Rozwój narzędzi zarządzania łatkami (patch management) wyraźnie zmierza w kierunku procesów naprawczych i delegowania zadań do poszczególnych użytkowników. Prezentujemy test produktów, które przechodzą tego rodzaju ewolucję.

Zarządzanie łatkami przeszło sporą przemianę: od prostych instalatorów poprawek do rozwiązań zawierających wyrafinowane środki zwiększania bezpieczeństwa, obejmujące: manipulowanie ustawieniami konfiguracyjnymi bezpieczeństwa, wdrażanie standardowych pakietów oprogramowania, utrzymywanie reguł polityki zapewniających zgodność z obowiązującymi przepisami i aktywne usuwanie usterek.

Testom poddano produkty, których wcześniejsze wydania ograniczały się wyłącznie do zarządzania łatkami, zaś teraz zapewniają również wspomaganie działań naprawczych. Do produktów tych należą: Client Security Management Suite firmy Altiris (którą kupuje Symantec), Enterprise Suite firmy BigFix, Security Suite firmy LANDesk Software, Hercules firmy Citadel Security (obecnie McAfee) i Update firmy PatchLink.

Sprawdzian obejmował pięć kluczowych funkcjonalności każdego produktu.

• Test funkcji naprawczych sprawdzał, w jakim zakresie produkt wspomaga usuwanie problemów w systemach operacyjnych - za pośrednictwem łatek czy zmian w rejestrach i ustawieniach konfiguracyjnych. Ponadto oceniano jak wspomagane są ręczne i planowane zadania naprawcze oraz czy istnieje możliwość tworzenia specjalizowanych (dostosowanych) zadań naprawczych.
• Test przepływu zadań naprawczych, sprawdzający, w jakim zakresie produkt może implementować procesy naprawcze, włączając w to zarządzanie całym cyklem naprawczym.
• Test raportów oceniał zakres informacji zapewniany w raportach domyślnych i specjalistycznych (tworzonych przez użytkownika) oraz ich użyteczność dla zadań naprawczych i personelu zarządzającego.
• Test kontroli dostępu sprawdzał zakres kontroli dostępu do produktu, skupiając się na elastyczności, szczegółowości i integracji ze standardowymi repozytoriami użytkowników w przedsiębiorstwie.
• Test zarządzania i administracji skupiał się na tym, co jest niezbędne w codziennym użytkowaniu i utrzymaniu produktu.

Altiris Client Security Management Suite

Altiris Client Security Management Suite 6.1 zawiera SecurityExpressions - narzędzie umożliwiające kontrolowanie ustawień konfiguracyjnych związanych z bezpieczeństwem i ustawień dotyczących regulacji prawnych, a następnie rozwiązywania ewentualnych problemów za pośrednictwem modułów Endpoint Security, Local Security i Application Control. Oddzielnym komponentem zestawu jest też Patch Management. Kombinacja tych modułów działa w ramach architektury o nazwie Altiris Notification Server. W czasie testów skupiono się na komponentach SecurityExpressions i Patch Management, ponieważ oba wyczerpują kryteria testu.

Kombinacja tych modułów obsługuje wszystkie podstawowe funkcje naprawcze, jakich oczekiwano w testach, i wyróżnia się zakresem możliwości w tworzeniu kontroli specjalizowanych, np. dla specyficznych ustawień kluczy rejestru, oraz akcji naprawczych, takich jak zmiany w ustawieniach kluczy rejestru.

SecurityExpressions nie są w pełni zintegrowane z systemem Altiris. Na przykład projektowanie reguł polityki nadal wykonywane jest z oddzielnej konsoli, ale już kontrola polityki może być oglądana z konsoli Altiris. Ponieważ SecurityExpressions stanowi centrum naprawy słabych punktów systemu, korzystne byłoby pełne zintegrowanie tego procesu, aby tworzenie polityki i kontrole konfiguracji wykonywać w tym samym interfejsie i przetwarzać jak w innych produktach Altiris.

Wydaje się też, że Patch Management powinien być włączony do Client Security Management Suite, gdyż jest integralną częścią schematu naprawczego.

