ADMIN

2023

12

2023-11-30T12:00:00

Container und Applikationsmanagement

TESTS

014

Patchmanagement

Applikationsmanagement

Sicherheit

ManageEngine Patch Manager Plus 11

Mehr als nur Flickschusterei

von Jürgen Heyer

Veröffentlicht in Ausgabe 12/2023 - TESTS

Für die IT-Sicherheit spielt das Patchmanagement eine große Rolle. Denn Angreifer und deren Malware suchen beständig nach Sicherheitslücken, um in Systeme, egal ob Server oder Client, einzudringen und ihr schädliches Werk zu beginnen. Einen umfassenden und flexiblen Schutz nicht nur für Microsoft-Patches, sondern über Betriebssystemgrenzen hinweg, verspricht Patch Manager Plus von ManageEngine.

Der Fokus der diversen Produkte von ManageEngine liegt auf der Verwaltung von IT-Infrastrukturen. Ziel ist die Unterstützung der IT-Abteilungen bei der Überwachung der Umgebungen für höchste Verfügbarkeit sowie eine Absicherung gegen Cyberbedrohungen. Bezeichnungen wie Identity & Access Management, Unified Endpoint Management, IT Operations Management, Security Information & Event Management sowie IT Analytics spannen einen Bogen über das breite Produktportfolio, zu dem auch Patch Manager Plus gehört. Die einzelnen Tools verzahnen sich teilweise, sind aber ebenso problemlos eigenständig nutzbar.
Ein großer Pluspunkt von Patch Manager Plus besteht darin, dass die Software neben Windows auch Patches für Mac und diverse Linux-Distributionen verteilt sowie rund 850 Drittanbieteranwendungen aktualisiert. Damit ist dieses Tool für heterogene Umgebungen gut geeignet und erspart dem Administrator den Einsatz verschiedener Werkzeuge.
Einsatz lokal oder in der Cloud
ManageEngine ist dem modernen Cloudansatz gefolgt und bietet Patch Manager Plus sowohl on-premises als auch als Cloudvariante an. In beiden Fällen ist die Software in drei Editionen verfügbar: Free, Professional und Enterprise, deren Fokus sich recht gut abgrenzen lässt. Die Free Edition ist dabei ein dauerhaft kostenloses Angebot für kleine Unternehmen mit bis zu 20 Computern und fünf Servern. Erfreulich ist der trotzdem fast vollständige Funktionsumfang mit nur wenigen Einschränkungen: keine automatischen Vorabtests von Patches, keine Antiviren-Updates und kein Distributionsserver zur Bandbreitenoptimierung.
Der Fokus der diversen Produkte von ManageEngine liegt auf der Verwaltung von IT-Infrastrukturen. Ziel ist die Unterstützung der IT-Abteilungen bei der Überwachung der Umgebungen für höchste Verfügbarkeit sowie eine Absicherung gegen Cyberbedrohungen. Bezeichnungen wie Identity & Access Management, Unified Endpoint Management, IT Operations Management, Security Information & Event Management sowie IT Analytics spannen einen Bogen über das breite Produktportfolio, zu dem auch Patch Manager Plus gehört. Die einzelnen Tools verzahnen sich teilweise, sind aber ebenso problemlos eigenständig nutzbar.
Ein großer Pluspunkt von Patch Manager Plus besteht darin, dass die Software neben Windows auch Patches für Mac und diverse Linux-Distributionen verteilt sowie rund 850 Drittanbieteranwendungen aktualisiert. Damit ist dieses Tool für heterogene Umgebungen gut geeignet und erspart dem Administrator den Einsatz verschiedener Werkzeuge.
Einsatz lokal oder in der Cloud
ManageEngine ist dem modernen Cloudansatz gefolgt und bietet Patch Manager Plus sowohl on-premises als auch als Cloudvariante an. In beiden Fällen ist die Software in drei Editionen verfügbar: Free, Professional und Enterprise, deren Fokus sich recht gut abgrenzen lässt. Die Free Edition ist dabei ein dauerhaft kostenloses Angebot für kleine Unternehmen mit bis zu 20 Computern und fünf Servern. Erfreulich ist der trotzdem fast vollständige Funktionsumfang mit nur wenigen Einschränkungen: keine automatischen Vorabtests von Patches, keine Antiviren-Updates und kein Distributionsserver zur Bandbreitenoptimierung.
