Verbesserung der IT-Sicherheit durch Patch-Management

BSI: »Grundsätzlich ist eine unverzügliche Einspielung von Sicherheitsupdates direkt nach Verfügbarkeit zwingend, um das Zeitfenster, in dem die Systeme verwundbar sind so klein wie möglich zu halten«.

Unsere Lösungen

Patch-Management für Unternehmen

Sicherheitsupdates und Patche im Netzwerk verteilen

Patch-Management gehört zu den grundlegenden Maßnahmen zur Verbesserung der IT-Sicherheit. Anders ausgedrückt: Wer Patche (engl. für Flicken) und Sicherheitsupdates nicht regelmäßig und zeitnah einspielt, öffnet Cyberkriminellen buchstäblich die Tür. Oberflächlich betrachtet, scheinen die Schwachstellen in den Betriebssystemen von Microsoft häufiger und schwerwiegender zu sein, als die Lücken in Drittanbieter Software von z.B. Adobe, Oracle, Google, Apple und Mozilla. Tatsächlich sind 83 % der eindeutigen Sicherheitslücken (CVE) im Jahr 2016 in Nicht-Microsoft-Applikationen und Betriebssystemen gefunden worden.

Patch-Management, also die aktive Suche nach neuen (Sicherheits-) Patches, deren Funktions-, Kompatibilitätstest und Installation, ist eine regelmäßige und verantwortungsvolle IT-Aufgabe. Ist eine Schwachstelle erst einmal bekannt, ist sie meist auch ausreichend dokumentiert und ein einfach anzugreifendes Ziel. 2014 waren zehn bekannte Sicherheitslücken für 97 % aller Angriffe verantwortlich. Dementsprechend genügt es nicht, Patches irgendwann einzuspielen, sondern zeitnah nach deren Freigabe. Denn zwischen der Erkennung von Schwachstellen und der Patch-Freigabe dauert es bereits durchschnittlich drei Monate.

Wird der Patch ohne Kompatibilitätsprüfung in der eigenen IT-Infrastruktur verteilt, kann das negative Auswirkungen wie z.B. Ausfall einiger Systeme haben. Anbieter von systemkritischen Applikationen können sogar vor der Einspielung neuer Updates warnen.

Eine Priorisierung und Gruppierung der IT-Landschaft durch Asset-Managementfunktionen hilft besonders gefährdete Systeme kurzfristig abzusichern und problematische Systeme auszuklammern. Eine Patch-Managementlösung unterstützt Sie bei dieser Mammutaufgabe und liefert zusätzlich aktuelle Statusreports.

Weitere Informationen zu allen historischen und aktuellen Sicherheitslücken finden Sie bei CVE-Details und im Ivanti Patch-Tuesday Blog.

Video

Funktionsübersicht Ivanti Patch-Management

Video ansehen

Ivanti Patch-Management by Shavlik

Seit Januar 2016 ist Shavlik Patch-Management Teil von Ivanti. Die Ivanti Patch-Managementlösungen Ivanti Patch for Windows und Ivanti Patch für Microsoft System Center Configuration Manager (Microsoft SCCM) unterstützen Sie bei der Absicherung der IT durch Updates und Sicherheitsupdates für Microsoft und über 70 weiteren Herstellern.

Ivanti Patch-Management stellt vorab getestete Patches und Sicherheitsupdates für Microsoft und über 70 andere Hersteller von Standardlösungen wie Mozilla, Google, Adobe, Apple uvm. zur Verfügung.

Mit Ivanti Patch for Windows (Servers und Workstations) powered by Shavlik laden Sie jeden Patch nur einmalig herunter und testen die Auswirkungen der Updates vor der Verteilung in Ihrem Netzwerk. Mit dem integrierten Asset-Management gruppieren Sie Computer und Server nach bestimmten Eigenschaften oder Standorten, klammern kritische Systeme aus und priorisieren anfällige Computer. Der Scheduler sorgt für eine störungsfreie Patch-Verteilung oder verlegt die Installation der Patches und Sicherheitsupdates bei Servern auf ein noch freies Wartungsfenster. Ivanti Patch for Windows funktioniert ohne Client auf den jeweiligen Servern oder Workstations.

Ivanti Patch for SCCM liefert aktuelle Patch- und Sicherheitsupdates als Katalogdatei in SCCM. Die Verteilung von Drittanbieter Patches erfolgt dann wie gewohnt über SCCM und WSUS Funktionen.

Ivanti Patch for Windows

Das komplette Patch-Management in einer Softwarelösung! Mit Ivanti Patch for Windows Server und Workstation (Shavlik Protect) verteilen Sie Patches, Software- und Sicherheitsupdates von Microsoft und über 70 Drittherstellern – ohne Client - auf Workstations, Servern und virtuellen Umgebungen.

