Net Admin

ManageEngine Patch Manager Plus 2023 granskning

ManageEngine Patch Manager Plus Review



ManageEnginelanserasPatch Manager Plusi slutet av mars 2017. Så, efter nästan sex år i produktion, hur står sig den här patchchefen mot konkurrenterna? Under våren 2022 Market Report från mjukvarumarknadsplatsen G2 nådde ManageEngine toppen av ligan i patchhanteringslistorna. Så låt oss utforska Patch Manager Plus för att se dess styrkor och svagheter.

Vem skulle behöva Patch Manager Plus?

Alla företag som kör inköpt programvara måste se till att dessa paket är uppdaterade. Programvaruproducenter producerar ofta uppdateringar som fixar upptäckta buggar. En annan anledning till uppdateringar är att introducera eller perfekta en ny funktion mellan fullständiga utgåvor. De viktigaste uppdateringarna adresserar nyligen upptäckta missbruk i programvaran. Programvaruuppdateringar kallas även 'patchar'.



En exploatering är ett kryphål i säkerheten som hackare just har upptäckt. Du kanske undrar varför programvaruföretag inte tar sig samman och ser till att dessa säkerhetsbrister åtgärdas ur deras produkter innan de släpps. Faktum är att om du känner till alla knep som hackare kan använda för att bryta sig in i ditt system, så vet du fortfarande inte vilken ny metod de kommer med imorgon, nästa vecka eller nästa år. Så även det smartaste mjukvaruhuset har produkter som en dag kommer att innehålla en säkerhetsbrist.

Mjukvaruproducenter måste hålla ett öra mot marken och lyssna efter incidenter med säkerhetsintrång som kan tyda på att deras programvara nu är osäker. Så snart en svaghet misstänks måste de göra en justering eller en ersättning för en del av deras mjukvarupaket för att blockera den nya hackerstrategin.



Företag som inte installerar alla tillgängliga programuppdateringar lämnar sig själva öppna för attacker. Hackerattacker är ännu mer skadliga om de tillåter inträde i operativsystemet. Genom att komma in under mjukvara – inklusive säkerhetssystem – kan hackare agera osynligt eller dölja sina spår genom att radera loggmeddelanden eller skriva falska poster.

Patch Manager Plus-funktioner

ManageEngine Patch Manager Plus

Huvuddragen i ManageEngine Patch Manager Plus är typiska för en automatiserad patchhanterare. Dessa är:

  • Programvarulagerhantering
  • Lappsamling
  • Patchbedömning
  • Schemaläggning av patch
  • Manuell patchhantering
  • Rapportering av slutförandestatus
  • Efterlevnadsrapportering

Du kan läsa mer om vart och ett av dessa ämnen i följande avsnitt.

Programvarulagerhantering

Patch Manager Plus-systemet skannar var och en av dina slutpunkter och registrerar all programvara som är installerad på den och även versionen av operativsystemet. Denna rutin fungerar på enheter som kör Windows, macOS och Linux.

Processen för upptäckt av patch är automatiserad. Den sammanställda programvaruinventeringen är en källa till information om varje kopia av ett programpaket på ditt system – olika slutpunkter kan ha olika versioner av samma programpaket. Det aktuella versionsnumret för varje paket indikerar den senaste patchen som applicerades. Patchhanteraren kan utföra denna uppgift för operativsystem och mer än 850 programvarupaket.

Proceduren för upptäckt av patch i Patch Manager Plus kallas Automated Patch Deployment (APD).

Lappsamling

Patch Manager Plus-instansen som körs på din server går inte direkt till programvaruleverantörernas webbplatser för att leta efter patchar. Istället kontrollerar ManageEngine centralt leverantörerna av sin godkända lista över programvara och lagrar dessa installatörer på sin egen server. APD-enheten på din webbplats hänvisar till ManageEngine-biblioteket för en patch istället för att gå direkt till leverantören.

När APD identifierar en ny patch som har blivit tillgänglig kopierar den den till installationsprogrammet för uppdateringen och lagrar den. Det kan finnas många plåster som blir tillgängliga i en lappningscykel – perioden som går mellan varje lappkörning är upp till dig – du kan ställa in processen att köras en gång i månaden eller en gång i veckan.

Patchbedömning

Även om ManageEngine APD-systemet endast hämtar patchar från betrodda källor, kommer det att verifiera varje patch. ManageEngine-servern skannar varje fil efter skadlig programvara och lagrar den i ett bibliotek. Således, när den senaste patchen kopieras ner från ManageEngine-servern till din webbplats, har den redan godkänts som säker.

När en patchinstallation har förvärvats visas den i Patch Manager Plus-konsolen som tillgänglig för installation. Tjänsten tillåter en administratör att testa varje patch genom att rulla ut den tillfälligt och sedan kontrollera effekten av dessa ändringar. Det är möjligt att ställa in en exempelenhet för att testa och köra varje patch manuellt och sedan godkänna den i konsolen. Ett annat alternativ är att ange i inställningarna för Patch Manager Plus-konsolen att varje patch ska testas automatiskt på en specificerad testenhet och sedan godkännas om inga problem upptäcks efter att patchen har körts.

