Zentralisierte Windows / Mac-Patch-Verwaltung, die einfach zu bedienen ist

10

Ich suche Rat, welche Patch-Management-Lösungen Sie aufgrund Ihrer Erfahrung empfehlen würden. Ich suche auch nach solchen, die Sie aufgrund Ihrer Erfahrung nicht empfehlen würden.

Wir haben ein gemischtes Netzwerk von Windows- und Mac-Clients. Unsere zentralen Server sind alle Windows-Server, obwohl ich überlegt habe, einen Mac-Server einzurichten, um unsere Mac-Clients besser handhaben zu können. Das Problem, mit dem wir derzeit konfrontiert sind, ist, dass wir die Patches für alle unsere Anwendungen von Drittanbietern warten müssen. Im Moment verwenden wir WSUS, das das Patchen von Windows und einigen Microsoft-Produkten übernimmt, aber das war es auch schon. Ich benötige etwas, um die anderen Anwendungen abzudecken, insbesondere Adobe-Produkte (Reader, Flash, Dreamweaver usw.).

Unser Netzwerk ist nicht so groß (vielleicht 200 Clients) und ich habe keine Person, die sich nur dem Patchen und Verwalten einer Patch-Management-Lösung widmet. Daher sind sehr große und komplizierte Lösungen wie System Center höchstwahrscheinlich nicht verfügbar.

Ich habe mir kürzlich die Kace K1000-Lösung von Dell angesehen ( software.dell.com/products/kace-k1000-systems-management-appliance/ ). Es scheint einfach zu sein und bietet viele Tools in einem Paket, die ich auch möchte / brauche. Ich mag die Tatsache, dass es in einem Gerät in sich geschlossen ist und für Lösungen wie meine entwickelt wurde. Ich bin mir jedoch nicht sicher, ob dies die beste Lösung ist.

Ich habe mir auch Shavliks Netchk-Lösung angesehen ( http://www.shavlik.com/netchk-protect.aspx ), aber ich brauche kein Antivirenprodukt. Es sieht jedoch so aus, als hätten sie eine sehr gute Patch-Datenbank.

Meine Frage lautet: Was denken Sie über diese Produkte? Gibt es bessere Produkte? Gibt es Probleme, die ich nicht in Betracht ziehe?

Ich möchte etwas, das sehr gut darin ist, eine breite Palette von Produkten zu patchen, das einfach zu verwenden ist, das nur einen minimalen Verwaltungsaufwand erfordert (wie WSUS) und das (hoffentlich) mit Mac und Windows funktioniert.

— IAmTimCorey
quelle

2

Ich habe Lumension Patchlink für Windows-Computer verwendet, aber ich sehe, dass es die meisten modernen Client-Betriebssysteme unterstützt. Es hat gut funktioniert; Jedes dieser Produkte kann jedoch mäßig komplex sein.

— mfinni
quelle

Danke für die Rückmeldung. Ich werde in Patchlink schauen. Ich verstehe das Potenzial für Komplexität. Ich möchte nur die sehr komplexen Systeme vermeiden. Ich habe zum Beispiel das System Center durchgesehen, und das scheint lächerlich. Sie versuchen alles zu tun, was bedeutet, dass nichts einfach ist. Ich möchte etwas gezielteres für ein Unternehmen wie das meine (klein mit einem kleinen Personal, um es zu verwalten).

— IAmTimCorey

2

Für Windows verwende ich WSUS genauso wie Sie und WPKG ( Link zu einem anderen Plug, den ich für WPKG erstellt habe ) für andere Software-Updates.

WPKG verfügt über ein gutes Wiki, in dem Benutzer ihre Einstellungen für verschiedene Pakete beigesteuert haben. Letztendlich sind Sie jedoch dafür verantwortlich, die Befehle zum Installieren, Aktualisieren, Downgrade und Entfernen für jedes Paket nach Bedarf zu überprüfen und / oder auszuarbeiten.

Für die Macs würde ich entweder Apple Remote Desktop oder Puppet betrachten .

— Mike Renfro
quelle

Interessanter Link zu WPKG. Ich muss das als ergänzendes System betrachten. Ich hätte lieber ein automatisiertes System, wenn möglich für den Großteil meiner Patch-Konfiguration und -Bereitstellung. Es ist jedoch eine sehr interessante Lösung. Vielen Dank.

— IAmTimCorey

WPKG ist dahingehend automatisiert, dass Sie einen Dienst, ein Computer-Startskript usw. ausführen können, um sicherzustellen, dass die richtigen Pakete und neuesten Versionen auf bestimmten Maschinenklassen verfügbar sind. Ich bin mir nicht sicher, für welche andere Art von Automatisierung Sie sich interessieren würden.

