ADMIN

2021

12

2021-12-01T12:00:00

Small Business IT

TESTS

016

Small Business IT

Netzwerkmanagement

Patchmanagement

ITarian Patch Management

Flickschusterei

von Sandro Lucifora

Veröffentlicht in Ausgabe 12/2021 - TESTS

Seit Anbeginn der IT-Administration müssen sich die Mitarbeiter mit Updates für das Betriebssystem und die Anwendungssoftware auseinandersetzen. Ein durchdachtes Patchmanagement ist daher unerlässlich. Inwieweit das cloudbasierte Angebot von ITarian hierbei helfen kann, haben wir uns im Test näher angesehen. Schnell war klar, dass dem Werkzeug einige hilfreiche Funktionen leider abgehen.

Für viele Admins stellt das Patchmanagement ein notwendiges Übel dar, weil Hersteller notgedrungen die Fehler ihrer Software ausmerzen müssen. Der Siegeszug von Abonnements geht ebenfalls mit einer stetigen Weiterentwicklung und der damit verbundenen regelmäßigen Aktualisierung von Anwendungen einher. In kleineren Umgebungen lassen die Verantwortlichen daher meist die automatischen Updates der jeweiligen Hersteller inklusive Microsoft aktiviert, um so wenig Aufwand wir möglich zu haben. Doch in großen Infrastrukturen ist das Risiko zu groß, dass ein Update die Funktionsweise des Servers beeinträchtigt oder das individuell entwickelte CRM-Werkzeug plötzlich nicht mehr funktioniert. Daher planen Administratoren das Ausrollen von Updates meistens in Etappen: Zunächst erhält nur eine kleine Anzahl von Rechnern oder spezielle Testsysteme das Update – läuft es problemlos durch, kommt die nächste Gruppe in den Genuss der Aktualisierung.
Der US-amerikanische Hersteller ITarian bietet mit dem gleichnamigen SaaS-Dienst ein gebündeltes IT-Systemmanagement an, das neben einem Device-Management und verschiedenen Sicherheitsfunktionen auch ein Patchmanagement beinhaltet. Um es uns anzusehen, legten wir uns für diesen Test einen Account an. Bereits hier folgt der Hersteller der DSGVO und erlaubt die Auswahl des Standorts des ITarian-Servers zwischen den USA und Europa.
Nach dem ersten Login wurden wir gefragt, ob wir ein Managed Service Provider (MSP) oder ein Enterprise-Anwender sind. Ein MSP verwaltet die IT-Infrastruktur, Sicherheit und den Betrieb für Kunden. Als Enterprise-Nutzer bezeichnet der Hersteller ein Unternehmen, das die eigene IT-Infrastruktur administriert. Der Grund für die Festlegung zu Beginn ist, dass ITarian im Zuge der Auswahl unterschiedliche Funktionen bereitstellt. Der MSP bekommt eine Reseller-Partnerschaft, muss dafür aber etwa auf die Cloudfirewall cDome sowie den cDome-Datenschutz, ein cloudbasiertes Data-Loss-Prevention-Modul, verzichten. Dies sind Funktionen, die für einen Enterprise-Kunden aktiviert sind. Für den Test haben wir uns als ein solcher angemeldet.
Für viele Admins stellt das Patchmanagement ein notwendiges Übel dar, weil Hersteller notgedrungen die Fehler ihrer Software ausmerzen müssen. Der Siegeszug von Abonnements geht ebenfalls mit einer stetigen Weiterentwicklung und der damit verbundenen regelmäßigen Aktualisierung von Anwendungen einher. In kleineren Umgebungen lassen die Verantwortlichen daher meist die automatischen Updates der jeweiligen Hersteller inklusive Microsoft aktiviert, um so wenig Aufwand wir möglich zu haben. Doch in großen Infrastrukturen ist das Risiko zu groß, dass ein Update die Funktionsweise des Servers beeinträchtigt oder das individuell entwickelte CRM-Werkzeug plötzlich nicht mehr funktioniert. Daher planen Administratoren das Ausrollen von Updates meistens in Etappen: Zunächst erhält nur eine kleine Anzahl von Rechnern oder spezielle Testsysteme das Update – läuft es problemlos durch, kommt die nächste Gruppe in den Genuss der Aktualisierung.
