78% polskich firm wciąż nie ma zautomatyzowanego procesu patch management — łatki instalują ręcznie, bez harmonogramu, albo czekają aż „ktoś to zrobi". Wynik? Średnio 40% maszyn w firmie jest zagrożonych lukami w bezpieczeństwie, bo albo brakuje patcha, albo luka czeka na patch 6+ miesięcy. WSUS — tradycyjne narzędzie Microsoftu — skończył wsparcie w październiku 2025. Teraz musimy szukać alternatywy. ManageEngine Endpoint Central to nowoczesne rozwiązanie do patch management — automatyczne pobieranie, testowanie, wdrażanie i raportowanie łatek na 50-5000+ komputerach. W tym artykule pokazuję, jak go skonfigurować od zera.
Czym jest ManageEngine Endpoint Central?
Endpoint Central to system do zarządzania komputerami w sieci (Endpoint Management) — z fokusem na patch management. Nie to to samo co Intune — Endpoint Central to on-premise (na Twoim serwerze) lub cloud, ale bardziej konfigurowalny niż chmurowe rozwiązania Microsoftu.
Główne funkcjonalności:
- Patch Management — automatyczne pobieranie łatek Windows/Office, planowanie wdrażania, monitoring.
- Software Deployment — instalacja oprogramowania na maszynach (MSI, EXE, powershell scripts).
- Inventory Management — zapis sprzętu (CPU, RAM, dysk), oprogramowania (zainstalowane programy, wersje), licencji.
- Remote Access — dostęp do maszyn w sieci (RDP-like), wsparcie techniczne.
- Security & Compliance — raportowanie podatności (CVE), compliance checks (PCI-DSS, HIPAA), Antivirus status.
Jak działa automatyczny patch management w Endpoint Central?
Procent wygląda tak:
- Agent instaluje się na maszynie — prosty MSI, komunikuje się z serwerem Endpoint Central co 1-4 godziny.
- Serwer pobiera łatki ze źródła Microsoft — nie ze WSUS, bezpośrednio od producenta (lub z kopii offline, jeśli Twoje maszyny nie mają dostępu do internetu).
- Łatki są weryfikowane i kategoryzowane — Security (krytyczne), Updates (zwykłe), Preview (testowe). Administrator decyduje, które kategorię wdrożyć.
- Polityka harmonogramowania — np. „Security łatki co drugie wtorki o 23:00, z oknem 30 minut, jeśli się nie zainstaluje to rethrow o 2:00 w nocy".
- Wdrażanie z rollback'iem — jeśli maszyna się nie uruchomi po patchowianiu, może się cofnąć automatycznie.
- Raportowanie — Dashboard pokazuje: ile maszyn zapatched, ile w kolejce, ile błędów. Szczegółowe logi dla każdej maszyny.
Rezultat: zamiast ręcznego uruchamiania WSUS co miesiąc i modlenia się że wszystko się zainstaluje, masz pełną automatyzację.
Konfiguracja polityk patchowania — krok po kroku
Praktyczny setup dla firmy 200 maszyn:
Klikasz „Add Patch Policy" i pojawia się kreator.
Krok 2: Nazwij politykę i wybierz kategorie łatek
Przykład: „Security & Critical Patches"
Kategorie: ☑ Security Updates, ☑ Critical Updates, ☐ Updates, ☐ Preview
Ta polityka wdrażać będzie tylko Security i Critical — pozostałe Updates zostawimy dla drugiej polityki.
Krok 3: Ustaw harmonogram wdrażania
Frequency: Every 2 weeks
Day: Tuesday (bo Microsoft releases patches we Wtorek UTC)
Time: 23:00 (wieczorem, by nie zakłócać pracy)
Installation window: 30 minutes (maszyna ma 30 minut na zainstalowanie, inaczej timeout)
Reboot behavior: „Allow reboot if required" — jeśli łatka wymaga restartu, maszyna się restartuje automatycznie po 15 minutach ostrzeżenia.
Krok 4: Przydziel maszyny do polityki
Możesz wybrać: poszczególne komputery, grupy Active Directory (np. OU=Biuro, OU=Produkcja), albo wszystkie maszyny. Jeśli masz maszyny krytyczne (serwery), możesz je wyłączyć z automatyzacji — patchować ręcznie.
Krok 5: Testowanie
Zanim puszczysz politykę na wszystkie maszyny, uruchom na testowej grupie (np. 10 maszyn). Monitoruj raport przez 2 tygodnie — czy wszystkie maszyny się zainstalowały bez błędów? Czy żadna się nie „zburzyła"? Jeśli OK, push na całą sieć.
Inventaryzacja i compliance: co Endpoint Central widzi w sieci
Kiedy agent Endpoint Central jest zainstalowany, serwer automatycznie zbiera od każdej maszyny:
- Sprzęt: Producent, Model, CPU (typ, ilość rdzeni), RAM, dysk (typ, pojemność), karta sieciowa.
