Produkty pro správu záplat neboli patch management se z nástrojů, které jednoduše distribuují záplaty, vyvinuly v dnešní systémy, jež zahrnují více preventivních bezpečnostních opatření včetně manipulace s nastavením bezpečnostních konfigurací, nasazování standardních softwarových balíků, zajišťování shody politik a přebírání aktivní role v nápravě zranitelností.
V dnešním testu jsme se podívali na čtyři produkty dříve zakotvené v oblasti správy záplat, o nichž nyní dnes výrobci tvrdí, že pomohou zjednodušit nápravné aktivity. Mezi testované zástupce patří Altiris Client Security Management Suite, LANDesk Security Suite, McAfee (dříve Citadel Security) Hercules a PatchLink Update.
U každého produktu jsme se při testech zaměřili na pět klíčových oblastí:
- Testy funkcionality pro nápravu prověřovaly, nakolik dobře byl produkt schopen opravit systémové problémy skrze podporu pro OS obecně, pomocí záplat, klíčů registru a dalších změn konfigurace. Kromě toho jsme se zaměřili na to, jak usnadňoval manuální a plánované nápravy a zda nabízel možnost vytvářet zákaznické opravné úlohy.
- Testy sledování oprav a workflow zkoumaly, jak dobře byl produkt schopen implementovat proces nápravy včetně end-to-end správy cyklu.
- Testy reportingu hodnotily, zda produkt může poskytnout pomocí defaultních či zákaznických reportů užitečné informace o opravných úlohách.
- Testy kontroly přístupu braly v potaz flexibilitu, granularitu a integraci se standardními podnikovými databázemi uživatelů.
- Testy správy a administrace produktu se soustředily na faktory související s každodenním provozem produktu.
Altiris
Altiris Client Security Management Suite 6.1 obsahuje modul SecurityExpressions – nástroj, který nabízí schopnost kontrolovat bezpečnostní konfigurace i nastavení pro dosažení shody a opravovat problémy pomocí modulů Endpoint Security, Local Security a Application Control. Patch Management je poskytován jako samostatná komponenta. Tato kombinace modulů běží na základní architektuře nazývané Altiris Notification Server. My jsme se zaměřili především na komponenty SecurityExpressions a Patch Management, neboť právě tato kombinace splňovala kritéria testu.
Uvedené moduly Altirisu zvládaly veškerou základní nápravnou funkcionalitu, již jsme vyžadovali, přičemž excelovaly ve schopnosti vytvářet zákaznické kontroly, jako třeba pro specifická nastavení klíčů registru, a opravné akce, například změny nastavení klíčů registru.
SecurityExpressions není plně integrován do systému Altiris. Například vývoj politik se v SecurityExpressions stále provádí v samostatné konzoli, avšak kontroly politik si lze prohlížet v konzoli Altirisu. Protože je tento modul srdcem náprav zranitelností, bylo by lépe, kdyby byl plně integrován tak, aby vytváření politik a kontroly konfigurací probíhali v rámci téhož rozhraní a procesu. Stejně tak Patch Management bychom raději viděli jako součást celé sady Client Security Management Suite, neboť jde o integrální součást nápravného schématu. Správa záplat je jen jednou ze součástí rozsáhlého správního řešení Altirisu – některé z možností jeho koncepce tak oceníte zejména tehdy, využijete-li i některé další komponenty.
Správa všech modulů se provádí přes webovou konzoli, která byla z hlediska použití trochu těžkopádná. Občas nebylo snadné provádět ani jednoduché úlohy, jako plánování a zavádění záplat. Správní konzole poskytuje několik dashboardů zobrazujících tabulky a grafy například pro chybějící záplaty na základě jejich kritičnosti. Grafy neposkytují možnost dostat se přímo k odpovídajícím datům.
Nastavení pro nasazování záplat včetně kontroly rebootů a notifikace uživatelů jsou prováděna přes konfigurační politiky. Administrátoři definují politiky pro to, jak by měly být záplaty rozmísťovány. To je výhodné, pokud jsou nastavení stejná pro každou úlohu, ale vyžaduje to určitou dodatečnou práci, potřebujete-li distribuovat záplatu zahrnující odlišná nastavení. Musíme rovněž poznamenat, že Altiris nepodporuje některé vyspělejší možnosti dostupné v některých jiných produktech, jako je pozastavení nebo odložení zavádění záplat.
Altiris Client Security Management Suite 6.1 si pro správě záplat vystačí s moduly SecurityExpressions a Patch Management, které excelují ve schopnosti definovat zákaznické kontroly a nápravné akce.
Kontrola přístupu je navázána na základní skupiny Windows a je administrována z konzole produktu, takže je snadné ji integrovat s podnikovými rolemi a procesy správy identit. Pár defaultních rolí, jako Administrator a Guest, je zde zahrnuto a administrátoři si pak mohou vytvářet své vlastní zákaznické role. Každé roli jsou přidělována oprávnění, jež mohou být popsána velmi detailně.
Nicméně přítomnost uživatelského rozhraní pro nastavení bezpečnostních oprávnění znamená, že budete do jisté míry postrádat centralizovanou kontrolu. Přístup přidělujete z tabulky vlastností pro různé objekty, nikoliv z centralizovaného bodu. Jestliže například chcete poskytnout přístup k reportům, vstoupíte do tabulky oprávnění pro Reports a zde provedete nezbytné změny.
Reportingový engine poskytuje základní funkcionalitu – mohli jsme naplánovat běhy reportů a vytvořit standardní reporty ukazující chybějící záplaty ve Windows a provedené nápravné akce. Export reportů v rámci správní konzole k dispozici není, dostupná je ale samostatná utilita ImportExportUtil pro export dat z notifikačního serveru. Trendové reporty by podle výrobce měly být k dispozici v příští verzi.
Komentáře
Partnerská zóna
Všechny články..
