Mut zur Lücke? – mit SICHERheit nicht!

Ein sauberes und übersichtliches Patchmanagement ist wichtig. Bei der Anzahl der verschiedenen Softwareanwendungen und PCs in den Unternehmen kann das jedoch schnell recht unübersichtlich werden. Um Aktualität und Sicherheit von Softwareanwendungen zu gewährleisten und dabei den Überblick zu behalten gibt es glücklicherweise Lösungen, die den Verantwortlichen unter die Arme greifen. Wie das (kostenlose) WSUS von Microsoft® kann die DeskCenter Management Suite Patches und Updates verwalten und steuern. Doch wo liegen die Unterschiede zwischen den beiden Lösungen?

Das große GanzeDie Ganzheitlichkeit der DeskCenter Management Suite stellt einen großen Unterschied zu WSUS dar, denn das Patchmanagement ist nahtlos in die Suite integriert. Dadurch hat man den Vorteil einer zentralen Verwaltung und sofort Zugriff auf alle weiteren Funktionen und Systeminformationen ohne Umwege.

Details, Details… und Übersicht

Um sich nicht in einem Labyrinth aus Patches, Updates der zugehörigen Anwendung und den verschiedenen PCs zu verlieren, bietet die DeskCenter Management Suite übersichtliche Ansichten. Hier kann man schnell herausfinden, auf welchem System sich ein bestimmter Patch befindet oder welches System zu einer Patchgruppe gehört. Daneben gibt es eine Vielfalt von Einstellungsoptionen für Patches und deren Rechte. Durch die unkomplizierte Bedienung lassen sich Gruppen und Rechte schneller definieren, ändern und entfernen als im WSUS. Für jede Patchgruppe kann z.B. mit wenigen Klicks detailliert entschieden werden, wie verfügbare Updates gehandhabt werden (z.B. automatischer Download, Download und Installation oder manuelle Freigabe). Dieses Verhalten kann dann, falls notwendig, auch einfach pro Patch angepasst werden.

Installation und Flexibilität

Die Installation von Patches erfolgt bei der DeskCenter Management Suite per Zeitplan. Das ist wesentlich flexibler und individueller als eine Installation beim Logon-Prozess, wie es bei WSUS gehandhabt wird und schont gleichzeitig die Ressourcen im Netzwerk. Durch die detaillierte Einstellung der Patchnotwendigkeiten wird außerdem nur genau das heruntergeladen, was der PC gerade benötigt. Das gilt übrigens auch für die Sprachversion: Anders als bei WSUS, wird für jeden PC (anhand der Regionalsettings im Windows) die Sprache ermittelt und es wird dann auch nur die Sprachversion heruntergeladen, die tatsächlich benötigt wird. Für die Überprüfung nach aktuellen Patches wird zum einen eine lokal abgelegte Katalogdatei verwendet, welche in bestimmten Zeitabständen aktualisiert wird. Das ist bei beiden Lösungen gleich. Die DeskCenter Management Suite bietet darüberhinaus aber auch die Möglichkeit, dass sich die PCs direkt online gegen den Microsoft® Updateserver abgleichen, was gerade bei kritischen und sicherheitsrelevanten Patches eine schnellere Aktualität gewährleistet.

Nicht deinstallierbar? - Rollback von Patches

WSUS markiert viele Patches als „nicht deinstallierbar“ um eventuellen Abhängigkeiten mit anderen Patches von vornherein aus dem Weg zu gehen. Die meisten Patches sind jedoch trotzdem problemlos deinstallierbar. Die DeskCenter Management Suite überprüft genau diese Abhängigkeiten explizit für jeden einzelnen Patch und entnimmt vom Patch selber den Uninstallstring. Für den Fall, dass ein Patch nicht korrekt deinstalliert wurde, wird er vom Patchmanagement sofort wieder installiert. Somit geht nichts verloren.

