LackyVis - stock.adobe.com

Patch-Management: Welche Alternativen gibt es für WSUS?

Es gibt alternative Tools für das Patch-Management außer WSUS. Dieser Beitrag stellt Ihnen die verschiedenen Funktionen vor, damit Sie für Ihre Umgebung das richtige finden.

Zur Verwaltung von Patches auf Windows Server- und Desktop-Systemen werden meist Microsoft Configuration Manager oder Windows Server Update Services genutzt. Beide Optionen sind bekannt, weit verbreitet und in das größere Windows-Ökosystem integriert, was beide zu einer Lösung für Unternehmen macht, die Microsofts Betriebssysteme einsetzen.

Die Patch-Management-Funktionen in Configuration Manager, dem früheren System Center Configuration Manager, der jetzt zur Microsoft-Intune-Produktfamilie gehört, können Administratoren bei der Verwaltung der komplexen Aufgaben der Verfolgung und Anwendung von Updates unterstützen. Configuration Manager umfasst eine Reihe integrierter Tools für die manuelle oder automatische Aktualisierung von Software sowie für die Kontrolle, wann und wie Patches bereitgestellt werden. Er bietet weitere Verwaltungsfunktionen und gibt der IT-Abteilung ein einziges Tool an die Hand, um viele der mit der Verwaltung von Windows-Computern verbundenen Aufgaben auszuführen.

Configuration Manager verwendet Windows Server Update Services (WSUS), um Updates zu synchronisieren und die Anwendbarkeit von Updates zu prüfen. Unternehmen benötigen jedoch keinen Configuration Manager, um WSUS zu verwenden. WSUS ist eine kostenlose Serverrolle in Windows Server, die für die Verwaltung und Verteilung von Updates verwendet wird. Wie Configuration Manager bietet WSUS ein integriertes Tool zum Patchen von Windows-Rechnern, jedoch ohne die damit verbundenen Kosten und den Overhead.

Im September 2024 kündigte Microsoft in einem Blogeintrag ein, dass WSUS nicht mehr weiterentwickelt und nicht in neue Funktionen investiert wird. Allerdings werden weiter Updates darüber veröffentlicht und an der aktuellen Funktionalität ändert sich nichts.

Warum sollten WSUS oder Configuration-Manager-Alternativen in Betracht gezogen werden?

Obwohl viele Unternehmen Configuration Manager und WSUS für das Windows-Patching verwenden, haben beide Produkte ihre Grenzen. Einige IT-Experten halten Configuration Manager beispielsweise für teuer und zu komplex. Außerdem bietet das Produkt nur begrenzte Unterstützung für nicht-Windows-Plattformen und -Anwendungen und muss auf Windows Server installiert werden.

Wie Configuration Manager muss auch WSUS auf Windows Server installiert werden, was zusätzliche Lizenzgebühren nach sich ziehen kann. Das Produkt hat außerdem den Ruf, ineffizient, umständlich und manchmal fehlerhaft zu sein. Darüber hinaus bietet WSUS nur rudimentäre Automatisierungs- und wenig Berichtsfunktionen.

Patching-Tools von Drittanbietern versuchen, diese Einschränkungen zu beheben, indem sie entweder WSUS oder Configuration Manager erweitern oder ein separates Tool für das Patch-Management bereitstellen. Tools von Drittanbietern können dazu beitragen, die Patching-Vorgänge zu rationalisieren und zu vereinfachen, während sie gleichzeitig mehr Kontrolle über den Patching-Prozess bieten. Aber nicht alle Patching-Tools sind gleich.

WSUS-Alternativen für das Patch-Management

Im Folgenden finden Sie in alphabetischer Reihenfolge eine kurze Zusammenfassung von acht bekannten WSUS-Alternativen, die jeweils einen anderen Ansatz für die Aktualisierung des Windows-Betriebssystems und der darauf ausgeführten Anwendungen verfolgen. Hier erfahren Sie alle Details zu den einzelnen acht Produkten.

