Network Computing lud folgende Hersteller von Patch-Management-Lösungen dazu ein, mit ihren Produkten an einem Vergleichstest teilzunehmen: Bigfix, Bladelogic, BMC Software, Computer Associates, Configuresoft, Ecora Software, IBM, Kaseya, Landesk Software, Lumension Security/Patchlink, Novell, Opsware, Shavlik Technologies und Symantec.

Von diesen 14 Anbietern kniffen neun. Nur Bigfix, Kaseya, Landesk, Lumension und Shavlik stellten ihre Produkte zur Verfügung. Ihnen sei an dieser Stelle nochmals ausdrücklich dafür gedankt.

Network Computing testete die Software-Pakete über mehrere Monate hinweg in den Real-World Labs. Wir hoffen, dass auch diejenigen Anbieter, die dieses Mal nicht dabei waren, ihre Produkte zu einem späteren Zeitpunkt zur Verfügung stellen werden.

Shavlik Netchk Protect – wie ein Rockstar

Shavlik Technologies [1] trifft mit ihrem Netchk-Protect die hohe Note des Patch-Managements. Für den Vergleichstest forderte Network Computing Produkte an, die

· den Patch-Prozess automatisieren,

· eine leistungsfähige Änderungskontrolle enthalten und

· die verfügbare Bandbreite möglichst effizient nutzen.

Netchk erfüllte all diese Anforderungen. Der Scheduler des Produkts unterstützt sowohl das Entdecken als auch Verteilen von Patches. Außerdem scannt er kontinuierlich die Patch-Compliance. Die Scan-Resultate gibt die Software im Format von Microsofts Baseline-Security-Analyzer aus.

Shavlik Netchk liefert detallierte und übersichtliche Reports.

Wenn ein Administrator Shavliks Distribution-Server-Option hinzufügt, kann er steuern, wann das Produkt Patches an die Zielmaschinen verteilt. Unternehmen, die Linux- oder Unix-Maschinen nutzen, werden Netchk allerdings ergänzen müssen.

Microsoft-Patches innerhalb von 24 Stunden eingespielt

Das Produkt enthält ein Patch-Repository, das vor jedem Scan geprüft wird. Es aktualisiert Microsofts Sicherheits- und sonstige Patches automatisch innerhalb von 24 Stunden nach Veröffentlichung.

Repository-Verbindungen und die Gültigkeit von Patches verifiziert das Produkt mit Hilfe digitaler Signaturen. Die Kommunikationen zwischen Host- und Client-Maschinen läuft über sichere Protokolle. Im Test klappte auch das Patching virtueller Maschinen reibungslos.

IT-Manager, die bekanntlich ständig unter Zeitdruck stehen, werden weitere Funktionen des Produkts schätzen. Dazu gehören die Möglichkeit, eine automatische Benachrichtigung für Ergebnisse einzurichten, ferner das Aufspüren und Eliminieren von Spyware sowie das Verteilen von Patches mit oder ohne Unterstützung durch Software-Agenten.

Gute Reporting-Tools

Netchk Protect liefert umfassende und flexible Berichte. Der Nutzer kann sie auf vielerlei Weise nach seinen Vorstellungen gruppieren. Die Software verwendet für die Berichte die Resultate der Scan- und Patch-Verteilung.

Im Test wurden nach dem Scan einige der Standardberichte genutzt, um den Erfolg der Patch-Verteilung nach Schweregrad und der Rate des Scan-Erfolgs zu beurteilen. Die Berichte ließen sich problemlos in viele Formate exportieren.

Netchk unterstützt die meisten Microsoft-Betriebssysteme und -Applikationen der Enterprise-Klasse, darunter Office, Exchange und Sharepoint. Die Option, Netchk ohne Agenten einzusetzen, ist überzeugend: Auch dann sind alle Funktionen sind verfügbar.

Über die zentrale Managementkonsole führte das Produkt ein vollständiges Scanning aus, installierte und deinstallierte Patches und erkannte beziehungsweise beseitigte Spyware. Dazu war es nicht notwendig, auf den Zielmaschinen eine Shavlik-Software zu installieren. Für Umgebungen mit unzureichender Netzwerkanbindung sind Agenten erhältlich, und das ohne zusätzliche Kosten.

