In che modo le grandi aziende gestiscono gli aggiornamenti software per gli utenti senza diritti amministrativi?

8

Ho appena iniziato a lavorare per un'azienda di piccole e medie dimensioni con supporto IT. Forse 150 o meno utenti.

In questo momento ogni utente ha diritti amministrativi sulla propria macchina. Ciò consente loro di installare aggiornamenti o qualsiasi altra cosa vorrebbero.

Sono stanco di salire sulle macchine degli utenti che sono gonfie di merda che si sono messe addosso. Quindi il mio primo pensiero sarebbe stato quello di togliere i diritti amministrativi al loro computer. Ciò avrebbe anche altri vantaggi come la prevenzione di molti malware drive-by sul Web, ecc.

Il problema sorge che gli utenti non sono in grado di installare gli aggiornamenti. (Anche se trovo che la maggior parte ignori questi comunque)

In che modo le grandi aziende gestiscono gli aggiornamenti software su tutti i computer client?

EDIT: ambiente Windows. La maggior parte dei server sono Windows Server 2003 Enterprise. I client sono tutti Windows. Vinci XP, Vista e 7.

permissions  update  user-permissions 
CT.
fonte
Il vero problema che ho con gli utenti che hanno admin è quando navigano in rete. Quanti virus trovi in ​​una determinata settimana?
tony roth,
@Tony, non hai bisogno dei diritti di amministratore per infettare un computer o per propagare un virus. Tutto ciò che serve è un virus ben scritto.
John Gardeniers,
@John Gardeniers: Supponendo che i software dannosi (o, in tal caso, qualsiasi software) non utilizzino bug di escalation di privilegi, un utente non privilegiato non dovrebbe essere in grado di sovvertire la base informatica affidabile e apportare modifiche che interessano altri utenti di la macchina. Ovviamente, nessun sistema operativo di base è privo di bug di escalation di privilegi, ma l'aggiunta del livello di sicurezza dei privilegi limitati aiuta quando si tratta di difesa in profondità. Fai in modo che gli autori di malware sfruttino una vulnerabilità oltre a esplorare la fallability umana e rendi più difficile per loro. Marginalmente, sarei d'accordo, ma ancora più difficile.
Evan Anderson,
@Evan, il mio punto era che ci sono virus e altri malware che sfruttano tali bug, il che significa che non dobbiamo presumere che un sistema sia "sicuro" (relativamente parlando ovviamente) semplicemente perché l'utente ha diritti limitati.
John Gardeniers,
@John: Certo, ma in questo contesto è un po 'come suggerire che non ha senso bloccare le porte della tua auto perché possono solo rompere il finestrino comunque.
Chris Thorpe,

Risposte:

8

Windows Server Update Services (WSUS) fornisce il componente lato server per gestire la distribuzione degli aggiornamenti. È fornito da Microsoft come componente aggiuntivo gratuito per Windows Server 2003 e versioni successive.

I computer (PC client, server, ecc.) Vengono in genere indirizzati al server WSUS per ricevere gli aggiornamenti tramite le impostazioni di Criteri di gruppo (che possono essere eseguite anche tramite una semplice manipolazione del registro). Il software client Windows Update è configurabile per consentire al client di scaricare e installare automaticamente gli aggiornamenti in base a una pianificazione, oppure di scaricare e richiedere l'installazione, ecc. Il software client può forzare il riavvio del PC o, facoltativamente, posticipare il riavvio se l'utente rimane autenticato. Ci sono una varietà di opzioni.

Per software di terze parti è possibile creare aggiornamenti da distribuire tramite WSUS utilizzando Sysmtem Center Updates Publisher come parte del prodotto Microsoft System Center Configuration Manager. (Esistono altri strumenti che ti permetteranno di pubblicare anche aggiornamenti non Microsoft su WSUS-- Non ho esperienza con loro e non posso consigliarli / commentarli. Si parla di loro in un commento a questo errore del server risposta .)

In genere installo software su computer client tramite Criteri di gruppo, quindi la distribuzione di aggiornamenti comporta in genere il rolling di nuovi pacchetti in questo modo. Puoi trovare ulteriori informazioni su tale strategia in questa risposta di errore del server .

BTW: Stai facendo la cosa giusta per quanto riguarda: eliminare i diritti di amministratore per gli utenti. Vedrai un notevole miglioramento dell'affidabilità del PC e indirettamente migliorerai la sicurezza. Avere una rete con computer client con diritti di amministratore limitati è un posto molto carino. Per lo meno, il malware sarà limitato a danneggiare il profilo di un singolo utente, il che rende la pulizia semplice come ripristinare una copia di un profilo di roaming pre-infezione dal backup.

Evan Anderson
fonte
Sono solo aggiornamenti di Windows? Che ne dici di aggiornamenti di terze parti? ex) Adobe, Java, ecc?
CT.
@CT: Ti ho coperto con una modifica ...> smile <
Evan Anderson,
2
@CT: Sulla stessa linea di Evan's BTW: dai un'occhiata alle politiche di restrizione del software di Microsoft. Dopo aver rimosso i diritti di amministratore ovunque, gli SRP sono stati utilizzati per proteggere ulteriormente i nostri utenti. Abbiamo creato liste bianche per il nostro complimento per l'applicazione. Infezioni significative di crap-ware, software senza licenza, download non approvati, ecc.
jscott,
@jscott: Oh, assolutamente. La restrizione del software Poliy (e la nuova funzionalità AppLocker in Windows 7) è eccezionale se puoi ottenere il supporto politico per implementarlo.
Evan Anderson,
Evan, grazie per tutte le buone informazioni. Un ultimo blocco stradale da inserire nel mix. Funzionerebbe anche per utenti remoti connessi tramite VPN?
CT.
1

WSUS sembra che sarebbe perfetto per te.

Soprattutto, se stai eseguendo Windows Server nel tuo ambiente, è gratis!

Nick Kavadias
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.