1. Automox

Automox, ein Cloud-basiertes, plattformübergreifendes Systemmanagement-Tool für Patch-Management, Softwareverteilung, Berichterstellung und Richtliniendurchsetzung, ist kein reines Patch-Management-Tool, sondern eher ein IT-Betriebssystem. Zusätzlich zu seinen Patch-Management-Funktionen kann Automox auch für das Konfigurationsmanagement verwendet werden. Eine weitere wichtige Funktion ist die Behebung von Schwachstellen, die von CrowdStrike, Rapid7 oder Tenable identifiziert wurden, mit nur einem Klick.

Automox übernimmt das Patch-Management von Betriebssystemen und Anwendungen für eine Vielzahl von Endgeräten. Derzeit sind Agenten für Windows, macOS und Linux verfügbar, und Automox kann Dutzende von Anwendungen von Drittanbietern plattformübergreifend patchen.

Automox ist ein SaaS-Produkt und der Anbieter offeriert zwei Arten von Abonnements: Standard und Pro. Der Standardplan richtet sich an Unternehmen, die Patch-Management-Funktionen benötigen. Neben dem Patchen von Betriebssystemen und Anwendungen umfasst es Funktionen wie eine vollständige Geräteinventarisierung, grundlegende Berichte und Endbenutzerbenachrichtigungen. Das Pro-Abonnement umfasst dieselben Funktionen wie das Standard-Abonnement, bietet jedoch unter anderem zusätzlich eine Mehrzonenverwaltung, automatische Schwachstellenbehebung und Fernsteuerung.

2. GFI LanGuard

GFI LanGuard ist ein Netzwerksicherheits-Tool für Patch-Management, Netzwerk-Audits und Schwachstellenerkennung, das sich vor allem an kleinere Unternehmen richtet. Die Lösung kann mit oder ohne Agenten eingesetzt werden. Die Reporting-Engine wurde speziell für die Einhaltung gesetzlicher Vorschriften entwickelt. Kürzlich wurde die Lösung um generative KI zur Analyse und automatischen Konfiguration erweitert.

GFI LanGuard unterstützt das Patch-Management für Windows, macOS- und Linux-Systeme sowie für Anwendungen von Drittanbietern. Die Software scannt verwaltete Knoten und identifiziert fehlende Patches, prüft aber auch auf über 60.000 bekannte Sicherheitslücken. Wird eine Schwachstelle gefunden, gibt die Software einen grafischen Hinweis auf den Schweregrad der Sicherheitslücke sowie eine Handlungsempfehlung. GFI LanGuard lässt sich zudem mit über 4.000 Sicherheitsanwendungen integrieren. Die Schwachstellen-Scans von GFI LanGuard sind übrigens nicht auf Windows, macOS und Linux beschränkt. Die Lösung unterstützt auch Apple iOS und Android und kann bestimmte Netzwerk-Hardware wie Drucker und Switches scannen.

Die Lizenzierung von GFI LanGuard richtet sich nach der Anzahl der zu verwaltenden Netzwerkknoten. GFI bietet drei verschiedene Lizenzierungsmodelle an. Jeder Plan basiert auf einem Jahresabonnement und umfasst die gleichen Funktionen. Der einzige Unterschied zwischen den Plänen sind die Kosten, wobei größere Unternehmen pro Knoten weniger bezahlen. GFI LanGuard ist auch Teil des GFI-Unlimited-Plans, der Lizenzen für eine Reihe anderer GFI-Produkte umfasst.

3. Ivanti Security Controls

Ivanti Security Controls, ehemals Patch for Windows, ist ein vielseitiges Patch-Management-Produkt für Windows-Computer, VMs und VM-Vorlagen, das auf physischer oder virtueller Hardware läuft. Es unterstützt auch VMware ESXi-Hosts, Windows-Anwendungen und Linux-Distributionen, einschließlich Red Hat Enterprise Linux und CentOS. Security Controls verfügt über eine zentrale Benutzeroberfläche, die das Scannen physischer und virtueller Systeme, die Bewertung und Verteilung von Patches sowie die Planung von Remote-Operationen erleichtert und gleichzeitig eine granulare Rechteverwaltung für ein ausgewogenes Verhältnis zwischen Zugriff und Sicherheit bietet.

