Um sich vor Hackerangriffen und Virenattacken zu schützen, sollte sie Software auf Servern, PCs und mobilen Geräten im Netz aktuell sein. Patch-Management-Lösungen helfen dem Administrator bei dieser Aufgabe, indem sie Updates automatisch von den Hersteller-Sites laden und auf die Systeme verteilen.

Computerwoche hat vier Produkte getestet, deren Schwerpunkt auf der Hotfix-Verwaltung für Microsoft-Betriebssysteme liegt. Dabei musste der neue "Windows Server Update Service" (WSUS) von Microsoft zeigen, ob er dem Vergleich mit den etablierten Lösungen "Patchlink Update" des gleichnamigen Herstellers, "HF Netchk Pro" von Shavlik und "Update Expert" des Anbieters "St. Bernard standhalten kann.

So wurde getestet

Für den Vergleich der vier Patch-Management-Lösungen wurde ein Testnetz aufgebaut, in dem jeder der Kandidaten mit identisch konfigurierten Rechnern getestet wurde. Das Patch-Management-Tool lief auf einem Windows-2003-Server, der ebenso wie die weiteren Testrechner Mitglied derselben Windows-Domäne war. Die Scan-, Reporting- und Patch-Verteilungsfunktionen wurden mit Hilfe von drei weiteren Systemen getestet, auf denen Windows 2000 SP4, Windows XP SP2 und Windows 2003 SP1 installiert war. Der Schwerpunkt der Tests lag auf dem Patch-Management für Windows-Betriebssysteme.

Die Testumgebung bildeten zwei Windows-2003-Server sowie ein Windows-2000- und ein XP-Client, die Mitglied derselben Domäne waren.

Alle vier Testkandidaten arbeiten nach demselben Grundprinzip: sie erfassen die auf den verwalteten Rechnern bereits installierten Patches, vergleichen diese mit dem in einer zentralen Datenbank hinterlegten Soll-Zustand und installieren die fehlenden Hotfixes automatisch oder zu einem vom Administrator festgelegten Zeitpunkt.

Vor dem Ausrollen von neuen Patches sollte die IT-Abteilung zunächst auf Testsystemen überprüfen, ob Updates zu Problemen mit Anwendungen führen. Zudem ist es ratsam, alle Hotfixes vor dem Roll-out einem Virus-Scan zu unterziehen. Bei besonders kritischen Systemen empfiehlt es sich darüber hinaus, zuvor ein Backup zu erstellen, zum Beispiel indem ein Festplatten-Image gezogen wird.

Windows Server Update Services (WSUS): Gut für reine Microsoft-Umgebungen

Mit den Windows Server Update Services (WSUS) hat Microsoft im Juni 2005 endlich den lange erwarteten Nachfolger für die "Software Update Services" (SUS) zum Download freigegeben. Das neue Tool unterstützt zwar keine Programme von anderen Herstellern, kann aber inzwischen nicht nur Patches und Updates für die Windows-Betriebssysteme 2000, 2003 und XP verwalten, sondern auch für MS Office XP/2003, Exchange 2000/2003 sowie SQL Server 2000.

Windows Server Update Services

Hersteller: Microsoft (http://www.microsoft.com)

Produkt: Windows Server Update Services (WSUS);

Preis: kostenloser Download

Auf den Clients sind keine zusätzlichen Agenten erforderlich, da WSUS die für alle Windows-Betriebssysteme verfügbare Funktion der automatischen Updates nutzt.

Die Microsoft-Lösung für das Patch-Management lässt sich auf zwei Arten implementieren. Zum einen kann der Administrator alle WSUS-Server so konfigurieren, dass sich jeder die Updates von der Microsoft-Webseite selber herunterlädt. Zum anderen ist es möglich, einen zentralen Master-Server einzurichten, der als einziger die neuen Updates vorhält und sowohl die Software als auch sämtliche Update-Einstellungen auf die übrigen WSUS-Server repliziert.

Microsofts Windows Server Update Services (WSUS) eignen sich nur für Produkte des Softwarekonzerns.

In einer Active-Directory-Domäne kann WSUS die Clients mithilfe der Windows-Gruppenrichtlinien verwalten. Das Tool lässt sich auch ohne Active Directory einsetzen. In diesem Fall muss auf den Clients lediglich ein Registry-Key geändert werden, damit die Windows-Update-Funktion nicht mehr auf die Microsoft-Webseite zugreift, sondern auf einen der WSUS-Server.

Der Server, auf dem WSUS installiert wird, benötigt Internet Information Server 5.0 (IIS), Background Intelligent Transfer Service 2.0 (BITS) sowie das .NET Framework 1.1 SP1. Zudem müssen mindestens sechs GByte Plattenplatz zum Speichern der Updates verfügbar sein. Als Datenbank für die Hotfix- und Update-Informationen verwendet WSUS "SQL 2000 WMSDE". Alternativ lässt sich auch ein "SQL Server 2000" oder die "MSDE" nutzen.