Schemaläggning av patch

Du måste ställa in en kalender i konsolen för Patch Manager Plus som definierar timmar på dygnet och specifika dagar, till exempel en dag i veckan eller en dag i månaden, när patchar kan appliceras. Det är möjligt att använda Patch Manager Plus för att implementera patchning på flera webbplatser. Detta kan även sträcka sig till platser i olika tidszoner. Systemet kommer dock att relatera till den tid som är lokal för enheten och kommer därför att applicera patchar på olika platser vid olika tidpunkter i förhållande till den centrala styrenhetens tidszon.

Det är möjligt att definiera olika underhållsfönster för olika grupper av ändpunkter. Så inställningen för patchschemaläggning kan bli komplicerad och kräver en detaljerad plan innan den implementeras. Detta är dock att föredra framför ett mycket enklare system som applicerar alla patchar på alla enheter samtidigt, vilket kan resultera i att utrullningen görs på vissa enheter som fortfarande används.

Det är viktigt att se till att en enhet inte används när patchar appliceras eftersom installationsprocessen kommer att störa enhetens tillgänglighet. Om ett specifikt paket är öppet när patchhanteraren körs, måste det stängas först. Patch Manager Plus hanterar dessa åtgärder och kan även väcka en enhet som har stängts av,

Många patchar involverar flera programvarupaket och kan även kräva att vissa miljövariabler ställs in innan det nya programmet installeras. Patch Manager Plus hanterar dessa problem, som är kända som 'patch-beroenden'.

Det är vanligt att programuppdateringar kräver att systemet startas om för att ställa in startvillkor i slutet av programmets installation. Om en patchkö innebär många uppdateringar. Varje enhet som hanteras kan startas om många gånger innan hela listan med uppdateringar har implementerats. Slutligen kommer patchschemat att stänga av enheten. Av alla dessa skäl är det mycket viktigt att schemalägga utrullningar av patch för att ske utanför kontorstid, och det är möjligt med Patch Manager Plus.

Om patchningen av någon anledning behöver ske under kontorstid har patchhanteraren möjlighet att automatiskt skicka meddelanden till användare om en kommande patchsession. Det här alternativet är tillgängligt för enheter som kör Windows och Linux, men inte macOS. Liveaviseringssystemet tillåter användare av en dator att avböja patchkörningen. Detta är ett otillfredsställande resultat, men det kan vara användbart om företagets programvara har installerats på den användarägda enheten för en fjärrarbetare och den är under centraliserad patchhantering.

Manuell patchhantering

De manuella sökvägshanteringsfunktionerna i Patch Manager Plus-paketet är mer negativa än aktiva. Det är till exempel möjligt att pausa en patch så att den exkluderas från nästa patchkörning, i så fall kommer den att ligga kvar i patchkön för en efterföljande körning. Ett annat alternativ är att avböja en patch, i vilket fall den kommer att tas bort permanent från en patchkravlista för en enhet.

Det finns några komplikationer över minskande plåster. Den borttagna patchen räknas inte som uppskjuten, vilket innebär att patchhanteraren inte varnar för eller söker efter den patchen igen. Om den programvaruprodukten har en ny patch tillgänglig efter den avvisade patchen, kommer den saknade patchen att orsaka komplikationer eftersom det kan finnas ett patchberoende. Så att avslå en patch kan permanent avsluta patchcykeln för en specifik mjukvara.

Nedgångsfunktionen kan implementeras för bara en grupp datorer, till exempel datorer av ett visst märke och modell, som är för gamla för att klara av den nya mjukvaruversionen. I det här scenariot kommer alla andra enheter att ta emot uppdateringen.

Eftersom Patch Manager Plus är en automatiserad patchhanterare passar konceptet att manuellt applicera en patch inte riktigt in i verktygets uppdrag. Om tidigare patchar har slutförts av misstag kan du bara köra om batchen och de ofullbordade patcharna kommer att appliceras igen. Att startas vid en nära förestående tidpunkt kan, effektivt, göra det möjligt för administratören att köra en patch omedelbart.

Administratören kan köra installationsprogrammet själv utanför Patch Manager Plus-miljön, i vilket fall kommer Patch Manager att lägga märke till det nya versionsnumret för den uppdaterade programvaran och ändra sitt programvarulager i enlighet med detta. Problemet med den här lösningen är att den manuella patchkörningen kommer att ske utanför loggningssystemet för Patch Manager Plus, så administratören måste vidta åtgärder för att säkerställa att dokumentationen för all patchaktivitet är komplett.

Rapportering av slutförandestatus

Som förklarats är den största fördelen med ett automatiserat patchsystem, som Patch Manager Plus, att det kan applicera patchar utanför kontorstid. Förr i tiden skulle en tekniker behöva vara beredd att stanna kvar efter timmar för att köra patchinstallatörer. Schemaläggaren i Patch Manager Plus innebär dock att dessa installationsprogram kan köras utan uppsikt.

Den viktiga informationen som en systemadministratör behöver när han kommer till jobbet nästa dag är om varje patch i listan har tillämpats framgångsrikt och vid vilken tidpunkt i installationsprocessen misslyckades om en patch inte avslutades.