Der US-amerikanische Hersteller ITarian bietet mit dem gleichnamigen SaaS-Dienst ein gebündeltes IT-Systemmanagement an, das neben einem Device-Management und verschiedenen Sicherheitsfunktionen auch ein Patchmanagement beinhaltet. Um es uns anzusehen, legten wir uns für diesen Test einen Account an. Bereits hier folgt der Hersteller der DSGVO und erlaubt die Auswahl des Standorts des ITarian-Servers zwischen den USA und Europa.
Nach dem ersten Login wurden wir gefragt, ob wir ein Managed Service Provider (MSP) oder ein Enterprise-Anwender sind. Ein MSP verwaltet die IT-Infrastruktur, Sicherheit und den Betrieb für Kunden. Als Enterprise-Nutzer bezeichnet der Hersteller ein Unternehmen, das die eigene IT-Infrastruktur administriert. Der Grund für die Festlegung zu Beginn ist, dass ITarian im Zuge der Auswahl unterschiedliche Funktionen bereitstellt. Der MSP bekommt eine Reseller-Partnerschaft, muss dafür aber etwa auf die Cloudfirewall cDome sowie den cDome-Datenschutz, ein cloudbasiertes Data-Loss-Prevention-Modul, verzichten. Dies sind Funktionen, die für einen Enterprise-Kunden aktiviert sind. Für den Test haben wir uns als ein solcher angemeldet.
In weiteren Schritten mussten wir eine Subdomain beziehungsweise einen Firmennamen angeben. Aus diesen Informationen generiert der Hersteller dann die Domain, über die wir im weiteren Verlauf auf die ITarian-Konsole zugriffen. Eine nachträgliche Anpassung dieser URL ist nicht möglich.
Communication Client als Kontaktpunkt
Grundsätzlich handelt es sich bei ITarian um ein Werkzeug zum Endpoint-Management. Das von uns getestete Patchmanagement stellt nur ein Modul von mehreren dar. Zusätzlich erhalten Kunden noch Zugriff auf die Anwendungen Remote Monitoring & Management (RMM), ein Gerätemanagement sowie den bereits erwähnten Endpoint-Schutz. Allen Applikationen ist gemein, dass es notwendig ist, die gewünschten Endpoints mit ITarian zu verknüpfen. Um diese Verknüpfungen zu realisieren, stellt der Hersteller als zentrale Instanz den Communication Client bereit, der auf mindestens einem Rechner im Netzwerk manuell zu installieren ist. Zudem lässt sich der Client als MSI-Datei über Gruppenrichtlinien verteilen. Die Entwickler bieten den Communication Client auch für macOS und Linux an. Im Test haben wir uns jedoch auf Windows konzentriert, da die Patchfunktion nur auf das Microsoft-OS beschränkt ist.
Ein Doppelklick startet die kurze Installationsroutine und nach wenigen Sekunden weist lediglich ein Symbol im Systemtray in der Taskleiste auf das erfolgreiche Aufspielen des Communication Client hin. Der Nutzer kann dann auf das Icon klicken und erhält eine Dialogbox, in der sich ein Proxy-Server konfigurieren und festlegen lässt, ob das Symbol sichtbar sein soll. An dieser Stelle hätten wir uns gewünscht, dass sich schon vor dem Generieren der MSI-Datei einstellen lässt, ob die entsprechenden Einstellungen für den Nutzer überhaupt erreichbar und vor allem änderbar sein sollen. Dies lässt sich nur im Nachhinein über die Settings in einem Profil vornehmen.
Auf Seiten des Clouddiensts von ITarian sahen wir den mit dem Communication Client bestückten Rechner nun in der Geräteliste unseres Dashboards. Im Test haben wir die initiale Installation des Clients auf einem Windows Server 2019 vorgenommen. Grundsätzlich muss der Client auf jedem zu patchenden Gerät im Netzwerk ausgebracht werden. Auf einem Computer – in unserem Fall eben dem Windows-Server – fungiert der Communication Client als sogenannte "Probe", also als Sonde. Dabei handelt es sich um das Gerät, das weitere Rechner im Netzwerk auffindet, anspricht, mit dem Communication Client ausstattet und so das Patchen dieser Systeme erst möglich macht.