- System operacyjny: Windows 10/11 wersja, build, data instalacji, ostatni restart.
- Oprogramowanie: Wszystkie zainstalowane programy (nazwa, wersja, data instalacji). To ważne do sprawdzenia: czy na maszynie jest zainstalowana wersja Excela z luką bezpieczeństwa?
- Bezpieczeństwo: Antivirus (zainstalowany, ostatnia aktualizacja), Firewall (włączony/wyłączony), Windows Defender status.
- Datasety do raportowania compliance: PCI-DSS (czy maszyna spełnia wymogi dla przetwarzania danych kartowych?), HIPAA, GDPR (szyfrtowanie dysku).
Dashboard Compliance Report pokazuje: ile maszyn ma bieżące patche, ile ma zainstalowane oprogramowanie bez licencji, ile ma Antivirus disabled. To bardzo cenna informacja dla audytów i zarządzania bezpieczeństwem.
Endpoint Central vs WSUS vs Microsoft Intune — tabela
| Kryterium | Endpoint Central | WSUS (EOL) | Microsoft Intune |
|---|---|---|---|
| Model wdrożenia | On-Premise lub Cloud | On-Premise tylko | Cloud SaaS (Microsoft Azure) |
| Wsparcie producenta | Aktywne (Zoho) | EOL: październik 2025 | Aktywne (Microsoft) |
| Patch Management | Zaawansowany, harmonogramy | Podstawowy, ograniczony | Zaawansowany + mobile |
| Software Deployment | MSI, EXE, Scripts, AppX | Nie ma | Ograniczone (LOB apps) |
| Inventaryzacja sprzętu | Szczegółowa (CPU, RAM, dysk, MAC) | Podstawowa | Szczegółowa + mobile devices |
| Compliance Reporting | PCI-DSS, HIPAA, SOC2, GDPR | Brak | Zaawansowany, integracja z Defender |
| Cena (50 maszyn) | ~8000-12000 PLN/rok | Bezpłatny (ale EOL) | ~15000-20000 PLN/rok (Microsoft 365 E3+) |
| Intuicyjność | Nowy interfejs, prosty setup | Stary interfejs, trudny | Intuicyjny (Microsoft 365 admin center) |
| Wsparcie offline | Możliwy (offline repo) | Tylko online | Nie (tylko cloud) |
| Rekomendacja dla firmy 50-500 maszyn | TOP WYBÓR 2026 | Migrować ASAP | Jeśli masz już M365 E3+ |
FAQ — ManageEngine Endpoint Central
Do czego służy ManageEngine Endpoint Central?
Endpoint Central to system do zarządzania aktualizacjami (patch management), oprogramowaniem (software deployment), konfiguracją i bezpieczeństwem na wszystkich komputerach w sieci. Automatyzuje wdrażanie łatki Windows, zarządza Windowsem na 50-5000+ maszynach, nadzoruje compliance, raportuje podatności.
Czy Endpoint Central zastępuje WSUS?
Tak, Endpoint Central to nowoczesny następca WSUS. Oba programy zarządzają patchami Windows, ale Endpoint Central ma lepszy interfejs, zaawansowaną eskalację priorytetów, mobilne wsparcie, compliance reporting. Microsoft zakończył wsparcie WSUS w październiku 2025 — firmy powinny migrować do Endpoint Central lub Microsoft Intune.
Jak skonfigurować politykę patch management w Endpoint Central?
W Endpoint Central: Admin > Patch Management > Patch Policies. Definiujesz politykę (np. Security & Critical: instancja co 2 tygodnie w niedzielę 23:00 z 24h oknem rollbacku). Przylaczasz komputery do polityki (przez OU, grupy AD lub manual tagi). Endpoint Central automatycznie pobiera patche ze źródła Microsoft, weryfikuje je i wdrażana na harmonogramie. Monitoring: Dashboard pokazuje % maszyn już zapatched, kolejkę instalacji, błędy.
Co to jest Patch Deployment Schedule w Endpoint Central?
Patch Deployment Schedule to harmonogram wdrażania łatek dla grupy komputerów. Przykład: Security patches co 2 tygodnie w oknie 23:00-23:30 (ponieważ producenci przesyłają patche we wtorek, American time). Możesz ustawić roll-out: 10% maszyn w poniedziałek, 50% w środę, 100% w piątek — by zmniejszyć ryzyko problemu na całej infrastrukturze.
Powiązane artykuły
WSUS koniec wsparcia 2025 — jak migrować do Endpoint Central? ManageEngine Endpoint Central — zarządzanie patchami krok po kroku ManageEngine ServiceDesk Plus cena 2026 — ile kosztuje wdrożenie?Czy Twoja sieć jest aktualna?
Rotech Group przeskanuje Twoją infrastrukturę i sprawdzi, ile maszyn ma bieżące patche. Raport + wycena wdrożenia Endpoint Central — bez zobowiązania.
Umów bezpłatną konsultację →