ADMIN

2024

02

2024-01-30T12:00:00

Softwareverteilung und Patchmanagement

TESTS

028

Patchmanagement

Softwareverteilung

Windows

BatchPatch

Flexibel Pflastern

von Thomas Bär

Veröffentlicht in Ausgabe 02/2024 - TESTS

Microsoft hat das Thema Patches, Updates und Fixes über die Jahre optimiert und erledigt diese Aufgabe auch recht zuverlässig, von einigen Stolperern einmal abgesehen. Was jedoch seit jeher fehlt ist die Möglichkeit, Updates auf ausgewählte Computer mit sofortiger Wirkung zur Installation zu bringen. Das beherrscht BatchPatch – und bringt darüber hinaus noch weitere schlaue Patchfunktionen mit.

BatchPatch ist ein kleines, aber überaus leistungsfähiges Werkzeug, um dem IT-Administrator das Leben im Zusammenspiel mit Windows-Computern, insbesondere für den Umgang mit Patches, zu erleichtern. Es hebt sich aus der Masse an modernen Gimmicks deutlich ab, denn es hat sich den Charme der frühen 2000er-Jahre irgendwie erhalten. Wer schon mehr als zwei Dekaden als Administrator auf dem sprichwörtlichen Buckel hat, wird sehr schnell verstehen, was wir damit meinen.
Um es gleich vorwegzuschicken: Mit BatchPatch vom Anbieter Cocobolo Software lassen sich sehr viele administrative Aufgabenstellungen erledigen, für die es auch andere Werkzeuge gibt. Insbesondere die PowerShell dürfte die meisten Funktionalitäten ebenfalls abdecken. Dennoch ergibt es Sinn, diese Features unter einer Haube zu vereinen – wie unser Test zeigt und auch der Hersteller betont, wenn er BatchPatch wie folgt zusammenfasst: "Jetzt können Sie sich zurücklehnen, entspannen und zusehen, wie sich Ihre Computer selbst aktualisieren."
BatchPatch
Produkt
Software für das Patchmanagement in Windows-Umgebungen.
Hersteller
Cocobolo Software
Preis
Die Lizenzierung der Software geschieht auf Admin-Benutzer-Basis, die Anzahl Computerbenutzer, PCs und Server spielt keine Rolle. Eine Benutzerlizenz mit einem Jahr Support und Update-Schutz kostet 399 US-Dollar. Über Staffelpreise sinkt der Einzelpreis bei einer höheren Benutzeranzahl.
Systemanforderungen
Die BatchPatch-Konsole läuft auf jedem aktuellen Windows-System mit mindestens Windows 10 oder Server 2012. Grundlegende Voraussetzung ist das Vorhandensein von .NET 4.6.2. Auf dem Verwaltungscomputer muss das kostenfreie Microsofts Systinterals PsExec verfügbar sein. Die verwalteten Computer benötigen weder PsExec noch .NET 4.6.2.
Technische Daten
Im besonderen Maße gilt dies aus unserer Sicht, wenn WSUS (Windows Update Services) zum Einsatz kommen. Hier fehlt es in der Praxis oft an einer Übersicht, welche Server und Client-Computer welche Updates installiert haben oder nicht und bei welchen Maschinen ein noch ausstehender Neustart die Nutzung der Korrekturen oder die Installation weiterer Patches verhindert. Im Zusammenspiel von Gruppenrichtlinien und Skript-Jobs ist es mit den Bordmitteln von Microsoft sicherlich möglich, eine stabilere Verteilung und Installation zu realisieren. BatchPatch liefert eine gezieltere Steuerung von Patches in Microsoft-Umgebungen – und noch etwas mehr.
BatchPatch ist ein kleines, aber überaus leistungsfähiges Werkzeug, um dem IT-Administrator das Leben im Zusammenspiel mit Windows-Computern, insbesondere für den Umgang mit Patches, zu erleichtern. Es hebt sich aus der Masse an modernen Gimmicks deutlich ab, denn es hat sich den Charme der frühen 2000er-Jahre irgendwie erhalten. Wer schon mehr als zwei Dekaden als Administrator auf dem sprichwörtlichen Buckel hat, wird sehr schnell verstehen, was wir damit meinen.
