Patch-Management ist ein Bereich des Systemmanagements, der die Beschaffung, das Testen und die Installation mehrerer Patches oder Code-Änderungen für ein verwaltetes Computersystem umfasst. Zu den Aufgaben des Patch-Managements gehören die Pflege des aktuellen Wissens über verfügbare Patches, die Entscheidung, welche Patches für bestimmte Systeme geeignet sind, die Sicherstellung der ordnungsgemäßen Installation der Patches, das Testen der Systeme nach der Installation und die Dokumentation aller zugehörigen Verfahren, wie z. B. der erforderlichen spezifischen Konfigurationen. Es gibt mehrere Produkte zur Automatisierung von Patch-Management-Aufgaben, darunter APM von RingMaster Software, Desktop Central von ManageEngine und SolarWinds Patch Manager.
Warum ist Patch-Management wichtig?
Patch-Management ist wichtig, weil Patches dazu beitragen, den Zustand und die Sicherheit der Systeme zu erhalten, die gepatcht werden. Außerdem werden Patches manchmal verwendet, um Software auf den neuesten Stand zu bringen, damit sie mit der neuesten Hardware funktioniert.
Wie funktioniert Patch-Management?
Das Patch-Management funktioniert unterschiedlich, je nachdem, ob ein Patch auf ein eigenständiges System oder auf Systeme in einem Unternehmensnetzwerk angewendet wird. Im Falle eines eigenständigen Systems führen das Betriebssystem und die Anwendungen auf diesem System regelmäßig eine automatische Prüfung durch, um festzustellen, ob Patches verfügbar sind. Wenn neue Patches gefunden werden, werden diese in der Regel automatisch heruntergeladen und installiert.
Die Patch-Verwaltung funktioniert in einer Unternehmensumgebung in der Regel anders, da Unternehmen in der Regel versuchen, die Konsistenz der Softwareversionen auf ihren Computern zu gewährleisten. Daher führen Unternehmen in der Regel eine zentrale Patch-Verwaltung durch, anstatt jedem Computer zu erlauben, seine eigenen Patches herunterzuladen.
Die zentrale Patch-Verwaltung verwendet einen zentralen Patch-Verwaltungsserver, der Patches im Namen des Unternehmens herunterlädt und diese Patches gemäß der Patch-Verwaltungsrichtlinie des Unternehmens an die Computer im Netzwerk des Unternehmens verteilt.
Ein zentraler Patch-Verwaltungsserver leistet mehr als nur die Automatisierung der Patch-Verwaltung. Er gibt der Organisation auch ein gewisses Maß an Kontrolle über den Patch-Management-Prozess. Wenn zum Beispiel ein bestimmter Patch als problematisch eingestuft wird, kann die Organisation ihre Patch-Management-Richtlinie so konfigurieren, dass dieser Patch nicht installiert wird.
Ein weiterer Vorteil der zentralen Patch-Verwaltung ist, dass dadurch die Internet-Bandbreite geschont wird. Es macht aus Sicht der Bandbreite wenig Sinn, jedem Computer in der gesamten Organisation zu erlauben, genau denselben Patch herunterzuladen. Stattdessen kann der zentralisierte Patch-Management-Server den Patch herunterladen und ihn dann an alle Computer innerhalb der Organisation verteilen. Das bedeutet, dass der Patch nur einmal heruntergeladen werden muss, anstatt für jeden Computer eine eigene Kopie herunterzuladen.
Obwohl viele Unternehmen das Patch-Management selbst übernehmen, führen einige Managed Service Provider das Patch-Management in Verbindung mit den anderen Netzwerkmanagement-Diensten durch, die sie ihren Kunden anbieten.
Vorteile des Patch-Managements
Die meisten großen Softwareunternehmen veröffentlichen regelmäßig Patches für ihre Produkte. Diese Patches können einem von drei Hauptzwecken dienen.
Erstens werden Patches oft verwendet, um Sicherheitslücken zu schließen. Wenn ein Softwarehersteller feststellt, dass sein Produkt ein Sicherheitsrisiko birgt, wird er in der Regel einen Patch herausgeben, um dieses Risiko zu beheben. Es ist wichtig, dass Unternehmen Sicherheits-Patches so schnell wie möglich einspielen, da Hacker und Malware-Autoren über die Sicherheitslücken, die ein Patch beheben soll, Bescheid wissen und aktiv nach ungepatchten Systemen suchen.
