补丁管理产品转向了补救
测试显示,BigFix、McAfee和PatchLink在缓解补救问题上领先
补丁管理产品已经从简单地推出补丁发展到现在包含更多的先发制人的安全措施,包括操作安全配置设置、部署标准软件包、维护策略遵从性以及在漏洞补救中发挥积极作用。
BigFix企业套件是最明显的赢家,在所有类别中都表现出色,在易用性和定制能力方面表现突出。McAfee的“大力神”紧随其后,在定制功能上略微落后。PatchLink Update占据了前三名。虽然它缺乏对高级定制和报表功能的原生支持,但PatchLink确实使这些功能在附加组件中可用。
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
我们测试了每种产品的五个关键领域:
*修复功能测试测试了产品通过对操作系统的整体支持、补丁、注册表密钥和其他配置更改来修复系统问题的能力。此外,我们还评估了它如何促进手动和计划的补救任务,以及它是否提供了创建自定义补救任务的能力。
*补救票务/工作流测试检查产品实施补救过程的能力,包括周期的端到端管理。
*报告测试评估产品通过默认和自定义报告向管理员和管理人员提供关于补救任务的有用信息的能力。
*访问控制测试研究了如何控制对产品的访问,重点关注灵活性、粒度以及与标准企业用户存储库的集成。
*产品管理和管理测试集中在你每天使用产品和保持它运行需要做什么。
以下是每个产品在我们的测试中表现如何的细节(见"我们是怎么做到的"以获得详细的测试方法)。
Altiris来
Altiris客户端安全管理套件6.1由securityexpression组成,该工具提供检查安全性配置和遵从性设置,然后通过端点安全性、本地安全性和应用程序控制模块纠正这些问题的能力。补丁管理是作为一个单独的组件提供的。这些模块的组合运行在称为Altiris通知服务器的基础架构上。我们关注于安全表达式和补丁管理组件,因为它们的组合满足了测试标准。
Altiris的组合模块处理了我们所寻找的所有基本修复功能,擅长于创建自定义检查(例如针对特定注册表键设置)和修复操作(例如更改注册表键设置)。
安全性表达式没有完全集成到Altiris系统中。例如,securityexpression中的策略开发仍然通过单独的控制台进行,但是可以在Altiris控制台中看到策略检查。因为securityexpression是漏洞补救的核心,我们希望看到它们完全集成,以便策略的创建和配置检查遵循与其他Altiris产品相同的接口和流程。
同样,我们希望将补丁管理作为整个客户端安全管理套件的一部分,因为它是补救方案中不可分割的一部分。
所有模块的管理都是通过基于web的控制台进行的,使用起来很麻烦。很难执行简单的任务,比如安排补丁部署。管理控制台提供了几个显示图表和图形的仪表板,比如基于关键度丢失的补丁。这些图不提供直接下钻查看相应数据的功能。这将是一个很好的补充,可以提高识别安全细节的效率。
补丁部署设置(包括重启控制和用户通知)是通过配置策略处理的。管理员定义应该如何部署补丁的策略。如果您的设置对于每个部署都是相同的,那么这是很好的,但是如果需要部署包含不同设置的补丁,则需要进行一些额外的工作。我们很难在控制台和文档中找到设置,这要求我们联系客户支持。
我们还必须注意到Altiris不支持其他产品中提供的更高级的补丁部署选项,比如暂停或延迟。
访问控制是依赖于底层的Windows组,并从产品控制台进行管理,所以很容易与企业的角色和身份管理流程集成。有几个默认的角色,比如Administrator和Guest,都包括在内,并且管理员可以创建自己的自定义角色。权限分配给每个角色,可以很详细。
但是,用于设置安全权限的用户界面意味着缺少集中控制。您可以从properties选项卡为不同的对象授予访问权限,而不是从集中点定义访问控制。例如,如果您想提供对报表的访问,您可以转到reports permission选项卡并进行必要的更改。
报告引擎提供了基本的功能,但是还可以改进。我们能够调度报告运行,并创建标准报告,显示缺少的Windows补丁和采取的补救行动。在管理控制台中不能导出报表。可以使用一个称为ImportExportUtil的独立实用程序从通知服务器导出数据。根据供应商的说法,下一个版本应该有趋势报告。