Administratoren können Security Controls so konfigurieren, dass es automatisch geplante, wiederkehrende Scans durchführt und alle fehlenden Patches verteilt, die bei den Scans entdeckt werden. Security Controls kann Software und Hardware erkennen und kategorisieren, den Anlagebestand im Laufe der Zeit verfolgen und den Energiezustand eines Computers kontrollieren, zum Beispiel das Herunterfahren und Neustarten. Außerdem können Administratoren PowerShell-Skripte ausführen, um Aufgaben auszuführen oder Vorgänge zu automatisieren. Die REST-APIs integrieren Security Controls mit anderen Produkten und unterstützen den Fernzugriff und -steuerung und bieten eine Automatisierung von Vorgängen.

Security Controls generiert mehrere Berichte, die eine Vielzahl von Informationen liefern, zum Beispiel über die installierten Betriebssysteme, den Energiestatus der Rechner, die Bereitstellung von Patches und deren Status sowie die Konformität der Rechner. Admins können Datenbankabfragen verwenden, um benutzerdefinierte Berichte zu erstellen. Security Controls kann Anwendungen und deren Dienste und Komponenten anzeigen sowie die CVE-Liste importieren. Es kann auch anzeigen, welche Patches mit den einzelnen CVEs verbunden sind.

Ivanti Security Controls
Abbildung 1: Ivanti Security Controls schützt sowohl Windows- als auch Linux-Rechner.

4. Kaseya VSA

Der Cloud-basierte Kaseya VSA ist ein Fernüberwachungs- und Verwaltungsdienst, der Patch-Management-Funktionen zur Installation, Bereitstellung und Aktualisierung von Software auf Windows-, macOS- und Linux-Rechnern umfasst. Er verwendet ein richtlinienbasiertes Patch-Management, das die Softwarewartung automatisiert und standardisiert. Administratoren können Patches genehmigen, planen und installieren sowie regelmäßige Netzwerk-Scans zur Analyse von Computern und zur Automatisierung von Software-Updates planen.

Kaseya VSA verfügt über eine zentrale Konsole, die beim Patch-Management hilft, einschließlich der Deinstallation und Reparatur von Software. Administratoren können Computer auf fehlende Patches scannen, eine Zusammenfassung des Patch-Status für jeden Rechner anzeigen und Patches von bestimmten Rechnern ausschließen. Kaseya VSA kann auch Verfahren vor oder nach Updates ausführen. So kann ein Administrator beispielsweise eine Prozedur verwenden, um die Einrichtung eines neu hinzugefügten Computers zu automatisieren.

Kaseya VSA bietet Administratoren sowohl manuelle als auch automatisierte Optionen für Software-Updates und bietet gleichzeitig eine detaillierte Kontrolle über den Patching-Prozess. Administratoren können auch Patch-Berichte einrichten, um die Konformität ihrer Umgebung zu überprüfen und schnell Endpunkte und Anwendungen zu identifizieren, die Aufmerksamkeit benötigen. Darüber hinaus fasst Kaseya VSA den Patch-Status aller Rechner zusammen, um zu sehen, welche CVEs auf den einzelnen Rechnern behoben werden müssen. Administratoren können mit dem Produkt auch auf aktuelle Netzwerk-Scans zugreifen, um installierte und fehlende Patches zu identifizieren.

Kaseya VSA
Abbildung 2: Kaseya VSA überwacht und behebt Schwachstellen.

5. ManageEngine Patch Manager Plus

ManageEngine, eine Abteilung von Zoho, bietet mit Patch Manager Plus ein vielseitiges Patch-Management-Tool an, das als On-Premises-Software oder als Cloud-Service verfügbar ist. Es unterstützt Windows-, macOS- und Linux-Endpunkte sowie mehr als 850 Anwendungen von Drittanbietern. Administratoren können Patching-Vorgänge über eine einzige Schnittstelle ausführen und die vorgefertigten Pakete des Anbieters nutzen, um den Prozess zu optimieren. Außerdem können sie die Patch-Verteilung für Betriebssysteme und Anwendungen automatisieren.