Um es gleich vorwegzuschicken: Mit BatchPatch vom Anbieter Cocobolo Software lassen sich sehr viele administrative Aufgabenstellungen erledigen, für die es auch andere Werkzeuge gibt. Insbesondere die PowerShell dürfte die meisten Funktionalitäten ebenfalls abdecken. Dennoch ergibt es Sinn, diese Features unter einer Haube zu vereinen – wie unser Test zeigt und auch der Hersteller betont, wenn er BatchPatch wie folgt zusammenfasst: "Jetzt können Sie sich zurücklehnen, entspannen und zusehen, wie sich Ihre Computer selbst aktualisieren."
BatchPatch
Produkt
Software für das Patchmanagement in Windows-Umgebungen.
Hersteller
Cocobolo Software
Preis
Die Lizenzierung der Software geschieht auf Admin-Benutzer-Basis, die Anzahl Computerbenutzer, PCs und Server spielt keine Rolle. Eine Benutzerlizenz mit einem Jahr Support und Update-Schutz kostet 399 US-Dollar. Über Staffelpreise sinkt der Einzelpreis bei einer höheren Benutzeranzahl.
Systemanforderungen
Die BatchPatch-Konsole läuft auf jedem aktuellen Windows-System mit mindestens Windows 10 oder Server 2012. Grundlegende Voraussetzung ist das Vorhandensein von .NET 4.6.2. Auf dem Verwaltungscomputer muss das kostenfreie Microsofts Systinterals PsExec verfügbar sein. Die verwalteten Computer benötigen weder PsExec noch .NET 4.6.2.
Technische Daten
Im besonderen Maße gilt dies aus unserer Sicht, wenn WSUS (Windows Update Services) zum Einsatz kommen. Hier fehlt es in der Praxis oft an einer Übersicht, welche Server und Client-Computer welche Updates installiert haben oder nicht und bei welchen Maschinen ein noch ausstehender Neustart die Nutzung der Korrekturen oder die Installation weiterer Patches verhindert. Im Zusammenspiel von Gruppenrichtlinien und Skript-Jobs ist es mit den Bordmitteln von Microsoft sicherlich möglich, eine stabilere Verteilung und Installation zu realisieren. BatchPatch liefert eine gezieltere Steuerung von Patches in Microsoft-Umgebungen – und noch etwas mehr.
Besonders schlank, besonders einfach
BatchPatch ist so konzipiert, dass es einfach und intuitiv zu bedienen ist. Es gibt an sich gar keine richtige Installation und alles ist so schlank wie möglich gehalten. Das Programm besteht aus einer einzigen EXE-Datei und diese erwartet als Voraussetzungen lediglich das .NET-Framework 4.6.2. Zudem ist auf dem PC, der das Tool mit der Konsole startet, das kostenfreie Microsoft Sysinternals PsExec erforderlich.
Der Anwender beginnt mit dem Laden oder dem Eintragen einer Liste von Computernamen, IP- oder MAC-Adressen. Im nächsten Schritt gilt es, die gewünschten Host-Einträge zu markieren und über das Menü die gewünschten Befehle wie "Download und Install Updates" auszulösen. Mit den bekannten MAC-Adressen können Administratoren im Bedarfsfall die entsprechenden Computersysteme auch einschalten. Klingt alles sehr einfach und ist es auch.
Auch wenn Sie die Ergebnisse unserer Tests selber prüfen möchten, ist das sehr einfach. Das Kennenlernen des Programms beginnt mit dem Download der Demoversion von der Homepage des Herstellers. Das Herunterladen des knapp 2,5 MByte kleinen ZIP-Archivs ist schnell erledigt und in dem komprimierten Ordner befindet sich auch nur eine einzige EXE-Datei. Diese Fassung ist auf maximal vier Host-Computer limitiert und innerhalb einer Sitzung darf der Administrator auch keinen Namen aus der Liste herauslöschen. Die Vollversion unterscheidet sich von der Demoversion und muss mithilfe eines Freigabeschlüssels, passend zum Benutzer- und Firmennamen, freigeschaltet werden.
Eine Datenbank benötigt BatchPatch nicht, alle Daten zum Updatestatus fragt die Software stets direkt ab und die Konfigurationsmerkmale speichert sie als Datei. Komplexe Unterstützungsfunktionen, wie beispielsweise ein "Wizard", der dem Administrator den Einstieg in die Software vereinfacht, fanden wir in BatchPatch nicht. Lediglich ein Notepad-ähnliches Fenster mit dem Hinweis "Quick Start" und dem Verweis auf einige Webseiten begrüßte uns.