Belastung des Netzwerks herabsetzen

Netchk enthält ein handliches Feature, um Ziel-Office-Suites so zu patchen, dass sie einer spezifizierten Office-Master-Installation gleichen, statt Patches zu verteilen, sobald diese verfügbar sind. Das ist für Unternehmen hilfreich, die Patches erst testen wollen, bevor sie eine Massenverteilung durchführen.

Wenn die Software-Flicken verteilt werden, lässt sich die Netzwerknutzung verringern, indem die Copy-Speed-Einstellung heruntergesetzt wird. Diese Fähigkeit, das Kopieren von Patches nativ zu verzögern, ohne Distribution-Server zu nutzen, würde auch dem Produkt von Symantec gut zu Gesicht stehen.

Installation und Konfiguration

Die Installation des Produkts auf dem Server war eine Kleinigkeit, aber der anfängliche Netzwerk-Scan brauchte seine Zeit. Zu Anfang hinderte die XP-Firewall die Konsole daran, XP-Maschinen zu scannen. Und selbst nachdem der Port geöffnet wurde, musste das einfache File-Sharing ausgeschaltet werden, um Netchk zu erlauben, sich mit den erforderlichen Rechten anzumelden.

Den ersten Scan aufzusetzen, war einfach. Ziele lassen sich durch Host-Namen, IP-Adressen, Domänen und Active-Directory-Organisationseinheiten definieren. Durch Kombinationen davon können schnell Gruppen und Subgruppen erzeugt werden. Nach dem erfolgreichen Scan der Test-Windows-Umgebung präsentierte das Produkt eine klare Analyse, aus der sich weitere Aktionen ableiten ließen.

Für die Verteilung selektiert der Administrator die Patches entweder von Hand oder er nutzt Kontextmenü-Optionen, um alle Patches oder alle kritischen Patches zu installieren.

Bandbreitenmanagement funktionierte reibungslos

Die Lösung von Shavlik erlaubt das sofortige oder spätere Verteilen von Patches und bietet zudem Reboot- und Copy-Speed-Optionen. Beim Testen der Kopiergeschwindigkeit ließ sich tatsächlich ein Unterschied zwischen den Einstellungen 1 und 5 für einen 12 MByte großen Patch feststellen, sprich das Bandbreiten-Throttling funktionierte einwandfrei.

Beim Versuch, einen Patch-Vorgang zu verzögern, fiel allerdings auf, dass Netchk die Patch-Dateien nicht zur geplanten Zeit, sondern sofort kopierte. Laut Shavlik ist dieses Verhalten gewollt, um die Patch-Verfügbarkeit zu gewährleisten und Verzögerungen bei der Verteilung durch langsames Kopieren zu vermeiden.

Die Resultate der Verteilung zeigten klar, welche Patches fehlschlugen. Im Test lieferte das Programm auch gleich einen Hinweis auf die vermutliche Fehlerursache mit. Die Entfernung eines installierten Patches funktionierte einwandfrei.

Für 300 Windows-Maschinen plus 300 VMs mit Windows kostet Netchk-Protect 19.200 Dollar. Im Preis enthalten ist ein Jahr Support.

Bigfix Enterprise Suite – der große Fix

Bigfix [3] ist insofern ein besonderes Programm im Testfeld, als dessen Kern-Patching-Funktion Teil eines größeren Frameworks ist. Es konzentriert sich auf alle Aspekte der Endpoint-Security und des Managements.

Dieses Framework, die Bigfix-Enterprise-Suite, kann neben der getesteten Patching-Komponente IT-Richtlinienmanagement und Bigfix’ eigenes Antivirus-Produkt enthalten. Das macht die Benutzerschnittstelle komplexer als die der anderen Patch-Management-Produkte. Aber nach einer kurzen Einarbeitungszeit kommt ein Administrator auch damit zurecht.

Bigfix stützt sich auf »Sites« für jeden verwalteten Techniktyp, beispielsweise Solaris oder Windows. Sites sind in Solution-Packs gebündelt, die wiederum für die verschiedenen Rollen, die Bigfix spielen kann, gruppiert sind.

