Bagaimana perusahaan besar menangani pembaruan perangkat lunak untuk pengguna tanpa hak administratif?

8

Saya baru saja mulai bekerja untuk perusahaan kecil-menengah yang melakukan dukungan TI. Mungkin 150 atau kurang pengguna.

Saat ini setiap pengguna memiliki hak administratif untuk mesin mereka sendiri. Ini memungkinkan mereka untuk menginstal pembaruan atau apa pun yang mereka inginkan.

Saya lelah menggunakan mesin pengguna yang membengkak dengan sampah yang mereka kenakan sendiri. Jadi pemikiran pertama saya adalah mengambil hak administratif ke komputer mereka. Ini juga akan memiliki keuntungan lain seperti mencegah banyak malware drive-by di web dll.

Masalah muncul bahwa pengguna tidak dapat menginstal pembaruan. (Meskipun saya menemukan sebagian besar mengabaikan ini)

Bagaimana perusahaan besar menangani pembaruan perangkat lunak pada semua mesin klien?

EDIT: Lingkungan Windows. Sebagian besar server adalah Windows Server 2003 Enterprise. Klien semuanya adalah Windows. Menangkan XP, Vista, dan 7.

CT.
sumber
Masalah sebenarnya yang saya miliki dengan pengguna yang memiliki admin adalah ketika mereka menjelajahi internet. Berapa banyak virus yang Anda temukan dalam satu minggu?
tony roth
@Tony, Anda tidak perlu hak admin untuk menginfeksi mesin atau menyebarkan virus. Yang Anda butuhkan hanyalah virus yang ditulis dengan baik.
John Gardeniers
@ John Gardeniers: Dengan asumsi tidak ada bug peningkatan hak istimewa yang dieksploitasi oleh perangkat lunak berbahaya (atau, dalam hal ini, perangkat lunak apa pun), pengguna yang tidak memiliki hak istimewa tidak boleh dapat menumbangkan basis komputasi tepercaya dan membuat perubahan yang memengaruhi pengguna lain dari mesin. Jelas, tidak ada OS komoditas yang bebas dari bug eskalasi hak istimewa, tetapi menambahkan lapisan keamanan hak istimewa terbatas akan membantu dalam hal pertahanan yang mendalam. Buat penulis malware mengeksploitasi kerentanan selain untuk mengeksplor kesalahan manusia dan Anda membuatnya lebih sulit untuk mereka. Secara garis besar, saya setuju, tetapi masih lebih sulit.
Evan Anderson
@Van, maksud saya adalah bahwa ada virus dan malware lain yang mengeksploitasi bug semacam itu, artinya kita tidak boleh menganggap sistem itu "aman" (relatif berbicara tentu saja) hanya karena pengguna memiliki hak terbatas.
John Gardeniers
@ John: Tentu, tetapi dalam konteks ini agak seperti menyarankan tidak ada gunanya mengunci pintu mobil Anda karena mereka bisa saja menghancurkan jendela.
Chris Thorpe

Jawaban:

8

Layanan Pembaruan Server Windows (WSUS) menyediakan komponen sisi server untuk menangani penyebaran pembaruan. Ini disediakan oleh Microsoft sebagai add-on tanpa biaya untuk Windows Server 2003 dan yang lebih tinggi.

Komputer (PC klien, server, dll) biasanya diarahkan ke server WSUS untuk menerima pembaruan melalui pengaturan Kebijakan Grup (yang juga dapat dilakukan melalui manipulasi registri sederhana juga). Perangkat lunak klien Pembaruan Windows dapat dikonfigurasi untuk memungkinkan klien mengunduh dan menginstal pembaruan secara otomatis sesuai jadwal, atau mengunduh dan meminta instalasi, dll. Perangkat lunak klien dapat memaksa PC untuk reboot, atau secara opsional dapat menunda reboot jika pengguna tetap masuk. Ada berbagai opsi.

Untuk perangkat lunak pihak ketiga Anda dapat membuat pembaruan untuk didistribusikan melalui WSUS dengan menggunakan Sysmtem Center Updates Publisher sebagai bagian dari produk Microsoft System Center Configuration Manager. (Ada beberapa alat lain yang akan memungkinkan Anda untuk mempublikasikan pembaruan non-Microsoft ke WSUS juga - Saya tidak punya pengalaman dengan mereka dan tidak dapat merekomendasikan / mengomentarinya. Ada beberapa pembicaraan tentang hal itu dalam komentar untuk Kesalahan Server ini jawaban .)

Saya biasanya menginstal perangkat lunak ke komputer klien melalui Kebijakan Grup, jadi menyebarkan pembaruan biasanya melibatkan menggulirkan paket baru seperti itu. Anda dapat melihat lebih banyak tentang strategi itu dalam jawaban Server Fault ini .

BTW: Anda melakukan hal yang benar ulang: menyingkirkan hak Administrator untuk pengguna. Anda akan melihat peningkatan dramatis dalam keandalan PC, dan secara tidak langsung Anda akan meningkatkan keamanan. Memiliki jaringan dengan komputer klien yang memiliki hak Administrator terbatas adalah tempat yang sangat menyenangkan. Paling tidak, malware akan dibatasi untuk merusak profil pengguna individu, yang membuat pembersihan semudah mengembalikan salinan profil roaming pra-infeksi dari cadangan.

Evan Anderson
sumber
Apakah ini Pembaruan Windows saja? Bagaimana dengan pembaruan pihak ketiga? ex) Adobe, Java, dll?
CT.
@ CT: Saya sudah membahasnya dengan edit ...> smile <
Evan Anderson
2
@ CT: Bersamaan dengan BTW Evan: Lihatlah Kebijakan Pembatasan Perangkat Lunak Microsoft. Setelah kami menghapus hak Admin di mana-mana, SRP digunakan untuk lebih melindungi pengguna kami. Kami membuat daftar putih untuk pujian aplikasi kami. Infeksi sampah yang berkurang secara signifikan , perangkat lunak tidak berlisensi, unduhan yang tidak disetujui, dll.
jscott
@ jscott: Oh, tentu saja. Pembatasan Perangkat Lunak Poliy (dan fitur AppLocker baru di Windows 7) sangat bagus jika Anda bisa mendapatkan dukungan politik untuk mengimplementasikannya.
Evan Anderson
Evan, terima kasih atas semua informasi yang baik. Satu hambatan terakhir untuk melempar campuran. Apakah ini akan berfungsi untuk pengguna jarak jauh yang terhubung melalui VPN juga?
CT.
1

WSUS sepertinya itu akan sempurna untukmu.

Yang terbaik dari semuanya, jika Anda menjalankan windows server di lingkungan Anda, gratis!

Nick Kavadias
sumber