Administrador De Rede

Análise do ManageEngine Patch Manager Plus 2023

Análise do ManageEngine Patch Manager Plus



GerenciarEnginelançadoGerenciador de patches Plusno final de março de 2017. Então, depois de quase seis anos em produção, como esse gerenciador de patches se compara à concorrência? No relatório de mercado da primavera de 2022 do mercado de software G2, a ManageEngine alcançou o topo da liga nas listagens de gerenciamento de patches. Então, vamos explorar o Patch Manager Plus para ver seus pontos fortes e fracos.

Quem precisaria do Patch Manager Plus?

Qualquer empresa que execute software adquirido precisa garantir que esses pacotes estejam atualizados. Os produtores de software frequentemente produzem atualizações que corrigem bugs descobertos. Outro motivo para atualizações é introduzir ou aperfeiçoar um novo recurso entre os lançamentos completos. As atualizações mais importantes abordam explorações recentemente descobertas no software. As atualizações de software também são conhecidas como “patches”.



Uma exploração é uma brecha de segurança que os hackers acabaram de descobrir. Você pode se perguntar por que as empresas de software não agem em conjunto e garantem que essas vulnerabilidades de segurança sejam eliminadas de seus produtos antes de serem lançados. O fato é que se você conhece todos os truques que os hackers podem usar para invadir seu sistema, ainda não sabe que novo método eles criarão amanhã, na próxima semana ou no próximo ano. Portanto, mesmo a empresa de software mais inteligente possui produtos que um dia incluirão uma falha de segurança.

Os produtores de software devem ficar atentos e ouvir incidentes de violações de segurança que possam indicar que seu software agora é inseguro. Assim que houver suspeita de uma fraqueza, eles precisam fazer um ajuste ou substituir parte de seu conjunto de software para bloquear essa nova estratégia hacker.



As empresas que não instalam todas as atualizações de software disponíveis ficam expostas a ataques. Os ataques de hackers são ainda mais perniciosos se permitirem a entrada no sistema operacional. Ao se infiltrarem no software – incluindo sistemas de segurança – os hackers podem agir de forma invisível ou encobrir seus rastros excluindo mensagens de log ou escrevendo registros falsos.

Recursos do Patch Manager Plus

Gerenciador de patches ManageEngine Plus

As principais características Gerenciador de patches ManageEngine Plus são típicos de um gerenciador de patches automatizado. Estes são:

  • Gerenciamento de inventário de software
  • Coleta de patches
  • Avaliação de patches
  • Agendamento de patches
  • Gerenciamento manual de patches
  • Relatório de status de conclusão
  • Relatórios de conformidade

Você pode ler mais sobre cada um desses tópicos nas seções a seguir.

Gerenciamento de inventário de software

O sistema Patch Manager Plus verifica cada um dos seus endpoints e registra todos os softwares instalados nele e também a versão do sistema operacional. Essa rotina opera em dispositivos que executam Windows, macOS e Linux.

O processo de descoberta de patches é automatizado. O inventário de software compilado é uma fonte de detalhes sobre cada cópia de um pacote de software em seu sistema – endpoints diferentes podem ter versões diferentes do mesmo pacote de software. O número da versão atual de cada pacote indica o último patch aplicado. O gerenciador de patches pode executar esta tarefa para sistemas operacionais e mais de 850 pacotes de software.

O procedimento de descoberta de patch no Patch Manager Plus é denominado Automated Patch Deployment (APD).

Coleta de patches

A instância do Patch Manager Plus em execução no seu servidor não vai diretamente aos sites dos fornecedores de software em busca de patches. Em vez disso, a ManageEngine pesquisa centralmente os fornecedores de sua lista de software aprovado e armazena esses instaladores em seu próprio servidor. A unidade APD em seu site refere-se à biblioteca ManageEngine para obter um patch, em vez de ir diretamente ao fornecedor.