»Sites« und »Solution-Packs«

Während jedes Pack mit einer gewissen Anzahl von Sites kommt, kann der Administrator nur die Sites installieren, die für seine spezifische Umgebung notwendig sind. Das reduziert die Ressourcen, die das Programm für das Herunterladen und Speichern von Patching-Informationen nutzt.

Bigfix zeigt auf einen Blick, welche Sicherheitslöcher auf welchen Systemen vorhanden sind.

Jede Site enthält »Fixlets«. Das ist Bigfix’ Name für die Pakete, welche die zu verteilenden Patches, Applikationen oder Richtlinien enthalten. Der größte Teil der von Bigfix gebotenen Funktionen ist mit Fixlets verknüpft.

Die Struktur von Bigfix stützt sich vollständig auf Agenten, deren Verteilung an Windows-Systeme sich durch ein Client-Installationsprogramm auf einfache Weise automatisieren lässt. Aber auch Pakete für andere Betriebssysteme sind leicht zu installieren und gut dokumentiert.

Installierte Agenten können »ihre« lokalen Netzwerke sogar nach Geräten ohne Agenten durchsuchen und versuchen, die fehlende Software zu verteilen.

Ausgefeilte Managementfunktionen

Mit seinen Managementfunktionen setzt Bigfix sich von den anderen Testkandidaten ab. Der Administrator kann Grundlinien von Patches erzeugen und sie vom Benutzer erstellten Gruppen, individuell spezifizierten Clients oder Client-Gruppen zuweisen. Sorgfältig konfigurierte Grundlinien helfen dabei, die für das Patch-Management erforderliche Zeit zu reduzieren.

Die Standard-Patch-Einstellung für Windows-Umgebungen ist »kein Reboot«, selbst wenn der Patch-Hersteller einen Neustart spezifiziert hat. Das ist beispielsweise für Server von Vorteil, die nur innerhalb einer bestimmten Wartungsfensters neu gestartet werden dürfen.

Im Berichtsfenster sieht der Administrator nach Einspielen solcher Patches den Status »Pending Reboot«. Er kann dann ein passendes Wartungsfenster festlegen.

Wizard steuert Deinstallation von Patches

Einen Patch zu deinstallieren, ist ein wenig komplizierter als bei anderen Patch-Management-Produkten. Bigfix nutzt dazu einen Wizard statt Optionen im Kontext des Patches selbst. Der Prozess funktionierte aber wie vom Hersteller versprochen.

Ein Wizard ruft die Patches ab. Das gilt auch für Sun-Solaris-Patches, denn diese verlangen neuerdings ein Login. Ein weiterer Wizard dient dem Setup des Pre-Caching der Patches, die zur Verteilung anstehen.

Berichte liefert Bigfix’ Web-Report-Komponente, nicht die Konsole selbst. Der Hersteller deckt hier mit vorgefertigten Berichten über Vulnerabilitäten-Einschätzungen, Agenten- und Client-Statistiken sowie über Resultate spezifischer Aktionen und Konsolenoperationen alle Basics ab.

Die Fähigkeiten der Grundlinien werden hier ebenfalls reflektiert, denn Berichte über die Grundlinien-Effizienz sind ein einfacher Weg, um relevante und nützliche Reports zu erstellen.

Einbindung in Netzwerkmanagement möglich

Bigfix lässt sich in eine Configuration-Management-Data-Base (CMDB) oder andere Applikationen integrieren, etwa ein Netzwerkmanagement-System. Das hilft dem Fachmann dabei, wenn er herauszufinden möchte, ob ein bestimmter Patch für den Ausfall eines Systems verantwortlich ist. Für Desktops ist dies sicherlich »Overkill«, aber für Server eine hilfreiche Sache.

Das Produkt offeriert zahlreiche Programmierschnittstellen, darunter solche für Netzwerk-Zugriffssteuerung, Datenbankzugriff, Vulnerabilitäten-Assessment und Inventarintegration.

Bigfix eignet sich vor allem für Anwender, die eine umfassende Bandbreitensteuerung benötigen. Der Administrator kann nicht nur Bandbreite begrenzen, die für Bigfix-Server und -Clients zur Verfügung steht. Er hat zudem die Möglichkeit, Relays für die Upload- und Download-Nutzung zu konfigurieren.