Ein zweiter Grund, warum Software-Unternehmen häufig Patches veröffentlichen, ist die Behebung von Fehlern, die in ihrer Software entdeckt wurden. Das Einspielen solcher Patches kann die Stabilität der Software verbessern und gleichzeitig lästige Probleme beseitigen.
Drittens veröffentlichen Softwarefirmen gelegentlich Patches, um neue Funktionen einzuführen. Feature-Updates sind durch den Übergang zu abonnementbasierten Softwarelizenzen viel häufiger als früher.
Gängige Probleme beim Patch-Management
Das häufigste Problem im Zusammenhang mit dem Patch-Management-Prozess ist das eines fehlerhaften Patches. Gelegentlich führt ein Patch Probleme ein, die vorher nicht existierten. Diese Probleme können sich in dem Produkt zeigen, das gepatcht wird, oder die Probleme können sich an anderer Stelle manifestieren, wenn andere Software in einer Abhängigkeitsbeziehung zu der Software steht, die kürzlich gepatcht wurde.
Da Patches manchmal Probleme in ein System einführen können, das zuvor korrekt funktionierte, ist es wichtig, dass Administratoren Patches testen, bevor sie sie unternehmensweit einsetzen.
Ein weiteres häufiges Problem im Zusammenhang mit der Patch-Verwaltung ist, dass nicht verbundene Systeme Patches möglicherweise nicht rechtzeitig erhalten. Wenn sich beispielsweise ein mobiler Benutzer nur selten mit dem Unternehmensnetzwerk verbindet, kann es vorkommen, dass das Gerät dieses Benutzers über einen längeren Zeitraum hinweg nicht gepatcht wird. In solchen Fällen kann es besser sein, das Gerät für eine eigenständige Patch-Verwaltung zu konfigurieren, anstatt sich auf eine zentrale Patch-Verwaltung zu verlassen.
Lebenszyklus der Patch-Verwaltung
Wenn ein neuer Patch veröffentlicht wird, sollte eine Organisation den Patch testen, bevor er unternehmensweit eingesetzt wird. Die IT-Abteilung kann zunächst einige grundlegende Tests innerhalb einer Sandbox-Umgebung durchführen. Dadurch wird verhindert, dass sich Probleme mit dem Patch auf die Produktionssysteme auswirken.
Wenn bei den Sandbox-Tests keine offensichtlichen Probleme entdeckt werden, kann die IT-Abteilung eine Pilotverteilung durchführen. Bei einem Piloteinsatz werden die Patches auf einer begrenzten Anzahl von Produktionssystemen installiert, um zu überprüfen, ob der Patch in einer Produktionsumgebung ordnungsgemäß funktioniert. Nach einer gewissen Zeit wird der Patch dann unternehmensweit eingesetzt.
Gelegentlich kann es vorkommen, dass die IT-Abteilung einen Patch entfernen muss, der auf Produktionssystemen eingesetzt wurde. Das kann passieren, wenn sich herausstellt, dass die Patches Probleme verursachen, aber es gibt auch andere Gründe für die Entfernung eines Patches. Ein Patch kann z. B. entfernt werden, wenn ein Softwarehersteller einen neuen Patch herausgibt, der nicht installiert werden kann, während der vorherige Patch auf dem System verbleibt. In einem solchen Fall wird gesagt, dass der neue Patch den vorherigen Patch ersetzt.
Beispiele für das Patch-Management
Microsoft stellt häufig Patches für seine Windows-Betriebssysteme und für andere Produkte wie Office 365 bereit. Diese Patches werden in der Regel planmäßig veröffentlicht, an einem Tag, der als Patch Tuesday bekannt geworden ist.
Stand-alone-Systeme verlassen sich auf Windows Update, um verfügbare Patches automatisch herunterzuladen und zu verteilen. In Unternehmensumgebungen ist es jedoch viel üblicher, die Windows Server Update Services zu verwenden, um Microsoft-Patches zu verwalten und zu verteilen. Die Windows Server Update Services, die allgemein als WSUS bezeichnet werden, sind im Lieferumfang von Windows Server enthalten und speziell für die Zentralisierung der Patch-Verwaltung konzipiert. Es gibt jedoch zahlreiche Produkte von Drittanbietern, die ebenfalls in der Lage sind, Microsoft-Patches herunterzuladen, zu verwalten und bereitzustellen.