Quando o APD identifica um novo patch disponível, ele o copia para o instalador da atualização e o armazena. Pode haver muitos patches disponíveis em um ciclo de patch – o período que decorre entre a execução de cada patch depende de você – você pode configurar o processo para ser executado uma vez por mês ou uma vez por semana.

Avaliação de patches

Embora o sistema ManageEngine APD obtenha apenas patches de fontes confiáveis, ele verificará cada patch. O servidor ManageEngine verifica cada arquivo em busca de malware e o armazena em uma biblioteca. Assim, quando o patch mais recente é copiado do servidor ManageEngine para o seu site, ele já foi aprovado como seguro.

Depois que um instalador de patch for adquirido, ele será mostrado no console do Patch Manager Plus como disponível para instalação. O serviço permite que um administrador teste cada patch, lançando-o temporariamente e verificando o impacto dessas alterações. É possível configurar um dispositivo de exemplo para teste e executar cada patch manualmente e depois aprová-lo no console. Outra opção é indicar nas configurações do console do Patch Manager Plus que cada patch deve ser testado automaticamente em um dispositivo de teste especificado e então aprovado se nenhum problema for detectado após a execução do patch.

Agendamento de patches

Você precisa configurar um calendário no console do Patch Manager Plus que defina as horas do dia e dias específicos, como um dia da semana ou um dia do mês, quando os patches podem ser aplicados. É possível usar o Patch Manager Plus para implementar patches em vários sites. Isso também pode se estender a sites em fusos horários diferentes. No entanto, o sistema se relacionará com a hora local do dispositivo e, portanto, aplicará patches em locais diferentes em horários diferentes em relação ao fuso horário do controlador central.

É possível definir diferentes janelas de manutenção para diferentes grupos de endpoints. Portanto, a configuração do agendamento de patches pode ser complicada e requer um plano detalhado antes de ser implementado. No entanto, isso é preferível a um sistema muito mais simples que aplique todos os patches a todos os dispositivos ao mesmo tempo, o que pode resultar na tentativa de implementação em alguns dispositivos que ainda estão em uso.

É importante garantir que um dispositivo não esteja em uso quando os patches forem aplicados, pois o processo de instalação interromperá a disponibilidade do dispositivo. Se um pacote específico estiver aberto quando o gerenciador de patches for executado, ele precisará ser fechado primeiro. O Patch Manager Plus lida com essas ações e também pode ativar um dispositivo que foi desligado,

Muitos patches envolvem vários pacotes de software e também podem exigir a configuração de determinadas variáveis ​​de ambiente antes da instalação do novo programa. O Patch Manager Plus lida com esses problemas, que são conhecidos como “dependências de patch”.

É comum que as atualizações de software exijam que o sistema seja reiniciado para configurar as condições de inicialização ao final da instalação do programa. Se uma fila de patches envolver muitas atualizações. Cada dispositivo gerenciado pode ser reiniciado várias vezes antes que a lista completa de atualizações seja implementada. Finalmente, o agendamento do patch desligará o dispositivo. Por todos esses motivos, agendar lançamentos de patches fora do horário comercial é muito importante, e isso é possível com o Patch Manager Plus.

Se, por algum motivo, a aplicação de patches precisar ocorrer durante o horário comercial, o gerenciador de patches terá a opção de enviar automaticamente notificações aos usuários sobre uma próxima sessão de patch. Esta opção está disponível para dispositivos que executam Windows e Linux, mas não macOS. O sistema de notificação ao vivo permite que o usuário de um computador recuse a execução do patch. Este é um resultado insatisfatório, mas pode ser útil se o software da empresa tiver sido instalado no dispositivo de propriedade do usuário de um trabalhador remoto e estiver sob gerenciamento centralizado de patches.

Gerenciamento manual de patches

Os recursos de gerenciamento manual de caminhos no pacote Patch Manager Plus são mais negativos do que ativos. Por exemplo, é possível pausar um patch para que ele seja excluído da próxima execução de patch e, nesse caso, ele permanecerá na fila de patches para uma execução subsequente. Outra opção é recusar um patch; nesse caso, ele será removido permanentemente da lista de requisitos de patch para um dispositivo.

