LackyVis - stock.adobe.com
Die 12 besten Patch-Management-Lösungen und -Tools
Diese 12 Tools gehen das Patching aus unterschiedlichen Perspektiven an. Wenn Sie die verschiedenen Ansätze verstehen, finden Sie das richtige Produkt für Ihre Anforderungen.
IT-Teams müssen sicherstellen, dass die Software, die auf ihrer verwalteten Infrastruktur läuft, zeitnah Sicherheits-Patches und Updates erhält, um Anwendungsunterbrechungen und Sicherheitsrisiken zu minimeren. Die Teams benötigen umfassende Patching-Tools, die den Patch-Verwaltungsprozess vollständig automatisieren, ohne die Aufgaben der Endpunkt- und Netzwerkverwaltung übermäßig zu komplizieren.
Es gibt viele Produkte, und die Auswahl ist keine leichte Aufgabe. Im Folgenden werden zwölf Patch-Management-Produkte vorgestellt, die zum Teil aufgrund ihrer Beliebtheit ausgewählt wurden, zum Teil aber auch, weil sie verschiedene Optionen repräsentieren, die unterschiedliche Ansätze für die Endpunktverwaltung bieten. Ein Vergleich der verschiedenen Ansätze kann dabei helfen, die Arten von Funktionen zu identifizieren, auf die Sie bei Patch-Management-Software achten sollten. Die Beschreibungen basieren auf der Dokumentation der Anbieter. Diese Liste ist nicht in einer Rangfolge, sondern alphabetisch sortiert und erhebt auch keinerlei Anspruch auf Vollständigkeit.
Atera
Atera ist eine Cloud-basierte Remote-Überwachsungs- und Verwaltungsplattform, die in verschiedenen Versionen für IT-Abteilungen und Managed Service Provider (MSPs) erhältlich ist. Die Plattform bietet Dienste wie IT-Automatisierung, benutzerdefinierte Skripterstellung, Netzwerkerkennung, Ticketing, Berichterstellung, Echtzeitwarnungen und Patch-Management. Administratoren können über eine zentrale Schnittstelle automatisch Patches für macOS- und Windows-Server und -Workstations identifizieren und verteilen. Bei Bedarf können sie auch Remote-Systeme neu starten.
Atera kann Betriebssysteme, Anwendungen und Hardwaretreiber patchen. Es unterstützt gängige Software von Drittanbietern wie Chrome, Zoom, Java, Dropbox, Microsoft Office und Adobe-Produkte. Administratoren können Automatisierungsprofile erstellen, um Patches in großem Umfang zu installieren oder zu aktualisieren und dabei bestimmte Patches bei Bedarf auszuschließen. Ein einzelnes Profil kann neben dem Patching auch andere Aufgaben umfassen, wie die Installation eines Softwarepakets, die Aktualisierung einer Windows-Version oder die Verwaltung von Speicherplatten.
Die Atera-Plattform bietet mehrere umfassende Berichte speziell für das Patching. So können Administratoren beispielsweise einen Bericht auf der Grundlage von Microsoft-Wissensdatenbanken erstellen und dann fehlende Patches mit einem einzigen Klick direkt aus diesem Bericht installieren. Administratoren können auch Details zum Patch-Status und zu protokollierten Aktionen einsehen. Atera bietet vier Abonnementpläne für die Version für IT-Abteilungen an – Professional, Expert, Master und Enterprise – von denen die ersten drei entweder als monatliche oder jährliche Abonnements erhältlich sind. Für den Enterprise-Plan ist ein Gespräch mit der Vertriebsabteilung von Atera erforderlich. Alle vier Pläne unterstützen das Patch-Management.
Automox
Automox ist eine Cloud-native Systemmanagement-Plattform, die das Patchen, die Compliance und die Konfiguration lokalen, entfernten und in der Cloud gehosteten Endpunkten automatisiert. Die Plattform unterstützt Windows-, macOS- und Linux-Systeme und bietet eine einzige Konsole für die Verwaltung von Patches und Updates für Betriebssysteme und Drittanbieteranwendungen. Darüber hinaus kann Automox nach Angaben des Anbieters automatisch eine Inventarisierung der gesamten Hardware und Software durchführen und bietet so einen vollständigen Überblick über die auf den verwalteten Geräten installierten autorisierten und nicht autorisierten Anwendungen.
