Test: Microsoft-Updates und Patches von Drittherstellern mit Desktop Central verteilen

    Patch-Management mit Desktop Central von ManageEngineDesktop Central von ManageEngine ist ein mäch­tiges Tool für die Ver­waltung von PCs und Mobil­geräten. Zu seinen Features gehört ein Patch-Manage­ment, mit dem sich nicht nur das OS, sondern auch zahl­reiche Anwendungen aktua­lisieren lassen. Dazu zählen etwa Adobe Flash und Reader, Firefox oder Citrix Receiver.*

    Beschränkt man sich beim Patch-Management auf die Bordmittel, dann kümmern sich Microsoft Update oder WSUS um die Aktualisierung von Windows und diverser Microsoft-Anwendungen. Zusätzlich verfügen viele Programme über eigene Auto-Updater, beispiels­weise Browser wie Chrome und Firefox oder Adobe Reader.

    Durcheinander von Auto-Updates

    Überlässt man das Einspielen von Updates den Tools der jeweiligen Hersteller, dann führt dies zu einem unkoor­dinierten Herunter­laden und Aktualisieren von Programmen. Die Auto-Updater halten sich häufig an keinen Zeitplan, so dass dann etwa ein Browser während der Arbeitszeit neu starten muss.

    Die automatische Update-Funktion von Programmen wie Google Chrome lassen sich nur eingeschränkt steuern.

    Außerdem können die Benutzer die meisten dieser Update-Tools deaktivieren oder zumindest das Einspielen von Patches unter­drücken, so dass kritische Sicherheits­lücken nicht geschlossen werden. Einheitliche Release-Stände lassen sich auf diese Weise ebenfalls nicht erreichen.

    Ein zentrales Patch-Management wie jenes von Desktop Central stellt alle Updates unter die Kontrolle des Administrators. Dabei hat er die Wahl, Microsoft-Updates weiterhin über WSUS zu beziehen, oder sämtliche Patches mit Desktop Central zu verwalten. Die zweite Option sorgt für ein einheitliches und konsistentes Patch-Management.

    Desktop Central kann Updates von Microsoft und anderen Anbietern verwalten.

    Installation

    Bei Desktop Central handelt es sich um ein Web-basiertes Tool, das auf einem Server oder einer Workstation installiert wird. Das Paket bringt alle erforderlichen Komponenten mit, darunter einen eigenen Web-Server (standardmäßig an Port 8020) und eine Datenbank (Postgres).

    Erste Anmeldung an Desktop Central nach der Installation

    Nach dem Ausführen der .msi-Datei kann man sich per Browser sofort mit der Software verbinden und loslegen. Eventuelle Probleme mit der Firewall erkennt das Tool selbständig, und es bietet gleich an, diese zu beseitigen.

    Desktop Central kann die Firewall für die benötigten Ports selbst freischalten.

    PCs in Inventar aufnehmen, Agent installieren

    Zu den ersten Schritten für alle Funktionen des Client-Managements gehört, dass die zu verwaltenden Endgeräte in das Inventory aufgenommen werden. Dazu kann man die Namen der Computer entweder aus einer AD-Domäne auslesen oder diese explizit angeben bzw. aus einer CSV-Datei importieren.

    Auswahl der Computer aus der AD-Domäne für das Inventory von Desktop Central

    Nach dem Hinzufügen ins Inventar installiert Desktop Central auf den Rechnern einen Agent. Dieser erfasst dann die vorhandene Hard- und Software.

    Auf den ausgewählten PCs installiert Desktop Central seinen Agent.

    Auf Basis dieser Informationen erkennt das Tool, welches Betriebs­system und welche Programme dort vorhanden sind und ob dafür Updates existieren.

    Zentrale Patch-Datenbank

    Um dies heraus­zufinden, repliziert Desktop Central die Vulnerability-Datenbank des Herstellers. Anhand dieser Einträge zeigt sich nicht nur, ob ein Patch erforderlich ist, sondern auch, ob dieser als kritisch gilt und die Systeme daher gefährdet sind. Dazu zieht das Tool die Klassifi­zierungen der Hersteller heran, wie man sie auch aus WSUS kennt.

    Desktop Central holt seine Informationen über aktuelle Patches von einer zentralen Datenbank des Herstellers.

    Nach dem Scan zeigt Desktop Central in eigenen Ansichten an, welche Rechner besonders bedroht sind, welche einer geringeren Gefahr ausgesetzt und welche geschützt sind.

    Desktop Central klassifiziert die überprüften Systeme nach ihrer Verwundbarkeit.

    Die Kriterien für die Gefährdungs­stufen lassen sich bei Bedarf anpassen, so dass etwa auch schon das Fehlen eines wichtigen Updates als bedrohlich angezeigt wird.