Ivanti Patch for SCCM

Ivanti Patch for Microsoft SCCM ermöglicht die Patch-Verteilung von Drittanbieter-Applikationen wie Adobe Reader, Mozilla Firefox, Google Chrome, Oracle Java und über 70 weiteren Herstellern ohne zusätzliche Software direkt über die SCCM-Infrastruktur. Ivanti Patch integriert sich komplett in SCCM und liefert geprüfte Katalog-Updates für SCCM.

Ivanti Patch-Tuesday Übersicht

Erfahren Sie mehr über aktuelle Sicherheitsupdates und Patche des letzten Patch-Tuesday direkt bei Ivanti. Welche Sicherheitsupdates sind besonders kritisch? Welcher Hersteller hat noch Patche freigegeben? Obiger Link führt Sie direkt zum Ivanti Patch-Tuesday-Blog.

Aktuell: Ivanti Patch-Tuesday Übersicht für September 2017

Am September Patch-Tuesday sind sehr viele eindeutige Sicherheitslücken (CVE) geschlossen worden. Microsoft gibt 14 Updates frei und schließt mit den 11 kritischen Updates insgesamt 76 Schwachstellen, hauptsächlich im Internet Explorer, Edge, Exchange, Windows und Office.

Adobe hat Korrekturen für zwei Flash Player Sicherheitslücken, die beide als kritisch (Priorität 1) eingestuft werden, freigegeben.

Mehr zu den aktuellen Updates und Sicherheitsupdates finden Sie im Ivanti-Blog

Ivanti Patch for Windows

Patches und Sicherheitsupdates für Microsoft und Nicht-Microsoft Software und Betriebssysteme »clientless« verteilen. Übersichtliche Auswertungen und Compliance-Reports.

Datenblatt lesen

Ivanti Patch for Windows

Ivanti Patch for Windows Server und Workstation bietet das komplette Leistungsspektrum modernen Patch-Managements und ist die All-in-one Lösung für zeitnahe Patch-Verteilung auch in großen, dezentralen und virtuellen IT-Umgebungen.

Unter Patch-Management versteht man die Verteilung und Installation von jeweils für die Systeme relevanten Patches und Sicherheitsupdates. Ivanti Patch for Windows (vormals Shavlik Protect) kann mehr: Sie erhalten nur vorab getestete Updates und sparen dadurch kostbare Zeit bei der Patch-Verteilung und minimieren Risiken. Über Asset-Managementfunktionen gruppieren Sie Ihre IT-Infrastruktur in logische Segmente und schließen kritische Server aus. Virtuelle Infrastrukturen und Templates können online und offline gepatcht werden. Ivanti Patch for Windows arbeitet ohne Client und zeigt in Echtzeit den Update-Status Ihrer Server, Workstations und virtuellen Umgebungen. Einen ersten guten Überblick in 30 min. bekommen Sie, indem Sie unser Ivanti Patch Webinar besuchen.

Security Insider testet im April 2017 Ivanti Patch for Windows und hinterlässt bei den Testern einen »hervorragenden Eindruck«.
Zum Security Insider Testbericht

Ivanti Patch-Management - Die Funktionen

Ivanti Patch Funktionsumfang

Ivanti Patch for Windows (vormals: Shavlik Protect) überprüft freigegebene Patches und Sicherheitsupdates von Microsoft und über 70 weiteren Drittanbietern, wie beispielsweise Apple, Google, Mozilla, Adobe, Citrix uvm. Nur funktionierende Patche und Sicherheitsupdates werden als verifizierte XML-Datei gesichert übermittelt.

Alle heruntergeladenen Patche werden von Ivanti Patch for Windows automatisch auf Relevanz für die jeweiligen Server, virtuellen Systeme und Workstations überprüft und nach Freigabe »silent« verteilt. Patche und Sicherheitsupdates werden nur dort installiert, wo sie auch notwendig sind. Ivanti Patch for Windows erkennt Patches nicht nur über Registry-Einträge, sondern überprüft alle Dateien, die mit dem Patch installiert werden auf Aktualität (Datum, Größe etc.). Ein Rollback von Patches und Updates kann direkt über die Konsole durchgeführt werden.

Zu jeder Zeit haben Sie den Überblick über die Patch-Verteilung und den Patch-Status in Ihrer Organisation. Die mitgelieferten Patch-Beschreibungen ergänzen die Herstellerinformationen. Unterschiedlich granulare Reports und Berichte informieren sowohl die zuständigen Administratoren als auch die IT-Manager oder Datenschutzbeauftragten mit angepasster Informationsdichte über die aktuelle Patch-Quote.

Ohne Client! Oder mit ...