In größeren Umgebungen ist die Professional Edition erforderlich. Sie ist für den Einsatz in kabelgebundenen Netzwerken gedacht und weist die gleichen Einschränkungen auf wie die Free-Edition. Außerdem sind keine Treiber- sowie BIOS-Updates möglich und der Administrator muss auf Wake-on-LAN verzichten. Der vollständige Funktionsumfang ist also ausschließlich in der Enterprise Edition enthalten. Diese kann ein interessierter Administrator als 30-Tage-Trial herunterladen.
Im Gegensatz zur On-Premises-Ausgabe fehlen bei der Cloudvariante noch einige Features. Unternehmen sollten im Vorfeld also genau prüfen, welche Funktionen sie benötigen. Hilfreich sind dazu auf der ManageEngine-Website recht genaue Vergleiche der Funktionsumfänge der drei Editionen sowie der jeweiligen Nutzung als On-Premises- sowie Cloudversion. Wie üblich sind bei Letzterer keine eigenen Hardwareressourcen erforderlich und der Administrator spart sich die gesamte Systempflege, stattdessen werden die Daten in der Cloud bei ManageEngine verarbeitet. Die Preise für die Cloudversion sind trotz weniger Funktionen etwas höher, eben weil der Hersteller neben der Software dann seinerseits zusätzliche Hardwareressourcen bereitstellen und die Plattformpflege übernehmen muss.
ManageEngine Patch Manager Plus 11
Produkt
Patchmanagement für Windows, Linux und macOS sowie vieler Applikationen von Drittanbietern.
Hersteller
ZOHO Corporation
Preis
ManageEngine setzt auf ein Abo-Modell mit jährlichen Kosten. Die lokale Professional Edition für 50 Computer kostet rund 235 Euro, für zehn Server 91 Euro. In der Enterprise Edition kosten 50 Computer rund 331 Euro und zehn Server 139 Euro, jeweils für einen Benutzer. Die Preise für die Cloudvariante liegen 30 bis 40 Prozent darüber. Ein weiterer Benutzer für die Administration kostet rund 187 Euro. Für größere Umgebungen gibt es Staffelpreise.
Systemanforderungen
Hardwareanforderungen:
Zwei CPU-Cores
- 2 GByte RAM
- 5 GByte Plattenkapazität
Installationsziel:
- Windows 10 oder höher, Windows Server 2016 oder höher Patchen folgender Betriebssysteme:
- Windows 7 und höher, Windows Server 2008 und höher
- macOS 10.15 und höher
- Red Hat Enterprise Linux, SUSE Linux, Ubuntu, Debian, CentOS, Pardus, Oracle Linux, Rocky Linux
Technische Daten
Schnelle Inbetriebnahme
Für unseren Test haben wir uns auf die On-Premises-Variante konzentriert und das 617 MByte große Installationspaket heruntergeladen, um es auf einer virtuellen Maschine unter Windows Server 2016 zu installieren. Nach Angabe des Installationspfades fragt das Setup die zu verwendenden Ports für die Webkonsole ab. Voreingestellt sind 8020 für HTTP und 8383 für HTTPS, was sich hier leicht ändern lässt.
Nach Vorschlag und Bestätigung eines Startmenüeintrags werkelt das Setup einige Minuten vor sich hin, um die Software zu installieren. Zum Ende hin lässt sich Patch Manager Plus aufrufen und der Administrator sieht im Browser den Start und Status der einzelnen Dienste.
Beim ersten Aufruf der Web-GUI erscheinen einige Warnhinweise. So fragt die Software nach Anmeldeinformationen mit Administratorrechten für das Active Directory des genutzten Servers und zwingend nach den Proxy-Einstellungen. Dies klingt zuerst verwirrend, wenn kein Proxy zum Einsatz kommt, aber als Option steht für diesen Fall eine Direktverbindung ins Internet zur Verfügung. Nach deren Auswahl verschwindet die Warnung. Anschließend ist der Mailserver für Alarmierungen und Statusmeldungen anzugeben.
