Mit Hilfe des LANDesk Patch Managers ist es Ihnen möglich, Sicherheitsrisiken, die eine fortlaufende Bedrohung für den Zustand und die Leistung Ihrer verwalteten Geräte darstellen, aufzuspüren und zu beseitigen. Zu diesen Risiken gehören: Bekannte Betriebssystem- und Anwendungsanfälligkeiten, Spyware, Viren, Systemkonfigurationsfehler, unzulässige oder verbotene Anwendungen sowie andere potenzielle Sicherheitslücken.

Der Patch Manager stellt Ihnen alle Tools zur Verfügung, die Sie für die Einrichtung einer systemweiten Sicherheit benötigen. Mit dem LANDesk Patch Manager lassen sich Routineprozesse im Zusammenhang mit der Verwaltung von Patch-Inhalten und dem Ordnen und Anzeigen dieser Inhalte automatisieren. Analysieren Sie verwaltete Geräte mithilfe von Sicherheitsscan-Tasks und Richtlinien auf bekannte plattformspezifische Anfälligkeiten. Sie können ausführbare Patch-Dateien herunterladen und verwalten. Schließlich können Sie erkannte Anfälligkeiten reparieren, indem Sie die vorgeschriebenen Patch-Dateien bereitstellen und installieren und sich von der gelungenen Durchführung eines Reparaturvorgangs überzeugen. Sie können zudem eigene benutzerdefinierte Anfälligkeitsdefinitionen erstellen, um verwaltete Geräte auf bestimmte Betriebssystem- und Anwendungsbedingungen hin zu überprüfen, die den Betrieb und die Sicherheit Ihres Systems beeinträchtigen können. Benutzerdefinierte Definitionen können entweder nur für Erkennungsaufgaben oder sowohl für Erkennungs- als auch Reparaturaufgaben konfiguriert werden.

Zusätzlich zu bekannten Anfälligkeiten, die Sie über den LANDesk Patch Manager-Dienst aktualisieren, können Sie auch eigene benutzerdefinierte Definitionen erstellen — einschließlich benutzerdefinierter Erkennungsregeln, verknüpfter Patch-Dateien und spezieller Zusatzbefehle, die eine erfolgreiche Reparatur gewährleisten. Anfälligkeitsdefinitionen bestehen aus einer eindeutigen Kennung, Titel, Datum der Veröffentlichung, Sprache, zusätzlichen Identifizierungsdaten und den Erkennungsregeln, die dem Sicherheitsscanner mitteilen, wonach er auf Zielgeräten suchen soll. Erkennungsregeln definieren die Plattform, Anwendung, Datei oder die Registrierungsbedingungen, nach denen der Sicherheitsscanner sucht, um eine Anfälligkeit auf gescannten Geräten ausfindig zu machen. Die benutzerdefinierten Anfälligkeitsdefinitionen des Patch Managers sind eine leistungsstarke, flexible Funktion, mit der Sie eine zusätzliche systembezogene Ebene der Patch-Sicherheit auf Ihrem LANDesk-System realisieren können. Zusätzlich zur Verbesserung der Patch-Sicherheit und anderen innovativen Tasks, die die Vorteile der Scanfunktionen des Anfälligkeitsscanners nutzen, können benutzerdefinierte Anfälligkeiten u.a. auch dazu verwendet werden, Systemkonfigurationen zu analysieren, nach bestimmten Datei- und Registrierungseinstellungen zu suchen und Anwendungsaktualisierungen zu verteilen.

Der Patch Manager stellt folgende Methoden für die Reparatur der Konsole zur Verfügung:

Die Reparatur mittels geplanten Tasks lässt sich mit einer Push-Verteilung vergleichen, da das Patch vom Core Server via Push-Prozedur an Geräte übermittelt wird. Eine Richtlinie ist dagegen als Pull-Verteilung einzustufen, da der Richtlinienagent auf dem Gerät den Core Server auf zutreffende Richtlinien durchsucht und das Patch dann mittels Pull-Prozedur vom Core Server abruft.