Grundsätzlich speichert die DeskCenter Management Suite ca. 0,7 MByte reine Inventarisierungsdaten pro PC. Dadurch ist das DeskCenter Inventory auch für Netzwerke in denen nur eine geringe Bandbreite zur Verfügung steht geeignet. Das Verteilen der Netzwerk- und Serverlast kann zusätzlich durch das Erstellen von Zeitplänen optimiert werden. Falls Dateien (z.B. Dokumente für PCs, Assets, Software, Benutzer oder Helpdesk-Tickets) in der Datenbank gespeichert werden, ist zu bedenken, dass dies die Datenbankgröße beeinflusst.

Rechenbeispiel für 250 PCs: 0,7 MByte x 250 = 175 MByte Speicherbedarf der Datenbank ohne eingebettete Dateien

Für Unternehmen mit weniger als 750 PCs kann dabei die kostenlose Variante, der Microsoft SQL Server EXPRESS verwendet werden. Wenn die lizenzpflichtige Version des Microsoft SQL Server zum Einsatz kommt, ist zu beachten, dass CALs (Client Access Licence) erworben werden müssen. Die Anzahl richtet sich dabei nach den lizenzierten Helpdesk Arbeitsplätzen. Wird das Helpdesk Modul nicht eingesetzt ist nur eine CAL für den Microsoft SQL Server zu erwerben.

Die DeskCenter Management Suite sowie die Inventarisierungskomponenten (Dienste) benötigen keinen dedizierten Server, sondern können zusätzlich zu anderen Anwendungen auf einem Standard PC oder auch Server installiert werden. Des Weiteren ist eine Domänenstruktur (ADS/NDS) nicht notwendig, da über einen IP-Scan oder den Computerbrowserdienst PCs importiert werden können. Um PC Systeme zu inventarisieren stehen vier verschiedene Wege zur Verfügung (Windows Dienst, Logon-Script, Offline Inventory, Agent). Es ist nicht erforderlich, auf den PCs eine zusätzliche Software („Agent“) für die Inventarisierung zu installieren (Ausnahme: Modul Softwareverteilung).

Welche Daten werden bei der Inventarisierung gesammelt?

Zuerst erfolgt die Anlage des Datensatzes und anschließend die Inventarisierung durch Füllen der Felder des Datensatzes. Bei der Inventarisierung werden pro PC zwischen 1600 und 3500 verschiedene Informationen ausgelesen und in der Datenbank gespeichert. Somit stehen diese Daten auch zur Verfügung, wenn der PC ausgeschaltet ist. Dies sind detaillierte Informationen über Anwendungen (Betriebssystem, die installierte Software, Treiber, etc.) und die Hardware (Prozessoren, Bios, Netzwerkkarten, etc.) eines PCs.

Welche Mindestausstattung benötigt ein PC um inventarisiert zu werden?

1. Microsoft Windows Betriebssystem (Windows 95/98/ME, NT4 SP6, 2000 SP2, Server 2003/2008, XP oder Vista)
2. WMI (Windows Management Instrumentation, ab Windows 2000 standardmäßig installiert) und MSDAC 2.7 SP1
3. Standard PC mit Intel® oder AMD® Prozessor mit 166 MHz
4. 32 - 512 MB Hauptspeicher (abhängig vom Betriebssystem)
5. Optional: Netzwerkanschluss (die Inventarisierung kann auch lokal ohne eine Netzwerkverbindung durchgeführt werden)

Welche Voraussetzungen sind notwendig für die Installation und den Betrieb der DeskCenter Management Suite?

