Gestione centralizzata di patch Windows / Mac facile da usare

10

Sto cercando consigli su quali soluzioni di gestione delle patch consiglieresti in base alla tua esperienza. Sto anche cercando quelli che non consiglieresti in base alla tua esperienza.

Abbiamo una rete mista di client Windows e Mac. I nostri server centrali sono tutti server Windows, anche se ho pensato di installare un server Mac per gestire meglio i nostri client Mac. Il problema che stiamo affrontando attualmente è che dobbiamo mantenere le patch su tutte le nostre applicazioni di terze parti. In questo momento usiamo WSUS, che gestisce con patch di Windows e alcuni prodotti Microsoft, ma questo è tutto. Ho bisogno di qualcosa per coprire le altre applicazioni, in particolare cose come i prodotti Adobe (Reader, Flash, Dreamweaver, ecc.)

La nostra rete non è così grande (forse 200 client) e non ho una persona da dedicare solo al patching e al mantenimento di una soluzione di gestione delle patch. Pertanto sono molto probabilmente disponibili soluzioni molto grandi e complicate come System Center.

Di recente ho esaminato la soluzione Kace K1000 di Dell ( software.dell.com/products/kace-k1000-systems-management-appliance/ ). Sembra semplice e fornisce molti strumenti in un pacchetto che vorrei / avrei bisogno anch'io. Mi piace il fatto che sia autonomo in un apparecchio e che sia progettato per soluzioni come la mia. Tuttavia, non sono sicuro che questa sia la soluzione migliore.

Ho anche dato un'occhiata alla soluzione Netchk di Shavlik ( http://www.shavlik.com/netchk-protect.aspx ) ma non ho bisogno di un prodotto antivirus. Tuttavia, sembra che potrebbero avere un database di patch molto buono.

La mia domanda è questa: quali sono le tue opinioni su questi prodotti? Ci sono prodotti migliori là fuori? Ci sono problemi che non sto prendendo in considerazione?

Voglio qualcosa che sia molto bravo a patchare una vasta gamma di prodotti, che sia semplice da usare, che richieda una quantità minima di gestione (come WSUS) e che (si spera) funzioni con Mac e Windows.

— IAmTimCorey
fonte

2

Ho usato Lumension Patchlink per macchine Windows, ma vedo che supporta la maggior parte dei sistemi operativi client moderni. Funzionava bene; uno di questi prodotti ha il potenziale per essere moderatamente complesso, tuttavia.

— mfinni
fonte

Grazie per il feedback. Esaminerò Patchlink. Comprendo il potenziale di complessità. Voglio solo evitare i sistemi molto complessi. Ho esaminato System Center, ad esempio, e sembra ridicolo. Tentano di fare tutto, il che significa che nulla è semplice. Voglio qualcosa di più mirato verso un'azienda come la mia (piccola con un piccolo staff per gestirla).

— IAmTimCorey,

2

Per Windows, sto usando WSUS nello stesso modo in cui sei tu, e WPKG ( collegamento a un'altra spina che ho creato per WPKG ) per altri aggiornamenti software.

WPKG ha un buon Wiki in cui le persone hanno contribuito con le loro impostazioni per vari pacchetti, ma alla fine sei responsabile della verifica e / o dell'elaborazione, dell'aggiornamento, del downgrade e della rimozione dei comandi per ciascun pacchetto, se necessario.

Per i Mac, darei un'occhiata a Apple Remote Desktop o Puppet .

— Mike Renfro
fonte

Link interessante su WPKG. Dovrò esaminare questo come un sistema supplementare. Preferirei avere un sistema automatizzato, se possibile, per la maggior parte della mia configurazione e distribuzione delle patch. Tuttavia, è una soluzione molto interessante. Grazie.

— IAmTimCorey,

WPKG è automatizzato in quanto è possibile eseguire un servizio, uno script di avvio del computer, ecc. Che garantirà i pacchetti giusti e le ultime versioni su determinate classi di macchine. Non sono sicuro di quale altro tipo di automazione ti interesserebbe.