Der integrierte Inventarscanner erfasst Hard- und Softwaredaten und fügt sie in die Core-Datenbank ein. Wenn Sie ein Gerät mit dem Tool "Agentenkonfiguration" konfigurieren, gehört der Inventarscanner zu den Komponenten des Standard-LANDesk-Agent, die auf dem Gerät installiert werden. Der Inventarscanner wird beim erstmaligen Konfigurieren des Geräts automatisch ausgeführt. Ein Gerät gilt als verwaltet, sobald es einen Inventarscan an die Core-Datenbank sendet. Der Scanner unterstützt Macintosh-, Linux- und Windows 95/98/NT/2000/2003/XP-Geräte.

Das Bericht-Tool nutzt die Vorteile des leistungsstarken Inventarscanners, mit dem Hardware- und Softwaredaten erfasst werden, um nützliche, aussagekräftige und aktuelle Berichte zu erstellen. Sie können die vordefinierten Dienst- und Inventarstandardberichte verwenden oder eigene Berichte erstellen. Die vordefinierten Berichte werden standardmäßig mit der Anwendung zur Verfügung gestellt. Mithilfe der benutzerdefinierten Berichte können Sie eine spezifische Informationssammlung definieren und als Basis für einen Bericht verwenden. Die vordefinierten oder benutzerdefinierten Parameter werden ausgeführt und es wird ein Bericht erstellt, der die relevanten Daten enthält. Der Bericht kann von der Konsole aus angezeigt werden. Darüber hinaus können Sie Berichte planen, die veröffentlicht und auf einem Datenträger oder in einer geschützten Dateifreigabe in Ihrem Netzwerk gespeichert werden. Dort können sie von jedem Benutzer, der über die entsprechenden Anmeldeinformationen verfügt, geöffnet und angezeigt werden. Mithilfe eines von Ihnen erstellten Zeitplans können die veröffentlichten Berichte per E-Mail an Empfänger gesendet werden, die über die erforderlichen Rechte und Bereiche verfügen.

Der LANDesk Patch Manager beinhaltet ein leistungsstarkes System für die Verwaltung geplanter Tasks. Sowohl der Core Server als auch die verwalteten Geräte verfügen über Dienste/Agenten, die geplante Tasks unterstützen. Die Management Suite-Konsolen und Webkonsolen können Tasks zum Scheduler hinzufügen. Ein Task besteht aus einem Verteilungspaket, einer Verteilungsmethode, Zielgeräten und einem Zeitplan für die Verteilung. Tasks, bei denen es sich nicht um Verteilungstasks handelt, beinhalten ein Skript, Zielgeräte und einen Zeitplan.

Zu den anderen Tasks, die Sie planen können, gehören:

Beim Durcharbeiten der Dialogfelder für die Skripterstellung wird für diese Tasks eine ASCII-Textdatei im Windows INI-Format mit einer .INI-Erweiterung angelegt. Softwareverteilungsskripte bilden eine Ausnahme. Sie erstellen keine INI-Datei und werden stattdessen in der Datenbank gespeichert. Die Skripte enthalten nur Informationen zu dem erstellten Task. Sie geben keine Auskunft darüber, auf welchen Geräten das Skript ausgeführt wird. Die Skripte verwenden eine benutzerdefinierte Scripting-Sprache, die nur von der LANDesk verwendet wird.

Wenn in Ihrer LANDesk-Umgebung ein Rollup-Core installiert ist, können die auf diesem Rollup-Core erstellten Tasks global geplant werden. Darüber hinaus unterstützen diese Tasks Ziele von unterschiedlichen Child-Cores. Wenn Sie einen Task auf dem Rollup-Core erstellen und planen, überprüft der Rollup-core in der Zielliste, welche Ziele zu welchem Child-Core Server gehören. Der Rollup-Core sendet dann den Task und den zugehörigen eindeutigen Abschnitt der Gesamt-Zielliste an die einzelnen Child-Core Server. Jeder Child-Core Server führt den Task im Hintergrund aus und gibt den Taskstatus an den Rollup-Core zurück. Wenn ein Child-Core zwar Ziele hat, aber über keine Rollup-Core-Zertifikate verfügt, führt der Rollup-Core den Task stattdessen auf diesen Zielen aus.

