Alle vier Testkandidaten arbeiten nach demselben Prinzip: Sie erfassen die auf den verwalteten Rechnern bereits installierten Patches, vergleichen diese mit dem in einer zentralen Datenbank hinterlegten Soll-Zustand und installieren die fehlenden Hotfixes automatisch oder zu einem vom Administrator festgelegten Zeitpunkt.

Windows Server Update Services (WSUS): Gut für reine Microsoft-Umgebungen

Die Windows Server Update Services (WSUS) von Microsoft sind der Nachfolger der "Software Update Services" (SUS). Das Patch-Management lässt sich auf zwei Arten implementieren. Zum einen kann der Administrator alle WSUS-Server so konfigurieren, dass sich jeder die Updates von der Microsoft-Web-Seite selber herunterlädt. Zum anderen ist es möglich, einen zentralen Master-Server einzurichten, der als einziger die neuen Updates vorhält und sowohl die Software als auch sämtliche Update-Einstellungen auf die übrigen WSUS-Server repliziert.

In einer Active-Directory-Domäne können die WSUS die Clients mit Hilfe der Windows-Gruppenrichtlinien verwalten. Das Tool lässt sich auch ohne Active Directory einsetzen.

Nachdem die Installation abgeschlossen ist, öffnet sich automatisch die lokale Web-Seite mit der WSUS-Management-Konsole. Als Erstes muss der Administrator den Server mit der Microsoft-Web-Seite synchronisieren, damit er alle verfügbaren Updates anzeigen kann. Diese Aktualisierung dauerte im Test etwa eine Stunde.

Der Administrator legt fest, wie oft und zu welcher Uhrzeit sich der WSUS-Server mit der Microsoft-Web-Seite abgleicht. Zudem gibt der Systemverwalter an, ob die Hotfixes, Treiber, Service Packs und sonstigen Updates für alle von WSUS unterstützten Microsoft-Produkte heruntergeladen werden sollen oder nur für bestimmte. Er kann die Aktualisierung zum Beispiel nur auf Sicherheits-Updates beschränken. Einstellen lässt sich, dass alle Updates automatisch installiert werden, die keinen Reboot erfordern. Sobald der erste WSUS-Server alle erforderlichen Update-Informationen heruntergeladen hat, lässt er sich für weitere WSUS-Server anstelle der Microsoft-Site als Download-Quelle konfigurieren.

Scan-Funktionen von WSUS

Über die Funktion "Nur ermitteln" fragen die WSUS den Patch-Status eines Client-Rechners ab. Damit stellt das Tool lediglich fest, welche Updates auf welchen Computern fehlen. Im Test wurden die Gruppenrichtlinien für das Update-Verhalten auf dem Domänen-Controller konfiguriert. Die Rechner verbanden sich alle 60 Minuten automatisch mit dem WSUS-Server, der die Softwarebestände des Clients mit der Option "Nur ermitteln" analysierte. Das Tool erkannte dabei alle auf den Testsystemen fehlenden Patches zuverlässig.

Vier Standardberichte liefern unter anderem Informationen über den Update- und Computerstatus, die Synchronisierungsergebnisse sowie die WSUS-Konfiguration. Der Administrator hat allerdings kaum Möglichkeiten für gezielte Auswertungen.

Patch-Verteilung mit WSUS

Der Systemverwalter kann Updates gezielt an Computergruppen verteilen. Die Updates, die der WSUS-Server automatisch von der Microsoft-Web-Seite bezieht, lassen sich nach den Kriterien Produkte, Updates (zum Beispiel kritische Patches oder Treiber) und Sprache auswählen. Über einen Scheduler stellt der Administrator ein, wie oft die Synchronisierung mit der Update-Web-Seite erfolgt.

Die WSUS installieren die Patches so, dass ein Neustart der Rechner erst zum Abschluss der Prozedur erforderlich ist. Der "Background Intelligent Trans- fer Service" stellt sicher, dass nur bei verfügbarer Bandbreite Daten übertragen werden, und setzt abgebrochene Downloads fort.

