Acht WSUS-Alternativen für das Patch-Management

Warum sollten Sie WSUS oder MEM-Alternativen in Betracht ziehen?

MEM und WSUS sind beliebt, kommen aber in bestimmten Szenarien an ihre Grenzen. So halten einige IT-Experten MEM für teuer und zu komplex. Außerdem bietet das Produkt nur begrenzte Unterstützung für Nicht-Windows-Plattformen und -Anwendungen. Darüber hinaus läuft MEM nur auf Windows Server. WSUS hingegen bietet nur rudimentäre Automatisierungs- und wenig Berichtsfunktionen.

Tools von Drittanbietern rationalisieren Patching-Vorgänge, vereinfachen sie und bieten gleichzeitig eine bessere Kontrolle über den Prozess – so die Theorie. Im Folgenden finden Sie in alphabetischer Reihenfolge eine kurze Zusammenfassung von acht bekannten WSUS-Alternativen, die jeweils einen anderen Ansatz für die Aktualisierung des Windows-Betriebssystems und der darauf ausgeführten Anwendungen verfolgen.

Automox

Automox ist kein reines Patch-Management-Tool, sondern vielmehr ein IT-Betriebssystem. Zusätzlich zu seinen Patch-Management-Funktionen ist Automox auch für das Konfigurationsmanagement, die Softwareverteilung und die Durchsetzung von Richtlinien geeignet. Eine weitere wichtige Funktion ist das automatische Beheben von Schwachstellen, die von CrowdStrike, Rapid7 oder Tenable identifiziert wurden, mit nur einem Klick.

Automox übernimmt das Patch-Management von Betriebssystemen und Anwendungen für eine Vielzahl von Endgeräten. Derzeit sind Agenten für Windows, macOS und Linux verfügbar, und Automox kann Dutzende von Anwendungen von Drittanbietern plattformübergreifend patchen.

Automox ist ein SaaS-Produkt (Software as a Service), und in zwei verschiedenen Abonements erhältlich: Patch und Patch & Manage. Der Patch-Plan richtet sich an Unternehmen, die Patch-Management-Funktionen benötigen und kostet drei US-Dollar pro Gerät und Monat. Neben dem Patchen von Betriebssystemen und Anwendungen umfasst es Funktionen wie eine vollständige Geräteinventarisierung, grundlegende Berichte und Endbenutzerbenachrichtigungen. Patch & Manage für fünf US-Dollar pro Gerät und Monat umfasst die gleichen Funktionen wie Patch, bietet aber zusätzlich die Möglichkeit, Software zu installieren und Updates zu erzwingen, regelbasiertes Patching, SAML-Authentifizierung (Security Assertion Markup Language) und andere Funktionen.

GFI LanGuard

GFI LanGuard ist ein Netzwerksicherheits-Tool mit Schwerpunkt auf Patch-Management, Netzwerk-Auditing und Schwachstellenerkennung. Die Lösung kann mit oder ohne Agenten eingesetzt werden. Die Reporting-Engine wurde speziell für die Einhaltung gesetzlicher Vorschriften entwickelt.

GFI LanGuard unterstützt Patch-Management für Windows-, macOS- und Linux-Systeme sowie für Anwendungen von Drittanbietern. Die Software scannt verwaltete Knoten, identifiziert fehlende Patches und sucht außerdem nach über 60.000 bekannten Sicherheitslücken. Wird eine Schwachstelle entdeckt, gibt die Software einen grafischen Hinweis auf den Schweregrad der Schwachstelle sowie eine Handlungsempfehlung. GFI LanGuard ist mit über 4.000 Sicherheitsanwendungen kompatibel. Die Schwachstellen-Scans von GFI LanGuard sind überdies nicht auf Windows, macOS und Linux beschränkt. Es unterstützt auch Apple iOS und Android und kann bestimmte Netzwerk-Hardware wie Drucker und Switches scannen.

