Patchmanagement sowie schnelle Identifikation von und Reaktion auf Schwachstellen sind längst nicht mehr bloße Hygieneaufgaben, sondern elementare Bausteine der Informationssicherheit. Und die Relevanz hat durch die Dezentralisierung der Arbeitsplätze massiv zugenommen. Während früher das interne Netz hinter einer Perimeter-Firewall den Großteil der Clients schützte, befinden sich Endpunkte heute verteilt im Homeoffice oder an öffentlichen Plätzen. Doch kritische Sicherheitslücken in Applikationen warten nicht darauf, dass ein Mitarbeiter sich wieder ins Firmennetz einwählt.

Die Lücke zwischen der Veröffentlichung einer Schwachstelle im System der Common Vulnerabilities and Exposures (CVE) und dem flächendeckenden Rollout eines Patches an alle Clients ist der gefährlichste Zeitraum für jede Organisation. Und diese Bedrohung wächst rasant. Neben den Betriebssystemen stellt in der Praxis insbesondere das Patchmanagement für Software von Drittanbietern die Administratoren vor Herausforderungen. Browser, PDF-Werkzeuge, Produktivitätstools oder auch Media-Player entwickeln sich dynamisch und bleiben ohne eine Automatisierung schnell hinter dem gewünschten Sicherheitsniveau zurück.

Effektives Schwachstellenmanagement setzt hier an, indem es Transparenz über Sicherheitslücken im Softwarebestand schafft, diese priorisiert und im besten Fall auch gleich automatisiert schließt. Ein cloudnativer, agentenbasierter Ansatz reduziert dabei Abhängigkeiten von On-Premises-Netzwerken, orchestriert Updates unabhängig vom Onlinestatus der Clients und schafft eine einheitliche Sicht auf Inventar, Softwarestände, Risiken und Aktionen. Mit PDQ Connect positioniert sich der Hersteller PDQ.com in genau diesem Segment und adressiert die alltäglichen Herausforderungen von Admins, die Geräte überall verwalten müssen.

Die PDQ.com Corporation aus Salt Lake City wurde schon vor über 20 Jahren von zwei langjährigen Systemadministratoren gegründet, damals noch unter dem Namen "Admin Arsenal". Die Gründer verfolgten das erklärte Ziel, die Arbeit von Admins pragmatisch zu vereinfachen. PDQ legte den Fokus traditionell auf kleine bis mittelständische Unternehmen, skaliert jedoch mittlerweile auch in Enterprise-Umgebungen. Das Unternehmen hat sein Produktportfolio in den vergangenen Jahren ausgebaut und bietet heute neben klassisch on-premises nutzbaren Managementwerkzeugen auch cloudbasierte Dienste.

Neben "Deploy & Inventory" für die Verwaltung bestehender Windows-Endpunkte hat PDQ noch die Werkzeuge "SmartDeploy" für eine Image-basierte Installation von Windows, "SimpleMDM" für die Verwaltung von Apple-Geräten sowie "Detect" als eigenständige Lösung für das Schwachstellenmanagement im Angebot. Deploy & Inventory richtet sich als reine On-Premises-Software an Administratoren, die Windows-Endpunkte in einer herkömmlichen Infrastruktur innerhalb eines LANs oder per VPN angebunden verwalten wollen. Das funktioniert auf Wunsch auch komplett "air-gapped", also in vom Internet isolierten Umgebungen.

Deploy & Inventory verteilt Softwarepakete und liefert detaillierte Inventardaten zu Hardware und Software mit dynamischen Sammlungen und enger Verzahnung für zielgenaue, regelbasierte Installationen. Das Werkzeug stützt sich auf SMB, RPC/WMI sowie administrative Freigaben und kommt somit ohne Agenten auf den Endpunkten aus. In einem cloudorientierten Szenario mit vielen Endpunkten außerhalb des LANs liegt der Nachteil auf der Hand. Ohne dauerhafte VPN-Verbindung, bei restriktiven Firewalls oder Zero-Trust-Designs, in denen sich SMB und RPC als nicht praktikabel erweisen, erreichen Admins die Endpunkte nicht zuverlässig und kritische Schwachstellen bleiben offen.