Die Client-Einstellung lässt sich sogar über kBit/s oder einen Prozentsatz der Gesamtbandbreite herunter regeln. Insgesamt bot Bigfix unter den getesteten Produkten die umfassendste Sammlung von Control-Funktionen.

Viele Betriebssysteme unterstützt

Die Liste der von Bigfix unterstützten Betriebssysteme ist beeindruckend: Windows, Mac-OS, Solaris, HP-UX, AIX, Suse-Enterprise-Linux, Red-Hat und sogar Vmware-ESX finden sich dort.

Aber bitte nicht zu früh freuen: Die Liste der Betriebssysteme mit Patch-Inhalt weicht leicht von der Liste der unterstützten Betriebssysteme ab. Patches stehen außerdem für viele Applikationen zur Verfügung.

Um Antivirus-Produkte aktuell zu halten, bietet Bigfix ein separates Client-Manager-for-Antivirus-Repository. Es enthält Updates für Antiviren-Software von Symantec, Sophos, Trend-Micro, McAfee und eTrust.

Ein weiterer Bestandteil von Bigfix ist eine Funktion, mit der sich auf einfache Weise Patches erstellen lassen. Sie erfordert zwar die Verwendung einer speziellen Scripting-Sprache des Herstellers. Der Vorteil ist jedoch, dass Patches, die der IT-Manager mit diesem Tool erzeugt, von der Software auf dieselbe Art behandelt werden wie von Bigfix bereitgestellte Patches.

Der Listenpreis für die Testumgebung betrug 20.250 Dollar. Bei 450 Linux/Unix-Servern kostet ein System 25 Dollar; 600 Windows-Server (echte und virtuelle) schlagen mit 15 Dollar pro System zu Buche.

Landesk Patch Manager – Cross-Platform-Patching

Landesks [4] Patch-Manager ist eine Cross-Platform-Lösung, die sich auf Agenten stützt. Der Patch-Manager ist als Einzelprodukt oder als Teil der Landesk-Security- oder -Management-Suite erhältlich.

Die proprietären Agenten müssen auf den Zielsystemen installiert werden. Im Test zeigte Patch-Manager eine gründliche Vulnerabilitäten-Discovery und –Behandlung. Zudem sind robuste Werkzeuge zur Anpassung dieser Aufgaben vorhanden.

Die Software ermöglicht ein Management von Endgeräten über existierende Verzeichnisstrukturen, hinweg, beispielsweise Active-Directory. Gleiches gilt für Gruppen, die in der Applikation erzeugt werden.

Arbeitet mit vielen Betriebssysteme und Anwendungen zusammen

Das Patch-Repository lässt sich modifizieren. Ein Pluspunkt ist die große Zahl der unterstützten Betriebssysteme: Mac-OS-X, Red-Hat- und Suse-Linux, Solaris und Windows.

Landesk Patch Manager: Peer-Downloads verhindern, dass dieselben Patch-Files x-Mal heruntergeladen werden.

Zudem arbeitet das Programm mit vielen Applikationen zusammen, von Apples iTunes bis zu Suns JRE, außerdem mit populären Antivirus-Systemen, darunter denen von McAfee, Sophos und Symantec.

Beim Setup wählt der Administrator die Applikationen, nach denen er scannen und für die er Patches herunterladen möchte. Scans lassen sich mit einer Autofix-Funktion einschalten. Sie verteilt Patches automatisch, wenn der Patch-Manager eine Vulnerabilität findet.

Diese Funktion war unter den getesteten Produkten einmalig. Obwohl sie attraktiv erscheint, sollten Administratoren daran denken, Patches vor der Verteilung gründlich zu testen.

Besser als diese Funktion ist im einen oder anderen Fall die Verwendung der Benachrichtigungsoption: Der Patch-Manager informiert die IT-Abteilung via E-Mail oder Pager, sobald er eine Sicherheitslücke mit einem spezifizierten Schweregrad findet.

Peer-Download verhindert Mehrfach-Downloads

Landesk Patch Manager unterstützt zudem eine Implementierung, die auf Richtlinien basiert. Der Administrator kann dabei die Typen von Patches festlegen, die er installieren möchte.

