Vorteile vom Patchmanagement?

[Tasker]

Hallo,

da ich mich gerade mit dem Patchmanagement beschäftigen muß, stellen sich einige grundsätzliche Fragen:

Welche Vorteile gibt es gegenüber den Funktionalitäten eines normalen WSUS-Servers? Habe ich nicht doppelten Verwaltungsaufwand?

Während ich bei der reinen Verteilung über den WSUS-Server der "intelligente Übertragungsdient" verwendet wird, wird mit Empirum immer ein Softwarepaket installiert, was bei unserer Konfiguration gleich nach der Anmeldung geschieht. Zwar kann man dieses Paket auf silent schalten, jedoch gibt es natürlich in den Morgenstunden enorm viel Traffic im Netz.
Weiterhin kann ich auch keine Office-Updates verteilen.

Welches Totschlag-Argument kann ich also meinem Chef nennen, weshalb ich das Patchmanagement einsetzen sollte?

[Trickser]

Hi,

- Office-Patches lassen sich sehr wohl mit Empirum PM verteilen, die Funktionalität ist hier identisch mit dem WSUS.

- Beim WSUS benötigt man für verteilte Umgebungen an jedem Standort eigene WSUS-Server und muss sie auch entsprechend verwalten.
-> Bei Empirum ist das PM gleich mit drin, das gilt dann auch für die Standorte. Roaming Clients können sich automatisch an jedem Standort mit Patches versorgen.

Beim Empirum PM-Client kann man über die Verteiloptionen sehr wohl und sehr differenziert einstellen wann und wo Patches installiert werden.
Die Gesamtlast gegen einen WSUS ist imho identisch weil die Patches nunmal auf jeden Client übertragen werden müssen.

Ausserdem lässt sich Empirum so konfigurieren, dass das PM komplett kontrolliert automatisiert abgewickelt wird und man nur im Incident-Fall auf den Test-Clients eingreifen muss.

Pro WSUS ist sicherlich trotzdem BITS und die wesentlich "dezentere" Verteilung aus Sicht der Clients. Hier ist aber was in der Mache, so dass sich das auch bald erledigt haben wird.

Gruss,

Michi.

[Hendrik_Ambrosius]

Weitere Punkte:
- Integration der Patchinstallation in die Empirum Logs + Inventory
- Automatische Freigabe der Patches nach X Tagen im Test nach Produktiv
- genaueres Festlegen des Patchzeitpunkts via Zeitplaner
- Im Alarmfall: Sofortige Patchinstallation via Realtime-Push

[Tasker]

Vielen Dank für die schnelle Antwort.

Da wir keine verteilten Standorte haben, ergibt sich damit momentan noch nicht so richtig der Sinn für unseren Anwendungsfall.
Weiterhin habe ich ein Problem damit, wie das Patchmanagement arbeitet:
Werden die im WSUS-Server abgelehnten Patches automatisch in Empirum übernommen, oder muß ich sie noch einmal ablehnen?
Was macht Empirum mit sogenannten ungültigen Patches? Filtert er das gleich raus? Wird die Intelligenz des WSUS übernommen?

Es gibt bei uns eine sogenannte Block-Gruppe. Es ist unklar, ob diese Gruppe vom Schulungsmenschen eingerichtet wurde oder ob sie von Empirum als Standardgruppe vorgegeben wurde. Was macht eigentlich die Block-Gruppe? Eigentlich sollte ja alles was da drin ist, geblockt werden? Aber wozu ist dann ein Exclude (heißt das, es wird wieder nicht geblockt)
Fragen über Fragen....

[Weyck]

Hallo,

ich kann Trickser nur zustimmen

Aber ich sehe noch einen Vorteil für die Administratoren:

Über einen kleinen Umweg kann man auch beim PM2 alle Computer in einem Filter zusammenfassen, denen eine bestimmte oder irgendeine Patchmanagementklasse zugewiesen ist. Wendet man auf diesen Filter einen Report "Patches Missing by Patch" an, sieht man sehr schön, ob auch möglichst viele Patche, die momentan nur Test-PCs ausgeliefert werden sollen, auch tasächlich schon in der Fläche installiert wurden.

Und mit den Empirum Konfigurationsgruppen steht ein tolles Werkzeug zur Verfügung, effizient Computern Patchklassen zuzuweisen.

Einen doppelten Verwaltungsaufwand hat man meiner Meinung nach nicht, weil der WSUS Server einmal installiert wird und fertig.

Gruß
Jürgen van Weyck

[Hendrik_Ambrosius]

>Werden die im WSUS-Server abgelehnten Patches automatisch in Empirum übernommen, oder muß ich sie noch einmal ablehnen?
Man benötigt keinen WSUS-Server. Die Downloads erfolgen direkt von Microsoft.

>Was macht Empirum mit sogenannten ungültigen Patches? Filtert er das gleich raus? Wird die Intelligenz des WSUS übernommen?
Ja.

Block-Gruppe: Keine Ahnung, was die soll - Exclude reicht eigentlich.

[andi20coe]

Hallo!

Das PMv2 ist ja ansich eine gute Idee und die Vorteile der Integration in die Konsole überwiegen auch.

Allerdings haben wir auch einige negative Erfahrungen hiermit gemacht:

- auf einigen Clients werden nur noch Office-Patches installiert, keinerlei WinXP-Patches (Support konnte hierbei noch nicht helfen)

- zwei Security-Updates vom letzten Patchday werden nicht auf den Clients installiert

- Installationen von Patches enden mit Failed und dem Errorcode 1641, obwohl dies nur Neustart bedeutet (tritt auch nur auf einigen Rechnern auf)

Ein Überprüfen mit dem MSBA - Tool von MS ergibt auch fehlende Office & Windows XP Patches.

