Wie gehen große Unternehmen mit Software-Updates für Benutzer ohne Administratorrechte um?

8

Ich habe gerade angefangen, für ein kleines mittelständisches Unternehmen zu arbeiten, das IT-Support leistet. Vielleicht 150 oder weniger Benutzer.

Derzeit hat jeder Benutzer Administratorrechte für seinen eigenen Computer. Auf diese Weise können sie Updates installieren oder was auch immer sie möchten.

Ich bin es leid, auf die Maschinen der Benutzer zu steigen, die mit Mist aufgebläht sind, den sie sich selbst auferlegen. Mein erster Gedanke wäre also, Administratorrechte für ihren Computer wegzunehmen. Dies hätte auch andere Vorteile, wie das Verhindern einer Menge Drive-by-Malware im Web usw.

Das Problem tritt auf, dass Benutzer keine Updates installieren können. (Auch wenn ich finde, dass die meisten diese sowieso ignorieren)

Wie gehen große Unternehmen mit Software-Updates auf allen Client-Computern um?

BEARBEITEN: Windows-Umgebung. Die meisten Server sind Windows Server 2003 Enterprise. Clients sind alle Windows. Gewinnen Sie XP, Vista und 7.

CT.
quelle
Das eigentliche Problem, das ich mit Benutzern habe, die einen Administrator haben, ist, wenn sie im Internet surfen. Wie viele Viren finden Sie in einer bestimmten Woche?
Tony Roth
@ Tony, Sie benötigen keine Administratorrechte, um einen Computer zu infizieren oder einen Virus zu verbreiten. Alles was Sie brauchen ist ein gut geschriebener Virus.
John Gardeniers
@ John Gardeniers: Unter der Annahme, dass die bösartige Software (oder auch jede andere Software) keine Fehler bei der Eskalation von Berechtigungen ausnutzt, sollte ein nicht privilegierter Benutzer nicht in der Lage sein, die vertrauenswürdige Computerbasis zu untergraben und Änderungen vorzunehmen, die andere Benutzer von betreffen Die Maschine. Offensichtlich ist kein Standardbetriebssystem frei von Eskalationsfehlern bei Berechtigungen, aber das Hinzufügen der Sicherheitsebene mit eingeschränkten Berechtigungen hilft bei der Tiefenverteidigung. Lassen Sie die Malware-Autoren eine Sicherheitslücke ausnutzen und die menschliche Fehlbarkeit untersuchen, und Sie machen es ihnen schwerer. Am Rande würde ich zustimmen, aber noch schwieriger.
Evan Anderson
@Evan, mein Punkt war, dass es Viren und andere Malware gibt, die solche Fehler ausnutzen, was bedeutet, dass wir nicht davon ausgehen dürfen, dass ein System "sicher" ist (relativ gesehen natürlich), nur weil der Benutzer eingeschränkte Rechte hat.
John Gardeniers
@ John: Sicher, aber in diesem Zusammenhang ist das ein bisschen so, als würde man vorschlagen, dass es keinen Sinn macht, die Autotüren zu verschließen, weil sie sowieso nur das Fenster einschlagen können.
Chris Thorpe

Antworten:

8

Windows Server Update Services (WSUS) bietet die serverseitige Komponente für die Bereitstellung von Updates. Es wird von Microsoft als kostenloses Add-On für Windows Server 2003 und höher bereitgestellt.

Computer (Client-PCs, Server usw.) werden normalerweise an den WSUS-Server geleitet, um Aktualisierungen über Gruppenrichtlinieneinstellungen zu erhalten (dies kann auch durch einfache Manipulation der Registrierung erfolgen). Die Windows Update-Client-Software kann so konfiguriert werden, dass der Client Updates automatisch nach einem Zeitplan herunterladen und installieren oder die Installation herunterladen und zur Installation auffordern kann usw. Die Client-Software kann den PC zum Neustart zwingen oder den Neustart optional verschieben, wenn ein Benutzer verbleibt eingeloggt sein. Es gibt verschiedene Möglichkeiten.

Für Software von Drittanbietern können Sie Updates erstellen, die über WSUS verteilt werden sollen, indem Sie den Sysmtem Center Updates Publisher als Teil des Microsoft System Center Configuration Manager-Produkts verwenden. (Es gibt einige andere Tools, mit denen Sie auch Nicht-Microsoft-Updates in WSUS veröffentlichen können. Ich habe keine Erfahrung mit ihnen und kann sie nicht empfehlen / kommentieren. In einem Kommentar zu diesem Serverfehler wird darüber gesprochen Antwort .)

Normalerweise installiere ich Software über Gruppenrichtlinien auf Clientcomputern. Bei der Bereitstellung von Updates werden normalerweise neue Pakete auf diese Weise bereitgestellt. Weitere Informationen zu dieser Strategie finden Sie in dieser Antwort auf Serverfehler .

Übrigens: Sie tun das Richtige, um die Administratorrechte für Benutzer zu beseitigen. Sie werden eine dramatische Verbesserung der PC-Zuverlässigkeit feststellen und indirekt die Sicherheit verbessern. Ein Netzwerk mit Clientcomputern mit eingeschränkten Administratorrechten ist ein sehr schöner Ort. Zumindest beschränkt sich Malware darauf, das Profil eines einzelnen Benutzers zu beschädigen, was die Bereinigung so einfach macht wie das Wiederherstellen einer Kopie eines Roaming-Profils vor der Infektion aus dem Backup.

Evan Anderson
quelle
Ist das nur Windows Updates? Wie wäre es mit Updates von Drittanbietern? ex) Adobe, Java usw.?
CT.
@ CT: Ich habe dich mit einer Bearbeitung bedeckt ...> Lächeln <
Evan Anderson
2
@CT: In der gleichen Weise wie Evans BTW: Sehen Sie sich die Richtlinien für Softwareeinschränkungen von Microsoft an. Nachdem wir überall die Administratorrechte entfernt hatten, wurden SRPs verwendet, um unsere Benutzer weiter zu schützen. Wir haben Whitelists für unser Anwendungskompliment erstellt. Deutlich reduzierte Crap-Ware-Infektionen, nicht lizenzierte Software, nicht genehmigte Downloads usw.
Jscott
@jscott: Oh, absolut. Software Restriction Poliy (und die neue AppLocker-Funktion in Windows 7) ist großartig, wenn Sie die politische Unterstützung erhalten, um sie zu implementieren.
Evan Anderson
Evan, danke für all die guten Informationen. Eine letzte Straßensperre, um die Mischung einzubringen. Würde dies auch für Remote-Benutzer funktionieren, die über VPN verbunden sind?
CT.
1

WSUS scheint perfekt für Sie zu sein.

Das Beste ist, wenn Sie Windows Server in Ihrer Umgebung ausführen, ist es kostenlos!

Nick Kavadias
quelle