Die Aagon GmbH erweiterte ihre Client-Management-Lösung um eine Verwaltung für Microsoft-Updates, mit der sie die Windows Server Update Services komplett ersetzt. Interessant ist das Tool nicht nur für bestehende ACMP-Anwender, sondern für alle, die eine Alternative zu den unzulänglichen WSUS suchen.*
Die WSUS sind das Werkzeug schlechthin, um Updates für Microsoft-Produkte im Unternehmensnetzwerk zu verteilen. Trotz ihrer Bedeutung für die Sicherheit von Firmen-PCs wurden die WSUS seit mehreren Generationen von Windows Server nicht mehr weiterentwickelt.
Bedarf für Verbesserungen wäre aber definitiv gegeben, wie die meisten Admins regelmäßig feststellen dürften. Die Defizite reichen von einer unflexiblen und umständlichen Verwaltung der Verteilerringe über limitierte Reporting-Fähigkeiten bis hin zu den immer wieder nötigen manuellen Wartungsarbeiten, etwa um das wuchernde Datenvolumen zu beschneiden.
Eine Alternative zu den WSUS stellte die Aagon GmbH kürzlich mit CAWUM (Complete Aagon Windows Update Management) vor. Dabei handelt es sich um ein Modul für ACMP, das aber unabhängig von der ganzen Suite erworben werden kann. Nur das Inventory-Modul wird zusätzlich benötigt. Der gestaffelte Preis für beide Komponenten zusammen liegt unter 10 Euro pro Rechner.
Installation und Agent-Deployment
Die Installation umfasst jedoch immer das ganze Paket, wobei nicht lizenzierte Module später aus der Konsole ausgeblendet werden können. Das Setup beschränkt sich auf das Durchlaufen eines grafischen Wizards. Dieser sieht auch das Anlegen einer neuen Datenbank oder die Installation von SQL Server Express vor, der zum Lieferumfang des Pakets gehört.
Die Möglichkeit, Microsofts kostenlose Datenbank einzusetzen, ist bereits ein Unterschied zu WSUS. Aufgrund der ständig wachsenden SUSDB erreicht WSUS meist schnell das 10GB-Limit der Express Edition.
Als Alternative bleiben die Windows Internal Database, welche sich remote nicht verwalten lässt, oder die kostenpflichtige Vollversion von SQL Server. Aagon hingegen kann für das reine Update-Management mindestens 750 PCs mit SQL Server Express verwalten.
Nach erfolgter Installation besteht die erste Aufgabe darin, den Agent auf die Endgeräte auszubringen. Dieser inventarisiert die Rechner nicht nur, sondern wird auch für das Management der Updates benötigt. Das Agent-Deployment lässt sich zentral von der ACMP-Konsole aus erledigen, wobei diese verschiedene Methoden unterstützt, um die Geräte im Netz zu finden.
Basiskonfiguration
Im nächsten Schritt kann man sich daran machen, das Update Management zu konfigurieren. Unter Optionen finden sich dafür drei grundlegende Einstellungen. Dazu gehört wie bei WSUS, dass man Updates generell oder nur nach Bedarf herunterlädt, in der Regel wird man sich für Letzteres entscheiden.
Darüber hinaus legt man hier fest, nach wie vielen Tagen nicht genutzte Updates automatisch abgelehnt und anschließend gelöscht werden. Fordert ein Client diese später trotzdem an, dann lädt ACMP diese wieder nach. Ein manuelles Bereinigen wie bei WSUS kann dadurch entfallen.
Zum Schluss bestimmt man die Quelle, von der CAWUM die Updates beziehen soll. Voreingestellt ist Microsoft Update, aber für die Migration kann man hier einen bestehenden WSUS-Server angeben. Dies bedeutet aber nicht, dass Aagon ein Konzept kaskadierender Server verfolgt wie WSUS.
Kein Update-Server für Außenstellen nötig
Vielmehr reicht ein ACMP-Server, um alle Clients mit den Metadaten über die anstehenden Updates zu versorgen. In Niederlassungen können Admins die eigentlichen Update-Dateien dann auf einem File Repository ablegen und die lokalen PCs ziehen die Patches anschließend von dort.
Für diesen Zweck reicht eine einfache Dateifreigabe, etwa auf einem preisgünstigen NAS. In dieser Hinsicht lassen sich also gegenüber den WSUS Kosten einsparen, die in größeren Umgebungen eine ganze Hierarchie aus Upstream- und Downstream-Servern benötigen.
Update-Katalog beziehen, Produkte auswählen
Für die Ersteinrichtung von CAWUM steht ein Wizard zur Verfügung, der automatisch startet, sobald man in der Navigation zum ersten Mal auf den Eintrag Windows Update Management wechselt.
Im ersten Schritt lädt er den Update-Katalog von der konfigurierten Quelle herunter. Man kann die Auswahl aus den Produkten und Klassifizierungen schon hier treffen oder später in den Einstellungen nachholen.