Nach Abarbeiten dieser Meldungen folgen einige Hinweise zur Patchbereitstellung, Genehmigung und Ablehnung von Patches, dem Anpassen der Systemsicherheitsrichtlinien, dem Speicherverzeichnis für Patches sowie zur E-Mail-Benachrichtigung. Diese Tipps am Anfang haben uns gut gefallen, denn deren Bearbeitung hilft neben der weiter unten noch genauer erwähnten guten Dokumentation beim Einstieg.
Bild 1: Die Startseite von Patch Manager Plus liefert die wichtigsten Kennzahlen und listet die Top20 der fehlenden Patches auf.
Sicherheit wird großgeschrieben
Patch Manager legt viel Wert auf Sicherheit. So erzwingt das System nach zwei Wochen Nutzung den sicheren Zugriff auf die GUI per HTTPS, was der Administrator wahlweise auch sofort aktivieren kann. Kommt die Enterprise Edition zum Einsatz, empfiehlt die Software zudem die Nutzung einer Zweifaktor-Authentifizierung beispielsweise mit Hilfe des Google Authenticator. Zu beachten ist, dass sich dies später nicht mehr rückgängig machen lässt.
Sehr gut gefallen hat uns der übersichtliche und intuitiv verständliche Aufbau der Webkonsole. Die weitgehend selbsterklärenden Hauptthemen (Startseite, Patches, Geräte, Bereitstellung, Berichte, Agent, Administrator und Helpdesk) findet der Benutzer in einer Kopfzeile, die dazugehörigen Unterpunkte jeweils in einem Navigationsmenü am linken Rand. Die Startseite ist als Dashboard mit den wichtigsten Kennzahlen aufgebaut. Für Details und einen Drilldown lassen sich die einzelnen Fenster und Grafiken anklicken. Unter dem Punkt "Administrator" sind die diversen Systemeinstellungen nach Rubriken geordnet zusammengefasst und unter dem Eintrag "Helpdesk" findet der Benutzer eine Vielzahl an Hinweisen und Hilfen zur Nutzung.
Bild 2: Die Sicherheitseinstellungen von Patch Manager Plus werden übersichtlich zusammengefasst aufgelistet.
Patchbereitstellung über den Hersteller
Ein wichtiges Kriterium bei einer Patchsoftware ist neben dem Komfort die im Hintergrund beim Hersteller laufende Patchmanagement-Architektur. So vergeht immer eine gewisse Zeit zwischen der Veröffentlichung eines Patches durch den Hersteller und der Verfügbarkeit im jeweiligen Patchwerkzeug. Daher ist beispielsweise bei Windows der Microsoft-eigene WSUS am schnellsten und alle anderen Bereitstellungen hinken etwas hinterher.
Im Falle von Patch Manager Plus läuft bei der Zoho Corporation ein sogenannter External Patch Crawler, der die Webseiten von Microsoft, Apple, den unterstützten Linux-Distributionen sowie den relevanten Drittanbietern ständig nach neuen Patchveröffentlichungen absucht. Hier erfolgen auch der Download sowie Tests zur korrekten Funktion innerhalb des Patch Managers. Die Ergebnisse fließen in eine konsolidierte Schwachstellen-Datenbank, die dann in einem zentralen Patch-Repository veröffentlicht wird. Laut Hersteller stehen Drittanbieter-Updates sechs bis neun Stunden nach Veröffentlichung durch den Herausgeber zur Verfügung, Sicherheitsupdates innerhalb von zwölf bis 18 Stunden und die übrigen Updates innerhalb von 24 Stunden.
Auf Kundenseite aktualisiert Patch Manager seine Datenbank einmal täglich zu einem vom Administrator festlegbaren Zeitpunkt. Erscheint dies in Ausnahmefällen nicht als ausreichend, lässt sich manuell eine Synchronisation anstoßen. Die Datenkommunikation zwischen dem Patch Manager und dem Portal der Zoho Corporation erfolgt verschlüsselt per HTTPS.
Verständlicherweise lädt das Tool nicht alle verfügbaren Patches sofort herunter, sondern führt nach Aktualisierung der Patchdatenbank zuerst eine Analyse durch, was für die betreuten Server und Clients benötigt wird. Erst nach der Festlegung oder Freigabe der zu installierenden Patches durch den Administrator erfolgt deren Download.