Für die meisten Patch-Managementlösungen ist ein erweiterter oder zusätzlicher Client notwendig, der jeweils auf den Systemen installiert und gewartet werden muss. Nicht so bei Ivanti Patch for Windows! Der Scan auf fehlende Patches, die Verteilung und die anschließende Auswertung funktionieren komplett ohne Client.

Sollten Notebooks und einzelne Computer nicht dauerhaft mit Ihrem Netzwerk verbunden sein, überprüft der optionale Ivanti Patch for Windows Client bei jeder Verbindung aktiv auf fehlende Patche und installiert sie lokal.

Ivanti Protect kann auch virtuelle Infrastrukturen ohne Client patchen und zwar sowohl online als auch offline. Mehr dazu unter »Einzigartige VMware-Funktionen«.

Intergriertes Asset-Management

Mit dem integrierten Asset-Management gruppieren Sie Ihr IT-Netzwerk logisch nach Servern, Workstations, Standorten, Test-Computern, Workstations mit Standardkonfiguration uvm. Sind Patches für kritische Systeme wie CRM- und Produktionsserver nicht freigegeben, können sie aktiv exkludiert werden.

Die Asset-Managementfunktion in Ivanti Patch for Windows priorisiert kritische Systeme und Applikationen, erhöht die Effizienz und minimiert mögliche Systemausfälle durch inkompatible Patche.

Einzigartige VMware Funktionen

Ebenfalls ohne zusätzlichen Client patchen Sie mit Ivanti Patch for Windows alle VMware Templates und VMware Instanzen, egal ob diese gerade online oder offline sind. Dazu zählen ESXI-Hypervisoren, Windows Hyper-V Server, Citrix XenApp und Citrix Presentation Server.

Mit der integrierten Snapshot-Technologie erstellen Sie jederzeit VMware Snapshots für ein nachträgliches Recovery oder stellen damit den ursprünglichen Zustand wieder her. Die VMware Offline-Patch Verteilung ohne Client finden Sie nur bei Ivanti Patch for Windows.

Aufgrund des hohen Leistungsumfangs gewinnt Ivanti Patch for Windows noch unter dem Namen Shavlik Protect, den Best of VMworld 2016 Gold Award im Bereich Security.

Hohe Flexibilität

Notwendige Aktionen vor einer Patch-Installation sowie Reboots danach sind automatisierbar. Verteilen Sie alle Patches auch außerhalb der üblichen Bürozeiten. Mit dem integrierten Scheduler »wecken« Sie Workstations außerhalb der Arbeitszeit auf und fahren diese nach der Installation auch wieder herunter. Sicherheitsupdates bei Servern verlegen Sie damit in ein freies Wartungsfenster. 

Integrierte IT-Script-Funktionen erlauben Individualisierungen bei einzelnen Systemen und Automatisierungen von Funktionen und Workflows. Weitere IT-Scripte sind über Ivanti Patch for Windows Power-Pack Add-on verfügbar. 

Ivanti Patch for Windows ist skalierbar auch in großen Umgebungen einsetzbar. Distribution-Server ermöglichen das Patch-Deployment in anderen Standorten und Load-Balancing.

Umfangreiches Reporting

Um compliant zu sein ist die Dokumentation von aktuellen Ist-Zuständen oder historischen Statusmeldungen zum Beispiel nach Datenpannen essentiell. Ivanti Patch for Windows hat bereits alle wichtigen Reports vorgefertigt hinterlegt. Einige Management-Reports geben Verantwortlichen den gewünschten Überblick. Dokumentierte SQL Datenbankabfragen erlauben die Verarbeitung aller, von Ivanti zur Verfügung gestellten Patch-Informationen in anderen Lösungen.

Power-Pack Add-on

Zusätzlich zu den oben beschriebenen Funktionen bietet Ivanti Patch for Windows Power-Pack folgende Funktionen:

  • Power-Management zum Anschalten, Patchen und Abschalten von Systemen, aber auch zur Reduzierung des Energieverbrauchs außerhalb der Arbeitszeiten. Zeitgesteuert und synchron zu Ihren Wartungsfenstern.
  • Erweiterte ITScripts zur Automatisierung von Funktionen und Workflows, Erstellung eigener Skripte über Microsoft PowerShell®. Sie können die mitgelieferten Skripte out-of-the-box nutzen und verändern, damit bestimmte Systeme remote sperren, zusätzliche Inventarinformationen Ihrer Hard-und Software erhalten sowie
    • Deaktivierung von Auto-Update Funktionen
    • Erfassung von zusätzlichen Hardware Inventardaten
    • Aktive Prozesse und Dienste monitoren
    • Deaktivierung von USB-Ports
    • User-Account Informationen ergänzen
    • Registry Key Werte ansehen und verändern uvm.

Ivanti Power-Pack Funktionen setzen eine gültige Ivanti Patch for Windows Servers oder Workstations Lizenz voraus.