Der Administrator kann sämtliche Einstellungen eines WSUS-Servers auf einen anderen Rechner übertragen. Zudem ist es möglich, die Konfiguration eines SUS-Systems auf einen WSUS-Server zu transferieren. Damit steht SUS-Anwendern ein einfacher Migrationspfad zu WSUS zur Verfügung.

Patchlink Update: Viele Funktionen, aber unkomfortable Bedienung

Als einziger der vier Anbieter setzt Patchlink mit "Patchlink Update 6.1" auf Agenten. Dies erfordert einerseits zwar zusätzlichen Verwaltungsaufwand. Auf der anderen Seite ist Patchlink dadurch in der Lage, deutlich mehr Funktionen anzubieten als die agentenlose Konkurrenz. Zudem deckt Patchlink im Testfeld die meisten Betriebssysteme ab. Bei der Anzahl der unterstützten Applikationen hat Patchlink ebenfalls die Nase vorn. Alle Patches werden vom Hersteller getestet, bevor er sie auf der Patchlink-Web-Seite zum Download bereitstellt.

Die Server-Komponente von Patchlink Update sollte auf einem dedizierten System installiert werden, das über IIS und ASP.NET verfügen muss. Patchlink 6 wurde auf das .NET Framework 1.1 und Windows Server 2003 abgestimmt. Die Software unterstützt auch Cluster-Konfigurationen mit automatischem Failover und Load Balancing.

Agenten schwärmen aus

Das Setup stellt die Patchlink-Web-Seite als Standardseite des lokalen Internet Information Servers ein. Nachdem die Installation abgeschlossen ist, verbindet sich Patchlink automatisch jeden Tag zu der vom Administrator festgelegten Zeit mit der Web-Seite des Herstellers.

Die Patchlink-Agenten lassen sich vom Server aus über das Netzwerk auf den Client-Rechnern installieren. Der Hersteller stellt hierfür mehrere Tools zur Verfügung, darunter auch eine spezielle Deploy-Anwendung für Windows-Domänen. Wenn sie auf einem Domänen-Controller ausgeführt wird, lassen sich die Agenten in einem Rutsch auf alle Computer in der Domäne verteilen. In der Testdomäne verlief die Verteilung der Agenten mit dem Deploy-Tool auf die vier Testrechner ohne Probleme.

Scan-Funktionen von Patchlink

Sobald die Agenten installiert sind, erfassen sie automa- tisch die auf dem jeweiligen Rechner installierte Hard- und Software. Die Ergebnisse übermitteln sie an den Patchlink-Server, der die erforderlichen Patches auf Wunsch im Hintergrund herunterlädt. Der Patch-Scan der Clients funktioniert auch manuell.

Das Tool stellt zehn Standardberichte bereit, die unter anderem aufzeigen, welche Patches fehlen und welche bereits auf die Client-Rechner verteilt worden sind.

Die Bedienung der Browser-Oberfläche von Patchlink ist etwas gewöhnungsbedürftig, da sich nicht auf Anhieb erkennen lässt, unter welchen Menüpunkten die verschiedenen Funktionen zu finden sind. Patchlink ordnet die Computer automatisch der jeweiligen Betriebssystem-Gruppe zu. Durch die Integration von Patchlink mit Active Directory lassen sich zudem die Computer-OUs (Organizational Units), Gruppen und Benutzer von Windows-Domänen für die Patch-Verwaltung nutzen.

Der Scan der vier Testrechner mit Patchlink ergab, dass bei den Windows-2003-Servern sieben Patches fehlten, beim Windows-2000-System 59 und beim XP-Client 28. Zum Vergleich wurde mit der Windows-Update-Funktion eine Abfrage bei Microsoft vorgenommen. Sie ergab neun, 25 und 28 fehlende Patches.