Vom Prinzip her ist der beschriebene Ablauf bei den meisten Patchprodukten ähnlich und vergleichbar. Wichtig bei einer Beobachtung der Aktualisierungszeiten durch den Administrator ist, dass gerade bei Zero-Day-Exploits die Lücke nach Verfügbarkeit eines Patches möglichst schnell geschlossen wird und nicht zusätzliche Prüfungen sowie langwierige Abläufe das Ausrollen unnötig verzögern.
Starker Fokus auf Automatisierung
Patch Manager Plus beinhaltet verschiedene Möglichkeiten für eine Automatisierung der Abläufe sowie eine Anpassung an die Wünsche des Administrators. Ein wichtiger Punkt bei der Automatisierung ist die Verteilung der Agenten, damit keine Systeme übersehen werden und ungepatcht bleiben.
In einer Windows-Umgebung setzt die Software vor allem auf die AD- und Workgroup-Verwaltung, um den sogenannten Scope of Management (SoM), also alle zu betrachtenden Systeme, zu füllen. Das Werkzeug durchsucht nach der Installation das Netzwerk nach Domänen und Arbeitsgruppen und listet diese auf. Wird eine Domäne nicht gefunden, kann der Administrator diese manuell ergänzen. Weiterhin muss er zu jeder Domäne und Arbeitsgruppe einen administrativen Benutzer mit Passwort angeben, dann kann Patch Manager die darin enthaltenen Systeme inventarisieren. Mithilfe einer automatischen, täglichen Synchronisation bleibt die Liste der zu betreuenden Endpunkte stets aktuell.
Ausgehend von dieser Übersicht erfolgt die Agenteninstallation, damit sich Patches verteilen lassen. Der Administrator kann die Agentenverteilung über die Konsole von Patch Manager Plus manuell vornehmen oder aber die Windows-Gruppenrichtlinien nutzen, was für eine automatische und vollständige Bestückung auf jeden Fall zu empfehlen ist. Über ein PowerShell-Skript lässt sich dazu die Regel in den GPOs ergänzen. Anschließend wird der notwendige Agent automatisch auf neu in die Domäne oder Arbeitsgruppe aufgenommenen Systemen eingerichtet. Alternativ zur Steuerung über die GPO ist eine Agenteninstallation per SCCM oder das cloudbasierte Microsoft Intune möglich.
Für den Fall, dass eine Agenteninstallation fehlschlägt, kann der Administrator eine Anzahl an Wiederholungsversuchen vorgeben. Per E-Mail kann sich dieser von erfolgreichen oder auch weiteren fehlgeschlagenen Versuchen informieren lassen. Das hilft, die manuellen Eingriffe auf ein Minimum zu reduzieren. Sollen Computer aus dem SoM entfernt werden, ist der Agent vorher zu deinstallieren. Die Farbe eines Computersymbols in der Konsole verrät den Agentenstatus, sodass dieser leicht erkennbar ist.
Auf Macintosh-Systemen ist der Agent entweder manuell am System oder remote per SSH zu installieren, Gleiches gilt für Linux-Clients. Das automatische Ausrollen von Agenten erfolgt alle 90 Minuten entsprechend des Prüfintervalls.
Bedarfsgerechte Abläufe
Sind die zu patchenden Systeme bekannt sowie die Agenten installiert, folgt die Automatisierung des eigentlichen Patchmanagements. Hier gibt es unterschiedliche Strategien bei der Patchgenehmigung (Approval) mit jeweiligen Vor- und Nachteilen. Patch Manager Plus ermöglicht das Automatisieren aller Phasen – Scannen, Bewerten, Installieren und Reporting – und stellt dem Administrator verschiedene Möglichkeiten zur Verfügung. Die erste und unzuverlässigste, aber auch direkteste Möglichkeit ist die manuelle Genehmigung, indem der Administrator die Freigabe per Mausklick erteilt.
Will ein Unternehmen in erster Linie schnell patchen, gibt es die Möglichkeit zur automatischen Genehmigung nach Veröffentlichung ohne vorherige Tests. Diese birgt aber die Gefahr, dass Inkompatibilitäten oder Fehler in Patches zu Problemen führen und die IT eines Unternehmens so womöglich lahmlegen.
