Administración centralizada de parches de Windows / Mac que es fácil de usar

10

Estoy buscando consejos sobre las soluciones de administración de parches que recomendaría según su experiencia. También estoy buscando cuáles no recomendarías según tu experiencia.

Tenemos una red mixta de clientes Windows y Mac. Nuestros servidores centrales son todos servidores de Windows, aunque he considerado instalar un servidor Mac para manejar mejor a nuestros clientes Mac. El problema que enfrentamos actualmente es que necesitamos mantener los parches en todas nuestras aplicaciones de terceros. En este momento usamos WSUS, que maneja el parcheo de Windows y algunos productos de Microsoft, pero eso es todo. Necesito algo para cubrir las otras aplicaciones, específicamente cosas como los productos de Adobe (Reader, Flash, Dreamweaver, etc.)

Nuestra red no es tan grande (tal vez 200 clientes) y no tengo una persona para dedicar solo a parchear y mantener una solución de administración de parches. Por lo tanto, es muy probable que existan soluciones muy grandes y complicadas como System Center.

Recientemente he estado buscando la solución Kace K1000 de Dell ( software.dell.com/products/kace-k1000-systems-management-appliance/ ). Parece simple y proporciona muchas herramientas en un paquete que me gustaría / necesitaría también. Me gusta el hecho de que es autónomo en un dispositivo y que está diseñado para soluciones como la mía. Sin embargo, no estoy seguro de si esta es la mejor solución.

También busqué en la solución Netchk de Shavlik ( http://www.shavlik.com/netchk-protect.aspx ) pero no necesito un producto antivirus. Sin embargo, parece que podrían tener una muy buena base de datos de parches.

Mi pregunta es esta: ¿Qué piensa sobre estos productos? ¿Hay mejores productos por ahí? ¿Hay problemas que no estoy considerando?

Quiero algo que sea muy bueno para parchear una amplia gama de productos, que sea simple de usar, que requiera una cantidad mínima de administración (como WSUS) y que (con suerte) funcione con Mac y Windows.

windows mac windows-update update patch-management IAmTimCorey
fuente

Respuestas:

2

He usado Lumension Patchlink para máquinas Windows, pero veo que es compatible con la mayoría de los sistemas operativos cliente modernos. Funcionó bien; Sin embargo, cualquiera de estos productos tiene el potencial de ser moderadamente complejo.

mfinni
fuente
Gracias por la respuesta. Investigaré en Patchlink. Entiendo sobre el potencial de complejidad. Solo quiero evitar los sistemas muy complejos. He revisado System Center, por ejemplo, y eso parece ridículo. Intentan hacer todo, lo que significa que nada es simple. Quiero algo más dirigido a un negocio como el mío (pequeño con un pequeño personal para administrarlo).
IAmTimCorey
2

Para Windows, estoy usando WSUS de la misma manera que usted y WPKG ( enlace a otro complemento que hice para WPKG ) para otras actualizaciones de software.

WPKG tiene un buen Wiki donde las personas han contribuido con su configuración para varios paquetes, pero en última instancia, usted es responsable de verificar y / o resolver los comandos de instalación, actualización, degradación y eliminación de cada paquete según sea necesario.

Para las Mac, miraría Apple Remote Desktop o Puppet .

Mike Renfro
fuente
Enlace interesante en WPKG. Tendré que ver eso como un sistema suplementario. Preferiría tener un sistema automatizado si es posible para la mayoría de mi configuración e implementación de parches. Sin embargo, es una solución muy interesante. Gracias.
IAmTimCorey
WPKG está automatizado, ya que puede ejecutar un servicio, un script de inicio de computadora, etc., que garantizará que los paquetes correctos y las últimas versiones estén en clases de máquinas dadas. No estoy seguro de qué otro tipo de automatización le interesaría.
Mike Renfro
2

Creo que vale la pena probar Secunia CSI, aunque no estoy seguro de que el precio se ajuste a su escala.

Editar: Secunia CSI es, de hecho, un escáner de vulnerabilidades de red, pero proporciona los enlaces a los parches correspondientes a las vulnerabilidades que encuentra, incluidos los de terceros, y luego le permite aplicarlos casi automáticamente en su red a través de su WSUS o SCCM.

joechip
fuente
Gracias por la información. Por lo que puedo ver, esto es más para el escaneo de vulnerabilidades que para la administración de parches. Parece que tiene que desarrollar sus propios paquetes de parches para poner en este sistema. ¿Estoy correcto o me perdí algo? Preferiría un sistema que dijera "Marque esta casilla para mantener actualizado Adobe Reader" o algo así (como lo que hace WSUS). Me gustaría descargar los parches y aplicarlos automáticamente (si lo permito desde la consola).
IAmTimCorey
Secunia CSI no distribuye los parches en sí, sino que empaqueta muy fácilmente los parches de terceros en su WSUS o SCCM simplemente apuntando y haciendo clic. Mire esto alrededor de las 4:20.
joechip
Entendido. Gracias por la actualización. Investigaré más esta solución. Gracias.
IAmTimCorey
2

Menciona haber echado un vistazo a Shavlik Netchk, pero lo ha mirado.shavlik.com. Es su oferta de gestión de parches SaaS. El costo de 250 máquinas es de $ 1500 por año y actualmente ofrecen una suscripción de 3 años a $ 2250.

Utilizamos el producto Netchk para administrar parches en aproximadamente 1100 estaciones de trabajo. Estamos extremadamente contentos con eso. Es muy fácil de configurar y mantener. Realmente requiere muy poco esfuerzo de nuestra parte. El motor de administración de parches es excelente y, de hecho, la mayoría de los otros productos en realidad licencian y usan el motor Shavlik.

TimS
fuente
Gracias por la información Tim. ¿Es un cliente que instalas? ¿Qué tipo de gestión está involucrada con el parcheo? ¿Has descubierto que hay áreas que te faltan (no están siendo parcheadas)? ¿Funciona bien con usuarios de computadoras portátiles que no siempre están conectados?
IAmTimCorey 01 de
Shavlik admite escaneo sin agente y basado en agente. Usamos una mezcla de ambos. También usamos Shavlik en nuestros servidores y para la mayoría si no instalamos el agente. Algunos servidores existen en segmentos de red donde los puertos necesarios para sin agente no se pueden abrir y para estos instalamos el agente. En las estaciones de trabajo usamos el agente. Sin agente realiza escaneos a una frecuencia que usted defina y si una estación de trabajo está desconectada (como una computadora portátil que viaja) o se ha apagado, el escaneo fallará. Con el agente, el agente realiza el análisis y se pone en contacto con el servidor, por lo que resuelve este problema.
TimS
Nuestra mayor queja durante mucho tiempo fue que no admitía parchar Adobe Air. Las últimas versiones lo hacen y la queja se ha ido. Estamos parcheando una variedad de productos de Microsoft, Acrobat, Flash, AIR, Java, Skype, Firefox y Safari. Eso cubre 98 - 99% de nuestras aplicaciones. El resto lo abordamos utilizando otra herramienta. Shavlik podría usarse para enviar parches personalizados para estos, pero sobre todo por razones históricas, no lo hacemos. Ocasionalmente, encontramos fallas de parches en máquinas particulares, pero siempre se han debido a un problema en la máquina en comparación con cualquier problema de Shavlik.
TimS
Muchas gracias. Ese es exactamente el tipo de comentarios que estaba buscando. Hace que sea mucho más fácil tomar una decisión clara.
IAmTimCorey 01 de