Während der Verteilung von Paketen stehen Funktionen wie gezieltes Multicast (minimiert die konsumierte Bandbreite) und Peer-Download zur Verfügung. Peer-Downloads schlagen Kapital aus der lokalen Bandbreite, indem sie Pakete nutzen, die ein anderer Agent in einem anderen Subnetz bereits herunter geladen hat.

Diese Eigenschaften erlauben ein Pre-Staging von Patches. Das bietet sogar noch mehr Flexibilität als die üblichen Scheduling-Optionen. Beeindrucken konnte zudem der Inventar-Scan des Patch-Managers. In der Testumgebung lieferte er eine überraschend gründliche Inventarliste der Server.

Das Produkt von Landesk erlaubt es dem Administrator, sprachspezifische Patches zu spezifizieren. Das ist eine nützliche Funktion für international tätige Unternehmen, die Patch-Pakete standardisieren wollen. Landesk aktualisiert das Patch-Repository täglich. Die Frequenz, in der die Management-Station nach Updates sucht, lässt sich nach Bedarf einstellen.

Effizientes Bandbreitenmanagement

Der Einsatz von Agenten ist für einige Organisationen sicherlich problematisch, aber die Tests haben gezeigt, dass sie für ein robustes Patch-Management einfach unerlässlich sind. Um es einfacher zu machen, die Agenten auf die Zielsysteme zu bekommen, unterstützt der Patch-Manager Push-Verteilung und Login-Script-Installation.

Der Patch-Manager macht das Bandbreiten-Monitoring leicht. Mit der Agenten-Installation ist Peer-Downloading und Bandbreiten-Throttling mit Einstellungen für minimale und maximale Nutzung verfügbar.

Der Geräte-Agent berechnet die Bandbreitenutzung dynamisch, während die Patches verteilt werden. Das Peer-Downloading ist besonders für Unternehmen mit mehreren Standorten oder Computern mit unzureichender Netzwerkanbindung interessant.

Die Berichterstellung gleicht der anderer Plattformen. Das Produkt enthält viele Standard-Reports und erlaubt dem Administrator, je nach Bedarf eigene Berichte zu erzeugen.

Diese lassen sich für jede Gruppe von Geräten oder für alle Geräte ausführen; sie können den Status der Agenten, den Vulnerabilitäts-Status und den Behandlungsfortschritt analysieren.

Viele Funktionen nur für Windows

Ein Kritikpunkt ist, dass Patch Manager zwar viele Betriebssysteme unterstützt, die Zahl der Funktionen für Nicht-Windows-Systeme jedoch limitiert ist. So funktionieren Scanning und Behandlung zwar auf Red-Hat-Linux- und Suse-Enterprise-Linux-Systemen, nicht aber auf anderen Unix-Plattformen oder Linux-Distributionen.

Bei HP-UX, AIX und Solaris unterstützt der Patch-Manager nur Scanning, und die Agenten-Installation bei Solaris ist schwierig und zudem unzureichend dokumentiert.

Die Benutzerschnittstelle des Produkts ist adäquat, das Gesamtdesign im Vergleich zu den anderen Produkten aber weniger intuitiv. Die Agenten-Verteilung, das Scanning und Behandlungsaufgaben lassen sich über die grafische Schnittstelle steuern. In einigen Fällen sind jedoch zu viele Schritte erforderlich, um eine Task zu definieren.

Die Navigation fällt möglicherweise leichter, wenn die gesamte Landesk-Management-Suite genutzt wird. Die Patch-Deinstallation funktioniert nicht so einfach wie in den anderen getesteten Produkten.

Die Kosten: rund 29 Dollar pro Knoten.

Kaseya Managed Services Edition 2008 – Windows flicken

Kaseya [5] zielt auf Windows-Umgebungen, die ein zuverlässiges Patch-Management für einen moderaten Preis benötigen. Die Managed-Services-Edition-2008 bietet viele Funktionen, die normalerweise nur in High-End-Produkten zu finden sind. Dazu gehören Bandbreiten-Throttling, Rollback-Optionen und ein Endpunkt-Konfigurations-Management.

Das Produkt arbeitet gut und ist in der Lage, das Windows-Update-Verhalten zu regulieren – eine Eigenschaft, die selbst etliche deutlich teurere Produkten nicht bieten.