Die beste und weit verbreitete Praxis ist aus diesem Grund das Testen mit anschließender Genehmigung. Für dieses Verfahren definiert der Administrator eine repräsentative Testgruppe, an die neue Patches verteilt werden. Sollte hier ein Fehler auftreten, sollte das den Betrieb des Unternehmens nicht gravierend beeinträchtigen. Gibt es mit den Patches in der Testgruppe keine Probleme, erfolgt nach einer festlegbaren Zeit die Verteilung an die übrigen Systeme.
Zu beachten ist, dass es für die unterschiedlichen Betriebssysteme jeweils eigener Testgruppen bedarf. Weiterhin ist dieses automatisierte Verfahren mit den Testgruppen nur Bestandteil der Enterprise Edition. Bei der Professional Edition muss der Admin neue Patches manuell auf einige Systeme verteilen und dort testen, bevor er diese im ganzen Netzwerk freigibt.
Flexible Patchsteuerung
Im Test haben wir uns die Automatisierung der Patchverteilung (APD – Automate Patch Deployment) genauer angesehen. Die Einrichtung erfolgt in der Webkonsole über den Punkt "Bereitstellung". Hier kann der Admin über einen Assistenten eine oder mehrere Aufgaben anlegen. Das Anlegen einer solchen ist in vier Schritte unterteilt. Im ersten wählt er die zu patchenden Applikationen, wobei zwischen Microsoft-Updates und Drittanbieter-Aktualisierungen unterschieden wird. Wahlweise kann er alles patchen lassen, das Patchen auf bestimmte Applikationen beschränken oder dieses explizit für einzelne Programme ausschließen. Daneben lassen sich in der Enterprise Edition auch der Virenschutz mittels Produkten von Microsoft und McAfee sowie Treiber aktualisieren. Zuletzt lässt sich die Verteilung um eine wählbare Anzahl an Tagen verzögern, wahlweise ab Veröffentlichung oder Genehmigung.
Im zweiten Schritt geht es um das Verteilverfahren, also ob die Patches sofort oder innerhalb beziehungsweise außerhalb der Arbeitszeiten oder bei Systemstart ausgerollt werden sollen. Weiterhin kann der Administrator eine bevorzugte Bereitstellungswoche und bestimmte Verteilungstage wählen und schließlich vorgeben, nach wie vielen Tagen die Verteilung erfolgen soll, wenn die vorherigen Regeln eine Verteilung verhindert haben, beispielsweise, weil ein Arbeitsplatz eine längere Zeit lang nicht online war. Mit den Möglichkeiten sollte sich ein Administrator im Vorfeld gut beschäftigen, um das jeweilige Optimum hinsichtlich Unternehmensvorgaben und Vermeidung von Störungen der Mitarbeiter durch die Aktivitäten zu erreichen.
Zu erwähnen ist hier auch, dass Patch Manager Plus zusätzlich ein Selbstbedienungsportal besitzt, über das sich Patches an die Anwender zur eigenen Installation bereitstellen lassen. Das Portal lässt sich optional mit einer festen Verteilregel kombinieren. Indem es Anwender nutzen und in Leerlaufzeiten wie beispielsweise der Mittagspause eine anstehende Patchinstallation selbst anstoßen, können sie vermeiden, dass sie später durch eine erzwungene Verteilung in der Arbeit gestört werden.
Im dritten Schritt ist das Ziel vorzugeben, wie beispielsweise die Domäne, im letzten lässt sich die Benachrichtigung konfigurieren mit einem regelmäßigen Verteilungsbericht oder einer Information bei fehlgeschlagenen Verteilungen.
Bild 3: Die Geräteverwaltung liefert umfassende Informationen zum Patchstand der betreuten Endpunkte – mit dem Fokus auf solche, bei denen dieser unvollständig ist.
Aktualisiert 850 Drittanbieteranwendungen