Bild 1: Die Liste der durch den Communication Client angemeldeten Geräte zeigt auch deren Patchstatus an.
Viel manuelle Feinarbeit nötig
In der Annahme, dass in einem Netzwerk mindestens mehrere Dutzend Rechner vorhanden sind, wäre es mühsam, den Communication Client auf jedem einzelnen händisch zu installieren. Um das zu vereinfachen, bietet ITarian beim Netzwerkmanagement die Funktion "Suchabfragen" an. Die Verwendung dieses Begriffs zeigt, was uns im gesamten Test immer wieder aufgefallen ist: Zwar stellt der Hersteller das Dashboard in deutscher Sprache bereit, doch sind die Übersetzungen manchmal recht eigenwillig.
Die Verantwortlichen scheinen teilweise Wort für Wort mit einem Onlinetool übersetzt zu haben, was sowohl den Satzbau als auch die Ausdrucksweise an einigen Stellen schwer verständlich macht – manchmal so sehr, dass wir wieder auf Englisch zurückstellten, um die Aussage des Satzes besser zu verstehen. Einige Textpassagen waren sogar noch auf Russisch zu lesen.
Die Konfiguration hingegen gestaltete sich sehr einfach und verständlich. Zunächst fragte uns der Einrichtungsassistent, ob wir die Suche über das Netzwerk oder ein Active Directory vornehmen wollten. Über das Netzwerk erfolgt die Suche nach Geräten für einen bestimmten IP-Bereich, optional mit Hilfe des SNMP-Protokolls. Mit dem Active Directory lassen sich die dort angemeldeten Geräte ermitteln. Wir entschieden uns für die Suche über das Netzwerk und wählten dann im Webinterface den auf dem Server installierten Communication Client als "Sonde" aus. Über diese erhält ITarian dann Zugriff auf das gesamte Netzwerk und kann von dort aus weitere Geräte ermitteln.
ITarian Patch Management
Produkt
Cloudbasiertes Patchmanagement für Windows-Rechner.
Hersteller
ITarian
Preis
Für bis zu 50 Endgeräte ist der Dienst kostenfrei. Zwischen 51 bis 999 Endgeräten werden 1,10 US-Dollar pro Gerät und Monat fällig. 1000 und 9999 Endgeräte kosten 0,95 US-Dollar und mehr als 10.000 Geräte 0,80 US-Dollar.
Systemanforderungen
Für Clients ab Windows XP, für Server ab Windows Server 2012 R2. Für macOS und Linux gibt es kein Patchmanagement.
Ansonsten bedarf es eines gängigen, aktuellen Webbrowsers.
Technische Daten
Bevor wir jedoch die Suche durchführten, wechselten wir in die weitere Konfiguration. Über die automatische Anmeldung legten wir fest, ob ein gefundenes Gerät ohne unser weiteres Zutun den Communication Client installiert bekommt und sich damit bei ITarian anmeldet. Doch damit die automatische Anmeldung überhaupt möglich war, mussten wir zunächst auf unserem Rechner mit der Sonde bei Microsoft das Programm PsExec herunterladen und im Programmverzeichnis entpacken. PsExec ist ein Telnet-Ersatz, mit dem sich Prozesse auf anderen Systemen ausführen lassen, ohne dass zuvor eine Clientsoftware manuell installiert sein muss. PsExec ist also Voraussetzung, dass ITarian den Communication Client auf den gefundenen Rechnern installieren kann.