Der Quick Start beschreibt in reiner Textform, wie wir neue Hostnamen importieren oder eintragen mussten und wie anschließend Befehle auf markierte Computer zur Anwendung kommen. Einige Sätze rund um den Import von MAC-basierten Dateisätzen beschreiben die Positionierung von Informationen und die Trennzeichen. Benutzernamen, Passwörter, Domänenbezeichnungen, Beschreibungen und Hinweistexte stehen zur Verfügung – äußert praktisch, wenn Administratoren eine nicht als Domäne organisierte größere Anzahl von Win-dows-Computern mit einer Update-Steuerung versehen möchten.
Keine Installation, doch PsExec ist ein Muss
Als wir BatchPatch erstmalig starteten, fragte das Programm nach PsExec, das nicht auf dem PC gefunden wurde. PsExec bringt Netzwerk-Kommandozeilenbefehle auf entfernten Windows-Computern zur Ausführung und ist quasi ein Ersatz für Telnet und auch ein Vorläufer von Remote-Befehlen über die PowerShell.
In unserer Teststellung legten wir die PsTools, die PSEcex mitbringen, in der Version 2.43 vom April 2023 unter Windows Server 2019 ab und ergänzten, gemäß der Anleitung die PATH-Angaben, sodass sich PsExec aus dem Konsolenfenster ohne zusätzliche Pfadangaben starten ließ. Es folgte der Download von BatchPatch – wir legten die EXE-Datei auf den Desktop und starteten das Programm mit Administratorrechten. Nach der Pfadangabe für die PsTools ordneten wir drei Clientcomputer, zwei Windows-10-Systeme und einen älteren Windows-7-Computer als Hostname hinzu. Als Testserver nutzten wir den erwähnten Server 2019.
Befehlsbäume epischen Ausmaßes
Die Eingaben der Hostnamen geschieht über ein Endlosfenster, in dem jede Zeile einen neuen Eintrag darstellt. Durch einen Mausklick auf "File" gefolgt von "Save" hatten wir die Möglichkeit, die Zusammenstellung der Computer als Datei abzuspeichern und auf dieser Liste aufbauend zu verschiedenen Zeitpunkten zu arbeiten.
Markiert der Benutzer eine oder mehrere Zeilen mit den Hostnamen, ist über das Kontextmenü oder über die Menüzeile ein Zugriff auf die Befehle möglich. Und diese Menüstruktur ist beeindruckend: Sie liefert 27 Einträge, die mehrheitlich zu einem mehr oder weniger aufwendig verschachteltem Untermenü führen. Bei den Befehlen handelt es sich um Hilfskommandos wie Ping, Wake On LAN (WOL), Neustart, Datei- und Ordnerkopieraktionen, Zugriff über das Remote-Desktop-Protokoll, Systemkonfigurationsabfragen oder das Sichten und Bearbeiten von Diensteinstellungen auf dem Server beziehungsweise Client. Befehle wie "Deploy Software/Patch/Regkey etc.", "Execute Remote Process/Command" und "Task Scheduler" lassen bereits erahnen, dass mit BatchPatch mehr zu erledigen ist als nur eine alternative Ansteuerung von Microsoft Updates.
Bild 1: BatchPatch bietet die Integration ins Active Directory, um einzelne Computer oder ganze OUs zur Bearbeitung von Updates in das Programm einzuführen.
Cleveres Prüfen und Installieren von Updates
Die umfangreichste Auflistung an Unterbefehlen findet sich erwartungsgemäß unter "Windows Updates", der Kernfunktionalität der Software. Hier ist das Untermenü noch länger als das schon beeindruckende Hauptmenü. Für die markierten Hosts kann der Administrator ein "Check for available updates" mit oder ohne zusätzliche Filtereinstellungen anstoßen. Dies entspricht der Funktion, die jeder Windows-Anwender aus dem lokalen "Windows Update"-Dialog kennt, wenn er auf "Nach Updates suchen" klickt.
Nun stellt sich die Frage, nach welchen Regularien der jeweilige Windows-Computer feststellt, ob alle für ihn vorgesehenen Updates auch installiert sind. Die Antwort ist einfach: Exakt die Einstellung, die auch bisher zur Anwendung kam. Wurden Festlegungen über einen lokalen WSUS getroffen, gelten diese, ansonsten die Einstellungen, die am Computer selbst zutreffen. Über eine Auswahlliste hat der Administrator die Möglichkeit einzelne Updates beim aktuellen Installationsvorgang auszuschließen. Es besteht sogar die Option, einzelne Updates benannt nach ihrer Knowledge-Base-ID aus der Distanz zu deinstallieren.