Gibt es hierzu irgendwelche Lösungsansätze oder wird in diesem Bereich noch etwas mehr "Intelligenz" des PMv2 entwickelt?

Mit freundlichen Grüßen

Andrè Döking

[Rene]

Wir haben den PM2 Client komplett auf das Loginscript ausgelagert. Es gab beim Update der Officeapplikationen oftmals das Problem, das diese entweder nicht installiert wurden oder die Maschinen ohne Vorwarnung neu gestartet hat. Unsere GPO wurde jetzt so angepasst, dass der Windowsdestkop erst durchgereicht wird, bis das Loginscript abgearbeitet ist. Der Aufruf des PM2 Client im Loginscript wurde dahin angepasst, dass bei einer Rebootanfrage automatisch neu gestartet wird.

Logischerweise wird er Loginvorgang für den Benutzer dadurch etwas länger, falls Patche installiert werden. Wir haben aber so sichergestellt, dass alle Patches ordnungsgemäss installiert werden, ohne das die Officeapplikationen offen sind.

[pkleiber]

Hallo andi20coe

- auf einigen Clients werden nur noch Office-Patches installiert, keinerlei WinXP-Patches (Support konnte hierbei noch nicht helfen).
-> Wenn ich dass so sagen darf, diesen Problem tritt meines Wissens nur bei Ihnen auf. Es sind glaube ich auch nur 5-10 Clients betrofffen.

- zwei Security-Updates vom letzten Patchday werden nicht auf den Clients installiert
-> Welche Updates können nicht installiert werden? Bitte KB Nummer nennen.

[4ever09er]

Hallo Zusammen,

ich mache mir eigentlich keine großen Gedanken über die Vorteile sondern eher um die Umsetzung und habe ein paar Fragen wie ihr es bei euch einsetzt oder wie es Sinn macht es einzusetzen. Zu unserem Vorhaben:

Bisher werden alle Rechner die ganz neu installiert werden mit unserer aktuellen PM Klasse versehen. Alle Rechner die nicht mit Empirum installiert wurden haben gar keinen Patchstand. So in Zukunft wollen wir alle Rechner auf einen gleichen Patchstand bekommen. Hier ergeben sich für mich ein paar Fragen :

Wieviele Gruppen macht ihr? Oder anders gefragt: wir haben eine Win2000 und ein WinXP Gruppe. Für weniger Netzlast ( wir haben ca. 600 Clients die fast alle über 10 M/bit angebunden sind) würde es sich anbieten mehrere kleine Patchgruppen zu bilden. Nachteil dort: Es ist sehr unübersichtlich und die Rechner würden aus der XP Gruppe verschwinden und möchte man eine Software installieren muss man diese erst wieder in die Gruppe ziehen wo sich der Rechner befindet.

Das nächste Problem sehe ich in der Pflege. Mit keinem Report konnte ich bisher eine Übersicht darüber bekommen auf welchem Rechner Patche fehlen und welche. Patches missing by Patch zeigt mir das zwar an aber das ja doch sehr viel arbeit... gibt es keine Übersicht die mir direkt anzeigt wo was fehlt??? das würde die Pflege doch vereinfachen.

Da wir das PM noch nicht im Einsatz haben es aber nun geschehen soll wäre ich euch dankbar für Erfahrungsberichte oder Tipps zur Anwendung!

Danke

[Jambi]

Bei uns scheint der Einsatz des Patchmanagement-Updatepozesses gar nicht zu funktionieren.

Nach der Erstinstallation patcht er alles was er findet. Jedoch das permanente von uns eingestellte Patchmanagement funktioniert leider gar nicht.

Dies scheint bei uns jedoch ein generelles Problem zu sein. Wir haben 5 Pakete in "Configurator" --> "Verteilung". Diese sind alle so eingestellt, dass diese Pakete täglich einmal ausgeführt bzw. sind die Hälkchen bei
"Installieren" und
"Erneuern" und
"Nicht Anzeigen"

Unter anderem Patchmanagement, Personal Backup, Inventory, Remote Control und noch 1 anderes Paket.

@Rene - wie meinst du das mit LoginScript, dass von Windows? Wir haben bis jetzt eigentlich nur den EmpirumAgenten dort drine um den WindowsStart nicht zu sehr auszubremsen.

Oder gibt es da auch eine Empirumfunktion, die besagt bei nächster Anmeldung installieren?

Danke

[pkleiber]

Hallo Jambi,

damit Pakete regelmäßig installiert werden, müssen Sie über die Verteiloptionen den Zeitplaner konfigurieren.

Install Update prüft nur ob die Pakete vorhanden sind. Bei einer vorhandenen Installation wird keine erneute Installation durchgeführt.

[Jambi]

Zeitplaner ist aktiviert. Also in diesem Reiter Configurator --> Verteilung.

Folgende Checkboxen sind aktiviert:

x Wiederholt

Zeitraum:
Beginn: 14.08.2007 00:00 x Kein Enddatum

Häufigkeit:
Einmal ab: 12:00

Serienmuster:
x Wöchentlich Jede 1 Woche
x Dienstag


In den Feldern Computer und Benutzer steht ein "*".


PS: Sorry, dass ich diesen Thread so offtopic verwende, aber die Nichtverteilung der genannten Pakete und Patches ist für mich schon sehr problematisch.

Danke

[pkleiber]

Bitte mal einen Screenshot mit den Einstellungen an meine Adresse senden.
Dann mache ich morgen ein Call hierfür auf.

[Jambi]

Schade dass man hier keine Screenshots attachen kann. Aber ich habe dir eine Email geschickt.

Danke