Ablehnen von Patches oder Anwendungen

Patch Manager Plus bietet IT-Administratoren die Möglichkeit, bestimmte Patches nicht oder nur auf bestimmten Systemen zu implementieren. So lässt sich das Patch-Management an die spezifischen Anforderungen des Unternehmens an die Patch-Compliance anpassen. Administratoren können mit dieser Funktion:

• Patches für eine bestimmte Gruppe von Computern ablehnen
• Updates für bestimmte Anwendungen ablehnen (z. B. veraltete Anwendungen)
• die Installation von Patches ablehnen, die während des Vorab-Testprozesses als „problematisch“ eingestuft wurden
• die Installation von Patches ohne hohe Priorität zurückstellen, indem sie diese zunächst ablehnen

Sie können beispielsweise Updates oder Patches für alle Systeme ablehnen, die bei der Installation in Testgruppen zu einem Anwendungs- oder Betriebssystemfehler geführt haben – und zwar so lange, bis der jeweilige Hersteller einen entsprechenden Fix liefern kann. Es gibt auch Szenarien, in denen bestimmte kritische Anwendungen nur mit einer spezifischen Java-Version funktionieren. Hier könnte die Aktualisierung von Java zu einer Beeinträchtigung der Anwendungen führen, wodurch eine komplette Neuinstallation erforderlich werden würde. Mit der „Ablehnen“-Option lassen sich derartige Patches umgehen, die erhebliche Probleme in den Client-Systemen hervorrufen könnten.

Patches für veraltete Anwendungen können ebenfalls abgelehnt werden, d. h. Anwendungen, die von einem früheren Betriebssystem oder einer früheren Hardware-Plattform verwendet werden und keine Sicherheits-/Versions-Updates mehr benötigen. Mainframe-Anwendungen wurden z. B. zu veralteten Anwendungen als Client/Server-Netzwerke in die Unternehmen Einzug hielten. Windows-7-Anwendungen, die unter Windows 8 ausgeführt werden, werden ebenfalls als veraltete Anwendungen bezeichnet.

Manchmal sind Patches, durch die die neueste Version einer Anwendung installiert wird, auch gar nicht erwünscht – beispielsweise wenn die Installation der neuesten Java-Version zu Kompatibilitätsproblemen bei bestimmten Anwendungen führen könnte. Um diesen Anforderungen gerecht zu werden, lässt sich die Aktualisierung einer Anwendung mit Patch Manager Plus verhindern, indem sie für die entsprechenden benutzerdefinierten Gruppen abgelehnt wird.

Unternehmen haben unterschiedliche Anforderungen an das Patch-Management: Während sich manche auf kritische Patches und Sicherheits-Updates beschränken, werden in anderen Umgebungen alle fehlenden Patches auf den Zielcomputern installiert – und das unabhängig von ihrem Gefährdungsgrad. Gerade in solchen Umgebungen ist es für Administratoren sinnvoll, die Installation von hochkritischen Patches zu priorisieren, indem sie die Installation von weniger kritischen Patches vorübergehend ablehnen.

Die Installation von Patches auf Serversystemen ist deutlich anspruchsvoller als das Einspielen von Updates für Workstations. Eine der schwierigeren Aufgaben für Server-Administratoren ist es, die Priorität von Server-Patches zu ermitteln, da diese nicht nur den Server selbst, sondern auch die darauf laufenden Anwendungen betreffen. Wenn Sie sehr viele unterschiedliche Patches haben, die auf den Serversystemen installiert werden sollen, kann dies zu Problemen führen. Für geschäftskritische Computer und Server können zudem Zeitfenster gelten, in denen Änderungen und Neustarts ausschließlich möglich sind. Daher ist es immer ratsam, die Patches zu priorisieren und weniger wichtige Patches abzulehnen, damit kritische Systeme nicht durch abrupte Unterbrechungen oder Neustarts verlangsamt werden.

Abgelehnte Patches können bei Bedarf aus der Ablehnungsliste entfernt und so später bereitgestellt werden. Die abgelehnten Patches werden also nicht ein für alle Mal gelöscht, sondern können jederzeit wieder aufgerufen werden.