Patches: Automatisch auf die Clients

17.05.2005
Von Horst Droege

Die Speziallösungen lassen sich in zwei Gruppen teilen: diejenigen, die auf einem Softwareagenten basieren, und solche, die ohne lokal installierte Komponente auskommen. Die erste Kategorie arbeitet ähnlich den bekannten Softwareverteilungs-Tools, wobei ein Agent auf den Endgeräten installiert wird, der lokal Analyse- und Installationsaufgaben übernimmt. Systeme ohne Agenten verbinden sich über das Netzwerk direkt mit den Endgeräten und erledigen so die nötigen Arbeiten. Vor allem bei verteilten Standorten und größeren Umgebungen hat diese Vorgehensweise Vorteile. So erkennen diese Systeme über periodische Netz-Scans meist automatisch neue Geräte. Zudem lassen sie sich in der Regel schnell im Netzwerk installieren, da die Verteilung der Client-Komponente entfällt.

Die Phasen des Patch-Prozesses (Quelle: Microsoft) 
Die Phasen des Patch-Prozesses (Quelle: Microsoft) 

Beiden Lösungstypen können Endgeräte daraufhin analysieren, welcher der vorhandenen Patches auf welchem Gerät installiert werden soll. Diese Erkennungslogik basiert in den meisten Fällen auf Informationen von Anbietern wie Microsoft, Red Hat oder Novell/Suse. Nur einige Hersteller nutzen eigene Routinen mit erweiterten Möglichkeiten. Neben der Erkenntnis darüber, ob ein Patch installiert werden soll, liefern diese Analysen auch wichtige Informationen zur Angreifbarkeit der Endgeräte, indem sie diese auf Schwachstellen scannen. Diese bedeutende Funktion ist Teil eines häufig sehr umfassenden Reportings. Informationen zu nicht vollständig gepatchten Systemen, Patch-Rollouts sowie Fehlern bei den Installationen der Updates lassen sich so zentral bereitstellen.