Demgegenüber positioniert sich "PDQ Connect" als cloudnativer, agentenbasierter Dienst für Windows und – im Early-Access-Status – auch macOS. Der Agent kommuniziert per HTTPS über den TCP-Port 443 und eine sichere WebSocket-Verbindung mit PDQ Connect in der Cloud und benötigt dazu auf der Seite des Clients eingehend keine offenen Ports. Connect erreicht somit mobile Devices an wechselnden Standorten ebenso zuverlässig wie klassische Desktoprechner im Büro. In Proxy-Umgebungen nutzt der Agent die systemweiten Einstellungen des Rechners, sofern konfiguriert.

Connect verteilt Anwendungen, Updates und Patches, sammelt Inventardaten und bietet einen Remotedesktop-Zugriff für Fernwartung sowie Support. Dazu pflegt PDQ eine kuratierte Paketbibliothek für verbreitete Software von Drittanbietern. Zusätzlich können Admins selbst Pakete mit MSI-, EXE- und benutzerdefinierten Skript-Schritten erstellen. Als Alleinstellungsmerkmal gegenüber der On-Premises-Variante bringt Connect das integrierte Schwachstellenmanagement mit. Das erkennt und priorisiert gefundene Schwachstellen nach dem etablierten Common Vulnerability Scoring System (CVSS) und unterstützt Admins dabei, die Schwachstellen auch gleich automatisiert zu schließen.

PDQ lizenziert die On-Premises-Version auf Basis einer jährlichen Miete pro Administrator nach dem Concurrent-User-Prinzip und unabhängig von der Anzahl der zu verwaltenden Endpunkte. Den SaaS-Dienst Connect lizenziert der Hersteller in drei Editionen mit aufsteigendem Funktionsumfang jeweils pro Agenten und ebenfalls basierend auf einer jährlichen Miete.

Der Basic-Plan bildet das Fundament. Er bringt für Windows und macOS das grundlegende Geräteinventar mit sowie den Zugriff auf die Paketdatenbank von PDQ, eine Bibliothek mit über 100 vorgefertigten Paketen zur Verteilung verbreiteter Applikationen, die der Hersteller kontinuierlich aktuell hält. Admins können zudem eigene Pakete erstellen, Geräte in statischen oder dynamischen Gruppen zusammenfassen sowie benutzerdefinierte Berichte generieren. Bereits im Basic-Plan integriert Connect mit Entra ID.

Der Plus-Plan erweitert den Funktionsumfang um die Automatisierung. Hiermit können Admins etwa sicherstellen, dass eine Gruppe von Clients automatisch Updates für bestimmte Applikationen erhält, sobald neue Versionen in der Paketbibliothek erscheinen. Weiterhin ergänzt diese Edition die Remotedesktop-Funktionen sowie rollenbasierte Zugriffskontrollen (Role-based Access Control, RBAC).

Der Premium-Plan, der im Fokus unseres Interesses stand, baut Connect zu einer vollwertigen Suite für das Vulnerability-Management aus. Das Alleinstellungsmerkmal dieser Edition ist der integrierte Schwachstellenscanner. Anstatt nur zu prüfen, ob eine bestimmte Software aktuell ist oder nicht, korreliert Connect die auf den Endpunkten installierten Versionen mit dem etablierten CVSS. Admins sehen so nicht nur eine veraltete Version, sondern den konkreten Risikowert und die damit verbundenen IDs laut Common Vulnerabilities and Exposures (CVE).

Ein typischer Anwendungsfall, den Connect Premium bedient, ist die Priorisierung von Schwachstellen. So können Admins etwa filtern, welche Geräte Lücken mit einem CVSS-Score von über 9.0 aufweisen und für diese spezifische Gruppe eine sofortige "Ein-Klick-Lösung", also eine besonders einfache Verteilung der passenden Updates anstoßen. Zudem bietet Premium Zugriff per REST-API, was für die Integration in Ticketsysteme oder SIEM-Werkzeuge essenziell ist, und einen priorisierten Zugang zum Support des Herstellers.

