Patchlink 6 im Test
Auf dem aktuellen Stand
Viel Zeit und gutes Schuhwerk benötigt ein Administrator, um Betriebssysteme und Software immer auf dem neuesten Stand zu halten. Vernachlässigt er diese Aufgabe, drohen Sicherheitslücken zur Gefahr zu werden. Bequemer und schneller gelingt dies mit Patchlink.
Patchlink 6 läuft auf einem Windows-Server, der alle Clients untersucht und bei Bedarf Patches
herunterlädt und installiert. Um die Internetanbindung zu schonen, lädt Patchlink nur diejenigen
Aktualisierungen herunter, die der Administrator zur Installation freigibt. Anschließend bleiben
sie dauerhaft auf der Festplatte des Servers, sodass sie in Zukunft lokal im Netzwerk
bereitstehen.
Zwar soll Patchlink jede Aktualisierung in rund 250 unterschiedlichen Umgebungen testen, dennoch
empfiehlt der Hersteller zusätzliche unternehmensinterne Tests sowie ein Backup der betroffenen
Systeme vor dem Aufspielen der Patches. Konsequenterweise verteilt die Software standardmäßig keine
Patches automatisch an Clients. Erst wenn der Administrator Patches freischaltet, werden diese an
die Arbeitsstationen und Server im Netzwerk verteilt. Der besseren Übersicht und der
Betriebssicherheit dienen Client-Gruppen, die sich nach Bedarf einrichten lassen. So ist es
möglich, eine Gruppe für Testsysteme zu definieren und neue Patches zunächst nur dieser Gruppe
zuzuweisen. Welche Computer Mitglied einer Gruppe sind, lässt sich sowohl manuell definieren als
auch dynamisch über bestimmte Regeln. Kriterien sind beispielsweise das Betriebssystem,
Organsiationseinheiten von Active Directory, Domänen und IP-Bereiche. Für jede Gruppe lassen sich
Bedingungen festlegen, die bestimmen, welche Patches eingespielt werden dürfen.
Optionen
Mehrere Optionen sorgen dafür, dass sich die Netzwerklast in Grenzen hält und Benutzer möglichst
wenig belastet werden. So lässt sich die Bandbreite beschränken und die Patch-Einspielung zeitlich
versetzen, damit Clients nicht simultan beliefert werden. In großen Unternehmen kann der
Systemverwalter in jedem Netzwerksegment einen Distribution Point einrichten, der gewissermaßen als
Patchlink-Proxy fungiert und die Aktualisierungen bereitstellt. Das "Queue Linking" spielt mehrere
Patches hintereinander mit nur einem abschließendem Neustart (statt nach jedem einzelnen Patch)
ein. In der nächsten Version soll Patchlink Aktualisierungen komplett ohne Neustart einspielen
können. Ausschlusszeiten verhindern, dass Benutzer während der Arbeitszeit belästigt werden. Das in
diesem Zusammenhang nützliche Wake on LAN zum Einspielen in der Nacht beherrscht Patchlink jedoch
nicht. Der Zeitpunkt für den täglichen Abgleich zwischen dem lokalen Patchlink-Server und dem
Hersteller ist frei einstellbar.
Die E-Mail-Funktion benachrichtigt den Administrator bei allen wichtigen Ereignissen,
beispielsweise wenn neue Patches verfügbar sind, Fehler beim Aktualisieren von Clients auftreten,
der Plattenplatz auf dem Server knapp wird oder die Lizenz abläuft. Voraussetzung dafür ist ein
SMTP-Server, der eingehende Mails ohne Anmeldung akzeptiert. Eine Zusatzfunktion ist die Inventur,
die einen Überblick über die Hard- und Software sowie NT/2000-Dienste der Clients gibt.