1. Microsoft Windows Betriebssystem (Windows Server 2003/2008, XP oder Vista)
2. MSDAC 2.7 SP1 für die Kommunikation mit der DeskCenter Datenbank
3. Microsoft SQL Server ab 2000 oder Microsoft SQL EXPRESS
4. Intel® oder AMD® Prozessor mit mind. 800 MHz
5. 512 MB Hauptspeicher
6. Erforderlicher Festplattenspeicher: ca. 450 MB für die Standardinstallation
7. Netzwerkanschluss

8 Monate auf Bewährung wegen Lizenzverstößen

„Der IT-Administrator einer süddeutschen Spedition wurde vor Gericht zu acht Monaten Haft auf Bewährung verurteilt. Er hatte auf über 200 Firmenrechnern Software installiert, ohne diese vorher zu lizenzieren.“ (Quelle: InformationWeek CMP-WEKA GmbH & Co. KG)

Das brachte dem IT-Admin eine Bewährungsstrafe von 8 Monaten und dem Unternehmen zusätzlich eine satte Lizenz- und Schadensersatzzahlung von ca. 200.000 Euro. War das ein Einzelfall? Wohl kaum. „EU-weit wurden von der BSA im ersten Halbjahr 2008 bereits über 170 Fälle von unlizenziertem Softwaregebrauch registriert, die zu Straf- und Lizenzzahlungen von 5,4 Millionen Euro führten. “Jetzt fragt man sich vielleicht, warum nicht einfach versucht wird, das ganze Problem schon bei der Entstehung anzupacken. Schließlich kann man ja nicht wollen, dass ständig die Gefahr von Geld- oder Gefängnisstrafen über einem schwebt. In vielen Fällen ist das aber gar nicht so einfach und hat, je nach Blickwinkel, unterschiedliche Gründe.

Fangen wir mal beim Administrator an. So einfach diese Begründungvielleicht klingen mag, aber das Grundproblem hier ist meist schlicht und ergreifend: Zeitmangel und Überlastung. Dass einem die Dringlichkeit einer einwandfreien Lizenzierung nicht so direkt ins Auge springt wie ein defekter PC, ein ausgefallener Server oder die neue Mitarbeiterin, die unbedingt heute noch das neue Programm braucht, versteht sicher jeder.

Wozu führt das dann? Die Übersicht (sofern überhaupt mal eine vorhanden war) geht irgendwo auf dem Weg zwischen defektem Drucker und Betriebssysteminstallation verloren. Der Admin weiß unter Umständen gar nicht mehr, was alles so auf den Rechnern installiert ist, zumal viele Anwender selbst Software installieren. Je länger das so bleibt, umso schlimmer wird es natürlich. Das soll aber nicht heißen, dass eine unsaubere Lizenzierung als unwichtig abgetan werden sollte. Im Gegenteil! Wie man sieht, können hier sogar die schwerwiegendsten Probleme entstehen.

Warum macht die Geschäftsführung nichts dagegen? Schließlich geht es hier um viel Geld. Die Antwort ist nicht schwierig: Wie soll man in etwas eingreifen, von dem man nicht mal ahnt, dass es überhaupt existiert? Meist haben Geschäftsführer nämlich ganz andere Dinge zu tun, als sich einen Überblick über die korrekte Lizenzierung der Software zu verschaffen. Oder den genauen Bestand an Programminstallationen im Kopf zu haben. Warum sollte das auch so sein? Schließlich gibt es dafür ja jemanden, der sich um solche Dinge kümmert. Den Admin. Aber der hat keine Zeit.

Dabei hätten wir helfen können, denn d>ie DeskCenter Management Suite erkennt lizenzpflichtige und nicht lizenzpflichte Anwendungen und verwaltet diese.

Was bringt Lizenzmanagement also letztendlich?

Kurz und knapp: Schutz des Unternehmens vor rechtlichem und wirtschaftlichem Schaden.

1. Rechtssicherheit durch den ständigen Überblick über die im Unternehmen verwendeten Softwarelizenzen und dadurch Vermeidung der (versehentlichen) Verletzung von Urheberrechten und Sicherheit bei der Einhaltung von Lizenzverträgen.
2. Kostenersparnis durch Aufdecken von versteckten Einsparungspotenzialen.