Im Hinblick auf die Integration von macOS sei erwähnt, dass sich diese noch in Entwicklung befindet und im Vergleich zur Windows-Welt noch nicht denselben Funktionsumfang erreicht hat. Der Hersteller bietet daher die Integration von Macs noch bis Anfang August dieses Jahres ohne weitere Kosten an. Danach möchte PDQ Endpunkte unter macOS zum gleichen Preis wie unter Windows berechnen.

In dieser Vorschauphase konnten wir über den Agenten für Macs bereits Inventardaten in Echtzeit beziehen, benutzerdefinierte Pakete bereitstellen, Bash-/ Zsh-Befehle und Skripte ausführen sowie remote zugreifen, weiterhin Automatisierungen und Berichte nutzen. Bis zum Redaktionsschluss fanden sich aber in der Paketbibliothek noch keine vorgefertigten Pakete für macOS und auch das Schwachstellenmanagement stand noch nicht zur Verfügung. Diese Funktionen möchte PDQ im Laufe dieses Jahres ergänzen.

Die Voraussetzungen für PDQ Connect sind überschaubar – ein PDQ-Konto, der Zugriff auf das Webportal unter "app.pdq.com" mit einem aktuellen Browser, ausgehender HTTPS-Verkehr auf dem TCP-Port 443 für die Endpunkte und, falls genutzt, eine Proxy-Konfiguration, die den Agenten erlaubt, die Server von PDQ in der Cloud zu erreichen. Für unseren Test hatten wir uns entsprechend auf der Webseite des Herstellers für eine 14-tägige Testphase registriert, woraufhin wir uns auch schon am Webportal anmelden konnten. Hier sei erwähnt, dass PDQ grundsätzlich eine passwortlose Authentifizierung vorsieht und diese auch obligatorisch per Multifaktor-Authentifizierung (MFA) absichert.

So schickte PDQ bei jeder Anmeldung einen vierstelligen, alphanumerischen Code an unsere E-Mail-Adresse und erzwang auch ab der zweiten Anmeldung die Konfiguration von MFA. Hier unterstützt der Anbieter SMS, Passkeys und Time-based One-Time-Passwords (TOTP) über eine beliebige Authenticator App. Alternativ dazu ist die Verwendung eines bestehenden Google- oder Microsoft-Kontos möglich. Und zu guter Letzt fanden wir in den Einstellungen unseres PDQ-Profils noch die Option, einen eigenen Identity-Provider per OpenID Connect (OIDC) einzubinden.

Bei der ersten Anmeldung bot uns das Portal an, Gerätegruppen und Automatisierungen für verbreitete Software, wie etwa 7-Zip, Adobe Reader, diverse Browser und Meeting-Tools vorzubereiten, oder aber mit einer benutzerdefinierten Auswahl an Software zu starten. Wir entschieden uns für Ersteres. Danach begrüßte uns bereits die wohl strukturierte Weboberfläche mit einer vertikalen Menüleiste am linken Bildrand, deren Bedienung sich uns intuitiv erschloss.

Im Bereich "Inventory / Devices" fanden wir die vorbereiteten Gerätegruppen mit einer vorgefertigten Ordnerstruktur. So hatte PDQ für diverse Applikationen von 7-Zip bis Zoom Ordner vorbereitet mit jeweils drei dynamischen Gruppen darin, einer für Geräte mit der neuesten Version dieser Software, eine weitere für veraltete Versionen und eine dritte für Geräte, auf denen die jeweilige App nicht installiert ist. Weiterhin fanden wir hier Ordner für Clients mit Windows 10 oder 11 sowie Windows-Servern mit Unterordnern für die verschiedenen nachgeordneten Versionen dieser Betriebssysteme. Zudem hatte PDQ dynamische Gruppen angelegt für Endpunkte, die gerade auf einen Neustart warten oder über weniger als zehn Prozent freien Massenspeicher verfügen. In all diesen Gruppen herrschte anfangs noch Leere, doch das wollten wir ändern und Agenten auf unsere Endpunkte verteilen. Hierzu bot uns das Webportal prominent im Hauptbereich der Seite die Installationspakete für Windows und macOS zum Download an.