Test der Verteilfunktion

Um bei der Verteilung Datenvolumen zu sparen, komprimiert Patchlink die Patches. Mit Hilfe des Deploy-Wizards kann der Administrator mehrere Hotifxes gleichzeitig ausrollen. Dabei lassen sich entweder nur die von Patchlink als fehlend erkannten Patches installieren. Oder der Administrator wählt die gewünschten Hotfixes aus und fasst sie zu Verteilpaketen zusammen. Zur gleichzeitigen Softwareverteilung auf mehreren Rechnern lassen sich Gruppen bilden, die zum Beispiel alle Computer mit gleichem Betriebssystem und den gleichen Funktionen zusammenfassen. Es ist aber auch möglich, unterschiedliche Betriebssystem-Versionen in einer Gruppe einzuordnen. Wenn es sich dabei um Windows-Betriebssysteme handelt, muss der Administrator den jeweiligen Hotfix nur einmal auswählen. Patchlink weiß dann automatisch, welche Version für welches Betriebssystem erforderlich ist. Die Verteilung lässt sich mittels eines Schedulers zum gewünschten Zeitpunkt ausführen.

Patches noch nicht freigegeben

Im Test wurde Patchlink Update so konfiguriert, dass alle als fehlend erkannten Patches auf den vier Systemen installiert werden sollten. Nach der Aktualisierung erfolgte erneut die Kontrolle der Testrechner mit Windows Update. Bei den zwei Windows-2003-Servern fehlten noch drei wichtige Patches, beim Windows-2000-Rechner sechs wichtige und fünf sonstige Patches sowie beim XP-Client vier wichtige Hotfixes. Diese Ungenauigkeit dürfte, wie auch bei den beiden noch folgenden Herstellern, in erster Linie darauf zurückzuführen sein, dass die erst drei Tage vor dem Test von Microsoft veröffentlichten Patches von Patchlink noch nicht zur Verteilung freigegeben worden waren.

Für den Test wurden mit Hilfe des Deployment Wizard auf allen Testrechnern die als fehlend erkannten Patches installiert. Noch nicht lokal vorhandene Hotfixes lädt der "Patchlink Master Server" zunächst aus dem Internet herunter und stellt sie dann den anderen Patchlink-Servern und den "Distribution Points" im Netzwerk zur Verfügung. Diese Verteilfunktion kann jeder Rechner übernehmen und die vom Patchlink-Server erhaltenen Pakete an die benachbarten Clients weiterreichen. Besonders kritische Patches besorgt das Tool sofort aus dem Web.

Die Software verwendet einen Secure Background Transfer Service (SBTS), damit die Downloads andere Anwendungen nicht beeinträchtigen. Der Administrator kann zudem einstellen, welche Bandbreite maximal für die Updates zur Verfügung steht. Die Patch-Management-Software verfügt über ein umfangreiches E-Mail-Benachrichtigungssystem, das Fehler meldet. Ein Rollback bereits installierter Hotfixes ist ebenfalls möglich.

Unter den Patch-Management-Tools zählt "HF Netchk Pro" von Shavlik zu den Klassikern. Die Scan-Engine des Herstellers setzt Microsoft für den Baseline Security Analyzer (MBSA) ein. Die von der computerwoche getestete Version 5.1 unterstützt neben den Windows-Betriebssystemen NT, 2000, 2003 und XP auch Red Hat Linux.

Die Installation der Software verlief ohne Probleme. Das Setup prüft zunächst, ob alle erforderlichen Komponenten auf dem System vorhanden sind. Als Datenbank verwendet Shavlik Microsofts SQL MSDE. Alternativ lässt sich auch ein "echter" SQL-2000-Server verwenden.