Nachdem die Installation abgeschlossen ist, öffnet sich automatisch die lokale Webseite mit der WSUS-Management-Konsole. Als erstes muss der Administrator den Server mit der Microsoft-Webseite synchronisieren, damit er alle verfügbaren Updates anzeigen kann. Diese Aktualisierung dauerte im Test etwa ein Stunde.

Der Administrator legt fest, wie oft und zu welcher Uhrzeit sich der WSUS-Server mit der Microsoft-Webseite abgleicht. Für den Test wurde ein tägliches Update morgens um 7 Uhr gewählt. Zudem gibt der Systemverwalter an, ob die Hotfixes, Treiber, Service Packs und sonstigen Updates für alle von WSUS unterstützten Microsoft-Produkte heruntergeladen werden sollen oder nur für bestimmte. Er kann die Aktualisierung zum Beispiel nur auf Sicherheits-Updates beschränken. Einstellen lässt sich, dass alle Updates automatisch installiert werden, die keinen Reboot erfordern. Sobald der erste WSUS-Server alle erforderlichen Update-Informationen heruntergeladen hat, lässt er sich für weitere WSUS-Server anstelle der Microsoft-Webseite als Download-Quelle konfigurieren.

Scan-Funktionen von WSUS

Über die Funktion "Nur ermitteln" fragt WSUS den Patch-Status eines Client-Rechners ab. Damit stellt das Tool lediglich fest, welche Updates auf welchen Computern fehlen. Der Administrator kann mit Hilfe dieser Informationen ungefähr abschätzen, wie groß die Netzwerkbelastung durch den Roll-out sein wird. Zudem überprüft WSUS, ob sich die zu installierende Software mit dem jeweiligen Client verträgt. Ausgeführt werden diese Aktionen, wenn der Client den WSUS-Server das nächste Mal abfragt. Wann dies geschieht, legt der Administrator über die WSUS-Einstellungen in den Gruppenrichtlinien des Active Directory fest. Hier gibt er auch an, welchen WSUS-Server die Clients für ihre Update-Anfrage verwenden sollen. Alternativ lassen sich diese Einstellungen auch in der Registry der Client-Rechner festlegen.

Im Test wurden die Gruppenrichtlinien für das Update-Verhalten auf dem Domänen-Controller konfiguriert. Als Zeitabstand für Abfragen wurde eine Stunde gewählt. Die Rechner verbanden sich alle 60 Minuten automatisch mit dem WSUS-Server, der die Softwarebestände des Clients mit der Option "Nur ermitteln" analysierte. Das Tool erkannte dabei alle auf den Testsystemen fehlenden Patches zuverlässig.

Standard-Reports über den Update-Status

Gegenüber den Vorgängern verfügt WSUS über Reporting-Funktionen. Vier Standardberichte liefern unter anderem Informationen über den Update- und Computer-Status, die Synchronisierungsergebnisse sowie die WSUS-Konfiguration. Der Administrator hat allerdings kaum Möglichkeiten für gezielte Auswertungen.

Patch-Verteilung mit WSUS

Dass der Administrator Updates auch gezielt an Computergruppen verteilen kann, ist ebenfalls eine neue Funktion von WSUS. Die Gruppen lassen sich entweder auf dem WSUS-Server, per Windows-Gruppenrichtlinien oder Client-seitig mit Hilfe von Registry-Settings einrichten. Die Updates, die sich der WSUS-Server automatisch von der Microsoft-Webseite bezieht, lassen sich nach Kriterien Produkte, Update (zum Beispiel kritische Patches oder Treiber) und Sprache auswählen. Über einen Scheduler stellt der Administrator ein, wie oft die Synchronisierung mit der Update-Webseite erfolgt.

Deutlich verbessert hat Microsoft auch die Freigabeprozeduren für Patches. Bei SUS muss jeder Hotfix einzeln für die Installation genehmigt werden. Bei WSUS kann der Administrator nun auch eine automatische Freigabe wählen. Für Sicherheits-Patches und wichtige Updates ist dies standardmäßig aktiviert. Der WSUS lädt Updates erst, nachdem sie zur Installation freigegeben wurden.

Ein versehentlich aktivierter Download-Vorgang lässt sich über das Update-Menü stoppen. Bereits erteilte Genehmigungen für die Installation kann der Administrator entweder durch andere ersetzen oder der vorhandenen weitere hinzufügen. Im Test wurden die als fehlend erkannten Patches für die Installation freigegeben, woraufhin WSUS sie zum vorgegebenen Zeitpunkt auf den vier Testrechnern aufspielte.

WSUS installiert die Patches so, dass ein Neustart der Rechner erst zum Abschluss der Prozedur erforderlich ist. Um die für die Verteilung benötigte Bandbreite gering zu halten, verwendet WSUS den Windows-Service Background Intelligent Transfer Service. Er stellt sicher, dass nur bei verfügbarer Bandbreite Daten übertragen werden. Abgebrochene Downloads setzt das Tool ohne Verlust fort.