Für Windows benennt PDQ klare Mindestanforderungen – die 64-Bit-Variante von Windows 10 oder höher für Clients, Windows Server 2016 oder höher für Server. Der Agent verträgt sich ausdrücklich nicht mit 32-Bit-Systemen, funktionierte in unserem Test aber auch mit der ARM-Variante von Windows 11, obwohl der Hersteller hierfür offiziell keinen Support zusichert. Für die manuelle Installation bot uns das Webportal ein MSI-Paket zum Download an, das den für unsere Umgebung spezifischen Enrollment-Token bereits enthielt.

Neben der händischen Installation unterstützt PDQ eine unbeaufsichtigte Installation per Kommandozeile, die Verteilung über das hauseigene Deploy sowie über Microsoft Intune und Autopilot in der Cloud oder Gruppenrichtlinien in einem lokalen Active Directory (AD). Zudem beschreibt die Onlinedokumentation auch die Integration des Agenten in Image-basierte Bereitstellungen und listet unabhängig von der Art der Installation die per HTTPS erreichbaren Endpunkte in der Cloud sowie notwendige Ausnahmen für Antimalware-Tools.

Für macOS luden wir den Agenten als PKG-Datei zur manuellen Installation oder Verteilung über das Mobile Device Management (MDM) eines Drittanbieters herunter. Hierbei mussten wir allerdings berücksichtigen, dass das Paket für mac-OS nicht automatisch den Enrollment-Token enthält. Den kopierten wir folglich manuell aus dem Webfrontend, um ihn bei der Installation zu übergeben.

Alternativ unterstützt PDQ auch ohne separaten Download die direkte Installation über ein einzeiliges Bash-Kommando, das per cURL-Befehl ein Installationsskript herunterlädt und ausführt. Auch in diesem Fall mussten wir aber manuell das Token übergeben. Nach der händischen Installation forderte der Agent auf dem Mac Berechtigungen für den Festplattenvollzugriff an, um Inventarisierungen korrekt durchführen zu können. Dies müsste bei einer zentralen Verteilung entsprechend das MDM-System über ein Konfigurationsprofil gewährleisten, um Pop-ups beim Endanwender zu vermeiden.

Unsere Endpunkte, auf denen wir das Paket installierten, erschienen nach einem initialen Scan binnen weniger Minuten in der Ansicht aller Geräte und in den passenden Gerätegruppen im Webportal. Darüber hinaus durften wir unsere Endpunkte nach Belieben in weiteren statischen oder dynamischen Gruppen zusammenfassen. Insbesondere letztere erwiesen sich als sehr mächtig, da wir unterstützt durch die Oberfläche einfach Regeln für die Auswahl von Endpunkten definieren konnten.

Eine dynamische Gruppe unterscheidet nicht nur übergeordnet nach Betriebssystem, Windows, macOS oder beide, sondern kann auch auf sämtliche Eigenschaften der Endpunkte zugreifen. Mögliche Kriterien sind etwa Attribute und Gruppenzugehörigkeiten in einem lokalen AD oder Entra ID, Eigenschaften der Hardware oder auch lokal existierende Dateien, Ordner, Anwendungen, Dienste oder Registrierungsschlüssel auf dem Endpunkt, weiterhin die Eigenschaften von Schwachstellen (Bild 1). All diese Kriterien verknüpft der Editor wahlweise mit UND, ODER, exklusivem UND, ODER sowie auch Gruppen von Kriterien zu komplexen Regelsätzen. Unsere Endpunkte erschienen nahezu in Echtzeit in den jeweiligen Gruppen, sobald die definierten Regeln zutrafen.