Zeitsparend und sicher: Lizenzmanagement mit der DeskCenter Management Suite

Das Lizenzmanagement mit DeskCenter ist ganz einfach und unkompliziert:Die Lizenzerkennung beruht auf einer Lizenzdatenbank, die ca. 20.000 Datensätze mit bis zu 60 Regeln pro Softwareprodukt umfasst. Dadurch kann man in den inventarisierten Softwareprodukten gezielt nach lizenzpflichtigen Anwendungen scannen und Lizenzgruppen erstellen. Die Hersteller der Produkte werden dabei, wenn gewünscht, auch gleich erkannt. Praktischen Nutzen erhält das Ganze also nicht nur durch die große Zeitersparnis, sondern auch dadurch, dass man sich nicht damit auseinander setzen muss, welche Anwendung oder Version nun letztendlich zu welcher Lizenz gehört, da man ja häufig nicht alle Lizenzmodelle auswendig kennt.

Sicherheit und Übersicht wie von Zauberhand?

Mit dem sogenannten Lizenz-Wizard hat man mit wenigen Handgriffen einen Gesamtüberblick über die im Unternehmen installierten Produkte und deren Lizenzierung. Grundlage dafür ist die Inventarisierungsfunktion (im Basismodul enthalten), die automatisch alle installierten Softwareprodukte auf den PCs erfasst.

Darum ist es so einfach: Der Lizenz-Wizard ist in die Softwarelizenzübersicht integriert und kann von dort aus gestartet werden. Sofort kann dort ein Lizenzscan ausgeführt werden. Es ist egal, ob bereits Lizenzen angelegt worden sind, oder nicht.

Vor einem Lizenz-Scan hat man die Möglichkeit, verschiedene Erkennungsoptionen auszuwählen.

1. Lizenzpflichtige Produkte: Durch Aktivierung dieser Option wird ein Scan nach bereits inventarisierten, lizenzpflichtigen Softwareprodukten durchgeführt.
2. Nicht lizenzpflichtige Produkte: Durch Aktivierung dieser Option wird ein Scan nach bereits inventarisierten, aber nicht lizenzpflichtigen Softwareprodukten durchgeführt.
3. Hersteller übernehmen: Durch Aktivierung dieser Option werden Hersteller von Softwareprodukten, welche bei einem Scan nach Lizenzen gefunden werden und noch nicht im System Manager vorhanden sind, automatisch angelegt.
4. Dateiscan übergehen: Durch Aktivierung dieser Option werden die Dateien auf den PCs während des Lizenzscans nicht ausgewertet.

Dateiscan?

Der Dateiscan ergänzt das Lizenzmanagement um eine Funktion zum Abgleich von Dateien auf den inventarisierten Systemen.

Wozu dient der Dateiscan?

Nicht jedes Softwareprodukt muss installiert werden. Oft genügt das Kopieren einer Programmdatei oder sogar nur eines Links, um die Software zu starten und damit kostenpflichtig zu nutzen (z.B. Applikationen ohne Installationsroutine, Applikationen, die auf einem Server liegen und wo lediglich eine ausführbare Datei gestartet werden muss). Der Dateiscan erlaubt also, auch die Programme zu identifizieren, die auf den PCs nur in Dateiform vorliegen.

Mit „Erkennung starten“ wird dann der tatsächliche Lizenzscan angestoßen.

Sobald der Lizenzscan beendet ist, wird ein Fenster angezeigt, in dem die gefundenen Softwareprodukte aufgelistet werden.Um die gefundenen Lizenzen in die Lizenzübersicht innerhalb der DeskCenter Lizenzverwaltung zu importieren, muss man jetzt nur noch auf „Lizenz importieren“ klicken.

Unterlizenzierte und Überlizenzierte Softwareprodukte werden farblich hinterlegt und sind schnell identifizierbar. Mit der Lizenzvertragsverwaltung und der ständigen Überwachung aller Clients über die Softwareinventarisierung sind eine sichere Lizenzkontrolle und ein zeitsparendes, aber sehr genaues Software Asset Management (SAM) möglich.