Desktop Central von ManageEngine ist ein mächtiges Tool für die Verwaltung von PCs und Mobilgeräten. Zu seinen Features gehört ein Patch-Management, mit dem sich nicht nur das OS, sondern auch zahlreiche Anwendungen aktualisieren lassen. Dazu zählen etwa Adobe Reader, Firefox oder Citrix Receiver.*
Beschränkt man sich beim Patch-Management auf die Bordmittel, dann kümmern sich Microsoft Update oder WSUS um die Aktualisierung von Windows und diverser Microsoft-Anwendungen. Zusätzlich verfügen viele Programme über eigene Auto-Updater, beispielsweise Browser wie Chrome und Firefox oder Adobe Reader.
Durcheinander von Auto-Updates
Überlässt man das Einspielen von Updates den Tools der jeweiligen Hersteller, dann führt dies zu einem unkoordinierten Herunterladen und Aktualisieren von Programmen. Die Auto-Updater halten sich häufig an keinen Zeitplan, so dass dann etwa ein Browser während der Arbeitszeit neu starten muss.
Außerdem können die Benutzer die meisten dieser Update-Tools deaktivieren oder zumindest das Einspielen von Patches unterdrücken, so dass kritische Sicherheitslücken nicht geschlossen werden. Einheitliche Release-Stände lassen sich auf diese Weise ebenfalls nicht erreichen.
Ein zentrales Patch-Management wie jenes von Desktop Central stellt alle Updates unter die Kontrolle des Administrators. Dabei hat er die Wahl, Microsoft-Updates weiterhin über WSUS zu beziehen, oder sämtliche Patches mit Desktop Central zu verwalten. Die zweite Option sorgt für ein einheitliches und konsistentes Patch-Management.
Installation
Bei Desktop Central handelt es sich um ein Web-basiertes Tool, das auf einem Server oder einer Workstation installiert wird. Das Paket bringt alle erforderlichen Komponenten mit, darunter einen eigenen Web-Server (standardmäßig an Port 8020) und eine Datenbank (Postgres).
Nach dem Ausführen der .msi-Datei kann man sich per Browser sofort mit der Software verbinden und loslegen. Eventuelle Probleme mit der Firewall erkennt das Tool selbständig, und es bietet gleich an, diese zu beseitigen.
PCs in Inventar aufnehmen, Agent installieren
Zu den ersten Schritten für alle Funktionen des Client-Managements gehört, dass die zu verwaltenden Endgeräte in das Inventory aufgenommen werden. Dazu kann man die Namen der Computer entweder aus einer AD-Domäne auslesen oder diese explizit angeben bzw. aus einer CSV-Datei importieren.
Nach dem Hinzufügen ins Inventar installiert Desktop Central auf den Rechnern einen Agent. Dieser erfasst dann die vorhandene Hard- und Software.
Auf Basis dieser Informationen erkennt das Tool, welches Betriebssystem und welche Programme dort vorhanden sind und ob dafür Updates existieren.
Zentrale Patch-Datenbank
Um dies herauszufinden, repliziert Desktop Central die Vulnerability-Datenbank des Herstellers. Anhand dieser Einträge zeigt sich nicht nur, ob ein Patch erforderlich ist, sondern auch, ob dieser als kritisch gilt und die Systeme daher gefährdet sind. Dazu zieht das Tool die Klassifizierungen der Hersteller heran, wie man sie auch aus WSUS kennt.
Nach dem Scan zeigt Desktop Central in eigenen Ansichten an, welche Rechner besonders bedroht sind, welche einer geringeren Gefahr ausgesetzt und welche geschützt sind.
Die Kriterien für die Gefährdungsstufen lassen sich bei Bedarf anpassen, so dass etwa auch schon das Fehlen eines wichtigen Updates als bedrohlich angezeigt wird.
Bevor man nun die ersten Patches auf die Endgeräte auszurollen beginnt, sollte man überlegen, die Auto-Updater der verschiedenen Programme abzuschalten, so dass sie dem zentralen Patch-Management nicht in die Quere kommen. Desktop Central bringt zu diesem Zweck eine Reihe von Configuration Templates mit, welche die jeweils erforderlichen Registry-Schlüssel enthalten.