Vorteile:

übersichtliches, einfach zu bedienendes Browser-GUI;

gute Skalierbarkeit durch Replikations-Server;

Bandbreitenoptimierung durch BITS und Delta-Updates.

Nachteile:

nur für Microsoft-Betriebssysteme und -Anwendungen nutzbar;

Browser-Oberfläche reagiert träge.

WSUS unterstützt darüber hinaus Delta-Aktualisierungen: ist eine neuere Version eines Patches erhältlich, wird nicht der gesamte Hotfix noch mal heruntergeladen, sondern nur die in der Datei veränderten Bytes.

Der Administrator kann sämtliche Einstellungen eines WSUS-Servers auf einen anderen Rechner übertragen. Zudem ist es möglich, die Konfiguration eines SUS-Systems auf einen WSUS-Server zu transferieren. Damit steht SUS-Anwendern ein einfacher Migrationspfad zu WSUS zur Verfügung.

Für homogene Windows-Umgebungen ist WSUS ein interessantes Tool, das zudem kostenlos erhältlich ist. In gemischten Netzwerken dagegen rücken Lösungen in den Mittelpunkt, die über den Microsoft-Tellerrand hinausblicken und auch andere Betriebssysteme und Anwendungen mit Hotfixes versorgen können.

Patchlink Update: Viele Funktionen aber unkomfortable Bedienung

Als einziger der vier Anbieter basiert das Werkzeug von Patchlink auf Agenten. Dies erfordert einerseits zwar zusätzlichen Verwaltungsaufwand. Auf der anderen Seite ist Patchlink dadurch in der Lage, deutlich mehr Funktionen anzubieten, als die agentenlose Konkurrenz. Zudem deckt Patchlink im Testfeld die meisten Betriebssysteme ab: neben den verschiedenen Windows-Versionen lässt sich das Tool auch mit Linux, Unix (AIX, HP-UX, Solaris), Netware und Mac OS X nutzen. Seit kurzem verwaltet Patchlink zudem mobile Geräte, die mit RIM Blackberry, Symbian OS, Palm OS, Windows CE oder Windows Mobile laufen.

Patchlink Update

Hersteller: Patchlink (http://www.patchlink.com)

Produkt: Patchlink Update 6.1

Preis: 1500 Euro für ein bis vier Server, hinzukommen Client-Lizenzen, die für ein bis 1000 verwaltete Rechner im ersten Jahr 18 Euro pro Rechner betragen; der Update-Service ist in diesem Preis enthalten; im zweiten Jahr verlangt Patchlink beziehungsweise der Anbieter Softline noch 12,60 Euro pro Node, im dritten Jahr 10,80 Euro.

Für das Patch-Management von 100 Clients mit Patchlink sind also im ersten Jahr 1500 Euro plus 100 x 18 Euro fällig, macht zusammen 3200 Euro.

Bei der Anzahl der unterstützten Applikationen hat Patchlink ebenfalls die Nase vorn. Zu den bekanntesten zählen neben den gängigen Microsoft-Anwendungen Programme von Adobe, Corel, Symantec, McAfee, Citrix und Winzip. Alle Patches werden vom Hersteller getestet, bevor er sie auf der Patchlink-Webseite zum Download bereitstellt.

Die Server-Komponente von Patchlink Update sollte auf einem dedizierten System installiert werden, das über IIS und ASP.Net verfügen muss. Patchlink 6 wurde auf das .NET Framework 1.1 und Windows Server 2003 abgestimmt. Die Software unterstützt auch Cluster-Konfigurationen mit automatischem Failover und Load-Balancing. Um sicher zu stellen, dass sich die Patchlink-Update-Komponenten erfolgreich registrieren und mit dem Repository abgleichen können, empfiehlt der Hersteller, die Patchlink-Software zu installieren, bevor das Service Pack 1 für Windows Server 2003 eingespielt wird. Als Datenbank setzt die Lösung wie die anderen Anbieter eine SQL-Engine von Microsoft voraus.

Patchlinks Programm verfügt über eine gut gelungene Web-Oberfläche.

Der Zugriff auf die Verwaltungsoberfläche von Patchlink erfolgt über einen WebBrowser. Auf diesem Weg lassen sich alle Funktionen des Patch-Management-Tools bedienen. Das Setup stellt die Patchlink-Web-Seite als Standardseite des lokalen Internet Information Servers ein. Nachdem die Installation abgeschlossen ist, verbindet sich Patchlink automatisch jeden Tag zu der vom Administrator festgelegten Zeit mit der Webseite des Herstellers.