Assistent hilft beim Setup

Beim ersten Aufruf von HF Netchk Pro öffnet sich ein Assistent, der den Administrator durch die Konfiguration der Basiseinstellungen leitet. Dies umfasst Einstellungen des Benutzerkontos und des Proxy-Servers sowie des E-Mail-Dienstes, der automatisch erstellte Scan- und Patch-Update-Reports versendet.

Die Software kommt im Normalfall ohne Agenten aus. Für besonders abgeschottete Systeme bietet Shavlik einen "Security Agent" an, der lokal auf einem Rechner läuft und sich die Hotfix-Updates per Pull-Verfahren holt. Patches verteilt das Patch-Management-System entweder skriptgesteuert oder über Gruppenrichtlinien des Active Directory. Die Tests wurden ohne Agenten vollzogen.

HF Netchk Pro: Gutes Reporting, schwache Oberfläche

Die Benutzeroberfläche ähnelt zwar einem Web-Browser. Ein Zugriff via Web-Client ist aber nicht möglich. Der linke Fensterabschnitt enthält eine Navigationsleiste für Funktionen. Das Hauptfenster zeigt die zum jeweiligen Menüpunkt gehörenden Befehlsoptionen sowie in zwei Unterfenstern weitere Informationen an. Durch die Vielzahl der Fenster ist die Navigation unübersichtlich. Zudem ist nicht immer klar, welche Funktionen sich hinter welchen Menüs verbergen.

Patch-Test durch den Hersteller

Bevor HF Netchk Pro einen Scan startet, lädt die Software zunächst die aktuellen Patch-Informationen von der Shavlik-Web-Seite herunter. Im Test funktionierte dies tadellos. Shavlik stellt hierfür XML-Dateien auf seiner Web-Seite bereit und ergänzt diese umgehend, sobald Microsoft neue Hotfixes veröffentlicht hat. Spezialisten von Shavlik testen die Patches, bevor sie in die XML-Datei aufgenommen werden. Bei jedem Scan-Vorgang verbindet sich HF Netchk Pro zunächst mit dieser Site und bezieht die aktuellen XML-Files. Shavlik hat das Patch-Tool mit dem Active Directory integriert.

HF Netchk Pro unterscheidet drei Scan-Arten. Der "Quick Scan" leistet keine Checksummen-Prüfung der Dateien, sondern sucht wie der "Full Scan" nur nach Security-Updates. Der "Windows-Update-Scan" umfasst dagegen alle Anwendungen, die HF Netchk Pro unterstützt. Über Zeitplaner bestimmt der Verwalter den Zeitpunkt für die Scans.

Die Scan-Ergebnisse stellt HF Netchk Pro auf unterschiedliche Weise dar. Die Zusammenfassung gewährt einen Überblick des Gesamtbefunds. In der Detailansicht zeigt das Tool die Ergebnisse für jeden Rechner einzeln an. Mit Hilfe von Templates und Filterfunktionen ist es möglich, einen Scan von vornherein auf bestimmte Anwendungen oder Patches zu begrenzen.

Die Standard-Reports von HF Netchk Pro liefern maßgeschneiderte Information über den Patch-Zustand eines Rechners oder einer Gruppe. Der Administrator kann zwischen 23 Berichten wählen. Dabei stehen mehrere Filterfunktionen zur Verfügung.

Der Full-Scan erkannte für die beiden Windows-2003-Server sieben Security-Patches als fehlend, beim 2000-Client waren es 42 und beim XP-Rechner 19 (Windows-Update: neun / 25 / 28).

Verteilfunktion bei Shavlik

Um fehlende Patches aufzuspielen, kann der Administrator HF Netchk Pro so einstellen, dass sie im Anschluss an einen Scan-Vorgang automatisch heruntergeladen und installiert werden. Die zeitgesteuerte Patch-Verteilung übernimmt ein Scheduler. Dabei kann der Administrator wählen, ob alle als fehlend erkannten Patches, nur die von ihm gewählten oder lediglich die wichtigsten Fehlerbeseitigungen installiert werden.