Automox kann fehlende Patches in den drei Betriebssystemen und einer breiten Palette von Anwendungen identifizieren. Es bietet native Unterstützung für Produkte wie Adobe Reader, Apple iTunes, Citrix Workspace App, Dropbox, Inkscape, Office 365, Notepad++, Slack und viele mehr. Administratoren können ausstehende Patches anzeigen und sie genehmigen oder ablehnen. Sie können auch auf Details zu einzelnen Patches zugreifen.
Mit Automox können Administratoren benutzerdefinierte Skripte erstellen, die eine genaue Kontrolle über die Konfiguration und die Patch-Verwaltungsprozesse ermöglichen. Sie können Patches für bestimmte Zeit planen oder so konfigurieren, dass sie jedes Mal automatisch ausgeführt werden, wenn ein Gerät mit dem Internet verbunden wird. Automox umfasst auch Benachrichtigungs- und Berichtsfunktionen, die je nach den spezifischen Anforderungen eines Unternehmens eingerichtet werden können. Automox ist in drei Abo-Varianten erhältlich: Basic für die Patch-Verwaltung, Standard für die Verwaltung von Endgeräten und Pro, das das Standard-Paket um die Verwaltung mehrerer Endgeräte, Abhilfemaßnahmen und andere erweitere Funktionen erweitert.
GFI LanGuard
GFI LanGuard ist eine Endpunkt-Schutzsoftware, die es Administratoren ermöglicht, Schwachstellen zu erkennen und Software-Patches für lokale und entfernte Desktops, Server und virtuelle Maschinen bereitzustellen. Darüber hinaus können Administratoren ihre Netzwerke auf fehlende Patches und andere Sicherheitslücken überprüfen. LanGuard unterstützt Windows-, macOS- und Linux-Geräte sowie Drittanbieter-Anwendungen von über 50 Herstellern, darunter Adobe, Apple, Google, Microsoft, Mozilla, Oracle und VMware.
Administratoren können LanGuard so einrichten, dass er ihre Netzwerke automatisch scannt oder bei Bedarf Scans durchführt. Außerdem können sie Patches über die zentrale Schnittstelle verteilen oder Agenten auf einzelnen Rechnern einsetzen, die die Patching-Vorgänge durchführen und so die Verarbeitungslast verteilen. Darüber hinaus können Administratoren steuern, welche Patches installiert werden sollen, fehlende Patches automatisch herunterladen und Patch-Update zurücknehmen, wenn ein Problem auftritt.
LanGuard bietet auch eine webbasierte Berichtschnittstelle, über die Administratoren Berichte in Formate in PDF, RTF oder CSV exportieren können. Sie können auch den automatischen Versand von Berichten per E-Mail planen. Bei großen Netzwerken können Administratoren mehrere LanGuard-Instanzen einsetzen und auf Basis der Daten dieser Instanzen aggregierte Berichte erstellen. GFI lizenziert LanGuard auf jährlicher Basis pro Knoten, wobei der Preis von der Anzahl der Knoten abhängt und davon, ob das Produkt zusammen mit anderen GFI-Produkten erworben wird. Der Preis pro Knoten sinkt deutlich bei 50 und 250 Knoten.
ITarian
ITarian ist eine Cloud-basierte IT-Management-Plattform für MSPs. Sie bietet vier primäre Dienste: Remote-Überwachung und -Verwaltung, IT-Service-Management, Service Desk und Patch-Management. Die Patch-Management-Funktion unterstützt sowohl Windows- und Linux-Betriebssysteme als auch über 400 Anwendungen von Drittanbietern. Administratoren können Geräte auf fehlende Patches überprüfen und jede Phase des Patch-Management-Prozesses, einschließlich des Patch-Downloads automatisieren.