Seit der Version 8 und neuer wird bei der Verteilung ein Checkpunkt-Neustart auf Byte-Ebene und dynamische Bandbreitendrosselung unterstützt. Checkpoint-Neustarts werden von Verteilungsaufträgen unterstützt, die von SWD zuerst in den Cache-Ordner des Geräts kopiert werden. Wenn eine Bandbreitensteuerungsoption ausgewählt wird, werden die Dateien zuerst in den Cache des Geräts kopiert, mithilfe von "Checkpoint-Neustart" können dann unterbrochene Verteilungsvorgänge an der Stelle wieder aufgenommen werden, an der sie unterbrochen wurden.

Durch die Dynamische Bandbreitendrosselung wird festgelegt, dass der von einem Gerät erzeugte Netzwerkverkehr Vorrang vor dem durch die Verteilung bedingten Verkehr hat. Mit dieser Option wird zudem erzwungen, dass die gesamte Datei in den Cache des Geräts heruntergeladen wird. Damit wird gleichzeitig die Option für Checkpoint-Neustarts auf Byte-Ebene aktiviert. Das heißt, dass Download-Vorgänge im Fall einer Unterbrechung an der Stelle wieder aufgenommen werden, an der sie unterbrochen wurden. Wenn Sie diese Option auswählen und die Prozentangabe für Minimal verfügbare Bandbreite auf 0 belassen, wird die Verteilung auf etwa ein Paket pro Sekunde gedrosselt, sobald das Gerät Netzwerkverkehr initiiert, und bleibt auf diesem Niveau, bis der Netzwerkverkehr endet. Wenn Sie den Wert für die minimal verfügbare Bandbreite heraufsetzen, reserviert das System ungefähr die von Ihnen angegebene Menge an Gerätebandbreite für die Verteilung, sofern die Verteilung Netzwerkbandbreite benötigt und Anwendungen auf dem Gerät um Bandbreite konkurrieren. Dynamische Bandbreitendrosselung ist nicht auf Windows 95-, Macintosh- oder DOS-Geräten verfügbar. Windows 98- und Windows NT-Geräte können die dynamische Bandbreitendrosselung verwenden, wenn auf ihnen Internet Explorer (ab Version 4) installiert ist.

Sie können eine "kollektive Bandbreitendrosselung" konfigurieren, sodass nur von einem Gerät aus der Multicast-Domäne Dateien aus der Remotequelle heruntergeladen werden. Sie können auch die beim Herunterladen aus der Quelle verwendete Bandbreitenmenge konfigurieren. Diese Funktion ist
auf allen Versionen des Windows-Systems verfügbar. Kollektive Bandbreitendrosselung wird nicht auf Macintosh- oder DOS-Systemen unterstützt.

Mit der LANDesk Targeted Multicast-Technologie können Sie große Pakete als Massen-Rollout im Netzwerk verteilen und dabei die Netzwerkbelastung so gering wie möglich halten. Die Targeted Multicast-Funktionen benötigen zur Unterstützung von Multicast-Paketen weder eine zusätzliche Hardware- oder Software-Infrastruktur noch spezielle Router-Konfigurationen. Sie profitieren von den enormen Vorteilen der Multicast-Technologie ohne die sonst üblichen Probleme. Targeted Multicast unterstützt Ihre vorhandenen Softwareverteilungspakete. Mit Targeted Multicast lassen sich Softwarepakete ganz einfach verteilen, selbst in WAN-Umgebungen mit mehreren Hops und niedriger Verbindungsgeschwindigkeit (56 KBit/s). Targeted Multicast verwendet HTTP für die Übermittlung von einer Website an einen Subnetzrepräsentanten. Der LANDesk-Inventarscanner stellt dem Targeted Multicast-Dienst alle Subnetzinformationen zur Verfügung.