Patch Manager Plus enthält zahlreiche Prüf-, Analyse- und Berichtsfunktionen, die einen Einblick in den Patch-Status von Computern und Anwendungen ermöglichen. ManageEngine bietet eine kostenlose Edition und zwei kostenpflichtige Editionen, Professional und Enterprise. Die Enterprise-Edition ist für den WAN-Einsatz geeignet, während die Professional-Edition für LANs konzipiert ist. Die Enterprise-Edition umfasst alle Funktionen der Professional-Edition, bietet aber zusätzlich Updates für Antivirendefinitionen und die Möglichkeit, Patches zu testen und zu genehmigen. Die Enterprise-Edition enthält außerdem einen Verteilungsserver, der zur Einsparung von Bandbreite beitragen kann. Die kostenlose Edition unterstützt ähnliche Funktionen wie die kostenpflichtigen Editionen, ist aber auf 20 Workstations und fünf Server beschränkt.

Mit der Enterprise-Edition kann die IT-Abteilung den gesamten Patch-Management-Prozess automatisieren. Dazu gehören das Scannen von Endpunkten auf fehlende Patches, das Herunterladen von Patches von Hersteller-Websites, die Verteilung der Patches und die Erstellung von Berichten über den Patch-Management-Prozess. Alle drei Editionen enthalten jedoch Funktionen wie die Bereitstellung von Service Packs, Active-Directory-Authentifizierung, Patching für Roaming-Benutzer, rollenbasierte Verwaltung und On-Demand-Remote-Shutdown.

ManageEngine Patch Manager Plus
Abbildung 3: ManageEngine Patch Manager Plus prüft auf fehlende Patches.

6. PDQ Deploy

PDQ Deploy von PDQ.com ist ein leichtgewichtiges Softwareverteilungswerkzeug für die Automatisierung der Patch-Verwaltung auf Windows-Server- und Desktop-Rechnern. Es unterstützt mehr als 250 Windows-Anwendungen, die mit den vorgefertigten, vorab getesteten Paketen des Herstellers aktualisiert werden können. Darüber hinaus kann die IT-Abteilung benutzerdefinierte Pakete erstellen sowie Dateien kopieren, Nachrichten an Benutzer senden oder Neustarts auf verwalteten Systemen erzwingen. PDQ bietet Pläne für kleine Unternehmen, Bildungseinrichtungen und Unternehmen an. Die Lizenzkosten richten sich nach der Anzahl der Administratoren, die die Software nutzen werden. Eine 14-tägige Testversion ist verfügbar.

PDQ Deploy verwendet eine zentrale Konsole für die Installation, Deinstallation, Aktualisierung, Reparatur und andere Änderungen im gesamten Netzwerk. Die Konsole ermöglicht auch den Zugriff auf die vorgefertigten Anwendungspakete. Darüber hinaus bietet PDQ eine CLI für die Arbeit mit Paketen.

Administratoren können auch Skripte verwenden, um Vorgänge zu automatisieren, da mehrere Skriptsprachen unterstützt werden, darunter Visual Basic, PowerShell und Batch-Dateien. Darüber hinaus kann die IT-Abteilung mehrere Verteilungspunkte für die gemeinsame Nutzung von benutzerdefinierten Paketen, Zeitplänen und Ziellisten einrichten.

Für die meisten Verteilungen nutzen Administratoren die Planungsfunktionen, um Pakete in bestimmten Abständen zu verteilen. Sie können auch automatische Bereitstellungen für neue Paketversionen erstellen, sobald diese in der Paketbibliothek verfügbar sind. Darüber hinaus kann PDQ Deploy eine E-Mail mit Details zu den Patch-Bereitstellungen senden, einschließlich der Informationen, welche Computer oder Software aktualisiert wurden und welche Systeme möglicherweise mehr Aufmerksamkeit benötigen. Administratoren können auch auf integrierte Berichte zugreifen, die Informationen zur Bereitstellung und Planung enthalten.