Die Suite stützt sich auf Agenten und stellt für die Administration eine überraschend einfach zu benutzende Web-Schnittstelle zur Verfügung. Kaseya passt gut in Unternehmen, die einen richtliniengesteuerten Patch-Prozess suchen.

Sicherheit groß geschrieben

Die Managed-Server-Edition ist extrem sicher. Alle Netzwerktransaktionen sind verschlüsselt; für keine Komponente öffnet das Programm Ports.

Auf Windows spezialisiert ist die Kaseya Managed Services Edition.

Dateitransfers zu Clients komprimiert das Produkt immer dynamisch. Zudem ist eine Option für das Bandbreiten-Throttling pro Client vorhanden. Der Administrator kann auch Endpunkte für das Verteilen von Patches an andere Computer konfigurieren. All dies reduziert den Bandbreitenkonsum im Netzwerk.

Kaseya patcht alle Windows-Versionen sowie Mac-OS-X 10.3.9 und höher. Da das Programm in der Lage ist, Scripts auf den Clients auszuführen, lässt es sich auch dafür konfigurieren, nicht nativ unterstützte Patches zu verteilen. Dabei kann es sich um Patches für eine selbst entwickelte Applikation handeln, für die es keine kommerziellen Updates gibt.

Administratoren können Gruppen von Computern Richtlinien zuweisen. Mithilfe automatischer Updates lässt sich sicherstellen, dass diese Rechner den Policies folgen.

Hervorragende Benutzeroberfläche

In puncto Reporting, Rollback und Aufspüren von neuen Patches ist die Managed-Services-Edition mit anderen Produkten vergleichbar. Die Benutzerschnittstelle war die beste von allen getesteten Paketen: übersichtlich und einfach zu bedienen. Zudem erlaubt sie dem Administrator, jeden Aspekt der Applikation zu steuern.

Kaseya unterscheidet sich von vielen Patch-Management-Produkten dadurch, dass es die Konfiguration von Einstellungen für individuelle Clients erlaubt. Beispielsweise gibt es für das Reboot-Verhalten und die Benachrichtigung über Sicherheitslücken Einstellungen pro Client. Das bietet dem Administrator mehr Flexibilität bei der Entscheidung, wann ein verteilter Patch einen Neustart auslöst.

Der IT-Fachmann muss nicht zwei separate Patch-Pakete erzeugen: eines für Desktops, die sofort gebootet werden können, und eines für Server, die nur innerhalb eines Wartungsfensters neu gestartet werden dürfen. Stattdessen passt er die Einstellung für die individuellen Clients an, um sie zur vorgesehenen Zeit neu zu booten.

Zusätzlich stehen unterschiedliche Reboot-Einstellungen zur Verfügung: erzwungene Reboots, geplante Neustarts, Benachrichtigung des Benutzers und Aufforderung zum Reboot sowie kein Neustarten.

Auch die Benachrichtigungsfunktion der Agenten beim Auffinden von Sicherheitslöchern lässt sich flexibel einstellen. Der Fachmann kann beispielsweise festlegen, dass ihn Desktop- und Laptop-Agenten nur über kritische Schwachstellen informieren, während Agenten auf Servern so konfiguriert werden, dass sie bei jeder Vulnerabilität eine Mitteilung versenden.

Windows-Updates steuern

Kaseya kann zudem das Windows-Update-Verhalten steuern: In einer Client-Einstellung lässt sich Windows-Update ausschalten, mit den üblichen Optionen einschalten, oder der Administrator überlässt die Kontrolle darüber dem Benutzer.

Diese Funktion ist vor allem für Unternehmen hilfreich, die Updates über einen Change-Management-Prozess durchführen, statt sie automatisch installieren zu lassen. Der Change-Management-Prozess kann verhindern, dass das Einspielen von Patches andere Applikationen stört oder die Performance oder Verfügbarkeit eines Systems beeinträchtigt.

Besonders gelungen sind bei der Lösung von Kaseya die Optionen für das Verteilen von Patches über Client-Rechner. Neben den üblichen Funktionen, etwa je nach Login, Domäne, Browser oder Active-Directory, stellt Kaseya eine LAN-Watch-Komponente zur Verfügung.