ITarian ermöglicht die Identifizierung von Endgeräten, die Schwachstellen enthalten, die Kennzeichnung dieser Endgeräte und die Erstellung von Richtlinien für die automatische Verteilung von Patches zu festgelegten Zeiten an bestimmte Endgerätegruppen. Administratoren können benutzerdefinierte Tags erstellen, mit denen sie Endpunkte entsprechend den geschäftlichen Anforderungen organisieren können. Darüber hinaus können sie Patches nach Schweregrad, Hersteller oder Typ verteilen und die Verteilung nach Zeit, Gruppe, Computer oder anderen Kriterien planen. Administratoren können Patches auch testen, bevor sie sie für die Verteilung freigeben.
ITarian bietet ausführliche Berichte über die Hardware-, Software- und Patch-Update-Historie der verwalteten Geräte. Die zentrale Schnittstelle bietet einen Überblick über die Endpunktstatistiken und den Patch-Status und zeigt an, welche Endpunkte Schwachstellen enthalten, damit sie schnell gepatcht werden können. ITarian verfolgt und verwaltet Patches auf Endpunktsystemen in Echtzeit und liefert Berichte über gewandte oder fehlende Patches sowie über fehlgeschlagene Installationen. Unternehmen können ITarian für bis zu 50 Endpunkte kostenlos nutzen. Danach fallen Abonnementgebühren pro Gerät an.
Kaseya VSA
Kaseya VSA ist eine Fernüberwachungs- und -verwaltungssoftware mit Funktionen wie Alarmierung, Erkennung, Automatisierung und Patch-Management. Administratoren können die Plattform nutzen, um Windows-, macOS- und Linux-Computer sowie Anwendungen von Drittanbietern bereitzustellen, zu aktualisieren und zu patchen. VSA bietet ein vollständig automatisiertes Patch-Management mit einem konfigurierbaren, richtliniengesteuerten Ansatz, der standortunabhängig und bandbreitenoptimiert ist. VSA verwendet von Agenten ausgeführte Skripte, um Patching-Vorgänge und andere Prozesse zu automatisieren.
Administratoren können auch Skripte verwenden, um die Software- und Patch-Bereitstellung auf allen Endgeräten zu automatisieren, unabhängig davon, ob sie sich im Netzwerk befinden oder nicht. Außerdem können sie Patches außer Kraft setzen und die Patch-Historie einsehen. Der richtlinienbasierte Ansatz trägt zur Standardisierung der Softwarewartung durch Profile bei, mit denen Administratoren die Genehmigung, Planung und Installation von Patches verwalten können. Darüber hinaus können Administratoren verhindern, dass Patches während bestimmter Zeitfenster angewendet werden, und bestimmte Patches für eine Untergruppe von Rechnern verweigern.
Als Teil des Patch-Update-Prozesses können Administratoren regelmäßige Netzwerk-Scans und Analysen planen, um Software-Schwachstellen zu identifizieren. VSA unterstützt über 100 Anwendungen von Drittanbietern, wie Adobe Acrobat Reader DC, Citrix Receiver, FileZilla Client, Inkscape, LibreOffice, Opera Browser und TeamViewer. Administratoren können Endpunkte über mehrere Standorte und Domänen hinweg patchen, einschließlich der Geräte von Heimanwendern. Potenzielle Kunden sollten sich für Informationen zur Produktlizenzierung direkt an Kaseya wenden.
ManageEngine Patch Manager Plus
ManageEngine Patch Manager Plus ist eine umfassende Patch-Management-Plattform, die als Cloud-Service oder On-Premises verfügbar ist. Sie bietet eine automatisierte Patch-Verteilung auf Windows-, macOS- und Linux-Endpunkten und unterstützt sowohl Server- als auch Desktop-Systeme, einschließlich virtueller Maschinen und Roaming-Geräte. Patch Manager Plus unterstützt über 850 Anwendungen von Drittanbietern. Obwohl die meisten davon Windows-Software sind, kann die Plattform auch viele macOS- und Linux-Anwendungen verarbeiten.
Administratoren können die zentrale Weboberfläche nutzen, um Endpunkte auf fehlende Patches zu scannen und Patches zu testen, bevor sie diese bereitstellen. ManageEngine bietet auch vorgefertigte, getestete und sofort einsatzbereite Pakete, um das Patchen von Drittanbieteranwendungen zu vereinfachen. Darüber hinaus können Administratoren die Bereitstellungsrichtlinien an ihre spezifischen Geschäftsanforderungen anpassen und festlegen, welche Installations- und Neustartoptionen bei der Bereitstellung eines Patches, Software-Updates oder Service Packs auf einem Endpunkt ausgeführt werden sollen.