Wie eingangs erwähnt unterstützt Patch Manager Plus nicht nur das Patchen im Microsoft-Umfeld, sondern auch macOS-Systeme und diverse Linux-Distributionen. Außerdem überwacht es den Aktualisierungsstand von rund 850 Drittanbieteranwendungen. Insgesamt lag die Anzahl der unterstützten Patches zum Testzeitpunkt bei knapp 65.000. Es ergibt wenig Sinn, die Drittanbieteranwendungen hier aufzuzählen, aber es geht im Wesentlichen um die Anbieter von Businesssoftware, die üblicherweise in Unternehmen zum Einsatz kommt, nicht nur hierzulande, sondern weltweit.
Um sich in dieser Anzahl zurechtzufinden, kann der Administrator eigene Filter erstellen, um so besser auf einzelne Aspekte oder Kriterien zu fokussieren. Auch bei den anwendbaren, fehlenden oder installierten Patches kann er die erstellten Filter für eine Eingrenzung anwenden. Bei der Systemanalyse unterscheidet Patch Manager nicht, ob es sich um einen fehlenden Microsoft-Patch handelt oder den Patch eines Drittanbieters, sondern er zeigt alles an, was fehlt. Der Administrator entscheidet dann, wie vorzugehen ist, und richtet je nach Bedarf eine entsprechende Automatisierung ein.
Bild 4: Zu jedem Patch liefert die Software geeignete Links zu den relevanten Informationsseiten der Hersteller.
Vorbildliche Dokumentation
In der Rubrik "Berichte" der Webkonsole findet der Administrator bereits eine Vielzahl an vorbereiteten Auswertungen. Diese umfassen einen Kurzbericht, der nur die wesentlichen Kennzahlen enthält, und dann Berichte zum Patchen, zur Konfiguration, zu Geräten, zum Selbstbedienungsportal und zur automatischen Patch-Verteilung. Ebenso lassen sich eigene Reports definieren und deren regelmäßige Erstellung planen. Insgesamt sind die Möglichkeiten erfreulich umfassend.
Sehr gut gefallen hat uns weiterhin die Dokumentation. Sie ist zwar nur in Englisch und nicht kontextsensitiv, aber sehr übersichtlich aufgebaut und zudem mit diversen Zusatzinformationen versehen, um einen Einblick in die Arbeitsweise zu bekommen. So gibt es zwei Abschnitte, in denen die Architektur sowie der Arbeitsablauf (Patch Management Workflow) genau beschrieben sind. Eingefügte Grafiken verdeutlichen die Zusammenhänge und Abläufe. Ein mit "Getting Started" versehenes Kapitel erleichtert den Einstieg und die Inbetriebnahme. Ein großes How-to-Kapitel beantwortet häufige Fragen und eine Knowledge Base enthält viele Hinweise zu eventuell auftretenden Fehlern. Darüber hinaus gibt es noch einen FAQ-Bereich, gefüllt mit Fragen und Antworten, die vor allem am Anfang mit der Software auftreten. Die Dokumentation existiert in zwei Varianten für die On-Premises- und Cloudversion, verständlicherweise mit vielfach ähnlichen Inhalten.
Zu jedem "Patch Tuesday", dem zweiten Dienstag in jedem Monat, an dem Microsoft seine Patches veröffentlicht, lädt ManageEngine am darauffolgenden Donnerstag zu einem Webinar mit je einem Termin am Vor- und Nachmittag ein, in dem die aktuellen Patches zur Sprache kommen. Hier findet der Administrator zudem eine Übersicht der CVEs (Sicherheitsanfälligkeiten von Microsoft) für den aktuellen und die drei vorherigen Monate mit Links zu entsprechenden Seiten bei Microsoft.
Zwei E-Books enthalten empfohlene Vorgehensweisen (Best Practices) für das Patchmanagement sowie behandeln das Thema, warum selbst in den Top-Konzernen Sicherheitslücken oftmals unnötig lange offenbleiben und welche Strategie hier helfen kann. Nur selten fanden wir bei getesteten Produkten eine derart übersichtliche, informative und vollständige Dokumentation vor – bei Patch Manager Plus ist sie geradezu beispielhaft.
Für Hybrid Work optimiert