Konfiguriert der Administrator einen Client als Distributionspunkt, dann scannt dieser andere Maschinen in einem LAN-Segment und verteilt Patches. Jedes Client-Verteilungs-Paket lässt sich modifizieren, um bereits auf dem Kaseya-Server konfigurierte Client-Einstellungen zu nutzen. Das erlaubt Schablonen mit den korrekten Client-Einstellungen für die Server-, Desktop- oder Laptop-Verteilung.

Einfach zu bedienendes Patch-Management für Windows

Das Produkt ist ideal für Windows-Umgebungen, die ein einfach zu bedienendes Patch-Management suchen, aber ihr Budget nicht überstrapazieren möchten. Kaseya unterstützt alle Windows-Versionen ab Windows-95 und Applikationen wie Office, SQL-Server, Windows-Media-Player, Direct-X und Exchange.

Der größte Nachteil des Produkts ist die anfängliche Agenten-Konfiguration. Der Administrator muss jeden Agenten nach der Verteilung individuell konfigurieren – ein zeitraubendes Unterfangen.

Zu bezahlen ist eine einmalige Lizenzgebühr. Kaseya berechnet 12 Dollar pro Gerät bei Abnahme von 600 Windows-Maschinen. Das macht insgesamt 7200 Dollar.

Fazit: Wie das Rennen ausging

Shavlik-Netchk-Protect vereinfacht das Management kritischer Sicherheits-Patches. Außerdem sucht das Programm in Windows-Umgebungen nach Spyware, Malware und ungewünschten Applikationen – alles von einer zentralen Konsole aus und ohne Agenten. Die Unterstützung von Virtualisierung und der Mechanismus für das Bandbreiten-Throttling konnten gefallen.

Lumension-Patchlink verwaltet kritische Sicherheits- und Applikations-Patches auf vielen Plattformen. Dazu bietet das Produkt eine einfach zu bedienende Web-Konsole und aktualisiert Patches täglich. Lizenzgebühren für Patchlink sind zwar jährlich neu zu entrichten, dennoch stimmt bei diesem Produkt das Preis-Leistungsverhältnis.

Landesk-Patch-Manager unterstützt viele Applikationen und Betriebssysteme. Das Produkt ist eine gute Wahl für Organisationen, die ein umfassendes Endpoint- und Change-Management benötigen. Patch-Manager führt eine gründliche Vulnerabilitäten-Discovery und -Beseitigung durch und stellt eine robuste Werkzeugsammlung bereit. Für Nicht-Windows-Systeme bietet das Programm zwar nicht besonders viele Funktionen, dennoch reichte es in der Endabrechnung für die Auszeichnung »Referenz«.

Die Bigfix-Enterprise-Suite ist ein vollständiges Endpoint-Management-System, das sich nicht nur für das Patching, sondern auch für die Steuerung aller Aspekte einer heterogenen Umgebung eignet. Wie die meisten Rivalen benötigt Bigfix Agenten. Vor allem der plattformübergreifende Ansatz der Suite konnte überzeugen – daher eine »Empfehlung« von Network Computing.

Die Kaseya-Managed-Services-Edition ist sehr einfach zu benutzen, aber sie unterstützt nur wenige Betriebssysteme. Zudem sind die Agenten sind nicht ganz einfach zu konfigurieren wie bei anderen Produkten. Dafür bietet die Software ein gutes Preis-Leistungsverhältnis.

Das Testverfahren

Untersucht wurde zunächst die Breite der Plattformunterstützung. Anschließend mussten die Produkte zeigen, wie gut sie Abonnement-Services zum Entdecken neuer Patches nutzen, wie gründlich sie die jeweilige Umgebung untersuchen und welche Rollback-Fähigkeiten sie besitzen.

Getestet wurden ferner die Test- und Staging-Fähigkeiten, die Berichterstellung und Bandbreitensteuerung der Produkte.

Die Testumgebung bestand aus einer Sammlung von Windows-XP-Desktops, Windows-2003-Servern, Red-Hat-Linux- und Solaris-Servern. Gepatcht wurden unter anderem Betriebssysteme, Antivirus-Software und Microsoft Exchange.