Existem algumas complicações com o declínio dos patches. O patch removido não é contado como adiado, o que significa que o gerenciador de patches não alertará ou procurará por esse patch novamente. Se esse produto de software tiver um novo patch disponível após o patch recusado, o patch ausente causará complicações porque pode haver uma dependência de patch. Portanto, recusar um patch pode encerrar permanentemente o ciclo de patch de um software específico.

A função de declínio pode ser implementada apenas para um grupo de computadores, como PCs de uma marca e modelo específicos, que são muito antigos para lidar com a nova versão do software. Neste cenário, todos os outros dispositivos receberão a atualização.

Como o Patch Manager Plus é um gerenciador de patches automatizado, o conceito de aplicar um patch manualmente não se enquadra na missão da ferramenta. Se os patches anteriores forem concluídos por engano, basta executar novamente o lote e os patches incompletos serão reaplicados. O lançamento em um momento iminente pode, efetivamente, permitir que o administrador execute um patch imediatamente.

O administrador pode executar o instalador sozinho fora do ambiente do Patch Manager Plus; nesse caso, o Patch Manager notará o novo número da versão do software atualizado e alterará seu inventário de software de acordo. O problema com esta solução alternativa é que a execução manual do patch ocorrerá fora do sistema de registro do Patch Manager Plus, portanto, o administrador terá que tomar medidas para garantir que a documentação de todas as atividades do patch esteja completa.

Relatório de status de conclusão

Conforme explicado, o principal benefício de um sistema de aplicação de patches automatizado, como o Patch Manager Plus, é que ele pode aplicar patches fora do horário comercial. Antigamente, um técnico teria que estar preparado para ficar até tarde para executar instaladores de patches. No entanto, o agendador do Patch Manager Plus significa que esses instaladores podem ser executados de forma autônoma.

As informações importantes que um administrador de sistema precisa ao chegar ao trabalho no dia seguinte são se cada patch da lista foi aplicado com êxito e em que ponto do processo de instalação falhou se um patch não foi finalizado com êxito.

Mesmo os patches aplicados corretamente precisam ser documentados por meio de arquivos de log que listam quais programas foram atualizados e onde esses arquivos de programa estão armazenados na estrutura de diretórios do servidor.

Relatórios de conformidade

A segurança do sistema faz parte dos requisitos para credenciamento por órgãos de padrões de segurança de dados, e corrigir todos os endpoints para garantir que estejam atualizados faz parte desse requisito. Um administrador de sistema precisa ser capaz de provar a qualquer momento que o sistema está atualizado e os relatórios incluídos no Patch Manager Plus fornecem essa prova.

Os principais relatórios de conformidade no Patch Manager Plus são chamados de Relatório de Sistemas Vulneráveis ​​e Relatório de Patches Vulneráveis. O Relatório de Sistemas Vulneráveis ​​pode ser executado periodicamente com os resultados armazenados e lista todos os endpoints com seus status de versão para todos os sistemas instalados, em comparação com a versão mais recente declarada de cada pacote naquele momento. Esperançosamente, você levará seu sistema ao ponto em que todo o software esteja atualizado. O Relatório de Patches Vulneráveis ​​mostra quais patches estão disponíveis, mas não foram aplicados.

É aceitável ter relatórios mostrando alguns patches que não foram aplicados. O relatório é um instantâneo e ninguém espera que os patches sejam aplicados imediatamente; executar patches semanalmente ou mensalmente é uma prática padrão. O reconhecimento do estado do sistema é suficiente para permanecer em conformidade com a maioria das normas de proteção de dados.

