Im Test: Ivanti Patch for Endpoints

Patch-Lösung für Unternehmensumgebungen

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Ivanti Patch for Endpoints nimmt dem Administrator viel Arbeit ab und sorgt dafür, dass etliche Sicherheitslücken zeitnah geschlossen werden.
Ivanti Patch for Endpoints nimmt dem Administrator viel Arbeit ab und sorgt dafür, dass etliche Sicherheitslücken zeitnah geschlossen werden. (© Jane - Fotolia.com)

Einmal ausgerollte Software dauerhaft aktuell halten und durch das Patchen bekannter Schwachstellen die Angriffsfläche der eigenen Systeme reduzieren, lässt sich mit modernen Patch-Management-Lösungen effektiv realisieren. Eines dieser Tools haben wir uns genauer angesehen: Ivanti Patch for Endpoints, das vor dem Zusammenschluss von Landesk und Heat Software Shavlik Protect hieß.

Mit Ivanti Patch for Endpoints lassen sich nicht nur die im Netz vorhandenen Windows-Betriebssysteme auf dem aktuellen Stand halten, sondern auch viele im Unternehmen verwendete Applikationen. Damit stellen die IT-Verantwortlichen sicher, dass Angreifer keine Möglichkeit erhalten, über veraltete Versionen von Java oder Flash Zugriff auf unternehmenskritische Daten zu erhalten.

Ivanti Patch schützt aber nicht nur die eben genannten Produkte, sondern kann auch Verwendung finden, um virtuelle Infrastrukturen auf Vmware-Basis auf dem aktuellen Stand zu halten. Konkret patcht sie in diesem Fall nicht nur die ESXi-Hosts, sondern auch Templates sowie laufende und nicht laufende virtuelle Maschinen.

In der Praxis scannt die Patch-Management-Lösung die im Netz vorhandenen Rechner und analysiert, welche Patches fehlen. Bei Bedarf lässt sie sich sogar so konfigurieren, dass sie die fehlenden Patches gleich in der gesamten Organisation verteilt. Dabei ist sie auch dazu in der Lage, Systeme in der Cloud in den Patch-Vorgang mit einzubeziehen. Umfassende Automatisierungs- und Reporting-Funktionen schließen den Leistungsumfang der Software zusammen mit einer Power Management-Funktion ab. Letztere ermöglicht es den Administratoren, die Computer, die nicht benötigt werden, herunterzufahren, um Strom zu sparen, während sie gleichzeitig dafür sorgt, dass die genannten Systeme während der Maintenance-Zeiten zur Verfügung stehen.

Der Test

Ivanti Patch kam in unserem Netz zum Einsatz, um sämtliche Systeme unter Windows 7, Windows 8.1, Windows 10, Windows Server 2008 R2 und Windows Server 2012 R2 auf fehlende Patches hin zu untersuchen und um die Betriebssysteme und Anwendungen auf diesen Rechnern auf dem aktuellen Stand zu halten. Dabei überprüften wir, wie die Patch-Vorgänge abliefen und wie das Reporting funktionierte. Darüber hinaus bezogen wir auch eine Hypervisor-Umgebung auf Basis des Vmware ESXi 6.0 Update 2 in unseren Test mit ein.

Bei der Installation von Ivanti Patch machte sich der Setup-Assistent zunächst daran, die erforderlichen Prerequisites einzuspielen. Danach präsentierte er einen Willkommensbildschirm sowie Lizenzinformationen und fragte im nächsten Schritt nach dem Installationspfad. Sobald dieser ausgewählt war, hatten wir die Möglichkeit, entweder an einem Produkt- und Leistungsverbesserungsprogramm teilzunehmen oder dies abzulehnen. Anschließend lief die Installation durch. Während des Setups mussten wir allerdings noch eine Datenbank für Patch for Endpoints erstellen. Zum Schluss war es dann erforderlich, den Lizenzschlüssel einzugeben und die Software online zu aktivieren, danach war auch sie einsatzbereit. Der ganze Setup-Vorgang nahm keine zehn Minuten in Anspruch.