Patch Manager Plus umfasst Auditing- und dynamische Berichtsfunktionen, die bei der Analyse und Behebung von Schwachstellen helfen. Die Plattform bietet Echtzeit-Patch-Management-Metriken, die über Patch-Status-Dashboards und Patch-Management-Berichte angezeigt werden können. Patch Manager Plus ist in drei Editionen erhältlich: Free, Professional und Enterprise. Die kostenlose Version unterstützt bis zu 20 Arbeitsstationen und fünf Server. Die Kosten für die beiden anderen Editionen hängen vom Abonnementplan ab und davon, ob es sich um die On-Premises- oder Cloud-Edition handelt. Es gibt einige Funktionsunterschiede zwischen den beiden Bereitstellungsoptionen, aber im Großen und Ganzen bieten sie ähnliche Funktionen.
Microsoft Configuration Manager
Microsoft Configuration Manager – früher System Center Configuration Manager – ist jetzt Teil der Marke Microsoft Intune, zu der auch Intune, Endpoint Analytics und Autopilot gehören. Configuration Manager ist ein On-Premises-System zur Verwaltung von Desktops, Laptops und Servern im lokalen Netzwerk oder über das Internet verbunden. Neben anderen Funktionen kann Configuration Manager auch Software-Updates durchführen.
Configuration Manager enthält Tools und Ressourcen zur Verfolgung und Anwendung von Software-Updates auf Client-Computern. Er ist in die Windows Server Update Services (WSUS) integriert, um Updates zu verwalten, und stellt eine Verbindung zu Microsoft Update her, um Update-Metadaten abzurufen. Administratoren können Synchronisierungen mit Microsoft Update planen oder manuell starten. Außerdem können sie vor der Bereitstellung von Updates prüfen, ob diese auf den Client-Computern installiert sind. Configuration Manager bietet einen Assistenten zur einfachen Implementierung von Bereitstellungspaketen, die Software-Updates enthalten.
Die Aktualisierungsfunktionen im Configuration Manager sind in erster Linie auf Microsoft-Software ausgerichtet. Administratoren können jedoch die Funktion Software-Update-Kataloge von Drittanbietern in der Configuration-Manager-Konsole verwenden, um Kataloge von Drittanbietern zu abonnieren, ihre Updates an einem Software-Update-Punkt zu veröffentlichen und die Software dann auf Client-Computern bereitzustellen. Die Lizenzierung von Configuration Manager kann etwas verwirrend sein, und Unternehmen sollten die Lizenzierungsanforderungen von Microsoft sorgfältig prüfen oder mit einem Microsoft-Vertreter sprechen, bevor sie entscheiden, wie sie vorgehen wollen.
NinjaOne Patch Management
NinjaOne Patch Management ist Teil der NinjaOne-IT-Operations-Plattform, die eine Reihe von Cloud-basierten Diensten für die Fernverwaltung und -überwachung umfasst. Mit NinjaOne Patch Management können Administratoren Windows-, macOS- und Linux-Betriebssysteme sowie über 135 Windows-Anwendungen von Drittanbietern patchen. Die verwalteten Endgeräte können sich innerhalb oder außerhalb des Unternehmensnetzwerks befinden, solange sie über eine Internetverbindung verfügen.
NinjaOne Patch Management automatisiert die Identifizierung, Genehmigung, Verteilung und das Reporting von Patches. Administratoren haben die vollständige Kontrolle darüber, wie die einzelnen Endpunkte gepatcht werden. Sie können den Einsatz von Patches genehmigen und planen, um ihre spezifischen Anforderungen zu erfüllen. Darüber hinaus können sie Patch-Richtlinien definieren, mit deren Hilfe sie das Patching von Endgeräten in großem Umfang optimieren und automatisieren können. Darüber hinaus können Administratoren bei Bedarf Ad-hoc-Bereitstellungen durchführen. Die Plattform bietet einen zentralen Überblick über die Identifizierung und Behebung von Software-Schwachstellen.