BigFix
BigFix企业套件包括BigFix服务器和管理控制台,以及运行在客户机系统上的代理。管理控制台是运行在大多数Windows平台上的厚客户机控制台,管理员可以使用适当的凭据访问它。报告可通过基于网络的报告系统获得。为了进行测试,我们将所有管理组件安装在一台服务器上,但是它们可以很容易地分布和扩展。
BigFix在此测试中可以轻松处理基本的补救功能。虽然该产品支持数百种开箱即用的系统检查,但BigFix在支持自定义检查和自定义部署方面非常出色。管理员可以创建定制的修复程序(用于检查和补救操作的BigFix术语),其可能性几乎是无限的。
可用性也是BigFix的一大优势,只需右键单击即可轻松部署修复程序。可以计划操作并定义安全基线,以确保系统遵守已定义的策略和标准。在我们的测试中,BigFix是最容易导航和使用的产品。
BigFix提供了部署补丁的最佳选项,包括标准的重启通知和用户禁用选项。BigFix还提供了一些在我们审查的其他产品中不可用的选项,例如定义特定系统标准或属性的能力,从而为我们正在部署的补救措施提供额外的详细控制。例如,我们能够定义系统必须匹配特定的Active Directory路径,然后才能进行所需的补救操作。
有一个用于创建补丁部署回滚的向导,它有助于简化这个过程,但有点麻烦。
BigFix可以改进的一个方面是访问控制。该产品只包含三个角色,并且只提供控制少数用户特权的能力。
基于web的报告系统是我们测试的最好的,它提供了创建标准报告的直观界面和创建自定义报告的灵活性。报告可以导出为多种格式和计划,完成后将结果通过电子邮件发送。
BigFix的可视化工具是一个额外的奖励,它将您的网络映射到一个球体中,以便更好地查看。这提供了识别环境中变化趋势的能力,例如可视化哪些系统没有安装特定的补丁。这有助于确定没有正确更新的网络段或远程办公室。
McAfee(原名Citadel)
Hercules一直是一个核心的修复产品,包括核心的Hercules服务器;通道服务器,它处理与内核的通信服务器;以及下载服务器,它与公司提供的新漏洞和补救措施保持同步。该产品使用Microsoft的SQL Reporting Services作为报告引擎。Hercules代理驻留在客户机系统上。
管理界面是最容易测试的界面之一。最好的特性之一是快速启动模块,它向我们介绍了使用系统所需的所有关键操作,例如部署代理、执行系统编目、启动安全评估和创建报告。Hercules提供的文件非常好,准确,易于理解,在我们的审查过程中起到了很好的资源作用。
访问控制是McAfee软件包的强项。可以创建自定义角色,每个角色都能够分配超过70个已确定任务的任何子集。这提供了创建最适合组织结构的访问控制的灵活性。例如,您可以为Windows服务器管理团队的一个子集创建一个角色,并只向团队成员提供他们需要执行的特定任务。
补救功能运作良好,支持了我们所有的关键行动。需要注意的是,虽然Hercules支持创建定制补救措施,但检测不像其他被测试产品那样容易定义。例如,您可以创建一个补救来运行脚本或更改注册表项设置,但是您不能轻松地创建一个自定义漏洞检查来定义如何检查系统以查看是否需要执行补救操作。
对于手动任务和计划任务,修复操作的部署都很容易执行。对于手动任务,您可以从右键单击菜单中选择该选项;对于计划任务,您只需遍历向导。
对于补丁部署选项,Hercules支持标准设置,如用户延迟和用户消息,但它不支持一些高级选项,如限制延迟数量或延迟修复操作的时间量。
报告是Hercules需要改进的一个方面。调度固定报表和创建定制报表的能力是可用的,但是这些任务是通过SQL报告服务完成的,而不是通过Hercules产品本身。这些任务应该更好地集成到Hercules控制台以提高易用性。
Kace
Kace KBOX是一个基于应用程序的解决方案,它结合了补丁部署、软件分发、漏洞评估和帮助台售票服务。本产品定位为一种多功能的解决方案中小企业。
与我们测试的其他产品相比,功能、用户界面和报告功能都没有那么先进。管理是通过基于浏览器的界面来处理的,该界面不直观,也不容易在不经过培训的情况下导航。