Comment les grandes entreprises gèrent-elles les mises à jour logicielles pour les utilisateurs sans droits administratifs?


8

Je viens de commencer à travailler pour une petite et moyenne entreprise faisant du support informatique. Peut-être 150 utilisateurs ou moins.

À l'heure actuelle, chaque utilisateur dispose de droits d'administration sur sa propre machine. Cela leur permet d'installer des mises à jour ou tout ce qu'ils souhaitent.

Je suis fatigué de monter sur les machines des utilisateurs qui sont gonflées de conneries qu'ils se mettent dessus. Donc, ma première pensée serait de supprimer les droits administratifs sur leur ordinateur. Cela aurait également d'autres avantages tels que la prévention de nombreux logiciels malveillants de drive-by sur le Web, etc.

Le problème se pose que les utilisateurs ne peuvent pas installer les mises à jour. (Même si je trouve que la plupart les ignorent de toute façon)

Comment les grandes entreprises gèrent-elles les mises à jour logicielles sur toutes les machines clientes?

EDIT: environnement Windows. La plupart des serveurs sont Windows Server 2003 Enterprise. Les clients sont tous Windows. Win XP, Vista et 7.


Le vrai problème que j'ai avec les utilisateurs ayant un administrateur, c'est quand ils surfent sur le net. Combien de virus trouvez-vous dans une semaine donnée?
tony roth

@Tony, vous n'avez pas besoin de droits d'administrateur pour infecter une machine ou propager un virus. Tout ce dont vous avez besoin est un virus bien écrit.
John Gardeniers

@John Gardeniers: en supposant qu'aucun bogue d'élévation de privilèges n'est exploité par les logiciels malveillants (ou, d'ailleurs, tout logiciel), un utilisateur non privilégié ne devrait pas être en mesure de renverser la base informatique de confiance et d'apporter des modifications qui affectent les autres utilisateurs de la machine. De toute évidence, aucun système d'exploitation de base n'est exempt de bogues d'élévation de privilèges, mais l'ajout de la couche de sécurité de privilèges limités aide en matière de défense en profondeur. Faites en sorte que les auteurs de logiciels malveillants exploitent une vulnérabilité en plus d'expliquer la faillibilité humaine et vous rendez la tâche plus difficile pour eux. À la limite, je serais d'accord, mais encore plus dur.
Evan Anderson

@Evan, mon argument était qu'il existe des virus et autres logiciels malveillants qui exploitent de tels bogues, ce qui signifie que nous ne devons pas supposer qu'un système est "sûr" (relativement parlant bien sûr) simplement parce que l'utilisateur a des droits limités.
John Gardeniers

@John: Bien sûr, mais dans ce contexte, cela revient un peu à suggérer qu'il est inutile de verrouiller les portes de votre voiture, car elles peuvent simplement casser la fenêtre de toute façon.
Chris Thorpe

Réponses:


8

Windows Server Update Services (WSUS) fournit le composant côté serveur pour gérer le déploiement des mises à jour. Il est fourni par Microsoft en tant que module complémentaire gratuit à Windows Server 2003 et versions ultérieures.

Les ordinateurs (PC clients, serveurs, etc.) sont généralement dirigés vers le serveur WSUS pour recevoir des mises à jour au moyen des paramètres de stratégie de groupe (qui peuvent également être effectués via une simple manipulation du registre). Le logiciel client Windows Update est configurable pour permettre au client de télécharger et d'installer automatiquement les mises à jour selon un calendrier, ou de télécharger et demander l'installation, etc. Le logiciel client peut forcer le PC à redémarrer, ou peut éventuellement différer le redémarrage si un utilisateur reste connecté. Il existe une variété d'options.

Pour les logiciels tiers, vous pouvez créer des mises à jour à distribuer via WSUS à l'aide de Sysmtem Center Updates Publisher dans le cadre du produit Microsoft System Center Configuration Manager. (Il y a quelques autres outils qui vous permettent de publier des mises à jour non-Microsoft à WSUS, too-- je n'ai aucune expérience avec eux et ne peut pas recommander / commentaire sur eux. Il y a un peu parler dans un commentaire à ce serveur de défaut réponse .)

J'installe généralement des logiciels sur les ordinateurs clients via la stratégie de groupe, donc le déploiement des mises à jour implique généralement le déploiement de nouveaux packages de cette façon. Vous pouvez en savoir plus sur cette stratégie dans cette réponse de panne de serveur .

BTW: Vous faites ce qu'il faut: se débarrasser des droits d'administrateur pour les utilisateurs. Vous verrez une amélioration spectaculaire de la fiabilité du PC, et indirectement, vous améliorerez la sécurité. Avoir un réseau avec des ordinateurs clients ayant des droits d'administrateur restreints est un endroit très agréable. À tout le moins, les logiciels malveillants seront limités à endommager le profil d'un utilisateur individuel, ce qui rend le nettoyage aussi simple que la restauration d'une copie d'un profil itinérant pré-infection à partir de la sauvegarde.


S'agit-il uniquement de mises à jour Windows? Qu'en est-il des mises à jour tierces? ex) Adobe, Java, etc.?
CT.

@CT: Je t'ai couvert d'un montage ...> sourire <
Evan Anderson

2
@CT: Dans la même veine que le BTW d'Evan: Jetez un œil aux politiques de restriction logicielle de Microsoft. Après avoir supprimé les droits d'administrateur partout, les SRP ont été utilisés pour protéger davantage nos utilisateurs. Nous avons créé des listes blanches pour notre complément d'application. Infections de crap-ware considérablement réduites, logiciels sans licence, téléchargements non approuvés, etc.
jscott

@jscott: Oh, absolument. La politique de restriction logicielle (et la nouvelle fonctionnalité AppLocker dans Windows 7) est idéale si vous pouvez obtenir le soutien politique pour la mettre en œuvre.
Evan Anderson

Evan, merci pour toutes les bonnes informations. Un dernier barrage routier à jeter dans le mix. Cela fonctionnerait-il également pour les utilisateurs distants connectés via VPN?
CT.

1

WSUS semble que ce serait parfait pour vous.

Mieux encore, si vous exécutez un serveur Windows dans votre environnement, c'est gratuit!

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.