BatchPatch kann ebenfalls als ordnende Struktur fungieren und mithilfe einer Caching/Offline-Einstellung auch Windows-Computer mit Updates versorgen, die selbst die Microsoft-Update-Server im Internet nicht erreichen können. In der Onlinehilfe beschreibt der Hersteller fünf verschiedene Anwendungsfälle detailliert, bei denen BatchPatch als WSUS-Ersatz zum Einsatz kommt. Auch die Registry/Gruppenrichtlinieneinstellung, die zur Anwendung kommen muss, damit Windows-Computer nicht mehr bei den Microsoft-Servern ihre Updates beziehen, ist genannt. Letztendlich läuft es, wenn BatchPatch den WSUS mimt, auf eine Freigabe von Updates in dieser Software hinaus.
Im einfachsten Anwendungsfall liefern die Computer nach dem Klick auf den Button zur Suche von Updates eine mehr oder minder große Anzahl von noch ausstehenden Updates an. Die Ergebnisse visualisiert die Software in der Tabellenstruktur (dem "Grid"). Durch einen Doppelklick erhielten wir eine Textausgabe der Aktivitäten mit Zeitstempeln und den jeweiligen Ergebnissen. Deutschsprachige Benutzer dürfen sich, wieder einmal, über seltsam anmutende Ausgaben mit Zeichenfehlern bei den Umlauten freuen.
Nach der Feststellung, welche Updates fehlen, kann der Administrator den oder die Computer per Mausklick dazu bringen, die entsprechenden Aktualisierungen zu installieren. In der Tabellenansicht konnten wir den Vorgang grafisch als Verlaufsbalken verfolgen. Je nach gewähltem Kommando führen die Computer nach dem Update keinen Neustart, einen Neustart bei Bedarf oder einen garantierten Neustart durch. BatchPatch gibt dem Administrator eine sehr genaue Kontrolle darüber, welcher Arbeitsschritt nun auszuführen ist.
Beispielsweise konnten wir über einen Befehl dafür sorgen, dass zunächst einmal nur die erforderlichen Updates heruntergeladen wurden, sodass sie für einen späteren Updatevorgang schon einmal zur Verfügung standen.
Bild 2: Die detaillierte Ergebnisansicht ist nicht hübsch, aber informativ.
Flexible Planung von Updates
Mithilfe eines Schedulers waren wir imstande, BatchPatch zu einer automatisierten und regelmäßigen Bearbeitung zu verhelfen. Dahinter verbirgt sich eine konfigurierbare Auftragswarteschlange, die wir aus den bereits bekannten Aktionen zusammenklickten. Dazu passend gibt es im Abschnitt "Special" zusätzliche Kommandos, die eine Steuerung ermöglichen. Beispielsweise "Wait X minute(s)" oder "Wait for host to have zero logged-on-users".
Damit erstellten wir beispielhaft eine logische Abfolge:
1. Warten, bis der Host keine angemeldeten Benutzer mehr hat.
2. Herunterladen sowie Installieren von Updates und immer neu starten.
3. Warten, bis der Host offline geht und wieder online kommt.
4. Pausiere drei Minuten.
5. Updates herunterladen und installieren, immer neu starten.
6. Warten, bis der Host offline geht und wieder online kommt.
7. Warte drei Minuten.
8. Gestoppte automatische Dienste starten.
Das wiederholende Installieren von Updates stellt sicher, dass abhängige Aktualisierungen ebenfalls zur Ausführung kommen. Erstellte Warteschlangen kann der Administrator direkt ausführen oder zur späteren Verwendung speichern.
Darstellungsfehler als kleines Manko
Was manchmal nicht recht stimmen wollte, war die Ansicht über den so genannten "Progress Bar", also die grafische Darstellung des Verlaufsbalkens, der von links nach rechts laufend anzeigt, ob ein Vorgang bereits beendet ist oder nicht. Typischerweise wechselt dieser Balken, sobald er die 100-Prozent-Marke erreicht hat, die Farbe und zeigt sich füllend in der Tabellenzeile der Software. Entsprechend wird auch der Text sinngemäß mit "Download 100% (2/2)" ausgegeben.