Mit NinjaOne Patch Management erhalten Administratoren einen Echtzeit-Einblick in den Patch-Status, so dass sie schnell feststellen können, welche Geräte verwundbar sind. Darüber hinaus können sie Berichte erstellen und weitergeben, die detaillierte Informationen über die Compliance der Endgeräte liefern. NinjaOne wird monatlich pro Gerät abonniert, wobei die Abonnenten nur für die benötigte Menge zahlen. Interessenten sollten sich direkt an das Unternehmen wenden, um ein individuelles Angebot zu erhalten.
SecPod SanerNow Patch Management
SecPod SanerNow Patch Management ist eine der Komponenten der SanerNow-Endpunktsicherheitsplattform, einer Suite von Cloud-basierten Tools, die Schwachstellen- und Compliance-Management, Asset-Exposure, Endpunktkontrollen, Patch-Management und andere Dienste bieten. SanerNow Patch Management ermöglicht das automatische Patchen von Windows-, macOS- und Linux-Servern und -Workstations sowie das Aktualisieren von über 450 Anwendungen von Drittanbietern – alles über eine zentrale, Cloud-basierte Konsole mit rollenbasierter Zugriffskontrolle.
Mit SanerNow Patch Management können Administratoren durchgängige Patch-Aufgaben automatisieren, wie zum Beispiel das Scannen von Endpunkten, die Priorisierung von Patches, das Herunterladen von Patches und die Planung von Bereitstellungen. Der Patch-Management-Service stellt neue Patches von unterstützten Anbietern innerhalb von 24 Stunden nach der Veröffentlichung bereit und trägt so zur Minimierung von Sicherheitsrisiken bei. Die Patches sind vorgetestet und bereit für die Bereitstellung. Administratoren können auch neue Patches testen oder Bereitstellungen zurücknehmen, wenn es Probleme mit einem Patch gibt.
SanerNow Patch Management kann kontinuierliche Scans durchführen, um die Einhaltung von Patches in Echtzeit zu überprüfen. Administratoren können die Scans an die Anforderungen ihrer spezifischen Umgebungen anpassen. Die zentralisierte Konsole bietet eine einheitliche Ansicht der verwalteten Endpunkte, was die Identifizierung von Systemen, die nicht konform sind, erleichtert. Die Konsole bietet außerdem automatisch generierte Berichte und ein integriertes Audit-Protokoll. Für Informationen zu Abonnementpreisen und -plänen sollten sich Interessenten direkt an SecPod wenden.
SolarWinds Patch Manager
SolarWinds Patch Manager ist eine Patch-Management-Software, die auf Microsoft-Produkte und Anwendungen von Drittanbietern ausgerichtet ist. Er arbeitet mit Microsoft WSUS und Microsoft Endpoint Manager zusammen und erweitert diese, um sowohl physische als auch virtuelle Server und Workstations, einschließlich Offline-Maschinen, zu patchen. Administratoren können Patching-Vorgänge mithilfe von vorgefertigten, vorab getesteten Update-Paketen automatisieren, was die Patch-Management-Prozesse vereinfacht – von der Suche nach Updates bis zu deren Bereitstellung in Endpunktumgebungen.
Patch Manager bietet Administratoren umfassende Kontrolle über den Patching-Prozess. Sie können festlegen, welche Server und Workstations gepatcht werden sollen, und die Endpunktsysteme anhand von Kriterien wie Betriebssystemen oder IP-Bereichen auswählen. Sie können auch festlegen, welche Patches zu welchem Zeitpunkt bereitgestellt werden und sie können unterschiedliche Patching-Zeitpläne für verschiedene Endpunktgruppen erstellen. Darüber hinaus können Administratoren Pakete erstellen, die bestimmte Aktionen vor oder nach der Patch-Verteilung festlegen. Patch Manager bietet auch vorgefertigte und vorab getestete Pakete für Anwendungen von Drittanbietern.
