Como as grandes empresas lidam com atualizações de software para usuários sem direitos administrativos?

8

Comecei a trabalhar para uma empresa de pequeno e médio porte que fazia suporte de TI. Talvez 150 ou menos usuários.

No momento, todo usuário tem direitos administrativos em sua própria máquina. Isso permite que eles instalem atualizações ou o que mais eles gostariam.

Estou cansado de pegar nas máquinas dos usuários que estão cheias de porcaria que elas colocam em si mesmas. Então, meu primeiro pensamento seria retirar os direitos administrativos do computador deles. Isso também teria outras vantagens, como impedir muitos malwares drive-by na web, etc.

Surge o problema de que os usuários não conseguem instalar as atualizações. (Mesmo que eu ache a maioria ignorá-los de qualquer maneira)

Como as grandes empresas lidam com atualizações de software em todas as máquinas clientes?

EDIT: ambiente Windows. A maioria dos servidores é Windows Server 2003 Enterprise. Os clientes são todos Windows. Ganhe XP, Vista e 7.

CT.
fonte
O verdadeiro problema que tenho com usuários com administração é quando eles navegam na rede. Quantos vírus você encontra em uma determinada semana?
tony roth
@ Tony, você não precisa de direitos de administrador para infectar uma máquina ou propagar um vírus. Tudo que você precisa é de um vírus bem escrito.
John Gardeniers
@ John Gardeniers: Assumindo que nenhum erro de escalação de privilégios esteja sendo explorado pelo software malicioso (ou, por outro lado, por qualquer software), um usuário não privilegiado não deve poder subverter a base de computação confiável e fazer alterações que afetam outros usuários do a máquina. Obviamente, nenhum sistema operacional básico está livre de erros de escalonamento de privilégios, mas adicionar a camada de segurança de privilégios limitados ajuda quando se trata de defesa em profundidade. Faça com que os criadores de malware explorem uma vulnerabilidade, além de explorar a falibilidade humana, e você torna mais difícil para eles. Marginalmente, eu concordo, mas ainda mais difícil.
Evan Anderson
@Evan, meu argumento foi que existem vírus e outros malwares que exploram esses bugs, o que significa que não devemos assumir que um sistema é "seguro" (relativamente falando, é claro) simplesmente porque o usuário tem direitos limitados.
John Gardeniers
@ John: Claro, mas nesse contexto é como sugerir que não adianta trancar as portas do carro, porque elas podem simplesmente quebrar a janela de qualquer maneira.
Chris Thorpe

Respostas:

8

O Windows Server Update Services (WSUS) fornece o componente do servidor para lidar com a implantação da atualização. É fornecido pela Microsoft como um complemento gratuito para o Windows Server 2003 e superior.

Os computadores (PCs clientes, servidores etc.) geralmente são direcionados ao servidor WSUS para receber atualizações por meio das configurações da Diretiva de Grupo (que também podem ser feitas através da simples manipulação do registro). O software cliente do Windows Update é configurável para permitir que o cliente baixe e instale automaticamente as atualizações de acordo com a programação, faça o download e solicite a instalação, etc. O software do cliente pode forçar a reinicialização do PC ou, opcionalmente, adiar a reinicialização se um usuário permanecer logado. Há uma variedade de opções.

Para software de terceiros, você pode criar atualizações para distribuir via WSUS usando o Sysmtem Center Updates Publisher como parte do produto Microsoft System Center Configuration Manager. (Existem algumas outras ferramentas que lhe permitirá publicar atualizações não-Microsoft para o WSUS, demasiado-- Eu não tenho nenhuma experiência com eles e não pode recomendar / comentário sobre eles. Há alguma conversa sobre eles em um comentário a esta falha no servidor resposta .)

Normalmente, instalo software nos computadores clientes por meio da Diretiva de Grupo. Portanto, a implantação de atualizações geralmente envolve o lançamento de novos pacotes dessa maneira. Você pode ver mais sobre essa estratégia nesta resposta de falha do servidor .

BTW: Você está fazendo a coisa certa: livrar-se dos direitos de administrador dos usuários. Você verá uma melhoria dramática na confiabilidade do PC e indiretamente estará melhorando a segurança. Ter uma rede com computadores clientes com direitos de administrador restritos é um ótimo lugar para se estar. No mínimo, o malware será restrito a danificar o perfil de um usuário individual, o que torna a limpeza tão fácil quanto restaurar uma cópia de um perfil móvel de pré-infecção do backup.

Evan Anderson
fonte
Isso é apenas atualizações do Windows? Que tal atualizações de terceiros? ex) Adobe, Java, etc?
CT.
@CT: Eu te cobri com uma edição ...> sorriso <
Evan Anderson
2
@CT: Na mesma linha que o BTT de Evan: dê uma olhada nas políticas de restrição de software da Microsoft. Depois que removemos os direitos de administrador em todos os lugares, os SRPs foram usados ​​para proteger ainda mais nossos usuários. Criamos listas de permissões para nosso elogio de aplicativo. Significativamente reduzida infecções porcaria-ware, software licenciado-un, downloads não aprovados, etc.
jscott
@jscott: Ah, com certeza. A política de restrição de software (e o novo recurso AppLocker no Windows 7) é excelente se você puder obter o apoio político para implementá-lo.
Evan Anderson
Evan, obrigado por todas as boas informações. Um último obstáculo a ser lançado. Isso funcionaria também para usuários remotos conectados via VPN?
CT.
1

Parece que o WSUS seria perfeito para você.

O melhor de tudo, se você estiver executando o servidor Windows no seu ambiente, é grátis!

Nick Kavadias
fonte