Die Arbeit mit Ivanti Patch for Endpoints

Nach dem Abschluss der Installation machten wir uns daran, unsere Systeme mit Ivanti Patch auf den aktuellen Stand zu bringen. Dazu starteten wir die Lösung und ließen sie ihre Patch-Definitionen herunterladen und importieren. Für ein agentenloses Patching benötigt die Lösung bei den Clients einen Zugriff auf die Remote Registry und das C$-Share. Es besteht bei Bedarf die Möglichkeit, einen Agenten auf die Clients auszubringen, in diesem Fall funktioniert das Patchen auch außerhalb des Unternehmens-LANs über die Ivanti-Cloud.

Im Test entschieden wir uns für das agentenlose Patching. Nachdem wir die dafür benötigten Dienste bereitgestellt hatten, scannte Ivanti Patch die Systeme in unserer Domäne. Wir hatten uns zu Beginn dazu entschlossen, lediglich einen Scan durchzuführen und die Patches nicht automatisch auszubringen, da wir erst einmal sehen wollten, was die Software alles finden würde.

Neben dem Windows-Betriebssystem versorgt Ivanti Patch wie erwähnt aus der gleichen Konsole heraus auch etliche andere Produkte von Drittherstellern zentral mit Patches. Dazu gehören die Lösungen von Adobe und Google sowie Audacity, Autodesk, Teamviewer, Winzip, Wireshark und viele mehr.

Während des Scans zeigt das System exakt an, was es gerade tut und an welcher Stelle des Scan-Durchgangs es sich befindet. Das ist gut, da die Administratoren auf diese Weise genau erfahren, was vor sich geht.

Nach dem Abschluss des Scans präsentiert Ivanti Patch eine Zusammenfassung und einen Report mit den fehlenden Patches in Listenform. Nun besteht die Möglichkeit, mit der rechten Maustaste auf den Eintrag eines fehlenden Patches zu klicken und diesen bereit zu stellen. Daraufhin lädt Ivanti Patch die Installationsdatei für den Patch herunter, überträgt sie auf den betroffenen Client, installiert den Patch, startet den Client neu (das können die am System angemeldeten Benutzer bei Bedarf herauszögern, um ihre Arbeit abzuschließen und zu sichern) und verifiziert anschließend, ob der Patch wirklich eingespielt wurde.

Für die Scans lassen sich nicht nur Domänen nutzen, sondern auch IP-Adressbereiche, einzelne Rechner und so weiter. Die IT-Verantwortlichen können auch Computergruppen definieren und für sie bestimmte Scan- und Ausrollregeln erstellen. Auf diese Weise besteht die Möglichkeit, nur bestimmte Produkte zu patchen oder auch bei einigen Systemen häufiger nach Patches zu suchen als bei anderen.

Im nächsten Schritt verbanden wir Ivanti Patch mit einem der ESXi-Hypervisoren in unserem Netz. Das System erkannte sofort alle darauf vorhandenen virtuellen Maschinen (VMs) und war dazu in der Lage, sie durch das direkte Mounten des Dateisystems zu patchen. Die Patching-Lösung konnte uns im Test voll überzeugen, da sie einen sehr großen Leistungsumfang mitbringt und sich dank ihres übersichtlichen Interfaces äußerst einfach benutzen lässt.

Fazit

Ivanti Patch hinterließ bei uns einen hervorragenden Eindruck. Das Produkt fand in unserem Netz noch eine Vielzahl an Patches für Softwarelösungen, an die keiner von uns gedacht hatte und half uns schnell und einfach, unsere Systeme auf den aktuellen Stand zu bringen. Damit nimmt das Tool den Administratoren viel Arbeit ab und sorgt dafür, dass viele Sicherheitslücken zeitnah geschlossen werden.

Benutzerrechte einfach und sicher verwalten

Im Test: Ivanti Application Manager

Benutzerrechte einfach und sicher verwalten

14.04.17 - Mit dem Ivanti Application Manager können IT-Mitarbeiter die in ihren Unternehmen verwendeten Benutzerrechte granular verwalten und so das Sicherheitsniveau im Netz deutlich erhöhen. Außerdem blockiert die Lösung nicht autorisierte Anwendungen wie Ransomware und schränkt bei Bedarf den Zugriff auf Dateien, Ordner und Anwendungen ein. lesen

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44615659 / Endpoint)