Es folgt die Festlegung der Sprachen für die Updates und schließlich wählt man aus der Liste der ACMP-Clients aus, welche davon CAWUM verwalten soll. Von den PCs meldet der Agent künftig an den ACMP-Server, welche Updates dort benötigt werden.
Konfiguration der Verteilerringe
Für die Verteilung der Updates sieht ACMP drei Verteilerringe vor, davon zwei Testringe und einen Freigabering. Diese sind aber nicht starr vorgegeben, vielmehr können Anwender diese flexibel handhaben.
Eine weitgehend automatisierte Variante bestünde darin, dass Updates nach und nach in den nächsten Ring nachrücken. Die Intervalle für das Weiterreichen von Updates in den nächsten Ring lassen sich einstellen. Alternativ kann man diesen Vorgang auf manuell setzen oder bestimmte Ringe ganz überspringen.
Erwartungsgemäß besteht die nächste Aufgabe darin, die Rechner diesen Verteilerringen zuzuordnen. Weniger kritische Systeme würde man in die Testringe aufnehmen, um zu sehen, ob Updates Probleme bereiten. In den Freigabering schließlich kommen alle wichtigen produktiven PCs.
Rechner gruppieren
In WSUS fasst man die Rechner, welche man einem Update-Server zugeordnet hat, entweder manuell auf der Konsole in Gruppen zusammen oder weist sie per GPO einer bestimmten Sammlung zu.
CAWUM zeigt sich auch hier wesentlich flexibler, weil man die PCs mit Hilfe von Abfragen dynamisch in Container einsortieren kann. Als Kriterien kommen alle erdenklichen Merkmale eines Rechners in Frage, die der Agent erfassen kann.
Profile für Updates
Theoretisch wären mit den Containern und den Verteilerringen schon die Voraussetzungen gegeben, um Updates auf die Rechner zu verteilen. Allerdings würden dann immer sämtliche Updates für ein Produkt installiert, und zwar aus allen abonnierten Klassifizierungen.
Daher schaltet ACMP noch so genannte Collections dazwischen. Dabei handelt es sich um Profile für Updates, bei denen man nur bestimmte Produkte und Klassifizierungen auswählt. Über eine Collection legt man zudem das Verhalten des Rechners fest, wenn ein Neustart fällig ist.
Mit Hilfe von Collections könnte man zum Beispiel Sicherheits-Updates von Feature-Upgrades für Windows 10 trennen oder Updates für Workstations zu einem anderen Zeitpunkt verteilen als jene für Server.
Zusammenspiel aus Containern, Verteilerringen und Collections
Um also die Rechner im Netz mit Updates zu versorgen, gruppiert man sie in einem Container (manuell oder dynamisch über Abfragen) und weist diesen einem Verteilerring zu. Um zu bestimmen, welche Art von Updates die PCs in einem Container erhalten sollen, verknüpft man diesen zudem mit einer Collection.
Dabei hat der Admin fast überall die Möglichkeit, die über Filter generierten Listen von Updates oder Rechnern manuell zu übersteuern. Zusätzliche Flexibilität ergibt sich dadurch, dass man einen Container mit mehreren Collections und eine Collection mit mehreren Containern verbinden kann.
Kontrolle des Update-Prozesses
Da es sich beim Patch-Management um eine sicherheitsrelevante Aufgabe handelt, ist es wichtig, dass der Admin schnell erkennt, falls bestimmte Updates auf einzelnen Rechnern nicht installiert wurden.
Für diesen Zweck bietet CAWUM ein Dashboard, das alle wichtigen Kennzahlen auf einen Blick zugänglich macht. Hinzu kommen vorkonfigurierte Berichte, die auch zeitgesteuert generiert werden können. Dem stehen bei WSUS nur vorsintflutliche Reporting-Tools gegenüber.
Fazit
Aagon kombiniert ein verständliches Konzept für das Windows Update Management mit einer modernen grafischen Konsole, die dem Admin alle benötigten Informationen zu Updates und dem Status der Rechner gibt.
Im Unterschied zu WSUS lassen sich Patches mit Hilfe von Verteilerringen und dynamischen Containern für Rechner sehr flexibel verteilen. Viele Wartungsarbeiten, die der Admin bei WSUS selbst erledigen muss, entfallen bei CAWUM. Dazu zählen etwa das regelmäßige Indizieren der Datenbank oder das Ablehnen und Löschen nicht benötigter Updates.
Anwender, die eine Alternative zu Microsofts Bordmittel für das Update-Management suchen, sollten einen Blick auf CAWUM werfen. Eine kostenlose Testversion kann über die Website des Herstellers angefordert werden.
*Dies ist ein bezahlter Beitrag der Aagon GmbH.
Weitere Beiträge von diesem Anbieter