Angesichts der Corona-Pandemie hat ManageEngine seinen Patch Manager auf die in vielen Unternehmen veränderte Arbeitsweise mit deutlich höherem Home-Office-Anteil angepasst. Ziel ist es, die Sicherheitsanforderungen aus Unternehmenssicht hochzuhalten und zugleich die Flexibilität zu erhöhen sowie Engpässe zu vermeiden. Um beispielsweise die VPN-Verbindung zwischen Heimarbeiter und Unternehmen nicht unnötig zu belasten, ist es möglich, dass die Remote-Arbeitsplätze zwar nach wie vor über Patch Manager verwaltet werden, sie aber die notwendigen Aktualisierungen direkt beim Hersteller beziehen.
Weiterhin kann der Administrator den Patchstand beispielsweise nach wichtigen Patches und betroffenen Heimarbeitsplätzen filtern und diese mit Priorität installieren lassen. Auch kann er Feature-Pack-Aktualisierungen, die die Sicherheit nicht verbessern, sondern nur Bandbreite kosten, deaktivieren oder zeitlich verzögern. Ein zeitlich ausgedehntes Verteilfenster und das Selbstbedienungsportal sorgen für eine gleichmäßigere Verteilung der Last. Damit stehen dem Administrator verschiedene Möglichkeiten zur Optimierung der Betreuung der Home-Office-Systeme zur Verfügung.
Patch Manager Plus ermöglicht weiterhin die Integration mit anderen Applikationen wie beispielsweise dem Ticketsystem ServiceDesk Plus. Zudem gibt es eine API-Schnittstelle für die Kommunikation mit anderen Werkzeugen. Für eine genauere Analyse der Systeme steht das optionale Tool Analytics Plus zur Verfügung. Als Bedrohungsscanner lassen sich Tenable.io und Tenable.sc integrieren.
Damit ein Administrator von unterwegs aus den Patch Manager bedienen kann, gibt es eine Mobile App für Android und iOS. Die App bietet nicht nur eine Sicht auf den Status, sondern ermöglicht auch eine Steuerung wie das Installieren und Entfernen von Agenten, das Scannen von Endpunkten sowie die ganze Patchsteuerung (Herunterladen, Freigeben und Ablehnen). Unter iOS kann der Administrator sogar neue Konfigurationen erstellen und an Endpunkte zuweisen.
Bild 5: Verteilung: Über einen Assistenten mit vielen Optionen lässt sich die Patch-Verteilung individuell anpassen.
Fazit
ManageEngine Patch Manager Plus ist eine umfassende Patchsoftware für Windows-, Mac- und Linux-Systeme sowie die Pflege von rund 850 Applikationen. Für kleinere KMUs interessant ist die Möglichkeit, die Software als Free Edition für bis zu 20 Computer und fünf Server kostenlos einzusetzen. Bei der von uns getesteten On-Premises-Version waren die erforderlichen Hardwareressourcen erfreulich gering, ebenso der Einrichtungsaufwand.
Die Webkonsole hat uns aufgrund der übersichtlichen Darstellung und intuitiven Bedienbarkeit überaus gut gefallen und es ist möglich, bereits nach kurzer Einarbeitungszeit die ersten Systeme einzurichten, Auswertungen zu bekommen und Aktualisierungen durchzuführen. Nicht ganz konsequent umgesetzt ist die Anpassung an unterschiedliche Sprachen. Auf manchen Seiten sind deutsche und englische Texte gemischt zu finden, ebenso sind manche Pulldown-Menüs nicht übersetzt.
Lobenswert ist die überaus umfangreiche und übersichtliche Dokumentation. Durch die Unterstützung von macOS sowie einigen verbreiteten Linux-Distributionen ist das Werkzeug für heterogene Umgebungen gut geeignet, die Unterstützung der vielen Drittanbieterapplikationen hilft bei einem zentralen Patchmanagement, die Anzahl der notwendigen Werkzeuge zu reduzieren.
(ln)
So urteilt IT-Administrator
Bewertung
Verwaltung der Geräte7
Automatische Verteilung8
OS-Unterstützung7
Drittanbieter-Support8
Dokumentation9
Dieses Produkt eignet sich
optimal
für heterogene Active-Directory-Infrastrukturen mit Windows-, Linux- und macOS-Clients.
bedingt
für Umgebungen ohne ein Active Directory, da ein solches die zentrale Verwaltung sehr erleichtert.
nicht
für reine Linux- und macOS-Umgebungen, da ein Windows-Server als Basis erforderlich ist.