Des Weiteren mussten wir sicherstellen, dass auf den Zielgeräten NetBIOS über TCP/IP aktiviert ist. Ebenso durften ein Antivirus-Programm und die Firewall PsExec- und SMB-Verbindungen nicht blockieren und die Freigabe von Ordnern und Geräten musste aktiviert sein. Die letzte Voraussetzung für das automatische Einbinden gefundener Geräte in ITarian ist, dass ein bestimmter Regedit-Selektor gesetzt sein muss. Wenn auch technisch verständlich, sind das alles in allem aus unserer Sicht doch recht viele Hürden, um den Automatismus nutzen zu können – schon alleine deshalb, weil benötigte Einstellungen möglicherweise mit anderen Vorgaben kollidieren oder schlichtweg nicht gewünscht sind. Hier müssen sich Netzwerkverantwortliche fragen, ob es nicht einfacher ist, die MSI über die Gruppenrichtlinien zu verteilen und installieren zu lassen.
Bild 2: Auf der Übersichtsseite zu den anstehenden Updates lassen sich Patches zwar granular auswählen, aber nicht zeigesteuert installieren.
Keine dynamischen Gruppen
In den weiteren Einstellungen hinterlegten wir die Login-Daten eines Benutzers, der auf allen Computern Administratorenrechte hat. Ebenso bestimmten wir eine Gerätegruppe und ein Profil, das ITarian dem gefundenen Rechner zuordnet. Leider ließen sich sowohl Gruppe als auch Profile nur statisch generieren. Es war nicht möglich, Parameter zum Beispiel anhand des Betriebssystems oder anderer Merkmale dynamisch zu vergeben. Damit wäre es zum Beispiel möglich, einen Server einer anderen Gruppe und einem anderen Profil zuzuordnen als einen Client. Oder Rechner aus der Produktion von Rechnern in der Verwaltung zu trennen. Ohne diese Dynamik muss der Administrator jedes Gerät einzeln aufrufen und die Parameter manuell setzen. Manuelle Vor- oder Nacharbeit ist hier also vorprogrammiert, was angesichts mehrerer Dutzend oder sogar hunderter Geräte einen aus unserer Sicht unnötigen Mehraufwand darstellt.
Waren die Geräte mit ITarian verbunden, so zeigten sie sich ebenso wie der erste Server in der Geräteliste. Dieser entnahmen wir den Patchstatus. Dieser gibt an, ob Updates für das Gerät anstehen. Durch einen Klick auf das Patchsymbol gelangten wir zur Liste anstehender Updates. Diese beschränkt sich nicht nur auf Windows-Aktualisierungen, sondern beinhaltet auch Software von Drittherstellern. In der Übersicht konnten wir dann einzelne oder alle anstehenden Updates auswählen und installieren.
Gut gefallen hat uns, dass die Übersicht auch darüber informiert, bei welchem Update ein Neustart notwendig ist. An dieser Stelle hatten wir allerdings keine Möglichkeit, das Aufspielen einzelner Updates zeitlich vorzuplanen. Ein Klick auf "Aktualisierungen installieren" übermittelte sofort den Updatebefehl an den Client. Im selben Fenster bietet der Hersteller einen erneuten Scan auf Updates an und es lassen sich bereits ausgebrachte Updates wieder deinstallieren.
Prozeduren ermöglichen Automatisierung
Damit ein Administrator nicht täglich proaktiv die Updates prüfen und anstoßen muss, lassen sich solche Aufgaben in ITarian über eine Prozedur automatisieren und zeitlich steuern. Eine solche wiederkehrende Aufgabe legten wir im Menü der Konfigurationsvorlagen an. Diese "Prozedur" getaufte Funktion beschränkt sich jedoch auf die Ausführung von Windows-Skripten, Windows-Patches und Windows-Drittanbieter-Patches.
Für unser Vorhaben erstellten wir eine Windows-Patch-Prozedur und legten in den allgemeinen Einstellungen vor allem fest, wie das System mit Warnmeldungen umgehen und ob und an wen es ein Ergebnisprotokoll versenden soll. Bei den Ausführungsoptionen bestimmten wir, welche Microsoft-Software-Aktualisierungen der Prozess durchführen sollte.
