Vergleichstest: Patch-Management-Software
Immer up to date

Netzwerke

Sasser und Co haben es gezeigt: Solange die Software im Netzwerk nicht auf dem aktuellen Sicherheitsstandard ist, ist sie Wurm-Attaken ausgesetzt. Abhilfe schaffen die gestesteten Patch-Management-Tools. Wer das Rennen machte, zeigt unser Vergleichstest

Diese Produkte haben wir verglichen

Vergleichstest: Patch-Management-Software

NetIQ Patch Manager 4.3.0.1
Shavlik HFnetchk Pro 4.3.0.1

Ecora
Patch Manager 3.2
St. Bernard Software Update Expert 6.2

Gravity Storm
Service Pack Manager 2000
GFI Languard Network Security Scanner 5.0


Microsoft-Tools unzureichend

Vergleichstest: Patch-Management-Software

Die Angriffswelle von Computerwürmern im Frühling brachte es an den Tag: Sasser und Co nutzten Lücken im Betriebssystem aus, obwohl Microsoft bereits Patches bereitstellte und dennoch verbreiteten sich die Schädlinge rasant. Viele Administratoren hatten schlichtweg ihr Netzwerk nicht mit den neuesten Updates gesichert.

Zwar stellt Microsoft für die Systemanalyse und -aktualisierung einige kostenlose Tools bereit, etwa die automatischen Updates oder den Windows Update. Doch beide haben ihre Tücken: Sie erfordern einen direkten Zugang der Clients zum Internet, und der Administrator besitzt keine direkte Steuermöglichkeit der Updates.

Der SUS-Server dagegen lädt die Updates zentral aus dem Internet herunter, und die Clients holen sie bei ihm ab. Aber: SUS umfasst keine Updates für SQL Server, Exchange sowie Office-Produkte. Für ein regelmäßiges Update von Windows 2000 und höher ist SUS damit zwar geeignet. Doch um bei einer drohenden Gefahr die Aktualisierung ungepatchter Systeme gezielt anzustoßen, reicht er nicht aus.

Ein hilfreiches Tool ist der MBSA (Microsoft Baseline Security Analyzer). Er beschränkt sich allerdings auf die reine Diagnose und zeigt fehlende Patches an, leitet aber keine Installationen ein.

Somit reicht es nicht, allein auf die kostenlosen Microsoft-Angebote als Patch-Management-Tools zu setzen. Nur in Zusammenarbeit mit den hier vorgestellten Programmen ist guter Schutz möglich.


NetIQ Patch Manager 4.3.0.1

Vergleichstest: Patch-Management-Software

Das 1950 Euro teure Patch-Tool zeichnet sich duch eine leistungsfähige Client-Analyse und umfassende Software-Unterstützung aus. Die Scan-Ergebnisse und der 24-x-7-Support sind sehr gut und machen NetIQ zum Testsieger.

Die besten Patch-Management-Software
1. Patch Manager 4.3 NetIQ: 89,3
2. HFnetchck Pro 4.3 Shavlik: 86,8
3. Patch Manager 3.2 Ecora: 78,6
(maximal 100 Punkte)


Testaufbau

Vergleichstest: Patch-Management-Software

Geprüft wird, welche Patches für Windows XP SP 1 die Programme anbieten und ob für Office XP das neue SP 3 empfohlen wird. Auf dem PC mit Windows 2000 ist nur SP 3 installiert, hier wird geprüft, ob das fehlende SP 4 sowie nachfolgende Patches angeboten werden. Als Referenz erstellen die Tester eine Liste der Patches, die angeboten werden sollten. Dabei bedienen sie sich der Daten, die MBSA 1.2 von Microsoft ausweist. Die Tester vergleichen, ob die Produkte alle fehlenden Sicherheitspatches ebenfalls ermitteln. Falls nicht, gibt es weniger Punkte.

Fehlende kritische Patches wie das im Juli veröffentlichte IE-Update MS04-023 werden stärker gewichtet als unkritische. Bietet ein Tool mehr Patches an als erwartet, bewerten die Laborexperten die Situation individuell: Handelt es sich um zusätzliche Programme wie die für die Sicherheit irrelevante Highmat-Erweiterung von Windows XP, gibt es dennoch volle Punktzahl. Bietet ein Tool jedoch Patches an, die bereits durch neuere ersetzt wurden, wird nicht die volle Punktzahl vergeben. Denn dem Administrator wird lediglich unnötige Mehrarbeit aufgebürdet.

Weiterhin prüfen die Administratoren die Aktualität der Einarbeitung neuer Patches nach dem »Juli-Patch-Tag«, an dem sieben Patches herauskommen. Eine Aktualisierung im Lauf des folgenden Tages ist akzeptabel, längere Einarbeitungszeiten nicht.


Testergebnisse im Überblick

Vergleichstest: Patch-Management-Software