Die Lizenzierung von GFI LanGuard richtet sich nach der Anzahl der zu verwaltenden Netzwerkknoten. GFI bietet drei verschiedene Lizenzierungsmodelle an, die als Klein (10-49 Knoten für 24,83 Euro pro Knoten und Jahr), Mittel (50-249 Knoten für 10,83 Euro pro Knoten und Jahr) und Groß (mehr als 250 Knoten für 7,64 Euro pro Knoten und Jahr) bezeichnet werden. Der einzige Unterschied zwischen den Abonnements sind die Kosten. GFI LanGuard ist zudem im GFI Unlimited Plan enthalten, der Lizenzen für eine Reihe anderer GFI-Produkte umfasst.

Ivanti Security Controls

Ivanti Security Controls, ehemals Patch for Windows, ist ein vielseitiges Patch-Management-Produkt für Windows-Computer, Virtuelle Maschinen und VM-Vorlagen. Es unterstützt auch VMware-ESXi-Hosts, Windows-Anwendungen und Linux-Distributionen, einschließlich Red Hat Enterprise Linux und CentOS. Security Controls verfügt über eine zentrale Benutzeroberfläche, die das Scannen physischer und virtueller Systeme, das Bewerten und Verteilen von Patches sowie die Planung von Remote-Operationen erleichtert und gleichzeitig eine granulare Rechteverwaltung für ein ausgewogenes Verhältnis zwischen Zugriff und Sicherheit bietet.

Administratoren konfigurieren Security Controls so, dass es automatisch geplante, wiederkehrende Scans durchführt und alle fehlenden Patches verteilt, die bei den Scans entdeckt werden. Security Controls kann Software und Hardware erkennen und kategorisieren, den Anlagenbestand im Laufe der Zeit verfolgen und den Energiezustand eines Computers kontrollieren, zum Beispiel das Herunterfahren und Neustarten. Außerdem können Administratoren PowerShell-Skripte ausführen, um Aufgaben auszuführen oder Vorgänge zu automatisieren. Die REST-APIs binden Security Controls an andere Produkte an und unterstützen den Fernzugriff und die Fernsteuerung.

Security Controls generiert mehrere Berichte, die eine Vielzahl von Informationen liefern, zum Beispiel über die installierten Betriebssysteme, den Energiestatus der Rechner, die Bereitstellung von Patches und den Status sowie die Konformität der Rechner. Administratoren lassen Datenbankabfragen laufen, um benutzerdefinierte Berichte zu erstellen. Security Controls zeigt Anwendungen und ihre Dienste und Komponenten an und importiert die Liste der Common Vulnerabilities and Exposures (CVEs). Anwender können außerdem sehen, welche Patches mit den einzelnen CVEs verbunden sind.

Kaseya VSA

Kaseya VSA ist ein Cloud-basierter Fernüberwachungs- und -verwaltungsdienst, der Patch-Management-Funktionen zur Installation, Bereitstellung und Aktualisierung von Software auf Windows- und macOS-Rechnern umfasst. Er verwendet richtlinienbasiertes Patch-Management, das die Softwarewartung automatisiert und standardisiert. Administratoren genehmigen, planen und installieren mit der Lösung Patches. Außerdem planen sie regelmäßige Netzwerk-Scans zur Analyse von Computern und zur Automatisierung von Software-Updates.

Kaseya VSA verfügt über eine zentrale Konsole, die bei der Patch-Verwaltung hilft, einschließlich der Deinstallation und Reparatur von Software. Anwender können Computer auf fehlende Patches hin absuchen, eine Zusammenfassung des Patch-Status für jeden Rechner anzeigen und Patches von bestimmten Rechnern ausschließen lassen. Auch On-Boarding-Prozesse und ähnliche wiederkehrende Aufgaben können Admins automatisieren.

Kaseya VSA bietet Administratoren sowohl manuelle als auch automatisierte Optionen für Software-Updates und gleichzeitig eine detaillierte Kontrolle über den Patching-Prozess. Mit benutzerdefinierten Patching-Berichten prüfen Anwender die Konformität der Umgebung und identifizieren schnell Endpunkte und Anwendungen, die Aufmerksamkeit benötigen.