— Mike Renfro

2

Ich denke, Secunia CSI ist möglicherweise einen Versuch wert, obwohl ich mir nicht sicher bin, welche Preise zu Ihrer Skala passen.

Bearbeiten: Secunia CSI ist in der Tat ein Netzwerk-Schwachstellenscanner, der jedoch die Links zu den Patches bereitstellt, die den gefundenen Schwachstellen entsprechen, einschließlich der von Drittanbietern, und Sie können sie dann über WSUS oder SCCM fast automatisch in Ihrem Netzwerk anwenden.

— Joechip
quelle

Danke für die Auskunft. Soweit ich sehen kann, ist dies eher für das Scannen von Sicherheitslücken als für das Patch-Management gedacht. Es sieht so aus, als müssten Sie Ihre eigenen Patch-Pakete entwickeln, um sie in dieses System zu integrieren. Bin ich richtig oder habe ich etwas verpasst? Ich würde ein System bevorzugen, das "Aktivieren Sie dieses Kontrollkästchen, um Adobe Reader auf dem neuesten Stand zu halten" oder ähnliches (wie das, was WSUS tut) sagt. Ich möchte, dass die Patches heruntergeladen und automatisch angewendet werden (sofern ich dies von der Konsole aus zulasse).

— IAmTimCorey

Secunia CSI verteilt die Patches nicht selbst, sondern packt die Patches von Drittanbietern sehr einfach in Ihre WSUS oder SCCM, indem Sie einfach darauf zeigen und darauf klicken. Beobachten Sie dies gegen 4:20 Uhr .

— Joechip

Ich habs. Danke für das Update. Ich werde diese Lösung weiter untersuchen. Vielen Dank.

— IAmTimCorey

2

Sie erwähnen, dass Sie Shavlik Netchk ausgecheckt haben, haben sich aber it.shavlik.com angesehen. Es ist ihr SaaS-Patch-Management-Angebot. Die Kosten für 250 Maschinen betragen 1500 US-Dollar pro Jahr. Derzeit bieten sie ein 3-Jahres-Abonnement für 2250 US-Dollar an.

Wir verwenden das Netchk-Produkt, um Patch-Management auf etwa 1100 Workstations durchzuführen. Wir sind sehr zufrieden damit. Es ist sehr einfach einzurichten und zu warten. Es ist wirklich sehr wenig Aufwand von unserer Seite. Die Patch-Management-Engine ist großartig und tatsächlich lizenzieren und verwenden die meisten anderen Produkte die Shavlik-Engine.

— TimS
quelle

Danke für die Information Tim. Ist es ein Client, den Sie installieren? Welche Art von Management ist mit dem Patchen verbunden? Haben Sie festgestellt, dass es Bereiche gibt, die Sie vermissen (nicht gepatcht)? Funktioniert es gut mit Laptop-Benutzern, die nicht immer verbunden sind?

— IAmTimCorey

Shavlik unterstützt sowohl agentenloses als auch agentenbasiertes Scannen. Wir verwenden eine Mischung aus beiden. Wir verwenden Shavlik auch auf unseren Servern und in den meisten Fällen installieren wir den Agenten nicht. Einige Server existieren in Netzwerksegmenten, in denen die erforderlichen Ports für agentless nicht geöffnet werden können, und für diese installieren wir den Agenten. Auf den Workstations verwenden wir den Agenten. Agentless führt Scans mit einer von Ihnen festgelegten Häufigkeit durch. Wenn eine Workstation nicht verbunden ist (z. B. ein reisender Laptop) oder heruntergefahren wurde, schlägt der Scan fehl. Mit dem Agenten führt der Agent den Scan durch und kontaktiert den Server, um dieses Problem zu lösen.

— TimS

Unser größter Kritikpunkt seit langem war, dass das Patchen von Adobe Air nicht unterstützt wurde. Die neuesten Versionen tun es und der Kritikpunkt ist weg. Wir patchen eine Vielzahl von Microsoft-Produkten, Acrobat, Flash, AIR, Java, Skype, Firefox und Safari. Das deckt 98 - 99% unserer Apps ab. Den Rest erledigen wir mit einem anderen Tool. Shavlik könnte verwendet werden, um benutzerdefinierte Patches für diese zu veröffentlichen, aber hauptsächlich aus historischen Gründen tun wir dies nicht. Gelegentlich treten auf bestimmten Computern Patching-Fehler auf, die jedoch immer auf ein Problem auf dem Computer im Vergleich zu Shavlik-Problemen zurückzuführen sind.

— TimS

Vielen Dank. Das ist genau die Art von Feedback, nach der ich gesucht habe. Es macht es viel einfacher, eine klare Entscheidung zu treffen.

— IAmTimCorey