In der Ansicht eines jeden Geräts fanden wir Daten zu seiner Hardwareausstattung, Betriebssystem und allgemeine Informationen, wie Name, IP- und MAC-Adressen. Die zusätzlichen Daten erwiesen sich für Windows-Endpunkte als deutlich umfangreicher als für macOS. So konnten wir für unsere Windows-Clients etwa die Zugehörigkeit zu AD oder Entra ID einsehen, weiterhin Details zu Prozessor, Massenspeichern, Treibern, Netzwerkkarten, Prozessen und Registry.

Für alle Clients gleichermaßen erhielten wir eine Übersicht der installierten Software sowie die Möglichkeit, aus der Ferne Kommandos auszuführen oder eine Remotedesktop-Sitzung zu starten. Die letzten beiden Optionen hatte PDQ allerdings zunächst gesperrt und, um Missbrauch zu verhindern, an eine Identifikation geknüpft. So mussten wir uns mit einem amtlichen Dokument, wie einem Ausweis, Pass oder Führerschein zu erkennen geben. Daraufhin schaltete der Hersteller in kürzester Zeit den vollen Funktionsumfang frei. Zunächst widmeten wir uns aber den Kernfunktionen der Verteilung von Software und Patches.

Hierzu hatten wir unsere Windows-Clients mit veralteten Versionen von einigen Applikationen, wie Mozilla Firefox, Thunderbird, FileZilla, Notepad++, PuTTY und dem VLC Media Player präpariert. Die hatte Connect auch zuverlässig erkannt und listete unter "Inventory / Software" alle veralteten Applikationen mit der Anzahl an Schwachstellen, betroffenen Geräten sowie den Schweregraden der identifizierten Schwachstellen auf. Letztere führten per Link in den Bereich "Inventory / Vulnerabilities", wo PDQ jeder Schwachstelle eine eigene Seite mit ausführlichen Informationen widmete.

Neben einer Beschreibung der CVE fanden wir hier einen von PDQ selbst definierten Risk-Score sowie die relevanten Eckdaten aus dem CVSS, weiterhin am rechten Bildrand eine Liste der betroffenen Endpunkte. Darüber hatte PDQ prominent eine Schaltfläche platziert, mit der wir als einmalige Aktion die neueste Version der jeweiligen Software verteilen oder aber das Patchmanagement für diese Applikation automatisieren konnten (Bild 2). Ersteres erzeugte einen Auftrag im Bereich "Actions / Deployments". Dort zeigte uns das Webportal eine Tabelle mit der Anzahl an Endpunkten, die noch auf das jeweilige Update warteten, es gerade installierten, bereits installiert hatten oder einen Fehler zurückgemeldet hatten. Ein Klick auf jede dieser Zahlen führte uns zu einer detaillierten Liste der jeweils betroffenen Endpunkte.

Auch noch nicht im Feld vorhandene Software konnten wir auf unsere Endpunkte ausbringen. So hatte PDQ im Bereich "Actions / Packages" über 230 fertige Pakete gängiger Software für Windows vorbereitet, von 1Password bis zu Zoom. Über die Schaltfläche "Deploy" zuoberst auf der Seite durften wir neue Aufgaben anlegen. Eine solche Aufgabe zur Verteilung ist denkbar simpel aufgebaut. Sie umfasst ein oder mehrere Pakete sowie eine oder mehrere der Gerätegruppen, wahlweise auch dediziert einzelne Devices, die die Software erhalten sollen. Sobald wir diese Zusammenstellung noch einmal über den Button "Deploy" bestätigt hatten, legte Connect im Bereich "Actions / Deployments" pro Software je einen Auftrag an und wir konnten uns davon überzeugen, wie unsere Endpunkte unmittelbar die zugewiesenen Apps installierten.