    Konfiguration der Warnstufen für gefährdete Systeme

    Bevor man nun die ersten Patches auf die Endgeräte auszurollen beginnt, sollte man überlegen, die Auto-Updater der verschiedenen Programme abzuschalten, so dass sie dem zentralen Patch-Management nicht in die Quere kommen. Desktop Central bringt zu diesem Zweck eine Reihe von Configuration Templates mit, welche die jeweils erforderlichen Registry-Schlüssel enthalten.

    Mit Hilfe von Configuration Templates lassen sich die meisten Auto-Updater deaktivieren.

    Manuelles Ausrollen von Updates

    Per Voreinstellung werden alle Patches automatisch freigegeben und stehen sofort zur Installation bereit. Dies kann manuell erfolgen, indem man die jeweiligen Endgeräte aus der betreffenden Übersicht auswählt und ihnen die dafür ausstehenden Updates zuteilt.

    Alternativ öffnet man die Ansicht für Patches und installiert einen einzelnen oder mehrere davon auf allen PCs, auf die er zutrifft.

    Installation von Patches manuell anstoßen

    Bevor man den Vorgang startet, kann man noch zwischen verschiedenen Optionen auswählen, etwa ob die Patches sofort, während oder außerhalb der Bürozeiten eingespielt werden sollen. Außerdem kann man hier die Liste der Zielrechner bei Bedarf noch anpassen.

    Patches automatisch anwenden

    Alternativ zum manuellen Ausrollen kann man Tasks definieren, die diese Tätigkeit automatisieren. Dabei hat man die Möglichkeit, diverse Filter festzulegen. So kann man Patches anhand der Klassifizierung bestimmen, und zwar getrennt nach Microsoft und Drittanbietern. Außerdem lassen sich die Updates auf bestimmte Anwendungen und PCs eingrenzen.

    Updates lassen sich über Tasks automatisiert verteilen

    Den Zeitpunkt für die Verteilung der Patches legt man fest, indem man die Zahl der Tage angibt, die nach dem Erscheinen oder dem Genehmigen eines Updates verstreichen sollen, ehe die Task startet.

    Genehmigung von Updates

    Die voreingestellte automatische und sofortige Genehmigung für alle Patches wird in den meisten Umgebungen nicht erwünscht sein. Schließlich läuft man mit einer flächen­deckenden Verteilung von Updates unmittelbar nach ihrem Erscheinen Gefahr, dass Kompatibilitäts­probleme auftreten oder dass sich ein Patch als fehlerhaft erweist.

    Patches bestimmter Produkte lassen sich für ausgewählte Computer generell blockieren.

    Um bekannte Risiken auszuschließen, besteht sogar die Möglichkeit, Patches für bestimmte Produkte auf ausgewählten Rechnern ganz abzulehnen. Zu diesem Zweck kann man Regeln einrichten, die unerwünschte Updates dauerhaft blockieren.

    Ansonsten unterstützt Desktop Central auch ein differenziertes Genehmigungs­verfahren, das ein stufenweises Ausrollen von Patches erlaubt. Das dafür vorgesehene Konzept ist ähnlich wie jenes von WSUS, wo man Rechner zu festen Gruppen zusammen­fasst und Updates dann für sie freigibt.

    Anlegen von Testgruppen

    Desktop Central sieht ebenfalls die Einteilung von PCs in Gruppen vor, die man dann für die Testphase heranzieht. Bei der Konfiguration von Testgruppen kann man wieder diverse Filter nutzen, um etwa das Rollout auf bestimmte Updates einzuschränken. Daher könnte man beispielsweise auch mehrere Testgruppen bilden und Windows-Updates auf anderen PCs ausprobieren als etwa solche für Firefox.

    Auswahl zwischen automatischer Genehmigung von Updates und einem zweistufigen Verfahren.

    Außerdem stehen hier die gleichen Deployment-Optionen zur Verfügung wie bei den Tasks, die unter anderem den Zeitpunkt festlegen oder bestimmen, ob die Benutzer den Vorgang steuern dürfen.

    Einstellungen für eine Testgruppe konfigurieren

    Um Patches nach dem Test generell für alle Rechner freizugeben, kann man die Testphase in Tagen beziffern und nach deren Ablauf die Patches automatisch genehmigen lassen. Wer hier mehr Kontrolle über das Patch-Management behalten möchte, dem steht es frei, die Updates explizit freizugeben.

    Verfügbarkeit

    In Deutschland vertreibt der Distributor MicroNova die Tools von ManageEngine, von dessen Website man auch Desktop Central herunterladen kann.

    Die Trial-Version umfasst alle Funktionen des Vollprodukts, und sie konvertiert nach Ablauf der Testphase automatisch zur Free Edition. Diese beherrscht auch das komplette Patch-Management und kann bis zu 25 PCs plus 25 mobile Geräte verwalten.

    *Dieser Text ist ein bezahlter Beitrag von ManageEngine.