NetChk Protect 6.5: VMware-Rechner offline patchen
Mit dem Release von Shavlik NetChk Protect 6.5 am 2. September ist die Installation von Patches auf virtuellen und physikalischen Systemen deutlich einfacher geworden. IT-Manager können jetzt sicher sein, dass auch VMs, die nur gelegentlich benutzt werden, mit den aktuellsten Patches, Hot Fixes und Service Packs versorgt sind, da diese sich nun auch auf virtuellen VMware-Rechner installieren lassen, die offline sind.
NetChk Pro 6.5 ist für die Microsoft Windows/VMware-Umgebung gedacht, was natürlich nicht dem Anspruch einer plattformübergreifenden Lösung entspricht, für die es einen Preis als eWEEK Labs Analyst Choice geben würde. Trotz dieses Mangels sollten IT-Manager NetChk Pro 6.5 bei ihren Plänen für eine Sicherheitsstrategie berücksichtigen, vor allem wegen seiner Fähigkeit, Offline-VMs automatisch mit Updates zu versorgen, deren Aktualisierung sonst arbeits- und zeitaufwendig wäre.
Im Dezember 2007 hat Shavlik einige seiner Patch-Management-Technologien in den VMware Update Manager integriert. Sowohl VMware Update als auch Shavlik NetChk Protect können ESX-Server-Images online und offline scannen und patchen. Firmensprecher ließen verlauten, dass es in Zukunft auch VMs geben soll, die mit Microsoft Hyper-V und Citrix Xen-Server erstellt werden. Eine Lizenz von Shavlik NetChk Protect kostet die einmalige Gebühr von 75 Dollar pro Server und 35 Dollar pro Workstation sowie 25 Prozent für Wartung pro Jahr bei einer Quantität von 100.
NetChk-Planer funktioniert einwandfrei
Das Grundprinzip der Arbeit mit Offline-VMs besteht darin, dass die Rechner in der NetChk-Konsole in eine spezielle Offline-Gruppe platziert werden. NetChk verwendet die VMware Mount-Utility, um das Image auf ein temporäres Laufwerk auf dem NetChk-Konsolensystem zu laden. Gleichzeitig greift das Tool temporär auf die Registry-Einstellungen zu. Die Patches und der NetChk-Planer werden in das Offline-Image kopiert. Wenn die VM aktiviert wird, startet als erstes das NetChk-Update.
Bei eWeek-Tests funktionierte der NetChk-Planer wie beschrieben; Updates, die für die Zukunft vorgesehen waren, wurden nicht vor dem festgelegten Datum ausgeführt. Updates, die sofort installiert werden sollten, starten, sobald das VM-Image aktiviert wurde.
Mit NetChck Protect konnte man der Gruppe der Offline-Scan-Rechner leicht virtuelle Images hinzufügen. Da NetChk Protect im Test in einer VMware-Infrastrukturumgebung verwendet wurde, die ESX-Server mit Virtual-Center 2.5-Verwaltung (Besprechung hier) nutzte, haben die eWeek-Tester zuerst das Virtual-Center-System angesteuert und dann den ESX-Server und schließlich die virtuellen Images ausgesucht.
Seltsame Fehlermeldungen
Diese erste Version des Offline-Scanning- und Patching-Tools von Shavlik ist nicht ganz ohne Macken. Wichtig zu wissen ist, dass virtuelle Images, die zur Gruppe der Offline-Rechner gehören, nicht nach den Offline-Regeln gescannt werden, wenn sie aktiv sind. Die Software untersucht sie dann nur im Rahmen des traditionellen Scanning-Prozesses, der normalerweise für die Rechner genutzt wird. In der Praxis bedeutet das, dass im eWeek-Test die Fehlermeldung erschien, dass ein Rechner nicht gescannt sei, wenn das Scannen sich auf Offline-Images bezog.
Auch bei der Benutzeroberfläche gab es Seltsamkeiten wie eine Meldung, dass die Patch-Datenbanken ein Update von der sicheren Site von Shavlik erhielten, obwohl das Produkt so konfiguriert war, dass es ohne eine derartige Verbindung laufen sollte. Außerdem tauchten Rechner, die beim anfänglichen Scannen online waren, dann aber offline genommen wurden, auf dem Screen für die Statusüberwachung mit einem Symbol auf, dass sie immer noch eine Verbindung hätten, was zu Verwirrung führte und ein Problem für IT-Mitarbeiter werden könnte.
Es gibt eine lange Liste von virtuellen Offline-Konfigurationen, die NetChk Protect nicht unterstützt: Dual-Boot-Systeme, verschlüsselte virtuelle Festplatten und virtuelle Images mit Dateien mit der ErweiterungVMDK (Virtual Machine Disk), die komprimiert oder verschlüsselt sind, verknüpfte Clones, Template-Images und komprimierte Images werden nicht unterstützt. Im eWeek-Test, bei dem es um die möglichst einfache und effiziente Konsolidierung von soviel Gastrechnern wie möglich auf einem Host ging, machte diese lange Liste von Ausnahmen allerdings keine Probleme.
Ebenfalls neu bei NetChk Protect sind zwei wichtige Administrations-Updates, die die Verwaltung von Patches signifikant vereinfachen. Eine „rechnerzentrierte“ Sichtweise sorgt dafür, dass es zusätzliche Informationen über Scannen, Patchen und Status für individuelle Rechner gibt. Außerdem wurde eine funktionsbasierte Administration hinzugefügt, die es einfacher macht, den Zugang der IT-Verwalter auf diejenigen Rechner zu beschränken, für die sie tatsächlich verantwortlich sind.
Während des Tests habe ich oft die rechnerzentrierte Ansicht verwendet. IT-Mitarbeiter, die NetChk schon kennen, werden bei dieser Funktion wahrscheinlich ins Schwärmen geraten. Die Möglichkeit, ein einzelnes System in Rechneransicht unter die Lupe zu nehmen, spart im Alltagsgeschäft viel Zeit, da sich die IT-Zuständigen Patch-Ausnahmen auf individuellen Systemen anschauen können.
Die funktionsbasierte Administration bedeutet im Kern, dass das Patch-Management auf niedrigerer Ebene angesiedelt werden kann. NetChk Protect benötigt zwar eine gewisse Einarbeitungszeit, aber weniger erfahrene IT-Mitarbeiter können sich damit im komplexen Patch-Management erste Sporen verdienen, wenn sie beschränkten Zugriff auf eine kleine Zahl weniger wichtiger Rechner bekommen. Sobald sie mehr Erfahrung in der hohen Kunst haben, Systeme auf dem neuesten Stand zu halten, kann man ihnen mit Hilfe der Benutzeroberfläche von NetChk Protect problemlos größere Aufgaben übertragen.