PDQ Deploy
Abbildung 4: PDQ Deploy automatisiert das Patch-Management und aktualisiert Systemänderungen.

7. Quest KACE Systems Management Appliance

Quest KACE Systems Management Appliance ist als einheitliches Endpoint-Management-System konzipiert, das weit mehr kann als nur einfaches Patch-Management. Sie können es auch für Aufgaben wie Softwareverteilung, Softwarelizenzverfolgung sowie Servermanagement und -überwachung verwenden. Es gibt sogar eine mobile App für die Verwaltung von Service-Tickets von unterwegs aus.

Die Appliance kann Patch-Management für Windows-, Linux- und macOS-Systeme sowie eine Vielzahl von Anwendungen durchführen. Quest verwendet ein System von Smart Labels, mit denen Administratoren sowohl Endpunkte als auch Updates klassifizieren und dann auf der Grundlage der Labels Aktionen durchführen oder Berichte erstellen können. Patches können zum Beispiel nach Hersteller, Datum oder Schweregrad gekennzeichnet werden. Die Appliance kann auch automatische Schwachstellen-Scans durchführen sowie Konfigurationsmanagement und die Durchsetzung von Richtlinien übernehmen. In Umgebungen mit mehreren Standorten kann die Appliance Replikationsserver nutzen, um den Bandbreitenverbrauch beim Patch-Management zu minimieren.

Quest bietet mehrere Bereitstellungsoptionen für die KACE Systems Management Appliance. Sie kann als virtuelle Appliance vor Ort oder gehostet in VMware, Hyper-V, Nutanix oder der Microsoft Azure Cloud eingesetzt werden.

8. SolarWinds Patch Manager

SolarWinds Patch Manager ist für Unternehmen gedacht, die bereits WSUS oder Configuration Manager einsetzen, und bietet eine breite Unterstützung für Anwendungen von Drittanbietern sowie umfassendere Berichtsfunktionen als die meisten anderen Tools. Er baut WSUS und Configuration Manager auf und erweitert diese, um ein Patch-Management-Tool für die Behebung von Software-Schwachstellen und die Verwaltung von Drittanbieter-Anwendungen bereitzustellen. IT-Teams können Windows-Updates automatisch mithilfe von benutzerdefinierten Zeitplänen anwenden, die auf bestimmte Unternehmensgruppen oder Systemkategorien abzielen, basierend auf Faktoren wie Betriebssystem oder IP-Bereich. Patch Manager hilft Teams auch dabei, proaktiv zu ermitteln, welche Windows-Rechner gepatcht werden müssen, und die Patches dann schnell auf diesen Systemen zu verteilen, einschließlich virtualisierter Workloads.

SolarWinds Patch Manager
Abbildung 5: SolarWinds Patch Manager bietet WSUS-Synchronisierungsstatus und -einstellungen.

Administratoren können vor und nach der Aktualisierung Paketszenarien erstellen, um die Bereitstellung von Patches Dritter zu überprüfen. Patch Manager enthält einen Assistenten für benutzerdefinierte Pakete, mit dem Administratoren Pakete für jede beliebige Anwendung erstellen können, ohne dass komplexe Skripte oder System Center Updates Publisher erforderlich sind. SolarWinds bietet auch vorgefertigte, vorab getestete Anwendungspakete, die Administratoren schnell über WSUS oder Configuration Manager bereitstellen können.

Patch Manager bietet eine Web-Konsole zur Zentralisierung der Patch-Verwaltung und zur Anzeige wichtiger Patch-Informationen. Die Konsole bietet mehrere Berichtsoptionen zur Ermittlung des Patch-Status und zum Nachweis der Patch-Compliance gegenüber Prüfern. Admins können auch Informationen über die neuesten verfügbaren Patches, fehlende Patches auf ihren Systemen und den allgemeinen Zustand der Patch-Umgebung anzeigen. Darüber hinaus kann Patch Manager Administratoren über die Konsole oder per E-Mail benachrichtigen, wenn Updates verfügbar sind.

Erfahren Sie mehr über Data-Center-Betrieb