Die Optionen erstreckten sich über kritische Aktualisierungen, Updates der Produktdatenbanken, Pakete mit neuen Funktionen, allgemeine Aktualisierungen oder Sicherheitsupdates. Bei der Wichtigkeit der Aktualisierung hatten wir zur Auswahl "kritische Wichtigkeit", "wichtig", "Aktualisierung der Zugriffsrechte mit moderater Wichtigkeit" und "niedrig". Als weitere Optionen standen zur Auswahl "Servicepacks", "Tools", "Update-Rollups" und "Verbesserungen". Für die Ausführung der Updates lässt sich eine beliebige Kombination aus diesen Einstellungen auswählen. Vermisst haben wir jedoch die Möglichkeit, festlegen zu können, ob Updates einen Neustart auslösen dürfen oder nicht. Wir denken, dass dieser Punkt sehr wichtig ist, da wir zum Beispiel die Rechner in einer Produktionsstraße nicht aktualisieren sollten, wenn während des Betriebs ein Neustart notwendig ist. Wir konnten zwar in der Neustartverwaltung den Neustart unterbinden, jedoch ist damit dann nicht ausgeschlossen, das vorgenommene Updates bis zum Neustart Einschränkungen hervorrufen.
Genau wie Betriebssystem-Updates lässt sich auch die Aktualisierung von Anwendungen automatisch steuern. Die Optionen sind hier identisch, bis auf die Ausführungsoptionen. Statt auszuwählen, welche Art von Updates durchzuführen ist, hatten wir an der Stelle die Auswahl zu bestimmen, ob ITarian auf dem Rechner alle Applikationen oder nur bestimmte aktualisieren sollte. Wollten wir nur bestimmte Software updaten, trugen wir diese Namen in einer Liste ein.
Bild 3: Die Zeitsteuerung einer Prozedur genannten Aufgabe erfolgt über ein Profil.
Zeitsteuerung über Profile
Um die zuvor erstellte Aufgabe automatisch auszuführen, haben wir diese als ein Profil angelegt. In einem Profil konfiguriert der Administrator alle Einstellungen, die ITarian an die Rechner übertragen soll. Zwar liefert der Hersteller einige Dutzend vordefinierte Profile, doch wir legten für unsere Updates ein neues an. Profile sind dabei in Sektionen unterteilt. Damit konnten wir für einzelne Aufgaben dedizierte Profile anlegen und diese selektiv einzelnen Rechnern zuweisen.
Für unseren Zweck erzeugten wir die Sektion "Prozeduren" und statteten sie mit einer oder mehreren Prozeduren aus. Über den Button "Hinzufügen" öffnete sich eine Dialogbox, über die wir unsere zuvor erstellte Patchprozedur auswählten und den Zeitplan festlegten. Neben dem Startdatum lässt sich das Intervall in täglich, wöchentlich und monatlich ändern. In Anlehnung zum Intervall hatten wir im Zeitplan verschiedene Möglichkeiten. So natürlich die Uhrzeit, optional den Wochentag oder auch Tage in einem Monat. Im Test fügten wir dem Profil zusätzlich noch die von Hersteller angebotene Prozedur "Bereinigung des Update-Ordners" hinzu.
So urteilt IT-Administrator
Bewertung
Einbinden von Clients 5 Dedizierte Updates durchführen 5 Updates zeitlich steuern 4 Administration von Profilen 4 Abschalten clientseitiger Updates 5
Dieses Produkt eignet sich
optimal
für das Patchmanagement einiger Dutzend Rechner, da in diesem Rahmen die manuelle Feinarbeit akzeptabel ist.
bedingt
zum Patchmanagement für Infrastrukturen mit mehreren hundert Systemen.
nicht
zum Patchmanagement für Linux und macOS.
Als angenehmes Add-on empfanden wir die Funktion, über das ITarian-Tool MSI-Pakete auf der Remote-Maschine zu installieren. Hierzu muss die MSI-Datei lediglich über eine URL erreichbar sein. Noch besser hätte wir es gefunden, wenn wir die MSI-Dateien, zumindest alternativ, über einen freigegebenen Ordner im lokalen Netzwerk bereitstellen könnten und statt der URL auch einen Pfad eingeben könnten. Da das nicht möglich war, trugen wir im entsprechenden Dialog die Download-URL und optional Parameter für den Aufruf ein und legten fest, wie sich der Rechner bei einem Neustart verhalten sollte. Entweder zögerten wir den Reboot zeitlich heraus, unterdrückten ihn komplett oder gaben eine Nachricht aus, die dann die Anwender über den anstehenden Neustart informierte.