Die von HF Netchk Pro verwendeten Templates ermöglichen es zudem, das Verhalten während des Update-Vorganges genau zu steuern. Unter anderem kann der Administrator festlegen, dass die Software Backup-Files anlegt und die Installation im "Quiet-Modus" ausführt. Auch die Reboot-Bedingungen lassen sich vorgeben und Befehlsdateien integrieren.

Für den Test wurden auf den beiden Windows-2003-Servern sowie auf dem 2000- und XP-Rechner die fehlenden Patches mit der Option "All Missing" installiert. Dadurch lud das Tool die noch nicht lokal vorhandenen Patches aus dem Internet herunter. Bei der anschließenden Kontrolle mit Windows-Update fehlten auf dem 2003-Server noch zwei wichtige Patches, auf dem 2000-Rechner sieben wichtige und sechs sonstige Patches und auf dem XP-Client vier wichtige Hotfixes. Das heißt, dass auch auf der Shavlik-Web-Seite die vor drei Tagen von Microsoft veröffentlichten Hotfixes noch nicht freigegeben worden waren.

Mit Hilfe von "Patch Groups" kann der Administrator die für eine bestimmte Rechnerkategorie erforderlichen Hotfixes in einem Basispaket zusammenfassen und auf einen Rutsch an alle betroffenen Systeme verteilen. Der "Patch Push Tracker" protokolliert, welche Updates wann auf welchen Rechnern installiert wurden und welche Fehler aufgetreten sind. Kam es zu Störungen, lässt sich der Vorgang mittels einer Rollback-Funktion rückgängig machen. Bereits installierte Patches kann das Tool anhand der Dateiversion und der Checksummen daraufhin überprüfen, ob sie noch den Originalzustand haben.

Das Add-on-Modul "Distribution Server" ist vor allem für Unternehmen mit mehreren Standorten sinnvoll. Damit ist es möglich, die benötigten Informationen und Patches lokal vor Ort auf einem System vorzuhalten. Ebenfalls als Zusatz ist der "Report Server" erhältlich. Wenn er auf einem IIS-System installiert ist, können sich Anwender die Shavlik-Reports im Web-Browser anschauen. Aufgaben kann der Anwender per Skript steuern.

Update Expert von St. Bernard: Keine Alarmfunktion bei Fehlern

Die Patch-Management-Lösung von St. Bernard Software arbeitet mit den Betriebssystemen Windows NT 4, 2000, 2003 und XP sowie Red Hat Linux und Solaris zusammen.

Die Installation von "Update Expert 6.3" auf dem Windows-2003-Testsystem verlief reibungslos. Auf diesem Server wurde sowohl der Master Agent als auch die Konsole für die Verwaltung eingerichtet. Ein Browser-GUI ist nicht erhältlich.

St. Bernard betreibt eine eigene Patch-Datenbank, die von Spezialisten gepflegt wird. Diese testen neue Patches zunächst und geben sie dann für die Verteilung frei. Zudem hält die Datenbank Informationen über zulässige Patch-Kombinationen und die korrekte Installationsreihenfolge bereit. Die Konsole von Update Expert enthält einen Menüpunkt zur Aktualisierung der lokalen Datenbank. Das Update funktionierte im Test einwandfrei. Die Datenbankinformationen gleicht das Tool automatisch zu den vom Administrator vorgegebenen Zeiten ab. In größeren Netzen lässt sich der Master Agent von Update Expert auf mehreren Servern installieren, um so die Last zu verteilen.

Update Expert kommt ohne lokale Agenten aus. Damit das Werkzeug sich in abgeschotteten Umgebungen sowie über geroutete WAN-Verbindungen hinweg einsetzen lässt, bietet St. Bernard einen "Leaf Agent" an. Er lässt sich von der Konsole aus remote installieren. Das gegen Aufpreis erhältliche Plug-in "Security Expert" unterstützt den Administrator dabei, die Sicherheitseinstellungen von Windows-Systemen zu verbessern.