Die Patchlink-Agenten lassen sich vom Server aus über das Netzwerk auf den Client-Rechnern installieren. Der Hersteller stellt hierfür mehrere Tools zur Verfügung, darunter auch eine spezielle Deploy-Anwendung für Windows-Domänen. Wenn sie auf einem Domänen-Controller ausgeführt wird, lassen sich die Agenten in einem Rutsch auf alle Computer in der Domäne verteilen. Alternativ kann der Systemverwalter auch eine LDAP-Suche vornehmen oder einen IP-Adressbereich angeben. In der Test-Domäne verlief die Verteilung der Agenten mit dem Deploy-Tool auf die vier Testrechner ohne Probleme.

Scan-Funktionen von Patchlink

Sobald die Agenten installiert sind, erfassen sie automatisch die auf dem jeweiligen Rechner installierte Hard- und Software. Die Ergebnisse übermitteln sie an den Patchlink-Server, der die erforderlichen Patches auf Wunsch im Hintergrund herunterlädt. Der Patch-Scan der Clients funktioniert auch manuell.

Das Tool stellt zehn Standardberichte bereit, die unter anderem aufzeigen, welche Patches fehlen und welche bereits auf die Client-Rechner verteilt worden sind. Die Ergebnisse lassen sich in das CSV-, XLS-, und XML-Format exportieren.

Die Bedienung der Browser-Oberfläche von Patchlink ist etwas gewöhnungsbedürftig, da sich nicht auf Anhieb erkennen lässt, unter welchen Menüpunkten die verschiedenen Funktionen zu finden sind. Welche Patches das Tool anzeigt, kann der Administrator über Filterregeln steuern. Patchlink ordnet die Computer automatisch der jeweiligen Betriebssystem-Gruppe zu. Der Administrator kann aber auch eigene Gruppen nach anderen Kriterien erstellen. Durch die Integration von Patchlink mit Active Directory lassen sich zudem die Computer-OUs (Organizational Units), Gruppen und Benutzer von Windows-Domänen für die Patch-Verwaltung nutzen.

Der Scan der vier Testrechner mit Patchlink ergab, dass bei den Windows-2003-Servern sieben Patches fehlten, beim Windows-2000-System 59 und beim XP-Client 28. Zum Vergleich wurde mit der Windows-Update-Funktion eine Abfrage bei Microsoft durchgeführt. Sie ergab 9, 25 und 28 fehlende Patches.

Test der Verteilfunktion

Um bei der Verteilung Datenvolumen zu sparen, komprimiert Patchlink die Patches. Die Agenten entpacken die Container am Zielsystem. Mit Hilfe des Deploy-Wizards kann der Administrator mehrere Hotifxes gleichzeitig ausrollen. Dabei lassen sich entweder nur die von Patchlink als fehlend erkannten Patches installieren. Oder der Administrator wählt die gewünschten Hotfixes aus und fasst sie zu Verteilpaketen zusammen. Zur gleichzeitigen Softwareverteilung auf mehreren Rechnern lassen sich Gruppen bilden, die zum Beispiel alle Computer mit gleichem Betriebssystem und den gleichen Funktionen zusammenfassen. Es ist aber auch möglich, unterschiedliche Betriebssystem-Versionen in einer Gruppe einzuordnen. Wenn es sich dabei um Windows-Betriebssysteme handelt, muss der Administrator den jeweiligen Hotfix nur einmal auswählen. Patchlink weiß dann automatisch, welche Version für welches Betriebssystem erforderlich ist. Die Verteilung lässt sich mittels eines Schedulers zum

gewünschten Zeitpunkt ausführen.

Im Test wurde Patchlink Update so konfiguriert, dass alle als fehlend erkannten Patches auf den vier Systemen installiert werden sollten. Nachdem die Aktualisierung durchgeführt worden war, erfolgte erneut die Kontrolle der Testrechner mit Windows Update. Bei den zwei Windows-2003-Servern fehlten noch drei wichtige Patches, beim Windows-2000-Rechner sechs wichtige und fünf sonstige Patches sowie beim XP-Client vier wichtige Hotfixes. Diese Ungenauigkeit dürfte, wie auch bei den beiden noch folgenden Herstellern, in erster Linie darauf zurückzuführen sein, dass die erst drei Tage vor dem Test von Microsoft veröffentlichten Patches von Patchlink noch nicht zur Verteilung freigegeben worden waren.

Vorteile

gut skalierbar durch Distribution Points;

Verwaltung per Web-Browser

unterstützt auch Handheld-Betriebssysteme;

Bandbreitenbegrenzung von Patch-Übertragungen möglich;

Alarmierung per E-Mail, wenn Patches deinstalliert wurden.

Nachteile:

benötigt Agenten auf den verwalteten Rechnern;

Bedienung gewöhnungsbedürftig.

Computergruppen lassen sich auch dafür nutzen, die im Basispaket enthaltenen Patches automatisch auf jedem Rechner zu installieren, der von der Grundkonfiguration abweicht. Die Agenten kann der Systemverwalter mit Policy Sets einstellen.