Clientseitige Updates abschaltbar
Ein bekanntes Dilemma für Admins im Zusammenhang mit Updates ist, dass Software auf einem Client oder Server ihre Updates gern direkt und automatisch – und somit unkontrolliert – herunterlädt und spätestens beim Herunterfahren oder Neustart des Rechners den Benutzer zur Installation zwingt. Dieses Problem hat ITarian erka nnt und erlaubt es, dieses Verhalten über ein Profil abzuschalten.
Hierzu öffneten wir das Profil, das dem beziehungsweise den Gerät(en) zugeordnet war. Wie zuvor erwähnt, bekommt jedes Device bei der Anmeldung an ITarian dasselbe Profil zugewiesen. Hat der Administrator verschiedenen Geräte unterschiedliche Profile zugewiesen, ist die Einstellung in jedem Profil separat vorzunehmen. Es ist nicht möglich, bestimmte Einstellungen im Bulk auf Profile anzuwenden. Es lassen sich aber verschiedene Profile anlegen und einem Gerät mehr als eines zuweisen. Um uns hier die Arbeit zu erleichtern, haben wir ein neues Profil erstellt und in diesem lediglich die Einstellungen zum Abschalten der automatischen Updates vorgenommen.
Um festzulegen, dass kein Update durch das Betriebssystem und Drittanbietersoftware selbst erfolgen soll, öffnete wir das Profil und fügten den neuen Abschnitt "Patch-Verwaltung" hinzu. Dieser befindet sich aktuell noch in der Betaphase und beschränkt sich auf die zwei Einstellungen "Verwaltung von ВS-Aktualisierungen deaktivieren" und "Verwaltung von Aktualisierungen für Drittanbieteranwendungen deaktivieren". Wir nahmen beide Punkte in Betrieb.
Sofern es sich um ein Profil handelt, das den Rechnern bereits zugewiesen ist, so überträgt ITarian die Konfiguration und wendet die Einstellung später an. Ein neues Profil mussten wir zunächst jedem einzelnen Rechner zuweisen, dem ITarian es dann übertrug.
Fazit
Das Patchmanagement von ITarian hat im Test einen gemischten Eindruck hinterlassen. Es stellte sich in der Praxis als funktional, aber nicht als vollständig heraus. Funktionen und Einstellungen, die dem Administrator gerade bei der Verwaltung einer größeren Anzahl von Rechnern hilfreich wären, fehlten komplett. So konnten wir bei der Einbindung von Geräten in ITarian nur eine statische Gerätegruppe und ein Profil zuweisen. Auch vermissten wir an mehreren Stellen, Einstellungen für mehrere Profile vornehmen oder verschiedenen Geräten mit einem Klick ein neues Profil zuweisen zu können.
Die eigentliche Aufgabe, Updates beziehungsweise Patches zu erkennen und zu installieren, hat grundsätzlich gut und zuverlässig funktioniert. Aber auch hier fehlten arbeitserleichternde Details. Über die Prozeduren konnten wir das regelmäßige Einspielen von Updates konfigurieren, doch leider war es nicht möglich, einzelne Updates auf Geräten konkret auszuwählen und zeitgesteuert aufzuspielen. Das ging nur sofort per Knopfdruck. Bei den Prozeduren wiederum ist es nicht möglich, konkrete Updatepakete zur Installation auszuwählen und diese zeitlich zu steuern. Alles in allem scheint uns das Patchmanagement bei ITarian nur ein Nebenprodukt zu sein, dem die Entwickler bisher nicht allzu viel Aufmerksamkeit gewidmet haben. Es funktioniert ganz gut, hat aber zu viele Lücken, um als wirkliche Arbeitserleichterung durchgehen zu können.
(ln)