Patch Manager bietet eine zentrale Weboberfläche für alle Patch-Management-Aufgaben. Die Schnittstelle umfasst ein Patch-Status-Dashboard und integrierte Berichte. So können Administratoren beispielsweise Details zur Patch-Compliance, die neuesten verfügbaren Patches oder einen allgemeinen Überblick über den Zustand der Software anzeigen. Sie können auch benutzerdefinierte Berichte erstellen, um spezifische Geschäftsanforderungen zu erfüllen. SolarWinds bietet sowohl Abonnement- als auch unbefristete Lizenzierungsoptionen für Patch Manager an. Beide Arten basieren auf der Anzahl der verwalteten Endpunkte.
SysAid
SysAid Patch Management ist eine Asset-Management-Funktion, die in die IT-Service-Management-Softwareprodukte von SysAid integriert ist, zu denen Helpdesk, ITSM und ITSM AI gehören. Die Patch-Management-Funktion nutzt OEM-Technologie (Original Equipment Manufacturer), um Patch-Management-Dienste für Windows-Server und -Desktop-Computer sowie für Anwendungen von Drittanbietern wie Mozilla Firefox, Google Chrome, Java, RealPlayer, Skype, Mozilla Thunderbird und 7-Zip bereitzustellen.
Die SysAid Patch Management Software ist ein vollautomatischer Patch-Manager, der konfigurierbar und hoch skalierbar ist. Sie verwendet einen formalen Änderungsmanagementprozess, um die Patch-Verteilung zu genehmigen und den Patch-Prozess zu überprüfen, wodurch sichergestellt wird, dass die Patch-Vorgänge dokumentiert und die Sicherheits-Patches und -Updates ordnungsgemäß angewendet werden. Administratoren können die Patch-Management-Richtlinien auch anpassen und Patches für einzelne oder Gruppen von Assets manuell verwalten.
IT-Teams können Patch Management sowohl in On-Premises- als auch in Cloud-Umgebungen einsetzen. Ein SysAid-Agent sammelt die Scan-Ergebnisse aus dem Patch des OEM-Agenten und überträgt sie über die Remotedesktopdienste von Windows Server an den SysAid-Server. Patch Management ist eine optionale Komponente in Help Desk, ITSM und ITSM AI, für die eine eigene jährliche Abonnementlizenz erforderlich ist. Sie kann nur für Assets mit aktiven Lizenzen verwendet werden.
Syxsense
Syxsense ist eine Endpunktverwaltungs- und Sicherheitsplattform, die IT-Administration, Schwachstellen-Scans und Patch-Management in einem einzigen Cloud-basierten System vereint. Syxsense kann Windows-, macOS- und Linux-Systeme patchen, unabhängig davon, ob sie vor Ort, per Fernzugriff oder in der Cloud angeschlossen sind. Es unterstützt sowohl physische als auch virtuelle Umgebungen. Syxsense kann auch Software von Drittanbietern wie Java, Google Chrome oder Adobe-Produkte patchen – alles über eine einzige Konsole.
Mit der Patch-Management-Software von Syxsense können Administratoren Patches auf der Grundlage von Sicherheitsrisiken scannen und priorisieren. Sie haben vollen Zugriff auf Informationen über den Zustand des Geräts, so dass sie potenzielle Lücken schnell schließen können. Administratoren können auch auf Informationen darüber zugreifen, welche Patches veröffentlicht wurden und welchen Schweregrad sie haben, und dann feststellen, welche Geräte anfällig sind und aktualisiert werden müssen. Die Bereitstellung von Syxsense-Patches ist vollständig automatisiert; Administratoren können jedoch wählen, welche Patches bereitgestellt werden sollen, wann sie bereitgestellt werden sollen und welche Geräte gepatcht werden sollen.
Syxsense zeichnet alle Patching-Aktivitäten zu Überprüfungs- und Audit-Zwecken auf. Die Plattform bietet außerdem umfangreiche Berichtsfunktionen, die von Übersichten auf hoher Ebene bis hin zu detaillierten Berichten reichen, die gefiltert und angepasst werden können. So können Administratoren beispielsweise Berichte über den Sicherheitsstatus ihrer Drittanbieteranwendungen oder virtualisierten Serverfarmen erstellen. Potenzielle Kunden sollten sich direkt an Syxsense wenden, um Einzelheiten zu den Abonnementplänen und zur Lizenzierung der Produkte zu erfahren.