazit

    Mit Managed Software ergänzt Aagon seine Client-Management-Lösung um ein Software-Modul und einen Service für das Management von weit verbreiteten PC-Anwendungen. Angesichts immer kürzerer Update-Zyklen durch die Dritthersteller sowie regelmäßig auftretender Sicherheits­probleme handelt es sich dabei um eine wesentliche Aufgabe für die Systemverwaltung.

    Eine manuelle Umsetzung ist sehr zeit- und arbeits­aufwändig, vor allem wenn man zusätzlich das Paketieren der Software in Betracht zieht. Managed Software entlastet die IT-Abteilung gleich zweifach, indem sie vertrauens­würdige und installations­fertige Packages bereitstellt sowie einen Mechanismus, der sie weitgehend automatisch auf die Clients ausbringt.

    Als vorteilhaft erweist sich, dass das neue Modul die gleiche Logik der Verteiler­ringe nutzt wie das Patch-Management für Windows mit CAWUM. Die enge Integration mit dem ebenfalls in ACMP 6.0 eingeführten Kiosk bietet eine Alternative zur Installation per Push-Verfahren. Endbenutzer können damit die von ihnen benötigte Software in Eigenregie installieren.

    Schließlich sorgt die Aufnahme von Paketen aus Managed Software in Job Collections dafür, dass neue PCs gleich bei ihrer Bereitstellung die aktuellen Versionen häufig benutzter Anwendungen erhalten.

    Lizenzierung und Verfügbarkeit

    Während die für eine Übergangszeit noch verfügbare Package Cloud über einen Pauschalbetrag pro Jahr abgerechnet wurde, folgt Managed Software dem Vorbild der anderen ACMP-Module und erfordert eine Lizenzierung pro Client.

    Wie bei der WSUS-Alternative CAWUM erleichtert Aagon den Neukunden den Einstieg durch eine Minimal­konfiguration, die nur aus Managed Software und der Inven­tarisierung besteht. Interessenten können eine Testlizenz beim Hersteller anfordern.

    Bestandskunden können Managed Software ohne den Erwerb einer Lizenz ausprobieren, weil es mehrere Pakete enthält, die auf bis zu 15 Clients auch so ausgerollt werden können.

    *Dies ist ein bezahlter Beitrag der Aagon GmbH.