Eine Anzeige von "12% - Downloading (2/2)" unter "Progress" vermittelte uns den Eindruck, das Herunterladen eines zweiten Abschnitts wäre noch im Gang und es stünden noch 88 Prozent aus, ehe der Arbeitsschritt erledigt sei. Die Meldung in der Spalte "Windows Updates Messages" mit dem Eintrag "Download Operation completed" indes bestätigte, dass der Vorgang bereits abgeschlossen war. Von diesem kleinen Fauxpas einmal abgesehen zeigte sich die Informationsdarstellung von BatchPatch stets zügig und stimmig.
Denkt wie ein Admin
Insgesamt haben die Entwickler die Denkweise von Administratoren ziemlich genau durchschaut. Im Menü "Actions" befindet sich beispielsweise das Kommando "Ping", um einzelne oder per Multiselect ausgewählte Host-Einträge per Echo-Request auf ihre Erreichbarkeit hin zu prüfen. Die Kommandos in diesem Abschnitt heißen "Start pinging" und "Stop pinging" – die Software wiederholt den Vorgang laufend und zeigt in der Spalte "Ping reply" die Laufzeit in Millisekunden und die Reply-Adresse an.
Sollte der Administrator auf einzelne Computer warten, muss er nicht immer wieder ein Ping auf die Reise schicken, sondern hat quasi ein Multi-Ping zur Hand, um sich einen Überblick zu verschaffen. Damit aber noch nicht genug: Ein drittes Kommando "Ping Status Alerts" bietet verschiedene "Alert Triggers" an, bei denen die Software einen Alarmton von sich gibt, wenn Hosts den Status von online zu offline oder umgekehrt ändern. Erwartungsgemäß können Administratoren die Töne für online und offline über die Wahl einer WAV-Datei nach eigenen Vorstellungen anpassen. Alternativ verschickt BatchPatch zusätzlich oder auch ausschließlich eine E-Mail an eine hinterlegte Adresse.
Bild 3: Auch Drittanbietersoftware wie PDF-Reader rollt BatchPatch komfortabel aus.
Auch Softwareverteilungmit an Bord
Da sich die IT-Welt nicht ausschließlich um Redmond dreht, sind Updates für Windows und Microsoft-Produkte nur ein Teil der erforderlichen Aktualisierungsaufträge, mit denen sich Administratoren beschäftigen. Praktischerweise bietet sich BatchPatch auch zur Verteilung von Registry-Einstellungen, Skript-Jobs oder auch Softwarepaketen an. MSI-Pakete oder Installer aus einer EXE-Datei, die sich über Schalter wie "/silent" so steuern lassen, dass sie beim Anwender keine Ausgabe zur Installation erzeugen, sind mit dem Programm ebenfalls verteilbar.
Hierzu gilt es lediglich, die Programmpakete auf dem Computer mit der BatchPatch-Konsole abzulegen und in einem nahezu selbsterklärenden Dialog das Paket namentlich bekanntzumachen und die Quelldatei und die Schalterkonfiguration zu benennen. Wie bei den Updates auch gilt der Befehl zur Installation eines Programms für die gewählten Hostnamen. Greenshot und den Foxit PDF-Reader konnten wir im Test problemlos verteilen.
Fazit
BatchPatch hält, was es verspricht – Punkt. Was die Entwickler mit dem nicht einmal 5 MByte kleinen Programm, das in einem einzigen Executable im Zusammenspiel mit PsExec daherkommt, auf die Beine gestellt haben, ist schlichtweg beeindruckend. Egal, ob gezielt Updates anstoßen, Downloads vorbereiten und die Installation erzwingen, all das geht mit dem durchdachten Programm leicht von der Hand.
Eine Änderung der Konfiguration, sofern WSUS vor Ort im Einsatz ist, ist nicht erforderlich. Das Programm ist schlicht eine sinnvolle Ergänzung für den Update-Service von Microsoft, dem bekanntlich das Remote-Kommando für die sofortige Ausführung einer Installation fehlt. Aber auch für Szenarien, bei denen einzelne Server auf anderen Wegen mit Updates zu versorgen sind, ist BatchPatch eine wertvolle Hilfe.
(jp)
So urteilt IT-Administrator
Integration in Windows-Umgebung
8
Update-Steuerung
7
Update-Installation
8
Update-Übersicht
6
Softwareverteilung
7
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/