Die Arbeit der Administratoren wird zusätzlich dadurch erleichtert, dass die gesamte Infrastruktur mit verschiedenen Betriebssystemen wie zum Beispiel Windows, Unix oder Linux und Geräten unterschiedlicher Hersteller sowie sämtlichen Netzkonfigurationen über eine zentrale Management-Oberfläche zu verwalten ist. Die Geräte mobiler Mitarbeiter müssen ebenfalls in das Patch-Management einbezogen werden. Dabei benötigen sie denselben Level automatisierter Services wie die Rechner, die über ein WAN oder LAN auf Unternehmensdaten zugreifen. Ferner sind die Systeme in Niederlassungen oder Zweigstellen bei Abgleichen mit dem Zielzustand zu berücksichtigen, um gegebenenfalls aktuelle Patches automatisch aufzuspielen.

Entscheidend sind darüber hinaus Funktionen für das Erkennen potenzieller Konflikte zwischen neuen Patches und bereits installierten Service Packs, Updates, Konfigurationen und Anwendungen. Sinnvoll ist außerdem, wenn sich die Software für das Patch-Management in Verzeichnisdienste integrieren lässt, eine anwenderfreundliche Bedienung über Browser bietet sowie das Erstellen von Berichten erlaubt. Unabhängig davon, für welche Patch-Verwaltungslösung sich ein Unternehmen letztlich entscheidet: Wichtig ist, dass sie sich in möglicherweise vorhandene Management-Software integrieren lässt.

Mehrere Phasen wichtig

Richtig effizient wird Patch-Management erst, wenn es mehr kann als nur neue Updates aufzuspielen. Der vollständige Zyklus beginnt mit dem Auffinden neuer Patches (Patch Acquisition). Danach wird ermittelt, welche Anwendungen auf welchen Systemen und Geräten installiert sind (Patch Discovery). Weitere Schritte sind Konfliktprüfung, Tests, Installation, Verifizierung und Kontrolle.

Sobald neue Patches verfügbar sind, werden sie in Form von XML-Dateien ausgewertet und in einer Datenbank abgespeichert. Bereits in dieser Phase kann die Analyse der einzelnen Komponenten der Patches und die Untersuchung auf mögliche Unverträglichkeiten erfolgen. Voraussetzung für eine möglichst exakte Konfliktanalyse ist, dass jeder Patch in einzelne Komponenten zerlegt wird und die Prüfung auf dieser detaillierten Ebene stattfindet. Entsprechend formulierte Policies verhindern, dass nicht kompatible Patches installiert werden. Die Gruppierung kompatibler Patches hingegen sorgt für eine schnellere Verteilung.