Auch mobile Anwender erhalten Updates

Wenn mobile Anwender zum Zeitpunkt eines Patch-Roll-outs nicht mit dem Netzwerk verbunden waren, installiert Patchlink die fehlenden Hotfixes automatisch nach, sobald der Client sich wieder am Netz anmeldet. Für den Test wurden mit Hilfe des Deployment Wizard auf allen Testrechnern die als fehlend erkannten Patches installiert. Noch nicht lokal vorhandene Hotfixes lädt der "Patchlink Master Server" zunächst aus dem Internet herunter und stellt sie dann den anderen Patchlink-Servern und den so genannten "Distribution Points" im Netzwerk zur Verfügung. Diese Verteilfunktion kann jeder Rechner übernehmen und die vom Patchlink-Server erhaltenen Pakete an die benachbarten Clients weiterreichen. Besonders kritische Patches besorgt das Tool sofort aus dem Web.

Die Software verwendet einen Secure Background Transfer Service (SBTS), damit die Downloads andere Anwendungen nicht beeinträchtigen. Der Administrator kann zudem einstellen, welche Bandbreite maximal für die Updates zur Verfügung steht. Die Patch-Management-Software verfügt über ein umfangreiches E-Mail-Benachrichtigungssystem, das den Administrator alarmiert, wenn Fehler auftreten, bereits installierte Patches beschädigt beziehungsweise vom Anwender wieder entfernt wurden oder der freie Festplattenplatz zur Neige geht. Ein Rollback bereits installierter Hotfixes ist ebenfalls möglich.

Beim Funktionsumfang hat Patchlink aufgrund seiner Agenten-Architektur im Vergleich zu den anderen Testkandidaten am meisten zu bieten. Durch die gute Skalierbarkeit lässt sich das Tool auch für die Patch-Verteilung in großen Netzwerken einsetzen. Neben dem Verwaltungsaufwand für die Agenten ist die gewöhnungsbedürftige Bedienerführung der einzige Minuspunkt.

HF Netchk Pro von Shavlik:

Unter den Patch-Management-Tools zählt HF Netchk Pro von Shavlik zu den Klassikern. Die Scan-Engine des Herstellers setzt Microsoft für den Baseline Security Analyzer (MBSA) ein. Die von Computerwoche getestete Version 5.1 unterstützt neben den Windows-Betriebssystemen NT, 2000, 2003 und XP auch Red Hat Linux. Das Tool kann zudem Hotfixes für Microsoft-Anwendungen verteilen, darunter Office, Outlook, Internet-Explorer, Exchange Server, SQL Server, IIS, Internet Security & Acceleration Server und WSUS. Zudem unterstützt es Adobe-Programme, Apache, Firefox, Real Player und Winzip.

HF Netchk Pro 5.1

Hersteller: Shavlik (http://www.shavlik.com)

Produkt: HF Netchk Pro 5.1

Preis: Management-Konsole und 100 Clients kosten 1500 Euro. Der Update-Service kostet etwa 20 Prozent des Lizenzpreises pro Jahr. Bei 100 Clients kommt das Produkt inklusive dieser Dienste auf rund 1800 Euro.

Die Installation der Software verlief ohne Probleme. Das Setup prüft zunächst, ob alle erforderlichen Komponenten auf dem System vorhanden sind. Als Datenbank verwendet Shavlik Microsofts SQL MSDE. Alternativ lässt sich auch ein "echter" SQL-2000-Server verwenden.

Beim ersten Aufruf von HF Netchk Pro öffnet sich ein Assistent, der den Administrator durch die Konfiguration der Basiseinstellungen leitet. Dies umfasst Einstellungen des Benutzerkontos und des Proxy-Servers sowie des E-Mail-Dienstes, der automatisch erstellte Scan- und Patch-Update-Reports versendet.

Wie die anderen Tools vollzieht HF Netchk Pro von Shavlik Updates nach Zeitplänen.

Die Software kommt im Normalfall ohne Agenten aus. Für besonders abgeschottete Systeme bietet Shavlik einen "Security Agent" an, der lokal auf einem Rechner läuft und sich die Hotfix-Updates per Pull-Verfahren holt. Patches verteilt das Patch-Management-System entweder skriptgesteuert oder über Gruppenrichtlinien des Active Directory. Die Tests wurden ohne Agenten durchgeführt.

Scannen mit HF Netchk Pro: Gutes Reporting, schwache Oberfläche

Die Benutzeroberfläche ähnelt zwar einem Web-Browser. Ein Zugriff via Web-Client ist aber nicht möglich. Der linke Fensterabschnitt enthält eine Navigationsleiste für Funktionen. Das Hauptfenster zeigt die zum jeweiligen Menüpunkt gehörenden Befehlsoptionen sowie in zwei Unterfenstern weiter Informationen an. Durch die Vielzahl der Fenster ist die Navigation unübersichtlich. Zudem ist nicht immer klar, welche Funktionen sich hinter welchen Menüs verbergen.

