Updates automatisch einspielen: Patch-Manager im Vergleichstest

Allgemeiner betrachtet helfen Patches nur wenig, wenn die eigenen Systeme nicht von vornherein sicher sind. Meistens stehen Sicherheitsprobleme nicht im Zusammenhang mit Softwarefehlern; sie haben eher damit zu tun, dass Mitarbeiter unsichere Passwörter verwenden, Rechner nicht richtig konfiguriert oder unbeaufsichtigt sind oder Mitarbeiter E-Mail-Anhänge öffnen und nicht vertrauenswürdige Anwendungen ausführen.

Außerdem gibt es da noch die Ansicht, dass der effektivste Patch der ist, den man nicht anwenden muss. Mit anderen Worten: Man sollte die Dienste, die man nicht zu nutzen beabsichtigt, abschalten und nur die wirklich benötigten ausführen. Vorhandene Schwachstellen können einem Administrator fast gleichgültig sein, wenn der Dienst nicht läuft.

Es ist bei den Betriebssystemen von Microsoft ein anhaltendes Problem, dass Dienste, die von den meisten nicht benutzt werden, die aber zu Sicherheitsproblemen führen können, während der Standardinstallation aktiviert werden. Microsoft hat inzwischen über 20 Dienste in Windows Server 2003 standardmäßig deaktiviert – eine der Maßnahmen, die das Unternehmen ergriffen hat, um die „Angriffsfläche“ zu reduzieren. Bei Linux-Distributionen ist dieses Vorgehen schon seit Jahren üblich.

Administratoren haben die Häufigkeit, mit der Microsoft Patches herausbringt, schon länger kritisiert. Andere Bedenken stehen in Zusammenhang damit, dass es zu viele verschiedene Patch-Installationsprogramme gibt, dass die Patches so groß sind, dass nach Anwendung der Patches ein Neustart der Rechner erforderlich ist und dass es eine Fülle von Patchmanagement-Produkten gibt, die sich in vielen Funktionen überschneiden. Trotzdem gibt es noch immer keine einzige Gesamtlösung für die Verwaltung von Patches. Microsoft hat große Anstrengungen unternommen, um diese Probleme zu beheben, indem es nun den jeweiligen Schweregrad neben den Patches anzeigt und das Testverfahren von Patches verbessert, einheitliche Installationsprogramme bereitgestellt, die Größe der Patches abgeändert und die Neustarts auf ein Minimum reduziert hat.

Dieser Vergleich wirft einen Blick auf Prism Deploy von New Boundary, Hfnetchk Pro von Shavlik Technologies, Radia Patch Manager von Novadigm und LAN Guard Network Security Scanner von GFI. Diese Produkte stellen nur Patches für Betriebssysteme von Microsoft, Internet Explorer, Exchange Server, SQL Server, IIS, Media Player, DirectX, MDAC, Outlook und Office bereit.

Auch Altiris und IBM wurden eingeladen, ihre Produkte einzubringen: Altiris wartet zurzeit auf die Veröffentlichung der nächsten Version und konnte nicht rechtzeitig ein Vorabexemplar besorgen; IBM war außer Stande, ein Produkt zu liefern. Mit manchen dieser Produkte können auch Patches für andere als Microsofts Produkte bereitgestellt werden, doch benötigt man dann die entsprechende Programmdatei. Mac- und Linux-Anwender müssen sich noch gedulden. Manche dieser Anbieter arbeiten gerade an Lösungen für Mac- und Linux-gestützte Systeme, weshalb die Wartezeit sicherlich nicht allzu lange sein wird.

Ein weiteres Produkt, das auf diesem Gebiet interessant ist, jedoch nicht direkt Patches bereitstellt, wurde ebenfalls untersucht: Network Virus Wall von Trend Micro. Die Systems Management Server (SMS) Software von Microsoft, die sich sowohl um die Softwareverteilung als auch um die Anlagenverwaltung kümmert, wurde ebenfalls kurz untersucht.

Themenseiten: Business-Software, Security-Praxis, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Updates automatisch einspielen: Patch-Manager im Vergleichstest

Kommentar hinzufügen
  • Am 17. Juli 2004 um 16:38 von Walter Auckenthaler

    update Expert
    Hallo,

    Ein hoch auf Update Expert !
    Kostenguenstige Alternative zu seinen teureren Patcher Kollegen. Patches stehen schnell bereit und koennen ohne grosse Probleme im silent mode auf den im Netz befindlichen aktiven Maschinen verteilt werden.
    Fuer Netze bis 300 stations ideal !

    • Am 3. August 2004 um 20:19 von Bert Rheinbach

      AW: update Expert
      Prism Patch Manager ist der Update Expert, jedoch in OEM Lizenz.

  • Am 15. Juli 2004 um 12:57 von Rainer Rösch

    Alternative: Update Expert
    Hallo,

    hier wurde ein recht gutes Programm (meine Meinung) vergessen:

    UpdateExpert von St. Bernard

    Wer sich für Patch-Management interessiert sollte sich auch diese Lösung anschauen.

    • Am 3. August 2004 um 20:20 von Bert Rheinbach

      AW: Alternative: Update Expert
      Der Prism Patch Manager ist der Update Expert, jedoch in OEM Lizenz.

  • Am 14. Juli 2004 um 9:34 von H: Hemmerling

    WUS und SUS
    Wir haben derzeit SUS im Einsatz, welches keinen Cent kostet und sind sehr zufrieden.

    Daher hätte uns ein Vergleichstest des neuen WUS-Servers sehr intressiert.
    Denn logischerweise sollte wohl auf einer Microsoft-Umgebung nichts besser laufen als Microsoft !?!

  • Am 14. Juli 2004 um 9:14 von Nobird

    Was ist mit SUS und WUS von M$
    Ich vermisse in diesem Test auch die M$ Produkte SUS bzw WUS, mit denen man kostenfrei die Systeme patchen kann.

    • Am 14. Juli 2004 um 15:54 von 3st

      AW: Was ist mit SUS und WUS von M$
      Schließe mich an, für die Verteilung von Sicherheits-Patches in einem lokalen Netz ist das kostenlose SUS von Microsoft eine gute Alternative – und wird hier nur in einem Nebensatz zu SMS erwähnt.

  • Am 13. Juli 2004 um 19:58 von Markus Diliberto

    Trend Micro
    Das stimmt! Ich benutze Trend Micro bei uns in der Firma, auf nem 2003er Small Business Server. Zusätzlich wird ein 2ter 2003er Standart damit geschützt.

    Trend Micro ist da einfach supersahne, und supereinfach!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *