Gerenciamento centralizado de patches para Windows / Mac, fácil de usar

10

Estou procurando conselhos sobre quais soluções de gerenciamento de patches você recomendaria com base em sua experiência. Também estou procurando quais você não recomendaria com base em sua experiência.

Temos uma rede mista de clientes Windows e Mac. Nossos servidores centrais são todos servidores Windows, embora eu tenha considerado instalar um servidor Mac para lidar melhor com nossos clientes Mac. O problema que estamos enfrentando atualmente é que precisamos manter os patches em todos os nossos aplicativos de terceiros. No momento, usamos o WSUS, que lida com o patch do Windows e de alguns produtos da Microsoft, mas é isso. Preciso de algo para cobrir os outros aplicativos, especificamente itens como produtos da Adobe (Reader, Flash, Dreamweaver etc.)

Nossa rede não é tão grande (talvez 200 clientes) e eu não tenho uma pessoa para se dedicar apenas a aplicar patches e manter uma solução de gerenciamento de patches. Portanto, soluções muito grandes e complicadas, como o System Center, provavelmente estão disponíveis.

Recentemente, analisei a solução Kace K1000 da Dell ( software.dell.com/products/kace-k1000-systems-management-appliance/ ). Parece simples e fornece muitas ferramentas em um pacote que eu gostaria / precisava também. Gosto do fato de que ele é independente em um dispositivo e foi projetado para soluções como a minha. No entanto, não tenho certeza se esta é a melhor solução.

Eu também olhei alguns em solução NetChk da Shavlik ( http://www.shavlik.com/netchk-protect.aspx ), mas eu não preciso de um produto anti-vírus. No entanto, parece que eles podem ter um bom banco de dados de patches.

Minha pergunta é a seguinte: o que você pensa sobre esses produtos? Existem produtos melhores por aí? Existem problemas que não estou considerando?

Quero algo que seja muito bom para corrigir uma ampla gama de produtos, que seja simples de usar, que exija uma quantidade mínima de gerenciamento (como o WSUS) e que (espero) funcione com Mac e Windows.

windows mac windows-update update patch-management IAmTimCorey
fonte

Respostas:

2

Eu usei o Lumension Patchlink para máquinas Windows, mas vejo que ele suporta os sistemas operacionais clientes mais modernos. Funcionou muito bem; no entanto, qualquer um desses produtos pode ser moderadamente complexo.

mfinni
fonte
Obrigado pelo feedback. Vou dar uma olhada no Patchlink. Eu entendo sobre o potencial de complexidade. Eu só quero evitar os sistemas muito complexos. Examinei o System Center, por exemplo, e isso parece ridículo. Eles tentam fazer tudo, o que significa que nada é simples. Quero algo mais direcionado a um negócio como o meu (pequeno com uma equipe pequena para gerenciá-lo).
IAmTimCorey
2

No Windows, estou usando o WSUS da mesma maneira que você e o WPKG ( link para outro plug que fiz para o WPKG ) para outras atualizações de software.

O WPKG possui um bom Wiki em que as pessoas contribuíram com suas configurações para vários pacotes, mas você é responsável por verificar e / ou elaborar os comandos de instalação, atualização, downgrade e remoção de cada pacote, conforme necessário.

Para os Macs, eu consideraria o Apple Remote Desktop ou o Puppet .

Mike Renfro
fonte
Link interessante no WPKG. Vou ter que analisar isso como um sistema suplementar. Prefiro ter um sistema automatizado, se possível, para a maioria da minha configuração e implantação de patches. No entanto, é uma solução muito interessante. Obrigado.
IAmTimCorey
O WPKG é automatizado, pois você pode executar um serviço, um script de inicialização do computador etc. que garantirá os pacotes corretos e as versões mais recentes em determinadas classes de máquinas. Não tenho certeza que outro tipo de automação que você estaria interessado.
Mike Renfro
2

Acho que a Secunia CSI pode valer a pena tentar, embora não tenha certeza sobre os preços adequados à sua escala.

Edit: O Secunia CSI é de fato um scanner de vulnerabilidades de rede, mas fornece os links para os patches correspondentes às vulnerabilidades encontradas, incluindo as de terceiros, e permite aplicá-las quase automaticamente na sua rede através do WSUS ou SCCM.

união
fonte
Obrigado pela informação. Pelo que pude ver, isso é mais para verificação de vulnerabilidades do que para gerenciamento de patches. Parece que você precisa desenvolver seus próprios pacotes de patches para colocar neste sistema. Estou correto ou perdi alguma coisa? Eu preferiria um sistema que diria "Marque esta caixa para manter o Adobe Reader atualizado" ou algo assim (como o WSUS faz). Gostaria que ele baixasse os patches e os aplicasse automaticamente (se eu permitir no console).
IAmTimCorey
O Secunia CSI não distribui os patches, mas empacota muito facilmente os patches de terceiros no seu WSUS ou SCCM apenas apontando e clicando. Assista isso por volta das 4:20.
joechip
Entendi. Obrigado pela atualização. Analisarei mais essa solução. Obrigado.
IAmTimCorey
2

Você mencionou ter verificado o Shavlik Netchk, mas já viu o it.shavlik.com. É sua oferta de gerenciamento de patches SaaS. O custo para 250 máquinas é de US $ 1500 por ano e, atualmente, eles oferecem uma assinatura de três anos a US $ 2250.

Usamos o produto Netchk para gerenciar patches em cerca de 1100 estações de trabalho. Estamos extremamente felizes com isso. É muito fácil de configurar e manter. Realmente requer muito pouco esforço de nossa parte. O mecanismo de gerenciamento de patches é ótimo e, na verdade, a maioria dos outros produtos lá fora licencia e usa o mecanismo Shavlik.

TimS
fonte
Obrigado pela informação Tim. É um cliente que você instala? Que tipo de gerenciamento está envolvido com o patch? Você descobriu que são áreas que estão faltando (não estão sendo corrigidas)? Funciona bem com usuários de laptops que nem sempre estão conectados?
IAmTimCorey
O Shavlik suporta varredura sem agente e com base em agente. Usamos uma mistura de ambos. Também usamos o Shavlik em nossos servidores e, para a maioria, se não instalarmos o agente. Alguns servidores existem em segmentos de rede em que as portas necessárias para o sem agente não podem ser abertas e, para isso, instalamos o agente. Nas estações de trabalho, usamos o agente. O Agentless faz varreduras na frequência definida e se uma estação de trabalho estiver desconectada (como um laptop em viagem) ou tiver sido desligada, a varredura falhará. Com o agente, o agente faz a varredura e entra em contato com o servidor, para resolver esse problema.
TIMS
Nossa maior reclamação por mais tempo foi que ele não suportava o patch do Adobe Air. As últimas versões fazem e a queixa se foi. Estamos corrigindo uma variedade de produtos da Microsoft, Acrobat, Flash, AIR, Java, Skype, Firefox e Safari. Isso abrange 98 - 99% dos nossos aplicativos. O restante abordamos usando outra ferramenta. O Shavlik pode ser usado para enviar correções personalizadas para esses, mas principalmente por razões históricas, não o fazemos. Ocasionalmente, encontramos falhas de aplicação de patches em determinadas máquinas, mas elas sempre ocorreram devido a um problema na máquina versus qualquer problema do Shavlik.
TimS 01/07/19
Muito obrigado. Esse é exatamente o tipo de feedback que eu estava procurando. Torna muito mais fácil tomar uma decisão clara.
IAmTimCorey 01/07