Làm thế nào để các công ty lớn xử lý cập nhật phần mềm cho người dùng mà không có quyền quản trị?


8

Tôi mới bắt đầu làm việc cho một công ty vừa và nhỏ hỗ trợ CNTT. Có thể 150 hoặc ít hơn người dùng.

Ngay bây giờ mỗi người dùng có quyền quản trị cho máy riêng của họ. Điều này cho phép họ cài đặt các bản cập nhật hoặc bất cứ điều gì họ muốn.

Tôi cảm thấy mệt mỏi khi phải sử dụng những cỗ máy của người dùng bị cồng kềnh. Vì vậy, suy nghĩ đầu tiên của tôi sẽ là lấy đi quyền quản trị đối với máy tính của họ. Điều này cũng sẽ có những lợi thế khác như ngăn chặn rất nhiều phần mềm độc hại do ổ đĩa trên web, v.v.

Vấn đề phát sinh là người dùng không thể cài đặt bản cập nhật. (Mặc dù tôi thấy hầu hết đều bỏ qua những điều này)

Làm thế nào để các công ty lớn xử lý cập nhật phần mềm trên tất cả các máy khách?

EDIT: Môi trường Windows. Hầu hết các máy chủ là Windows Server 2003 Enterprise. Khách hàng là tất cả Windows. Kiếm được XP, Vista và 7.


Vấn đề thực sự tôi gặp phải với người dùng có quản trị viên là khi họ lướt mạng. Có bao nhiêu virus bạn tìm thấy trong một tuần nhất định?
tony roth

@Tony, bạn không cần quyền quản trị để lây nhiễm máy hoặc truyền vi-rút. Tất cả bạn cần là một virus được viết tốt.
John Gardeniers

@ John Gardeniers: Giả sử không có lỗi leo thang đặc quyền nào bị khai thác bởi phần mềm độc hại (hoặc, đối với vấn đề đó, bất kỳ phần mềm nào), người dùng không có đặc quyền sẽ không thể phá hoại cơ sở tính toán đáng tin cậy và thay đổi ảnh hưởng đến những người dùng khác máy. Rõ ràng, không có hệ điều hành hàng hóa nào không có lỗi leo thang đặc quyền, nhưng việc thêm lớp bảo mật của đặc quyền hạn chế sẽ giúp ích khi nói đến phòng thủ chuyên sâu. Làm cho các nhà văn phần mềm độc hại khai thác một lỗ hổng bên cạnh việc khám phá khả năng rơi của con người và bạn làm cho họ khó khăn hơn. Ngoài lề, tôi đồng ý, nhưng vẫn khó hơn.
Evan Anderson

@Evan, quan điểm của tôi là có virus và phần mềm độc hại khác khai thác các lỗi đó, có nghĩa là chúng ta không được cho rằng một hệ thống là "an toàn" (tất nhiên là nói một cách tương đối) đơn giản vì người dùng có quyền hạn chế.
John Gardeniers

@ John: Chắc chắn, nhưng trong bối cảnh này hơi giống như đề xuất rằng không có điểm nào khóa cửa xe của bạn bởi vì dù sao họ cũng có thể đập vỡ cửa sổ.
Chris Thorpe

Câu trả lời:


8

Windows Server Update Services (WSUS) cung cấp thành phần phía máy chủ để xử lý việc triển khai cập nhật. Nó được Microsoft cung cấp dưới dạng tiện ích miễn phí cho Windows Server 2003 trở lên.

Máy tính (PC khách, máy chủ, v.v.) thường được chuyển hướng đến máy chủ WSUS để nhận các bản cập nhật bằng cách cài đặt Chính sách nhóm (cũng có thể được thực hiện thông qua thao tác đăng ký đơn giản). Phần mềm máy khách Windows Update có thể định cấu hình để cho phép máy khách tự động tải xuống và cài đặt các bản cập nhật theo lịch hoặc tải xuống và nhắc cài đặt, v.v. Phần mềm máy khách có thể buộc PC khởi động lại hoặc có thể tùy chọn trì hoãn khởi động lại nếu người dùng vẫn còn đăng nhập Có nhiều lựa chọn.

Đối với phần mềm của bên thứ ba, bạn có thể tạo các bản cập nhật để phân phối qua WSUS bằng cách sử dụng Nhà xuất bản Cập nhật Trung tâm Sysmtem như một phần của sản phẩm Trình quản lý cấu hình trung tâm hệ thống của Microsoft. (Có một số công cụ khác sẽ cho phép bạn xuất bản các bản cập nhật không phải của Microsoft lên WSUS nữa-- Tôi không có kinh nghiệm với chúng và không thể đề xuất / nhận xét về chúng. Có một số ý kiến ​​về chúng trong bình luận về Lỗi máy chủ này trả lời .)

Tôi thường cài đặt phần mềm cho máy tính khách thông qua Chính sách nhóm, vì vậy việc triển khai các bản cập nhật thường liên quan đến việc cuộn các gói mới theo cách đó. Bạn có thể xem thêm về chiến lược đó trong câu trả lời Lỗi Máy chủ này .

BTW: Bạn đang làm lại điều đúng: loại bỏ quyền Quản trị viên cho người dùng. Bạn sẽ thấy sự cải thiện đáng kể về độ tin cậy của PC và gián tiếp là bạn sẽ cải thiện bảo mật. Có một mạng với các máy tính khách bị hạn chế quyền Quản trị viên là một nơi rất tốt. Ít nhất, phần mềm độc hại sẽ bị hạn chế làm hỏng hồ sơ của một người dùng cá nhân, điều này giúp việc dọn dẹp dễ dàng như khôi phục một bản sao của hồ sơ chuyển vùng trước khi bị nhiễm từ bản sao lưu.


Đây có phải chỉ là Cập nhật Windows? Làm thế nào về cập nhật của bên thứ ba? ví dụ) Adobe, Java, v.v?
CT.

@CT: Tôi đã nhận được một bản chỉnh sửa ...> nụ cười <
Evan Anderson

2
@CT: Cùng quan điểm với BTW của Evan: Hãy xem Chính sách hạn chế phần mềm của Microsoft. Sau khi chúng tôi xóa quyền Quản trị viên ở mọi nơi, SRP đã được sử dụng để bảo vệ người dùng của chúng tôi. Chúng tôi tạo ra danh sách trắng cho lời khen ứng dụng của chúng tôi. Giảm đáng kể nhiễm trùng crap-ware, phần mềm không được cấp phép, tải xuống không được phê duyệt, v.v.
jscott

@jscott: Ồ, hoàn toàn. Phần mềm hạn chế phần mềm Poliy (và tính năng AppLocker mới trong Windows 7) thật tuyệt nếu bạn có thể nhận được sự ủng hộ chính trị để thực hiện nó.
Evan Anderson

Evan, cảm ơn vì tất cả các thông tin tốt. Một rào cản cuối cùng để ném trong hỗn hợp. Điều này có hoạt động với người dùng từ xa được kết nối qua VPN không?
CT.

1

WSUS có vẻ như nó sẽ là hoàn hảo cho bạn.

Tuyệt vời nhất, nếu bạn đang chạy máy chủ windows trong môi trường của mình, thì miễn phí!

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.