Einleitung
Firmennetzwerke müssen stets aktuell sein, da gibt es kein wenn und aber.
Es gibt jedoch verschiedene Wege, welche zu diesem Ziel führen. Hiermit eine Produktempfehlung
Alternative zum WSUS
Viele Informatiker arbeiten mit dem Microsoft WSUS (Windows Server Update Services)um eine Übersicht aller anstehenden Updates zu haben und um stets die aktuellen Updates im ganzen Netzwerk automatisiert auszurollen.
Nachteil: Es kann nur für Windows Geräte eingesetzt werden.
Weiteren Nachteil: Es funktioniert nur für Hauseigene Updates von Microsoft, keine Drittherstellersoftware wird damit aktualisiert. = Unsicher oder hat Bedarf an manueller Aktualisierungsarbeit.
Heute sind aber auch Dritthersteller Software Aktualisierungen sowie Treiberaktualisierungen notwendig. Ich möchte jeweils nicht wissen, was unsere Kunden alles auf ihren Geräten installiert haben. Das Patch-Management System von ManageEngine weiss es aber ganz genau und listet uns die anstehenden Aktualisierungen dazu auf:
Wie soll im besten Fall ein ganzes Firmennetzwerk aktuell gehalten werden?
Dies erfordert mehrere Komponenten. Einerseits ein Monitoring über alle Netzwerkgeräte hinweg, einen Wartungsvertrag, wo sämtliche Netzwerkgeräte wiederkehrend aktualisiert werden und ein System welches die Server und Clients laufend aktuell hält.
Der Agent von ManageEngine kann auf Windows Geräte, Linux Geräte und Apple Geräte installiert werden. Damit sehen wir im ManageEngine Dashboard sämtliche Statusinformationen über das Gerät und wir sehen die aktuell anstehenden Patchs (Aktualisierungen).
Wie weit geht somit die Automatisierung mit MangeEngine?
Am Patchday von Microsoft, jeweils am zweiten Dienstag im Monat, werden die aktuellsten Patchs für Windows Server und Clients zum Rollout freigegeben.
ManageEngine sucht je nach Konfiguration z.B. alle 24h auf allen Geräten nach Patchs, welche für sie freigegeben wurden, und fassen die in einer Liste zusammen. (Gemäss Abbildung 1)
Wir konfigurieren eine neue Aufgabe zur automatischen Patch-Aktualisierung.
Wir wählen aus welche Microsoft Updates aktualisiert werden sollen.
Wir wählen aus welche Drittanbieteraktualisierungen, Virenschutzaktualisierungen und Treiberaktualisierungen aktualisiert werden sollen.
Wir konfigurieren eine Patch-Deployment Richtlinie z.B. basierend auf den Patch-Tuesday und geben ein Zeitfenster ein zu welcher Zeit die Aktualisierung durchlaufen soll.
Wir erstellen Scripts, was vor der Aktualisierung passieren soll (Pre-Script) und solche die nach den Aktualisierungen ausgeführt werden sollen (Post-Scripts) z.B. ein Neustart vom Server oder gewisse Dienste Neustarten. Danach wird konfiguriert welche Benachrichtigungen an wen Zugestellt werden soll.
Es gibt Firmenstrukturen, wo nicht alle Server gleichzeitig aktualisiert werden dürfen, weil sie Abhängig von anderen Server-Diensten sind. Da können beliebig viele Aufgaben für Server-Gruppierungen konfiguriert und automatisiert werden.
Anschliessend ist eine IT-Fachkraft gefragt, um die Berichte zu analysieren und allenfalls werden Nachkorrekturen dort benötigt, wo es Schwierigkeiten gab.
Fazit:
Ein System welches monatlich automatisch Patchs ausrollt, erhebt die Sicherheit Ihrer Infrastruktur erheblich. Technisch ist es möglich – Praktisch auch.