Für nicht von PDQ kuratierte Pakete funktionierte dies beinahe ebenso simpel. So konnten wir im Bereich "Actions / Packages" mittels "Create package" sowohl für Windows als auch für macOS selbst benutzerdefinierte Pakete erzeugen. Hier erwies sich Connect als flexibel. Der einfach zu bedienende Editor beschränkt sich nicht nur auf die reine Installation, sondern führt auf Wunsch auch umfangreichere Schrittfolgen aus. So durften wir vor oder nach einem Installationsschritt Skripte ausführen, Dateien kopieren oder einen Neustart anfordern. Zudem installiert ein verschachtelter Schritt auf Wunsch im Rahmen einer Installation ein anderes Paket, um etwa Abhängigkeiten zu erfüllen.

Zentrales Element ist der "Install step". Voraussetzung dafür ist, dass das Setup der gewünschten Anwendung in einer einzelnen für die Zielplattform geeigneten und maximal 20 GByte großen Datei vorliegt, die wir im Rahmen der Paketierung im Connect-Portal hochladen mussten. Für Windows nimmt das Portal einen der Dateitypen MSI, MSU, MSP oder EXE entgegen, für macOS PKG oder DMG. Die Oberfläche erwartet Kommandozeilenparameter für eine unbeaufsichtigte Installation und führt diese wahlweise im Kontext des Systems oder des angemeldeten Benutzers aus. Nur für Windows knüpft Connect die Ausführung optional an Bedingungen, ob etwa ein Benutzer angemeldet ist oder auch nicht, oder ob bestimmte Dateien, Registrierungsschlüssel, Dienste sowie Prozesse existieren.

Applikationen, die wir nicht im Katalog fanden, konnten wir so komplikationslos sowohl für Windows als auch für macOS verteilen. Einen weiteren Pluspunkt sammelte Connect, da die Plattform auch Schwachstellen in unseren benutzerdefinierten Paketen unmittelbar erkannte. So hatten wir bewusst eine völlig veraltete Version von Cisco AnyConnect paketiert. Die erschien daraufhin sofort in der Liste der Schwachstellen. Bei benutzerdefinierten Paketen steht dort zwar der Ein-Klick-Ansatz nicht zur Verfügung, da PDQ von Haus aus kein passendes Update parat hatte. So erkannten wir aber immerhin den Missstand und konnten manuell ein aktualisiertes Paket auf den Weg bringen.

Die Schwachstellenerkennung von PDQ Connect stützt sich auf mehrere Quellen, darunter Registrierungseinträge, installierte Software, laufende Prozesse, Treiber, Dienste und das Betriebssystem. Zu beachten ist allerdings, dass der Agent portable Apps, die keine Spuren in der Registrierung hinterlassen, möglicherweise nicht als Schwachstellen erkennt, selbst wenn ein benutzerdefinierter Dateisystemscanner sie findet.

So hatten wir aus dem Verzeichnis des Dienstes "PortableApps.com" bewusst veraltete Versionen einiger Apps auf unseren Endpunkten abgelegt. Mit einem benutzerdefinierten Scan des Dateisystems fanden wir in Connect zwar die ausführbaren Dateien auf den Endpunkten. Da sich portable Anwendungen in der Regel aber nicht in der Windows-Registrierung oder in Standardinstallationspfaden registrieren, fielen sie nicht unter die Erkennungsmethoden, die Connect verwendet, um Software mit bekannten CVEs abzugleichen. Wer aufgrund hoher Sicherheitsanforderungen dieser Art von Schwachstellen begegnen möchte, benötigt zusätzliche Sicherheitsmaßnahmen, wie Microsofts Software Restriction Policies, AppLocker oder App Control for Business.

Für vorgefertigte wie auch benutzerdefinierte Pakete konnten wir im Bereich "Actions / Automations" Installationen und Updates automatisieren. Dazu hatte PDQ wiederum einige Aktionen vorbereitet, die wir lediglich noch aktivieren mussten. Die dienten uns zudem als Vorlagen für eigene Automatisierungen. Eine Automatisierung des Typen "Deploy once" verteilt ein wählbares Paket zum gewünschten Zeitpunkt an eine Gerätegruppe oder einzelne Endpunkte.