Opções de implantação do Patch Manager Plus

Existem dois métodos de entrega para o ManageEngine Patch Manager Plus. Estes são:

  • Edição na nuvem
  • Edição local

A edição em nuvem é um pacote SaaS que instala agentes em cada dispositivo inscrito. O software é hospedado pela ManageEngine e portanto não há, efetivamente, requisitos de sistema para acessar este serviço.

Requisitos de sistema do Patch Manager Plus

Os requisitos para hospedar o Patch Manager Plus on Premises são os seguintes.

Sistema operacional

  • Janelas 7
  • Janelas 8
  • Janelas 8.1
  • Janelas 10
  • Janelas 11
  • Servidor Windows 2008
  • Servidor Windows 2008 R2
  • Servidor Windows 2012
  • Servidor Windows 2012 R2
  • Servidor Windows 2016
  • Servidor Windows 2019
  • Servidor Windows 2022

Requisitos do navegador

Embora esteja instalado em seu próprio servidor, você acessa o console do Patch Manager Plus por meio de um navegador da Web. O navegador deve ser um destes:

  • Microsoft Edge (todas as versões)
  • Mozilla Firefox 44 e versões posteriores
  • Google Chrome 47 e versões posteriores

Base de dados

Patch Manager Plus usa um banco de dados para seu próprio armazenamento interno. Você precisa instalar isso separadamente e pode ser um destes:

  • PostgreSQL
  • Servidor SQL MS

Hardware hospedeiro

Os requisitos de hardware para o software do servidor aumentam de acordo com o número de dispositivos que serão monitorados.

Para monitorar até 250 dispositivos:

  • Espaço no disco rígido: mínimo de 10 GB
  • CPU: Intel Core i3 (2 núcleos/4 threads) 2,0 GHz e 3 MB de cache
  • RAM: 2 GB

Para monitorar de 251 a 500 dispositivos:

  • Espaço no disco rígido: mínimo de 20 GB
  • CPU: Intel Core i3 (2 núcleos/4 threads) 2,0 GHz e 3 MB de cache
  • RAM: 4GB

Para monitorar de 501 a 1.000 dispositivos:

  • Espaço no disco rígido: mínimo de 30 GB
  • CPU: Intel Core i3 (4 núcleos/4 threads) 2,3 GHz e 6 MB de cache
  • RAM: 4GB

Edições do Patch Manager Plus

Existem três edições do Patch Manager Plus. Estes são:

  • Livre
  • Profissional – Adequado para LANs
  • Empresarial – Adequado para WANs

A edição Gratuita possui todos os recursos da edição Standard, mas está limitada ao gerenciamento de 20 estações de trabalho e cinco servidores.

Profissional

Fornece:

  • Aplicação de patches para sistemas operacionais Windows, macOS e Linux
  • Gerenciamento de patches de terceiros
  • Gerenciamento de patches de aplicativos de servidor
  • Implantação de service pack
  • Agendamento variável
  • Um repositório central de instaladores de patches verificados
  • Relatórios de gerenciamento de patches
  • Administração baseada em funções
  • Autenticação de dois fatores

Empreendimento

  • Recursos da edição Profissões
  • Servidor de distribuição para otimização de largura de banda
  • Atualizações de definição de antivírus
  • Teste de patch automatizado

Módulos gratuitos

ManageEngine produz muitas ferramentas de monitoramento e gerenciamento de sistema, mas você não precisa que nenhuma delas seja instalada para executar o sistema Patch Management Plus – é um serviço independente. Vários outros pacotes ManageEngine também fornecem gerenciamento de patches, por isso é importante observá-los para que você não acabe pagando por serviços duplicados de que não precisa.

Os pacotes do ManageEngine que também fornecem gerenciamento de patches são:

  • Gerenciador de vulnerabilidades Plus
  • Central RMM (para MSPs)
  • Ponto de extremidade central
  • MSP Central de Ponto Final
  • Patch Connect Plus

Avaliação gratuita do Patch Manager Plus

Tanto a versão SaaS quanto o pacote local do Patch Manager Plus estão disponíveis por um Teste gratuito de 30 dias .

^