Bevor HF Netchk Pro einen Scan startet, lädt die Software zunächst die aktuellen Patch-Informationen von der Shavlik-Webseite herunter. Im Test funktionierte dies tadellos. Shavlik stellt hierfür XML-Dateien auf seiner Web-Seite bereit und ergänzt diese umgehend, sobald Microsoft neue Hotfixes veröffentlicht hat. Spezialisten von Shavlik testen die Patches, bevor sie in die XML-Datei aufgenommen werden. Bei jedem Scan-Vorgang verbindet sich HF Netchk Pro zunächst mit dieser Site und bezieht die aktuellen XML-Files.

Shavlik hat das Patch-Tool mit dem Active Directory integriert. Für einen Scan lässt sich entweder ein Rechner, eine gesamte Domäne, eine Computer-OU oder eine individuell erstellte Computergruppe auswählen. Der Administrator kann die IP-Adressen und Namen zudem aus einer Datei importieren.

HF Netchk Pro unterscheidet drei Scan-Arten. Der "Quick Scan" führt keine Checksummen-Prüfung der Dateien durch, sondern sucht wie der "Full Scan" nur nach Security-Updates. Der "Windows-Update-Scan" umfasst dagegen alle Anwendungen, die HF Netchk Pro unterstützt. Über Zeitplaner bestimmt der Verwalter den Zeitpunkt für die Scans.

Die Scan-Ergebnisse stellt HF Netchk Pro auf unterschiedliche Weise dar. Die Zusammenfassung gewährt einen Überblick des Gesamtbefunds. In der Detailansicht zeigt das Tool die Ergebnisse für jeden Rechner einzeln an. Mit Hilfe von Templates und Filterfunktionen ist es möglich, einen Scan von vornherein auf bestimmte Anwendungen oder Patches zu begrenzen.

Die Standard-Reports von HF Netchk Pro liefern maßgeschneiderte Information über den Patch-Zustand eines Rechners oder einer Gruppe. Der Administrator kann zwischen 23 Berichten wählen. Dabei stehen mehrere Filterfunktionen zur Verfügung. Die Reports lassen sich auch in andere Dateiformate exportieren.

Der Full-Scan erkannte für die beiden Windows-2003-Server sieben Security-Patches als fehlend, beim 2000-Client waren es 42 und beim XP-Rechner 19 (Windows-Update: 9 / 25 / 28).

Verteilfunktion bei Shavlik

Um fehlende Patches aufzuspielen, kann der Administrator HF Netchk Pro so einstellen, dass sie im Anschluss an einen Scan-Vorgang automatisch heruntergeladen und installiert werden. Die zeitgesteuerte Patch-Verteilung übernimmt ein Scheduler. Dabei kann der Administrator wählen, ob alle als fehlend erkannten Patches, nur die von ihm gewählten oder nur besonders dringende Fehlerbeseitigungen installiert werden. Dadurch ist es möglich, besonders kritische Patches sofort auszurollen und die weniger kritischen zu einer Zeit, wenn das Netz wenig belastet ist.

Die von HF Netchk Pro verwendeten Templates ermöglichen es zudem, das Verhalten während des Update-Vorganges genau zu steuern. Unter anderem kann der Administrator festlegen, das die SOftware Backup-Files anlegt und die Installation im "Quiet-Modus" erfolgt. Auch die Reboot-Bedingungen lassen sich vorgeben und Befehlsdateien integrieren.

Für den Test wurden auf den beiden Windows-2003-Servern sowie auf dem 2000- und XP-Rechner die fehlenden Patches mit der Option "All Missing" installiert. Dadurch lud das Tool die noch nicht lokal vorhandenen Patches aus dem Internet herunter. Bei der anschließenden Kontrolle mit Windows-Update fehlten auf dem 2003-Server noch 2 wichtige Patches, auf dem 2000-Rechner 7 wichtige und 6 sonstige Patches und auf dem XP-Client 4 wichtige Hotfixes. Das heißt, dass auch auf der Shavlik-Webseite die vor drei Tagen von Microsoft veröffentlichten Hotfixes noch nicht freigegeben worden waren.

Vorteile

benötigt keine Agenten;

umfangreiche Reportfunktionen mit Filtermöglichkeiten;

nach Abschluss von Scans und Patch-Veteilungen automatische E-Mail-Benachrichtigung mit Ergebnis-Report.

Nachteile:

Benutzeroberfläche durch zu viele Teilfenster unübersichtlich;

kein Browser-Zugriff auf die Verwaltungsoberfläche möglich.

