Kein Programm ist perfekt. Egal wie lange die Entwicklungszeit auch dauern mag: Fehler oder Schwachstellen, die findige Hacker früher oder später ausnutzen können, lassen sich nie völlig ausschließen. Und selbst wenn es für manche den Anschein haben mag, so betrifft dieses Problem nicht nur Microsoft, sondern alle Softwarehersteller. Auch die Linux-Welt ist davon nicht verschont.
Administratoren stellt dieser leidige Umstand gleich vor mehrere Probleme. Sie müssen zunächst den Überblick über neu auftauchende Schwachstellen behalten. Anschließend haben sie die Aufgabe, für die in ihrem Unternehmen installierten Produkte die verfügbaren Patches des jeweiligen Herstellers herunterzuladen, zu testen und auf die betroffenen Rechner aufzuspielen. Dabei müssen sie beachten, welche Programmversionen jeweils betroffen sind, denn häufig gelten Patches nur für ganz bestimmte Releases. Erschwerend kommt hinzu, dass durch all dies der Produktivbetrieb im Unternehmen nicht gestört werden soll. Ohne unterstützende Tools ist das kaum zu schaffen.
Eines dieser Werkzeuge ist "Patchlink Update 5.0" von Patchlink Corp. Im Gegensatz zu Produkten wie etwa "Patch Management Solution 5.6" von Altiris, die sich ausschließlich Microsoft-Umgebungen widmen, geht Patchlink Update darüber hinaus. Zum einen unterstützt das Tool eine breite Palette an Betriebssystemen: Das Spektrum reicht von Solaris, HP-UX, IBM AIX, Netware über Linux-Distributionen von Red Hat, Suse, Mandrake, Debian, SCO und anderen bis hin zu Microsofts Windows-Familie ab Win 95.
Darüber hinaus lassen sich mit der Lösung aber auch Anwendungen patchen: Neben Microsofts Office-Suite (Version 2000 und 2002) gehören dazu unter anderem Exchange, der Internet Information Server (IIS) sowie Netmeeting, aber auch Tools wie "Snort", "Sendmail", "Realplayer" oder Adobe-Software.
Verteilung zentral gesteuert
Sämtliche Updates, die sich via Patchlink verteilen lassen, werden zunächst von einem Expertenteam im Labor auf 250 unterschiedlichen Rechnerkonfigurationen überprüft. Erst nach bestandenem Test stellt der Anbieter sie auf seiner Homepage zum Download bereit. Mit Patchlink Update ausgestattete Rechner können dies direkt tun. Für die Verteilung der Updates in größeren Unternehmen empfiehlt sich jedoch der Einsatz eines oder mehrerer "Patchlink-Update-Server" (Plus) als Ergänzung zu der in jedem Fall lokal zu installierenden Softwarekomponente.
Die Überwachung und Steuerung der Patch-Vorgänge erfolgt über die zentrale, Browser-basierende Management-Konsole von Patchlink. Von hier aus prüfen Administratoren mit Hilfe der Inventarisierungsfunktion den Patch-Status der Rechner im Unternehmen.
Das IT-Personal hat außerdem die Möglichkeit, bestimmte Gruppen von Rechnern zu bilden und Zeiten zu definieren, zu denen Patches für diese installiert werden sollen. So können Administratoren sicherstellen, dass besonders kritische Rechner immer mit den aktuellen Patches versorgt sind, während weniger wichtige Computer zu einem späteren Zeitpunkt Updates erhalten.
Der Rollout der vorhandenen Flick-Software kann gleichzeitig oder sequentiell erfolgen. Treten einmal Probleme auf, soll es auch möglich sein, den Rollout zu stoppen und später fortzusetzen. Selbst ein Rollback, also das Entfernen bereits aufgespielter Patches, ist machbar, wenn Rechner nach einem Update wider Erwarten nicht korrekt laufen sollten.
Für die Installation von Plus wird ein Rechner mit Windows Server 2000 oder 2003 in der englischen Version und IIS benötigt. Jede Plus-Lizenz kostet 1500 Euro, bei kleineren Installationen ohne Plus verlangt der Anbieter eine Gebühr von 1,50 Euro pro zu verwaltenden Rechner.
Eine Alternative zu Patchlink Update stellt "On iPatch" des vor kurzem von Symantec übernommenen Herstellers On Technology dar. Die Lösung basiert auf einer Kooperation zwischen On Technology und Shavlik Technologies. Dessen für Schwachstellen-Analyse und Patch-Management gedachtes Produkt mit dem kuriosen Namen "HFNetChk" bildet die Basis von On iPatch, das wiederum Bestandteil der Management-Lösung "iCommand" ist. Die HFNetChk-Engine ist im Übrigen auch in Microsofts "Baseline Security Analyzer" (MBSA) enthalten, den Shavlik für die Redmonder entwickelt hat.
Nach Angaben des Herstellers eignet sich iPatch für "verteilte Unternehmen mit mehreren Standorten, mobilen Anwendern und heterogenen Netzen". Dank spezieller Agenten soll die Lösung nicht nur Patches verteilen helfen, sondern auch in der Lage sein, befallene Rechner von Viren zu säubern oder nach einem Vorfall einen Computer wiederherzustellen. Außerdem sei iPatch - wie auch Patchlink Update - in der Lage, unerwünschte Dateien auf Kommando von den Rechnern der Mitarbeiter zu entfernen.
Nützliche Zusatzfunktionen
Der Hauptfokus von iPatch liegt auf Windows-Umgebungen, jedoch unterstützt die Software überdies weitere Systeme. Der Hersteller listet auf seinen Internet-Seiten stellvertretend unter anderem Java Virtual Machine, Lotus Notes/ Domino und den Apache Web Server auf. Die Preise hängen von der jeweiligen Konfiguration und dem Umfang der zu unterstützenden Infrastruktur ab.
Das Patch-Management hat sich auch der auf das Verwalten lokaler Netze spezialisierte Hersteller Landesk Software auf die Fahnen geschrieben: Der Anbieter hat das zu seiner "Landesk"-Suite gehörende Tool "Patch Manager 8" vorgestellt. Administratoren können die Software nutzen, um die Verwundbarkeit der vorhandenen Rechner zu überprüfen. Anschließend lassen sich die zur Beseitigung der entdeckten Schwachstellen notwendigen Patches automatisch auf die identifizierten Maschinen verteilen.
Patch Manager 8 unterstützt neben Windows die Unix-Plattformen Solaris 8 und Mac OS X. Eine Erweiterung für IBM-AIX, HP-UX sowie Red Hat Linux ist geplant, aber noch nicht umgesetzt. Pro zu verwaltenden Knoten verlangt Landesk eine jährliche Gebühr von zwölf Dollar.