Även de korrigeringar som tillämpas korrekt måste dokumenteras genom loggfiler som visar vilka program som uppdaterades och var dessa programfiler lagras i serverns katalogstruktur.

Efterlevnadsrapportering

Systemsäkerhet är en del av kraven för ackreditering av datasäkerhetsstandardorgan, och att patcha alla endpoints för att säkerställa att de är uppdaterade är en del av det kravet. En systemadministratör måste när som helst kunna bevisa att systemet är uppdaterat och rapporterna som ingår i Patch Manager Plus ger det beviset.

De viktigaste rapporterna om efterlevnad i Patch Manager Plus kallas rapporten om sårbara system och rapporten om sårbara patchar. Rapporten om sårbara system kan köras regelbundet med resultaten lagrade, och den listar alla slutpunkter med deras versionsstatus för alla installerade system, jämfört med den angivna senaste versionen av varje paket vid det tillfället. Förhoppningsvis får du ditt system till den punkt där all programvara är uppdaterad. Rapporten om sårbara patchar visar vilka patchar som är tillgängliga men som inte har tillämpats.

Det är acceptabelt att ha rapporter som visar vissa patchar som inte har applicerats. Rapporten är en ögonblicksbild och ingen förväntar sig att patchar ska appliceras omedelbart, att köra patchar varje vecka eller månad är standardpraxis. Erkännandet av systemets tillstånd är tillräckligt för att förbli i överensstämmelse med de flesta dataskyddsstandarder.

Installationsalternativ för Patch Manager Plus

Det finns två leveransmetoder för ManageEngine Patch Manager Plus. Dessa är:

  • Molnutgåva
  • On-premises upplaga

Molnutgåvan är ett SaaS-paket som installerar agenter på varje registrerad enhet. Programvaran är värd för ManageEngine och det finns alltså inga systemkrav för att få tillgång till den här tjänsten.

Systemkrav för Patch Manager Plus

Kraven för att vara värd för Patch Manager Plus on Premises är följande.

Operativ system

  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Webbläsarkrav

Även om det är installerat på din egen server kommer du åt konsolen för Patch Manager Plus via en webbläsare. Webbläsaren måste vara en av dessa:

  • Microsoft Edge (alla versioner)
  • Mozilla Firefox 44 och senare versioner
  • Google Chrome 47 och senare versioner

Databas

Patch Manager Plus använder en databas för sin egen interna lagring. Du måste installera detta separat, och det kan vara en av dessa:

  • PostgreSQL
  • MS SQL Server

Värd hårdvara

Hårdvarukraven för serverprogramvaran ökar med antalet enheter som ska övervakas.

Så här övervakar du upp till 250 enheter:

  • Hårddiskutrymme: minst 10 GB
  • CPU: Intel Core i3 (2 kärnor/ 4 trådar) 2,0 GHz 3 MB cache
  • RAM: 2GB

Så här övervakar du 251 till 500 enheter:

  • Hårddiskutrymme: minst 20 GB
  • CPU: Intel Core i3 (2 kärnor/ 4 trådar) 2,0 GHz 3 MB cache
  • RAM: 4 GB

Så här övervakar du 501 till 1 000 enheter:

  • Hårddiskutrymme: minst 30 GB
  • CPU: Intel Core i3 (4 kärnor/ 4 trådar) 2,3 GHz 6 MB cache
  • RAM: 4 GB

Patch Manager Plus-utgåvor

Det finns tre utgåvor av Patch Manager Plus. Dessa är:

  • Fri
  • Professionell – Lämplig för LAN
  • Enterprise – Lämplig för WAN

Gratisutgåvan har alla funktioner i Standardutgåvan, men den är begränsad till att hantera 20 arbetsstationer och fem servrar.

Professionell

Ger:

  • Patchning för operativsystemen Windows, macOS och Linux
  • Tredjeparts patchhantering
  • Hantering av serverapplikationspatch
  • Service pack-distribution
  • Variabel schemaläggning
  • Ett centralt arkiv med verifierade patchinstallatörer
  • Patchhanteringsrapporter
  • Rollbaserad administration
  • Tvåfaktorsautentisering

Företag

  • Funktioner i Professions-utgåvan
  • Distributionsserver för bandbreddsoptimering
  • Uppdateringar av antivirusdefinitioner
  • Automatiserad patchtestning

Gratis moduler

ManageEngine producerar många systemövervaknings- och hanteringsverktyg, men du behöver inte ha någon av dem installerad för att köra Patch Management Plus-systemet – det är en fristående tjänst. Flera andra ManageEngine-paket tillhandahåller också patchhantering, så det är viktigt att notera dessa så att du inte betalar för dubbletter av tjänster som du inte behöver.

Paketen från ManageEngine som också tillhandahåller patchhantering är:

  • Vulnerability Manager Plus
  • RMM Central (för MSP:er)
  • Endpoint Central
  • Endpoint Central MSP
  • Patch Connect Plus

Patch Manager Plus gratis provperiod

Både SaaS-versionen och det lokala paketet av Patch Manager Plus är tillgängliga för en 30 dagars gratis prövotid .

^