Mit Hilfe von "Patch Groups" kann der Administrator die für eine bestimmte Rechnerkategorie erforderlichen Hotfixes in einem Basispaket zusammenfassen und auf einen Rutsch an alle betroffenen Systeme verteilen. Der "Patch Push Tracker" protokolliert, welche Updates wann auf welchen Rechnern installiert wurden und welche Fehler aufgetreten sind. Sind Störungen aufgetreten, lässt sich der Vorgang mittels einer Rollback-Funktion rückgängig machen. Bereits installierte Patches kann das Tool anhand der Dateiversion und der Checksummen daraufhin überprüfen, ob sie noch den Originalzustand haben.

Das Add-on-Modul "Distribution Server" ist vor allem für Unternehmen mit mehreren Standorten sinnvoll. Damit ist es möglich, die benötigten Informationen und Patches lokal vor Ort auf einem System vorzuhalten. Ebenfalls als Zusatz ist der "Report Server" erhältlich. Wenn er auf einem IIS-System installiert ist, können sich Anwender die Shavlik-Reports im Web-Browser anschauen. Aufgaben kannder Anwender per Skript steuern.

Wenn man sich an die Menüführung von HF Netchk Pro gewöhnt hat, stellt Patchlink alle für ein komfortables Patch-Management erforderlichen Funktionen zur Verfügung. Besonders nützlich sind die umfangreichen Reporting-Funktionen sowie die Möglichkeit, sich die Ergebnisberichte über durchgeführte Scans und Patch-Verteilungen automatisch per E-Mail zukommen zu lassen.

Update Expert von St. Bernard: Keine Alarmfunktion bei Fehlern

Die Patch-Management-Lösung von St. Bernard Software arbeitet mit den Betriebssystemen Windows NT 4, 2000, 2003 und XP sowie Red Hat Linux und Solaris zusammen. Zudem ist das Tool in der Lage, Updates für die gängigen Microsoft-Anwendungen wie Office, Outlook, IE, Exchange Server , SQL Server, Terminal Services, IIS und ISA zu installieren. Hinzu kommen noch Adobe-Anwendungen und Mozilla Firefox.

Update Expert 6.3

Hersteller: St. Bernard (http://www.stbernard.com)

Produkt: Update Expert 6.3

Preis: 1284 Euro für 100 Clients pro Jahr ein einjährigem Update-Service. Der Dienst kostet danach 366 Euro jährlich.

Die Installation von Update Expert 6.3 auf dem Windows-2003-Testsystem verlief reibungslos. Auf diesem Server wurde sowohl der Master Agent als auch die Konsole für die Verwaltung eingerichtet. Ein Browser-GUI ist nicht erhältlich. Das Setup installiert automatisch die Datenbank MSDE SQL 2000, um die Such-, Inventarisierungs-, Verteilungs-, Policy- und Validierungsinformationen für alle verwalteten Rechner zu speichern.

St. Bernard betreibt eine eigene Patch-Datenbank, die von Spezialisten gepflegt wird. Diese testen neue Patches zunächst und geben sie dann für die Verteilung frei. Zudem hält die Datenbank Informationen über zulässige Patch-Kombinationen und die korrekte Installationsreihenfolge bereit. Die Konsole von Update Expert enthält einen Menüpunkt zur Aktualisierung der lokalen Datenbank. Das Update funktionierte im Test einwandfrei. Die Datenbankinformationen gleicht das Tool automatisch zu den vom Administrator vorgegebenen Zeiten ab. In größeren Netzen lässt sich der Master Agent von Update Expert auf mehreren Servern installieren, um so die Last zu verteilen.

Patchlinks Programm verfügt über eine gut gelungene Web-Oberfläche.

Update Expert kommt ohne lokale Agenten aus. Damit das Werkzeug sich in abgeschotteten Umgebungen sowie über geroutete WAN-Verbindungen hinweg einsetzen lässt, bietet St. Bernard einen "Leaf Agent" an. Er lässt sich von der Konsole aus remote installieren. Das gegen Aufpreis erhältliche Plug-In "Security Expert" unterstützt den Administrator dabei, die Sicherheitseinstellungen von Windows-Systemen zu verbessern.

Fehlende Hotfixes erkennen

Der Patch-Manager von St. Bernard integriert sich in das Active Directory. Dadurch lassen sich die Computer auch direkt über die Gruppen des Verzeichnisses verwalten, die in die grafische Oberfläche des Tools eingebunden sind. Zudem erkennt ein IP-Scan-Funktion die Rechner im Netz. Die IP-Adressen und Rechnernamen lassen sich auch aus einer Datei importieren.

Damit Computer verwaltet werden können, markiert der Administrator die gewünschten Systeme und klickt auf "Manage Selected". Anschließend lässt sich eine Abfrage ausführen, welche Hotfixes installiert sind. Der Administrator kann dabei sowohl die Computer-OUs des Active Directory nutzen, als auch eigene Gruppen anlegen und mit den gewünschten Rechnern füllen.

Die grafische Oberfläche ähnelt dem Windows-Explorer. In der linken Fensterhälfte ermöglicht eine Baumstruktur die schnelle Navigation durch die verschiedenen Untermenüs.

