¿Cómo manejan las grandes empresas las actualizaciones de software para usuarios sin derechos administrativos?

Acabo de comenzar a trabajar para una pequeña y mediana empresa haciendo soporte de TI. Quizás 150 o menos usuarios.

En este momento, cada usuario tiene derechos administrativos sobre su propia máquina. Esto les permite instalar actualizaciones o cualquier otra cosa que deseen.

Estoy cansado de subirme a las máquinas de los usuarios que están llenas de basura que se ponen a sí mismas. Entonces, mi primer pensamiento sería quitarle los derechos administrativos a su computadora. Esto también tendría otras ventajas, como evitar una gran cantidad de malware en la web, etc.

El problema surge de que los usuarios no pueden instalar actualizaciones. (Aunque encuentro que la mayoría los ignora de todos modos)

¿Cómo manejan las grandes empresas las actualizaciones de software en todas las máquinas cliente?

EDITAR: entorno de Windows. La mayoría de los servidores son Windows Server 2003 Enterprise. Los clientes son todos Windows. Gana XP, Vista y 7.

permissions update user-permissions

— CONNECTICUT.
fuente

El verdadero problema que tengo con los usuarios que tienen administrador es cuando navegan por la red. ¿Cuántos virus encuentras en una semana determinada?

— Tony Roth

@ Tony, no necesitas derechos de administrador para infectar una máquina o propagar un virus. Todo lo que necesitas es un virus bien escrito.

— John Gardeniers

@John Gardeniers: Suponiendo que el software malintencionado (o, en cualquier caso, cualquier software) esté explotando errores de escalada de privilegios, un usuario no privilegiado no debería ser capaz de subvertir la base informática confiable y realizar cambios que afecten a otros usuarios de la máquina. Obviamente, ningún sistema operativo está libre de errores de escalada de privilegios, pero agregar la capa de seguridad de privilegios limitados ayuda cuando se trata de una defensa en profundidad. Haga que los escritores de malware exploten una vulnerabilidad además de explotar la falacia humana y que sea más difícil para ellos. Marginalmente, estaría de acuerdo, pero aún más difícil.

— Evan Anderson

@Evan, mi punto fue que hay virus y otro malware que explota tales errores, lo que significa que no debemos asumir que un sistema es "seguro" (relativamente hablando, por supuesto) simplemente porque el usuario tiene derechos limitados.

— John Gardeniers

@John: Claro, pero en este contexto es un poco como sugerir que no tiene sentido cerrar las puertas de tu auto porque de todos modos pueden romper la ventana.

— Chris Thorpe

Respuestas:

Windows Server Update Services (WSUS) proporciona el componente del lado del servidor para manejar la implementación de actualizaciones. Es proporcionado por Microsoft como un complemento sin costo para Windows Server 2003 y versiones posteriores.

Las computadoras (PC clientes, servidores, etc.) generalmente se dirigen al servidor WSUS para recibir actualizaciones a través de la configuración de la directiva de grupo (que también se puede hacer mediante la simple manipulación del registro). El software del cliente de Windows Update es configurable para permitir que el cliente descargue e instale automáticamente las actualizaciones en un horario, o que descargue y solicite la instalación, etc. sesión iniciada. Hay una variedad de opciones.

Para el software de terceros, puede crear actualizaciones para distribuirlas a través de WSUS utilizando Sysmtem Center Updates Publisher como parte del producto Microsoft System Center Configuration Manager. (También hay otras herramientas que le permitirán publicar actualizaciones de WSUS que no sean de Microsoft; no tengo experiencia con ellas y no puedo recomendarlas ni comentarlas. Se habla de ellas en un comentario sobre esta falla del servidor respuesta )

Por lo general, instalo software en las computadoras del cliente a través de la Política de grupo, por lo que la implementación de actualizaciones generalmente implica la implementación de nuevos paquetes de esa manera. Puede ver más sobre esa estrategia en esta respuesta de Falla del servidor .

Por cierto: está haciendo lo correcto en relación con la eliminación de los derechos de administrador para los usuarios. Verá una mejora dramática en la confiabilidad de la PC e indirectamente mejorará la seguridad. Tener una red con computadoras cliente con derechos de administrador restringidos es un lugar muy agradable para estar. Como mínimo, el malware se limitará a dañar el perfil de un usuario individual, lo que hace que la limpieza sea tan fácil como restaurar una copia de un perfil móvil de preinfección desde la copia de seguridad.

— Evan Anderson
fuente

¿Esto es solo actualizaciones de Windows? ¿Qué hay de las actualizaciones de terceros? ex) Adobe, Java, etc.

— CT.

@CT: Te cubrí con una edición ...> sonrisa <

— Evan Anderson

@CT: En la misma línea que BTW de Evan: Eche un vistazo a las Políticas de restricción de software de Microsoft. Después de eliminar los derechos de administrador en todas partes, los SRP se usaron para proteger aún más a nuestros usuarios. Creamos listas blancas para nuestra aplicación complementaria. Significativamente reducida infecciones basura-ware, software anti-licencia, descargas no autorizadas, etc.

— jscott

@jscott: Oh, absolutamente. La Política de restricción de software (y la nueva función AppLocker en Windows 7) es excelente si puede obtener el respaldo político para implementarla.

— Evan Anderson

Evan, gracias por toda la buena información. Un último obstáculo para tirar la mezcla. ¿Funcionaría esto también para usuarios remotos conectados a través de VPN?

— CT.

Parece que WSUS sería perfecto para ti.

Lo mejor de todo, si está ejecutando Windows Server en su entorno, ¡es gratis!

— Nick Kavadias
fuente