Manuelles Ausrollen von Updates
Per Voreinstellung werden alle Patches automatisch freigegeben und stehen sofort zur Installation bereit. Dies kann manuell erfolgen, indem man die jeweiligen Endgeräte aus der betreffenden Übersicht auswählt und ihnen die dafür ausstehenden Updates zuteilt.
Alternativ öffnet man die Ansicht für Patches und installiert einen einzelnen oder mehrere davon auf allen PCs, auf die er zutrifft.
Bevor man den Vorgang startet, kann man noch zwischen verschiedenen Optionen auswählen, etwa ob die Patches sofort, während oder außerhalb der Bürozeiten eingespielt werden sollen. Außerdem kann man hier die Liste der Zielrechner bei Bedarf noch anpassen.
Patches automatisch anwenden
Alternativ zum manuellen Ausrollen kann man Tasks definieren, die diese Tätigkeit automatisieren. Dabei hat man die Möglichkeit, diverse Filter festzulegen. So kann man Patches anhand der Klassifizierung bestimmen, und zwar getrennt nach Microsoft und Drittanbietern. Außerdem lassen sich die Updates auf bestimmte Anwendungen und PCs eingrenzen.
Den Zeitpunkt für die Verteilung der Patches legt man fest, indem man die Zahl der Tage angibt, die nach dem Erscheinen oder dem Genehmigen eines Updates verstreichen sollen, ehe der Task startet.
Genehmigung von Updates
Die voreingestellte automatische und sofortige Genehmigung für alle Patches wird in den meisten Umgebungen nicht erwünscht sein. Schließlich läuft man mit einer flächendeckenden Verteilung von Updates unmittelbar nach ihrem Erscheinen Gefahr, dass Kompatibilitätsprobleme auftreten oder dass sich ein Patch als fehlerhaft erweist.
Um bekannte Risiken auszuschließen, besteht sogar die Möglichkeit, Patches für bestimmte Produkte auf ausgewählten Rechnern ganz abzulehnen. Zu diesem Zweck kann man Regeln einrichten, die unerwünschte Updates dauerhaft blockieren.
Ansonsten unterstützt Desktop Central auch ein differenziertes Genehmigungsverfahren, das ein stufenweises Ausrollen von Patches erlaubt. Das dafür vorgesehene Konzept ist ähnlich wie jenes von WSUS, wo man Rechner zu festen Gruppen zusammenfasst und Updates dann für sie freigibt.
Anlegen von Testgruppen
Desktop Central sieht ebenfalls die Einteilung von PCs in Gruppen vor, die man dann für die Testphase heranzieht. Bei der Konfiguration von Testgruppen kann man wieder diverse Filter nutzen, um etwa das Rollout auf bestimmte Updates einzuschränken. Daher könnte man beispielsweise auch mehrere Testgruppen bilden und Windows-Updates auf anderen PCs ausprobieren als etwa solche für Firefox.
Außerdem stehen hier die gleichen Deployment-Optionen zur Verfügung wie bei den Tasks, die unter anderem den Zeitpunkt festlegen oder bestimmen, ob die Benutzer den Vorgang steuern dürfen.
Um Patches nach dem Test generell für alle Rechner freizugeben, kann man die Testphase in Tagen beziffern und nach deren Ablauf die Patches automatisch genehmigen lassen. Wer hier mehr Kontrolle über das Patch-Management behalten möchte, dem steht es frei, die Updates explizit freizugeben.
Verfügbarkeit
In Deutschland vertreibt der Distributor MicroNova die Tools von ManageEngine, von dessen Website man auch Desktop Central herunterladen kann.
Die Trial-Version umfasst alle Funktionen des Vollprodukts, und sie konvertiert nach Ablauf der Testphase automatisch zur Free Edition. Diese beherrscht auch das komplette Patch-Management und kann bis zu 25 PCs plus 25 mobile Geräte verwalten.
In regelmäßigen Produktvorstellungen demonstriert MicroNova, wie man mit Desktop Central das Patch-Management optimiert und so die Rechner gegen Bedrohungen schützt. Interessenten können sich kostenlos auf dieser Seite anmelden.
*Dieser Text ist ein bezahlter Beitrag von ManageEngine.
MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobilfunknetzen sowie IT-Management. 300 Experten und Expertinnen arbeiten am Hauptsitz in Vierkirchen bei München sowie an neun weiteren Standorten in Deutschland und Tschechien
Weitere Beiträge von diesem Anbieter