Zarządzanie wszystkimi tymi modułami wykonywane jest z konsoli przeglądarkowej, która jest trochę nieporęczna w użyciu. Utrudnione jest wykonywanie prostych zadań, takich jak planowanie rozprowadzania łatek. Konsola zarządzania zapewnia kilka tablic rozdzielczych pokazujących wykresy, m.in. łatki pominięte wg stopnia ich ważności. Wykresy nie zapewniają jednak możliwości bezpośredniego rozwijania szczegółów w celu wyświetlenia odpowiednich danych. A jest to przydatny dodatek, zwiększający efektywność procesu identyfikowania szczegółów bezpieczeństwa.

Ustawianie procesu rozprowadzania łatek, włączając w to sterowanie przeładowaniem komputera i powiadamianie użytkownika, jest obsługiwane przez polityki konfiguracyjne. Administrator definiuje politykę stanowiącą o tym, jak łatki powinny być rozprowadzane. Jest to rozwiązanie dobre, jeżeli ustawienia są takie same dla wszystkich rozprowadzanych łatek, ale wymaga pewnej dodatkowej pracy, gdy istnieje potrzeba rozprowadzania łatek przy różnych ustawieniach. Znalezienie w dokumentacji sposobów ustawiania jest zadaniem niełatwym i często wymaga kontaktów z firmową obsługą klienta.

Trzeba także odnotować, że Altiris nie obsługuje bardziej zaawansowanych opcji wdrażania łatek, dostępnych w innych produktach, takich jak chwilowe wstrzymanie lub odroczenie ich instalacji.

Kontrola dostępu jest połączona z odpowiednimi funkcjami Windows i administrowana z konsoli produktu, ułatwia więc integrację z rolami i procesami zarządzania tożsamością w ramach przedsiębiorstwa. Zawiera kilka ról domyślnych, takich jak "administrator" czy "gość", a administrator może ustawiać specjalizowane role wg własnych potrzeb. Uprawnienia są przydzielane do każdej z ról i mogą być bardzo szczegółowe.

Jednak interfejs użytkownika dla ustawiania bezpiecznych uprawnień nie zapewnia centralizacji. Dostęp można gwarantować z kart właściwości dla różnych obiektów, co jest przeciwieństwem definiowania kontroli dostępu z centralnego punktu. Na przykład: jeżeli chce się zapewnić dostęp do raportów, trzeba wybrać kartę uprawnień "Raport" i tam wykonać odpowiednie zmiany.

Silnik raportów zapewnia podstawową funkcjonalność, ale wymaga pewnych ulepszeń. Można planować raporty i tworzyć standardowe raporty pokazujące pominięte łatki Windows oraz podjęte akcje naprawcze. W ramach konsoli zarządzania nie jest dostępny eksport raportów. Dostępne jest natomiast oddzielne narzędzie ImportExportUtil - do eksportu danych z Notification Server. Według zapewnień dostawcy, raport trendów ma być w kolejnej wersji produktu.

BigFix Enterprise Suite

BigFix Enterprise Suite zawiera BigFix Server i konsolę zarządzającą oraz agenty pracujące na systemach klienckich. Konsola zarządzania jest aplikacją kliencką, pracującą na większości platform Windows i dostępną dla administratora z odpowiednimi upoważnieniami. Raporty są dostępne za pośrednictwem systemu raportowania opartego na przeglądarce. Na potrzeby testowe wszystkie komponenty zarządzania zainstalowano na jednym serwerze, ale łatwo mogą być one rozproszone, co ułatwia skalowalność.

Podczas testów BigFix bez kłopotów wykonywał funkcje naprawcze. Produkt obsługuje bardzo wiele kontroli systemowych, jednak na szczególne wyróżnienie zasługuje możliwość tworzenia kontroli specjalistycznych i specjalnych wdrożeń łatek. Administrator może tworzyć specjalizowane "fixlety" - terminem tym BigFix określa akcje kontrolne i naprawcze o nieomal nieograniczonych możliwościach.

Łatwość użytkowania to ogromna zaleta produktu BigFix, z łatwym wyborem (typu "kliknięcie prawym klawiszem") funkcji rozprowadzania łatek w locie. Akcje naprawcze mogą być planowane, a w celu zapewnienia zgodności ze zdefiniowanymi politykami i standardami można także zdefiniować poziom bezpieczeństwa. Podczas testów produkt BigFix okazał się najłatwiejszy w nawigowaniu.