Targeted Multicast bietet zahlreiche Vorteile, die Standard-Multicast-Methoden nicht aufweisen. Mithilfe des inventarbasierten Targeting von Geräten können Sie ein Paket über ein Multicast an eine ausgewählte Gruppe von Computern senden, die bestimmte Kriterien erfüllen. Targeted Multicast ist auch deshalb unkompliziert, weil Router nicht extra für die Verarbeitung von übermittelten Paketen konfiguriert werden müssen. Verglichen mit konventionellen Softwareverteilungsmethoden wird bei der Übermittlung von Softwarepaketen mit Targeted Multicast deutlich weniger Zeit und Bandbreite benötigt. Statt für jedes Gerät ein Paket über das Netzwerk zu senden, wird für jedes Subnetz nur eine Übertragung durchgeführt. Je höher die Anzahl der Gerät im jeweiligen Subnetz, umso mehr Bandbreite wird eingespart. Multicast wird in richtlinienbasierten Push-, Push- und Multicast-Liefermethoden (nur Cache) unterstützt.

Peer Download ist eine Targeted Multicast-Option, die Zielgeräte zwingt, ein Paket aus dem lokalen Cache des Geräts oder von einem Peer im gleichen Subnetz zu installieren. Diese Option reduziert zwar den Netzwerkverkehr, die Paketinstallation kann aber nur dann erfolgreich ausgeführt werden, wenn sich das Paket im lokalen Cache oder im Cache eines Peer befindet.

Die Funktion "Erkennung nicht verwalteter Geräte" (UDD, Unmanaged Device Discovery) ist eine Neuerung der Version 8. UDD findet Clients in Ihrem Netzwerk, die keinen Inventarscan an die Core-Datenbank gesendet haben. UDD verwendet bei der Suche nach nicht verwalteten Geräten mehrere Methoden.

UDD unterstützt außerdem die folgenden zusätzlichen Erkennungsmethoden.

UDD unterstützt darüber hinaus die erweiterte Geräteerkennung, die mit einem Geräteagenten arbeitet, der das Netzwerk auf neue ARP-Broadcasts abhört. Anschließend überprüft der Agent der erweiterten Geräteerkennung dann ARP-erkannte Geräte auf das Vorhandensein des LANDesk-Agenten. Wenn der LANDesk-Agent nicht reagiert, zeigt die erweiterte Geräteerkennung das Gerät in der Liste Computer an. Die erweiterte Geräteerkennung leistet optimale Dienste in Situationen, in denen Firewalls Geräte daran hindern, auf die normalen Pingbasierten UDD-Erkennungsmethoden zu antworten. Um die Suche nach nicht verwalteten Geräten zu automatisieren, können Sie regelmäßige Erkennungsvorgänge planen. Sie können beispielsweise Ihr Netzwerk in Drittel unterteilen und zeitplangesteuert für jedes Drittel eine Ping-Suche pro Nacht durchführen

Das LANDesk Alert Management System (AMS) automatisiert Aktionen, die als Reaktion auf Alarmmeldungen im Netzwerk ausgelöst werden. AMS überwacht LANDesk-Komponenten und -Geräte im Hinblick auf das Auftreten bestimmter Ereignisse. Wenn diese Ereignisse stattfinden, sendet die Komponente oder das Gerät eine Alarmmeldung an AMS. AMS kann Sie über den Alarm informieren, indem das Modul die von Ihnen konfigurierte Alarmaktionen durchführt. Beispielsweise können Sie die Konsole so konfigurieren, dass Sie benachrichtigt werden, sobald jemand eine Fernsteuerungssitzung einzurichten versucht. Wenn dieses Ereignis eintritt, erkennt AMS den Versuch und führt die konfigurierten Alarmaktionen aus, sendet z. B. eine Nachricht per Internet-Mail oder Pager.

Seit der Version 8.7 bietet LANDesk die Möglichkeit bisher nicht zugängliche User über das Internet mittels Management Gateway zu verwalten. Dies ermöglicht einen sicheren Datenaustausch ohne Standleitung oder VPN. Durch die SSL-Verschlüsselung können Sie sicher sein, dass kein Unbefugter auf Ihre Daten Zugriff hat. Die Steuerung von externern Geräte ist aufgrund der Dynamischen Bandbreitendrosselung unabhängig vom Standort. LANDesk steuert automatisch die Bandbreitenauslastung und ermöglicht selbst bei einer 56K Anbindung optimale Leistung. Dabei ist das Management Gateway in der Lage bis zu 4000 gleichzeitigen Verbindungen aufzubauen und zu halten.

Produktunterlagen LANDesk Patch Manager