Как крупные компании обрабатывают обновления программного обеспечения для пользователей без прав администратора?

8

Я только начал работать в небольшой компании среднего размера, занимающейся ИТ-поддержкой. Может быть, 150 или меньше пользователей.

Прямо сейчас каждый пользователь имеет права администратора на свой компьютер. Это позволяет им устанавливать обновления или что-либо еще, что они хотели бы.

Я устала попадать на машины пользователей, которые раздуты от дерьма, которое они ставят на себя. Поэтому моей первой мыслью было бы отобрать административные права на свой компьютер. Это также будет иметь и другие преимущества, такие как предотвращение большого количества вредоносных программ в Интернете и т. Д.

Проблема возникает из-за того, что пользователи не могут устанавливать обновления. (Хотя я нахожу большинство игнорировать их в любом случае)

Как крупные компании обрабатывают обновления программного обеспечения на всех клиентских компьютерах?

РЕДАКТИРОВАТЬ: среда Windows. Большинство серверов являются Windows Server 2003 Enterprise. Клиенты все Windows. Win XP, Vista и 7.

КТ.
источник
Реальная проблема, которую я имею с пользователями, имеющими администратора, - когда они выходят в сеть. Сколько вирусов вы найдете на данной неделе?
Тони Рот
@ Тони, вам не нужны права администратора для заражения компьютера или распространения вируса. Все, что вам нужно, это хорошо написанный вирус.
Джон Гарденье
@John Gardeniers: при условии, что вредоносное программное обеспечение (или, в данном случае, любое программное обеспечение) не использует ошибки повышения привилегий, непривилегированный пользователь не должен иметь возможность подрывать базу доверенных компьютеров и вносить изменения, влияющие на других пользователей. машина. Очевидно, что ни одна стандартная ОС не свободна от ошибок повышения привилегий, но добавление уровня безопасности ограниченных привилегий помогает, когда дело доходит до углубленной защиты. Заставьте авторов вредоносных программ использовать уязвимость в дополнение к человеческим ошибкам, и вы сделаете их более трудными для них. Маргинально, я бы согласился, но все же сложнее.
Эван Андерсон
@ Эван, я хотел сказать, что существуют вирусы и другие вредоносные программы, которые используют такие ошибки, а это значит, что мы не должны предполагать, что система «безопасна» (условно говоря), просто потому, что у пользователя ограниченные права.
Джон Гарденье
@Джон: Конечно, но в этом контексте это немного похоже на предположение, что нет смысла запирать двери твоей машины, потому что они все равно могут просто разбить окно.
Крис Торп

Ответы:

8

Службы обновления Windows Server (WSUS) предоставляют серверный компонент для управления развертыванием обновлений. Он предоставляется Microsoft как бесплатное дополнение к Windows Server 2003 и выше.

Компьютеры (клиентские ПК, серверы и т. Д.) Обычно направляются на сервер WSUS для получения обновлений с помощью параметров групповой политики (что также может быть выполнено с помощью простых манипуляций с реестром). Клиентское программное обеспечение Центра обновления Windows настраивается, чтобы позволить клиенту автоматически загружать и устанавливать обновления по расписанию, а также загружать и запрашивать установку и т. Д. Клиентское программное обеспечение может заставить компьютер перезагружаться или может дополнительно откладывать перезагрузку, если пользователь остается вошел. Есть множество вариантов.

Для стороннего программного обеспечения вы можете создавать обновления для распространения через WSUS с помощью Sysmtem Center Updates Publisher как части продукта Microsoft System Center Configuration Manager. (Существуют и другие инструменты, которые также позволят вам публиковать обновления для WSUS не от Microsoft - у меня нет с ними опыта, и я не могу рекомендовать / комментировать их. В комментариях к этому сбоям в серверах говорится о них. ответ .)

Обычно я устанавливаю программное обеспечение на клиентские компьютеры через групповую политику, поэтому развертывание обновлений обычно включает в себя развертывание новых пакетов таким способом. Вы можете узнать больше об этой стратегии в ответе «Ошибка сервера» .

КСТАТИ: Вы делаете правильно, избавляясь от прав администратора для пользователей. Вы увидите значительное улучшение надежности ПК и косвенно улучшите безопасность. Наличие сети с клиентскими компьютерами с ограниченными правами администратора - это очень хорошее место. По крайней мере, вредоносное ПО будет ограничено повреждением профиля отдельного пользователя, что делает очистку столь же простой, как восстановление копии перемещаемого профиля перед заражением из резервной копии.

Эван Андерсон
источник
Это только обновления Windows? Как насчет сторонних обновлений? ex) Adobe, Java и т. д.?
КТ.
@CT: Я тебя покрою правкой ...> улыбка <
Эван Андерсон
2
@CT: В том же духе, что и Эван: Кстати, взгляните на Политики ограниченного использования программ Microsoft. После того, как мы удалили права администратора везде, SRP использовались для дальнейшей защиты наших пользователей. Мы создали белые списки для нашего приложения-комплимента. Значительное сокращение числа заражений программным обеспечением,
нелицензионным
@jscott: О, конечно. Ограничение программного обеспечения Poliy (и новая функция AppLocker в Windows 7) отлично подходит, если вы можете получить политическую поддержку для ее реализации.
Эван Андерсон
Эван, спасибо за всю полезную информацию. Один последний контрольно-пропускной пункт, чтобы добавить смесь. Будет ли это работать для удаленных пользователей, подключенных через VPN?
КТ.
1

WSUS выглядит так, как будто бы идеально подходит для вас.

Лучше всего, если вы используете Windows Server в вашей среде, это бесплатно!

Ник Кавадиас
источник