Vorteile

benötigt keine Agenten;

einfach zu bedienende Benutzeroberfläche;

Scan-Ergebnisse sind übersichtlich nach Anwendungen gegliedert.

Nachteile:

keine Alarmierungsfunktion bei fehlgeschlagenen Aktionen;

kein Browser-Zugriff auf die Management-Konsole möglich.

Für den Test wurden die vier Rechner markiert und gescannt. Sobald dieser Vorgang abgeschlossen ist, zeigt das Hauptfenster für den jeweils markierten Computer sowohl die installierten als auch die fehlenden Patches für alle von Update Expert unterstützten Anwendungen an. Über Reiterkarten gelangt der Nutzer zu Detailansichten, die diese Informationen jeweils nur für das Betriebssystem beziehungsweise die einzelnen Anwendungen anzeigen. Das untere Teilfenster stellt automatisch eine Verbindung zur Microsoft-Webseite her, die Informationen über den jeweiligen Patch vorhält. Im Test meldete Update Expert für die beiden Windows-2003-Server neun Patches als fehlend, für den XP-Client 36 und für den 2000-Professional-Rechner 62 (Windows-Update: 9 / 25 / 28).

Test der Patch-Verteilung

Für die Verteilung der Patches sorgt der "Installer Service". Der Administrator kann wählen, ob fehlende Patches sofort heruntergeladen und installiert werden, oder ob Update Expert dies erst zu einem späteren Zeitpunkt tun soll. Auch hier steuert ein Scheduler den Zeitpunkt. Der Administrator kann für jeden Patch festlegen, ob er von Update Expert als erforderliches Update gespeichert wird. Das Tool bietet Profile mit Beispielkonfigurationen an.

Im Test wurde für die beiden Windows-2003-Testsyteme ein neues Profil angelegt, das die Einstellungen des einen Servers automatisch auf den zweiten übertrug. Anschließend wurde für diese Gruppe das Patch-Update angestoßen. Die Patches gruppiert Update Expert vor der Installation automatisch in der richtigen Reihenfolge. Die Überprüfung mittels Windows-Update-Service ergab, dass auf den beiden Windows-2003-Servern drei wichtige Patches nicht installiert worden waren. Beim 2000-Rechner fehlten noch sieben wichtige Patches, beim XP-Client waren es vier. Auch St. Bernard hatte also die letzten Microsoft-Patches noch nicht zum Download freigegeben.

Nach der Installation validiert Update Expert die Patches. Dabei vergleicht das Tool die neuen Hotfix-Versionen mit den bereits installierten und prüft die Checksummen und Zeitstempel. Das Programm unterstüztt auch ein Rollback, falls Patches wieder deinstalliert werden müssen. Über Alarmierungsfunktionen, die den Administrator bei fehlgeschlagenen Updates zum Beispiel per SNMP oder E-Mail benachrichtigen, verfügt Update Expert bislang nicht. Um einen Überblick der bereits vollzogenen Patch-Aktionen zu erhalten, hat St. Bernard ein einfaches HTML-Reporting-Tool integriert. Damit kann der Systemverwalter per Knopfdruck verschiedene Berichte erstellen. Insgesamt stehen sechs Reports zur Wahl, die unter anderem den aktuellen Verteilungsstatus aufzeigen und die Übereinstimmung der Systeme mit dem vorgegebenen Patch-Zustand

überprüfen. Filter für gezielte Auswertungen sind allerdings nicht vorhanden.

St. Bernard hat die Benutzeroberfläche seines Patch-Management-Tools am konsequentesten am Look & Feel von Microsoft ausgerichtet. Dadurch finden sich Windows-Administratoren auf Anhieb zurecht. Bei den unterstützten Betriebssystemen und Anwendungen hat Update Expert wie auch die Lösungen von Shavlik und Patchlink einiges mehr zu bieten, als die kostenlose WSUS-Lösung von Microsoft. Diese Produkte sind zwar nicht umsonst zu haben, ihr Preis hält sich aber in erträglichen Grenzen. (fn)

Fazit

Bei den Scan-Ergebnissen und den Verteilfunktionen sind die Unterschiede zwischen den vier getesteten Tools gering.

Die Mitte Juli von Microsoft veröffentlichten Patches hatte noch keiner der drei anderen Testkandidaten auf seiner Update-Webseite bereitgestellt.

Die Anzahl der auf den Testrechnern als fehlend erkannten Patches variierte zwar zwischen den Herstellern.

Die Unterschiede waren aber zum größten Teil darauf zurückzuführen, dass jeder Anbieter die Hotfixes in seiner Verwaltungs-Matrix etwas anderen Kategorien zuordnet.

Einen genauen Blick sollten Interessenten dagegen auf die unterstützten Betriebssysteme und Anwendungen sowie den Bedienungskomfort werfen.

In diesen Punkten unterscheiden sich die vier getesteten Patch-Management-Lösungen zum Teil deutlich voneinander.