Eigene Patches erstellen und verteilen

Mit Custom Patches ermöglicht Ihnen Ivanti Patch for Windows die Erstellung von Patches und Updates für spezielle eigene Applikationen oder für Applikationen für die keine Update-Routinen vorgesehen sind. Die Verteilung dieser Updates, die Gruppierung betroffener Systeme sowie das Reporting erfolgt mit Ivanti Patch for Windows analog zu allen anderen Patches und Updates.

Lizenzierung

Bei der Lizenzierung von Ivanti Patch for Windows wird grundsätzlich zwischen Servern und Workstation unterschieden. Virtuelle Systeme zählen wie ihre physikalischen Pendants.

Ivanti Patch for Windows gibt es sowohl als Perpetual-Lizenz als auch als Subscription. Ein gültiger Wartungsvertrag (in Subscription während der Laufzeit enthalten) ist obligatorisch, um die neusten Patch-XML-Dateien herunterladen und verteilen zu können.

Zusätzliche Konsolen können für die Administration des Patch-Managements in größeren Infrastrukturen oder in verteilten Standorten sinnvoll sein.

Download & Angebot

Patch-Management für alle Fälle

Eine Lösung für Ihr sicheres Patch-Management.
Webinar, Angebot, Testversion

DownloadMehr erfahren

Ivanti Patch for SCCM

83 % aller Sicherheitslücken kommen in Nicht-Microsoft Betriebssystemen und Applikationen vor (Quelle: National Vulnerability Database). Patchen Sie Drittanbieter-Applikationen von Adobe, Google, Mozilla, Citrix, Apple und über 70 weiteren Herstellern über Microsoft SCCM ohne zusätzliche Infrastruktur.

Mit Microsoft System Center Configuration Manager (SCCM) haben Sie eine hervorragende Plattform um Microsoft Patches und Sicherheitsupdates auf alle Workstation Ihres Unternehmens zu verteilen.

Den angebotenen Verteilungsoptionen für alle Drittanbieter Standard-Applikationen wie Flash Player, Adobe Reader, WinZip, Firefox, Chrome, iTunes uvm. fehlt es an Funktionalität. Viele Unternehmen verzichten deshalb auf die Verteilung von Drittanbieter Patches.

Die durch Ivanti Patch für SCCM (vormals Shavlik Patch) gelieferten aktuellen und getesteten Patches und Sicherheitsupdates werden in Microsoft SCCM eingelesen und darüber verteilt. Sie reduzieren die Risiken, die durch Drittanbieterlösungen entstehen. Erweitern Sie den Nutzen Ihrer Microsoft SCCM-Investition. Das native Plugin erlaubt nahtloses Patchen von Drittanbieter-Applikationen über Microsoft SCCM. Sie benötigen keine zusätzliche Infrastruktur.

Video

Funktionsübersicht Ivanti Patch for SCCM

Video ansehen

Drittanbieter-Patche über Microsoft SCCM verteilen

Umfassende Katalogdatei

Vorab getestete Patches, Updates und Sicherheitsupdates von Drittanbietern, werden als Katalog in Microsoft SCCM eingelesen. Ivanti Patch integriert sich nahtlos in SCCM. Eingelesene Patches können selektiv ausgewählt und in der SCCM Konsole veröffentlicht werden. Alle von Ivanti Patch unterstützten Drittanbieter Hersteller und Produkte finden Sie hier

Keine zusätzliche Infrastruktur

Sie arbeiten in der bekannten Microsoft SCCM-Konsole und verwenden die SCCM- und WSUS-Infrastruktur um Drittanbieter-Patches und Sicherheitsupdates im Netzwerk zu verteilen. Sie benötigen keine zusätzlichen Agents oder Konsolen. Mit Ivanti Patch by Shavlik maximieren Sie den Return on Investment (ROI) Ihrer SCCM-Investition und erhöhen signifikant Ihre IT-Sicherheit. Ivanti Patch for SCCM amortisiert sich durch die geringen Kosten und den geringen Aufwand äußerst schnell.

In drei Schritten

Sehen Sie nachfolgend, wie Sie in nur 3 Schritten mit Microsoft System Center Configuration Manager auch Drittanbieter Patches und Sicherheitsupdates verteilen.

Download & Angebot

Drittanbieter-Patches über SCCM verteilen

Patche und Sicherheitsupdates in SCCM einlesen und darüber verteilen. Testversion, Infos und Angebot hier anfordern.

DownloadMehr erfahren

Data Loss Prevention

Ergänzend zu Ivanti Patch kann die Safend Data Protection Suite die Sicherheit an den Endgeräten durch Port- und Device Control, Verschlüsselung und Datenklassifizierung weiter erhöhen. Testen Sie das Zusammenwirken beider Programme und entscheiden Sie selbst.

Safend Data Protection Suite