— Mike Renfro,

2

Penso che Secunia CSI potrebbe valere la pena provare, anche se non sono sicuro del prezzo adatto alla tua bilancia.

Modifica: Secunia CSI è in realtà uno scanner di vulnerabilità della rete, ma fornisce i collegamenti alle patch corrispondenti alle vulnerabilità che rileva, comprese quelle di terze parti, e quindi consente di applicarle quasi automaticamente sulla rete tramite WSUS o SCCM.

— joechip
fonte

Grazie per l'informazione. Da quello che posso vedere, questo è più per la scansione delle vulnerabilità piuttosto che per la gestione delle patch. Sembra che tu debba sviluppare i tuoi pacchetti di patch da inserire in questo sistema. Ho ragione o mi sono perso qualcosa? Preferirei un sistema che direbbe "Seleziona questa casella per mantenere aggiornato Adobe Reader" o qualcosa del genere (come quello che fa WSUS). Vorrei scaricare le patch e applicarle automaticamente (se lo consento dalla console).

— IAmTimCorey,

Secunia CSI non distribuisce le patch in sé, ma piuttosto impacca molto facilmente le patch di terze parti nel tuo WSUS o SCCM semplicemente puntando e facendo clic. Guarda questo intorno alle 4:20.

— Joechip,

fatto. Grazie per l'aggiornamento. Esaminerò ulteriormente questa soluzione. Grazie.

— IAmTimCorey,

2

Dici di aver verificato Shavlik Netchk ma hai guardato it.shavlik.com. È la loro offerta di gestione delle patch SaaS. Il costo per 250 macchine è di $ 1500 all'anno e attualmente offrono un abbonamento di 3 anni a $ 2250.

Usiamo il prodotto Netchk per eseguire la gestione delle patch su circa 1100 workstation. Ne siamo estremamente contenti. È molto facile da configurare e gestire. Ci vuole davvero pochissimo sforzo da parte nostra. Il motore di gestione delle patch è eccezionale e in effetti la maggior parte degli altri prodotti là fuori concede effettivamente la licenza e utilizza il motore Shavlik.

— Tims
fonte

Grazie per l'informazione Tim. È un client che installi? Che tipo di gestione è coinvolta con il patching? Hai scoperto che le loro sono aree che ti mancano (non essere patchate)? Funziona bene con gli utenti di laptop che non sono sempre connessi?

— IAmTimCorey,

Shavlik supporta sia la scansione senza agenti che basata su agenti. Usiamo una miscela di entrambi. Usiamo anche Shavlik sui nostri server e per la maggior parte se non installiamo l'agente. Esistono alcuni server in segmenti di rete in cui le porte necessarie per agentless non possono essere aperte e per questi installiamo l'agente. Sulle stazioni di lavoro utilizziamo l'agente. Agentless esegue la scansione con una frequenza definita dall'utente e se una workstation è disconnessa (come un laptop in viaggio) o è stata arrestata, la scansione non riuscirà. Con l'agente l'agente esegue la scansione e contatta il server, quindi risolve questo problema.

— TimS,

La nostra più grande lamentela da molto tempo è che non supporta il patching di Adobe Air. Le ultime versioni lo fanno e la lamentela è sparita. Stiamo correggendo una varietà di prodotti Microsoft, Acrobat, Flash, AIR, Java, Skype, Firefox e Safari. Ciò copre il 98 - 99% delle nostre app. Il resto ci rivolgiamo usando un altro strumento. Shavlik potrebbe essere usato per distribuire patch personalizzate per questi, ma principalmente per ragioni storiche non lo facciamo. Occasionalmente si verificano errori di patching su macchine particolari, ma sono sempre stati dovuti a un problema sulla macchina rispetto a qualsiasi problema di Shavlik.

— TimS,

Grazie mille. Questo è esattamente il tipo di feedback che stavo cercando. Rende molto più facile prendere una decisione chiara.

— IAmTimCorey,