Installation
Die Installation des Servers ist unproblematisch, allerdings ist ein englischsprachiger
Windows-Server (2000 oder 2003) erforderlich, der nicht als Domänencontroller eingerichtet und auf
dem zunächst kein SQL-Server installiert sein darf. Mit diesen Voraussetzungen gelang das Setup im
Test fehlerfrei. Für Umgebungen ab rund 300 Clients empfiehlt Patchlink, die mitinstallierte SQL
Server 2000 Desktop Engine auf einen "echten" SQL Server aufzurüsten. Da dies bei der Webedition
von Windows 2003 nicht möglich ist, ist dieses Betriebssystem keine geeignete Grundlage für größere
Umgebungen. Der nächste Schritt besteht in der Installation der Agent-Software auf den Clients. Der
übliche Weg zur Einrichtung der Agent-Software führt über das auf dem Server installierte Agent
Management Center. Mit diesem lässt sich das Netzwerk nach unterschiedlichen Kriterien durchsuchen
und die Client-Komponente bequem und ohne Abnutzung der Turnschuhe auf Windows-NT/2000/ XP-Computer
verteilen. Für Windows 95/98/ME steht ein Anmeldeskript zur Verfügung. Alternativ kann der
Systemverwalter die Agent-Software lokal auf Clients einrichten, indem er von dort die
Weboberfläche aufruft und die Setup-Datei herunterlädt. Bevor das System einsatzbereit ist, muss
der Administrator warten. Es dauert rund eine Stunde, bis der Server die Liste der verfügbaren
Patches aus dem Internet heruntergeladen hat, und die erste Kommunikation neu eingerichteter
Clients mit dem Server dauert rund eine Viertelstunde. Anschließend überwacht der Client-Agent
kontinuierlich, ob alle vom Administrator freigegebenen Patches aktiv sind. Sollte eine
aktualisierte Datei mit einer älteren Version überschrieben werden (wie es bei
Softwareinstallationen vorkommen kann), wird der betreffende Patch automatisch erneut eingespielt,
sodass bekannte Sicherheitslücken dauerhaft geschlossen sind.
Verwaltung
Die Verwaltung geschieht weitgehend über eine Weboberfläche, sodass der Administrator von
praktisch jedem System im Netzwerk Patchlink kontrollieren kann. Mehrere Registerkarten geben
übersichtlich Auskunft über Sicherheitslücken der Clients, über vorhandene und verfügbare Patches
und über Inventurdaten. Anzeigefilter sorgen dafür, dass auch in großen Netzen die Übersicht nicht
verloren geht. Weitere Bereiche ermöglichen die Gruppenverwaltung sowie die Benutzeradministration,
in der den einzelnen Systemverwaltern unterschiedliche Berechtigungen zugewiesen werden können.
Die Installation verlief im Test reibungslos, und das Setup fragte die wichtigsten Einstellungen
ab, sodass der Server ohne anschließende Konfiguration einsatzbereit war. Die Verteilung der
Agent-Software gelang zunächst nicht, weil die in der (sonst sehr guten) Schnellstartanleitung
empfohlene Methode nicht funktioniert. Erst der Support erklärte uns, dass wir das Agent Management
Center benutzen sollten, das im Test auch keinen Grund zur Klage gab. Ohne Schwierigkeiten verlief
die manuelle Installation der Clients aus der Weboberfläche heraus. Auch das Verteilen der Patches
an die Clients und das Einrichten von Gruppen bereitete keine Probleme. Allerdings benötigte die
jeweils erste Verteilung eines Patches etwas längere Zeit, weil dieser zunächst von Patchlink
heruntergeladen werden muss.
Die Kommunikation mit dem Hersteller-Server läuft dabei grundsätzlich über SSL. Optional lässt
sich diese Verschlüsselung auch im lokalen Netz zwischen Server und Agenten aktivieren.
Fazit
Patchlink ist eine leistungsfähige und nach ein bis zwei Tagen Einarbeitungszeit leicht zu
bedienende Lösung, um das Betriebssystem und die wichtigsten Anwendungen immer auf dem aktuellen
Zustand zu halten. Agenten gibt es nicht nur für Windows (ab 95), sondern auch für MacOS X, AIX
5.1, Netware ab 4.11, Redhat-Linux ab 6.2 sowie Solaris ab der Version 2.6.
Darüber hinaus aktualisiert die Software MS Office, Netscape, Grafikprogramme von Adobe und
Macromedia, Winzip und einige Virenschutzprogramme. Patchlink 6 kostet einmalig 1740 Euro für den
Server sowie jährlich abhängig von der Anzahl 12,53 bis 20,88 Euro pro Client.
Info:Softline Tel.: 0781/9293-222 Web: www.softline.de
Lesen Sie mehr zum Thema