Fehlende Hotfixes erkennen

Der Patch-Manager von St. Bernard integriert sich in das Active Directory. Dadurch lassen sich die Computer auch direkt über die Gruppen des Verzeichnisses verwalten, die in die grafische Oberfläche des Tools eingebunden sind. Zudem erkennt eine IP-Scan-Funktion die Rechner im Netz. Die IP-Adressen und Rechnernamen lassen sich auch aus einer Datei importieren.

Damit Computer verwaltet werden können, markiert der Administrator die gewünschten Systeme und klickt auf "Manage Selected". Anschließend lässt sich eine Abfrage ausführen, welche Hotfixes installiert sind. Der Administrator kann dabei sowohl die Computer-OUs des Active Directory nutzen als auch eigene Gruppen anlegen und mit den gewünschten Rechnern füllen.

Für den Test wurden die vier Rechner markiert und gescannt. Sobald dieser Vorgang abgeschlossen ist, zeigt das Hauptfenster für den jeweils markierten Computer sowohl die installierten als auch die fehlenden Patches für alle von Update Expert unterstützten Anwendungen an. Über Reiterkarten gelangt der Nutzer zu Detailansichten, die diese Informationen jeweils nur für das Betriebssystem beziehungsweise die einzelnen Anwendungen anzeigen. Das untere Teilfenster stellt automatisch eine Verbindung zur Microsoft-Web-Seite her, die Informationen über den jeweiligen Patch vorhält. Im Test meldete Update Expert für die beiden Windows-2003-Server neun Patches als fehlend, für den XP-Client 36 und für den 2000-Professional-Rechner 62 (Windows-Update: neun / 25 / 28).

Test der Patch-Verteilung

Für die Verteilung der Patches sorgt der "Installer Service". Der Administrator kann wählen, ob fehlende Patches sofort heruntergeladen und installiert werden oder ob Update Expert dies erst zu einem späteren Zeitpunkt tun soll. Auch hier steuert ein Scheduler den Zeitpunkt. Der Administrator kann für jeden Patch festlegen, ob er von Update Expert als erforderliches Update gespeichert wird.

Im Test wurde für die beiden Windows-2003-Testsyteme ein neues Profil angelegt, das die Einstellungen des einen Servers automatisch auf den zweiten übertrug. Anschließend wurde für diese Gruppe das Patch-Update angestoßen. Die Patches gruppiert Update Expert vor der Installation automatisch in der richtigen Reihenfolge. Die Überprüfung mittels Windows-Update-Service ergab, dass auf den beiden Windows-2003-Servern drei wichtige Patches nicht installiert worden waren. Beim 2000-Rechner fehlten noch sieben wichtige Patches, beim XP-Client waren es vier. Auch St. Bernard hatte also die letzten Microsoft-Patches noch nicht zum Download freigegeben.

Checksummenprüfung

Nach der Installation validiert Update Expert die Patches. Dabei vergleicht das Tool die neuen Hotfix-Versionen mit den bereits installierten und prüft die Checksummen und Zeitstempel. Das Programm unterstützt auch ein Rollback, falls Patches wieder deinstalliert werden müssen. Über Alarmierungsfunktionen, die den Administrator bei fehlgeschlagenen Updates zum Beispiel per SNMP oder E-Mail benachrichtigen, verfügt Update Expert bislang nicht. Um den Benutzern einen Überblick über die bereits vollzogenen Patch-Aktionen zu verschaffen, hat St. Bernard ein einfaches HTML-Reporting-Tool integriert. Insgesamt stehen sechs Reports zur Wahl, die unter anderem den aktuellen Verteilungsstatus aufzeigen und die Übereinstimmung der Systeme mit dem vorgegebenen Patch-Zustand überprüfen. Filter für gezielte Auswertungen sind allerdings nicht vorhanden. (fn)