Darüber hinaus fasst Kaseya VSA den Patch-Status aller Rechner zusammen, um zu sehen, welche CVEs auf jedem Rechner behoben werden müssen. Kaseya CSA veröffentlicht keine Preise im Internet.

ManageEngine Patch Manager Plus

ManageEngine, eine Marke von Zoho, bietet mit Patch Manager Plus ein vielseitiges Patch-Management-Tool an, das als Software On-Premises oder als Cloud-Service verfügbar ist. Es unterstützt Windows-, macOS- und Linux-Endpunkte sowie mehr als 850 Anwendungen von Drittanbietern. Anwender führen Patching-Vorgänge von einer einzigen Oberfläche aus durch und nutzen die vorgefertigten Pakete des Anbieters, um den Prozess zu optimieren. Außerdem können sie die Patch-Verteilung für Betriebssysteme und Anwendungen automatisieren.

Patch Manager Plus enthält zahlreiche Prüf-, Analyse- und Berichtsfunktionen, die einen Einblick in den Patch-Status von Computern und Anwendungen zulassen. ManageEngine gibt es als kostenlose Edition und zwei kostenpflichtige Editionen, Professional und Enterprise. Die Enterprise-Edition ist für den WAN-Einsatz geeignet, während die Professional-Edition für LANs konzipiert ist (Preise entnehmen Sie der folgenden Seite). Die Enterprise-Edition umfasst alle Funktionen der Professional-Edition, bietet aber zusätzlich Updates für Virendefinitionen und die Möglichkeit, Patches zu testen und zu genehmigen. Die Enterprise-Edition enthält außerdem einen Verteilungsserver, der hilft, Bandbreite zu sparen. Die kostenlose Edition unterstützt ähnliche Funktionen wie die kostenpflichtigen Editionen, ist aber auf 20 Workstations und fünf Server beschränkt.

Mit der Enterprise-Edition automatisieren Anwender, so gewünscht, gesamten Patch-Management-Prozess. Dazu gehören das Scannen von Endpunkten auf fehlende Patches, das Herunterladen von Patches vom Hersteller, Verteilen der Patches und Erstellen von Berichten. Alle drei Editionen enthalten zusätzliche Funktionen wie die Bereitstellung von Service Packs, Active-Directory-Authentifizierung, Patching für Roaming-Benutzer, rollenbasierte Verwaltung und On-Demand-Remote-Shutdown.

PDQ Deploy

PDQ Deploy von PDQ.com ist ein leichtgewichtiges Softwareverteilungswerkzeug zur Automatisierung der Patch-Verwaltung auf Windows Server- und Desktop-Rechnern. Es unterstützt mehr als 250 Windows-Anwendungen, die es anhand vorgefertigter und getesteter Pakete des Herstellers aktualisiert. Darüber hinaus erstellen Anwender benutzerdefinierte Pakete sowie Dateien selbst, senden Nachrichten an Benutzer oder erzwingen Neustarts auf verwalteten Systemen. PDQ bietet Abonnements für kleine Unternehmen, Bildungseinrichtungen (jeweils 1.275 US-Dollar pro Admin und Jahr) und Unternehmen (Preise auf Anfrage) an.

PDQ Deploy verwendet eine zentrale Konsole für die Installation, Deinstallation, Aktualisierung, Reparatur und andere Änderungen im gesamten Netzwerk. Die Konsole gewährt außerdem Zugriff auf die vorgefertigten Anwendungspakete. Darüber hinaus bietet PDQ eine Befehlszeilenschnittstelle für die Arbeit mit Paketen.

Nutzer können Vorgänge mit Skripten automatisieren. Zu den unterstützten Sprachen gehören Visual Basic, PowerShell und Batch-Dateien. Darüber hinaus kann die IT-Abteilung mehrere Verteilungspunkte für die gemeinsame Nutzung benutzerdefinierter Pakete, Zeitpläne und Ziellisten einrichten.