Der Typ "Recurring" wiederholt eine Installation, typischerweise immer die neueste Version eines bestimmten Pakets, zu flexibel bestimmbaren Zeitpunkten. Für Updates ist aber der Typ "Automatic" praktischer, da eine solche Aktion unabhängig von Zeitpunkten agiert und ein Update immer unmittelbar ausliefert, sobald eine neue Version des gewählten Paktes erscheint oder aber ein neues Gerät mit einer veralteten Version in der anvisierten dynamischen Gruppe auftaucht.

Zu guter Letzt bietet die Remotedesktop-Funktion interaktiven Support aus der Ferne und dies plattformübergreifend von Windows zum Mac wie auch umgekehrt. Eine Remotesitzung konnten wir direkt aus der Detailansicht sowie auch aus der Liste der Geräte heraus initiieren. Sofern noch nicht vorhanden, installiert Connect automatisch aus der Ferne einen zusätzlichen Agenten auf dem Ziel. Aufgrund von Apples restriktivem TCC-Framework (Transparency, Consent and Control) mussten wir entweder interaktiv als lokaler Benutzer oder per MDM auf Mac-Endpunkten Freigaben für Bedienhilfen, Speicherzugriff und Bildschirmaufzeichnung konfigurieren.

Im zweiten Schritt führte uns der Assistent durch Download und Installation der lokalen Viewer-Komponente. Unter macOS erforderte der Viewer noch die Installation von Apples x64-Emulation Rosetta, da das Paket noch nicht für die ARM-Plattform kompiliert war. Anschließend konnten wir komplikationslos Remotesitzungen aufbauen. Dabei durften wir wählen, ob der Benutzer am entfernten Endpunkt über den Start einer Sitzung informiert wird, und auch, ob er dem Verbindungsaufbau aktiv zustimmen muss. In den allgemeinen Systemeinstellungen konnten wir als Administrator beide Optionen auch im Sinne des Datenschutzes fest vorgeben.

Der Viewer integriert praktische Funktionen für den Remotesupport. Neben der Fernbedienung von Tastatur und Maus konnten wir freihändig auf die Bildfläche zeichnen, relevante Stellen markieren, mit dem entfernten Benutzer chatten, bidirektional Dateien übertragen und auch je nach Bandbreite Auflösung und Farbtiefe anpassen (Bild 3).

Admins, die cloudbasierte Werkzeuge nicht scheuen, finden mit PDQ Connect Premium eine pragmatische Lösung, die geografisch und logisch verteilte Endpunkte abseits klassischer On-Premises-Umgebungen verwaltet. Connect kümmert sich um die Verteilung von Drittanbieteranwendungen sowie das Schwachstellenmanagement und das auch, wenn die Endpunkte nicht Teil einer zentralen Infrastruktur, wie etwa eines AD, sind.

PDQs Kombination aus kuratierter Paketbibliothek, agentenbasierter Erreichbarkeit, Automatisierung und Integrationen deckt den typischen Bedarf ab, bietet derzeit den vollen Funktionsumfang allerdings nur für Windows, während der Agent für macOS kontinuierlich aufholt. Die Remotedesktop-Integration rundet das Paket ab. Wer keinen Clouddienst einsetzen kann oder will, greift stattdessen zur lokalen Variante "Deploy & Inventory", die auch vom Internet abgeschottete Infrastrukturen bedient, aber ohne das praktische Schwachstellenmanagement von Connect auskommen muss.

Gerade im kritischen Zeitfenster zwischen CVE-Veröffentlichung und Patchverteilung verschafft der integrierte Schwachstellenscanner einen messbaren Sicherheitsgewinn, weil Risiken sichtbar und priorisierbar werden. Einschränkungen wie die fehlende Erkennung portabler Anwendungen sollten Sie jedoch kennen und bei Bedarf kompensieren.