Normalerweise nutzen Anwender die Planungsfunktionen, um Pakete in bestimmten Abständen zu verteilen. Sie können auch automatische Bereitstellungen für neue Paketversionen erstellen, sobald diese in der Paketbibliothek verfügbar sind. Darüber hinaus kann PDQ Deploy eine E-Mail mit Details zu Patch-Bereitstellungen senden, einschließlich der Informationen, welche Computer oder Software aktualisiert wurden und welche Systeme möglicherweise mehr Aufmerksamkeit benötigen. Daneben gibt es integrierte Berichte, die Informationen zur Verteilung und Planung liefern.

Quest KACE System Management Appliance

Die Quest KACE Systems Management Appliance ist als einheitliches Endpoint-Management-System konzipiert, das weit mehr kann als nur einfaches Patch-Management. Es erledigt Aufgaben wie Softwareverteilung, Softwarelizenzverfolgung sowie Servermanagement und -überwachung. Es gibt sogar eine mobile App für die Verwaltung von Service-Tickets von unterwegs.

Die Appliance kann Patch-Management für Windows-, Linux- und macOS-Systeme sowie eine Vielzahl von Anwendungen durchführen. Quest verwendet ein System von Smart Labels, anhand derer Administratoren Endpunkt sowie Updates klassifizieren, damit das System Updates und Berichte nach ihren Vorgaben durchführt. Patches lassen sich zum Beispiel nach Hersteller, Datum oder Schweregrad kennzeichnen.

Die Appliance führt auch automatische Schwachstellen-Scans sowie Konfigurationsmanagement und Richtliniendurchsetzung aus. In Umgebungen mit mehreren Standorten verwendet die Appliance Replikationsserver, um die Bandbreite beim Patch-Management zu minimieren.

Quest bietet mehrere Bereitstellungsoptionen für die KACE Systems Management Appliance. Sie kann als virtuelle Appliance vor Ort oder gehostet auf VMware, Hyper-V, Nutanix oder in der Microsoft Azure Cloud eingesetzt werden. Der Anbieter teilt die Preise nur auf Anfrage mit.

SolarWinds Patch Manager

SolarWinds Patch Manager baut auf WSUS und MEM auf und erweitert diese, um ein Patch-Management-Tool für das Auflösen von Software-Schwachstellen und die Verwaltung von Drittanbieter-Anwendungen bereitzustellen. Anwender rollen Windows-Updates automatisch gemäß benutzerdefinierter Zeitpläne aus, die auf bestimmte Unternehmensgruppen oder Systemkategorien abzielen, basierend auf Faktoren wie Betriebssystem oder IP-Bereich. Patch Manager hilft dabei, proaktiv zu erkennen, welche Windows-Rechner gepatcht werden müssen, und dabei, die Patches dann schnell auf diesen Systemen, inklusive virtuellen Maschinen, zu verteilen.

Patch Manager bietet umfassende Unterstützung für Anwendungen von Drittanbietern und ermöglicht es der IT-Abteilung gleichzeitig, ihre bestehende WSUS- oder MEM-Infrastruktur zu nutzen. Administratoren können vor und nach der Aktualisierung Paketszenarien erstellen, um den Erfolg von Drittanbieter-Patches zu überprüfen. Patch Manager enthält den Assistenten für benutzerdefinierte Pakete, mit dem Administratoren Pakete für jede beliebige Anwendung erstellen können, ohne mit komplexen Skripten oder dem System Center Updates Publisher arbeiten zu müssen. SolarWinds bietet auch vorgefertigte, getestete Anwendungspakete, die Administratoren schnell über WSUS oder MEM ausrollen.

Patch Manager verfügt über eine Web-Konsole zur Zentralisierung der Patch-Verwaltung und zur Anzeige wichtiger Patch-Informationen. Die Konsole bietet mehrere Berichtsoptionen für den Patch-Status und zum Nachweis der Patch Compliance während Audits. Darüber hinaus können Nutzer sich Warnungen und andere Informationen per Mail zusenden lassen.

Laut SolarWinds starten Lizenzen bei 1.633 Euro im Jahr. Die Lizenzierung erfolgt anhand der Zahl der Knoten.