由於即將新購大量公用筆電,數目約有近百台。
目前筆電預計都需加入網域,且使用者只有本機 power users 權限,且透過內部 WSUS Server 部署更新(政策因素,更新檔不能從Windowsupdate網站下載)。
由於這些筆電經常外出使用,勢必會遇到很多筆電無法取得最新更新或是長期不更新的狀況。
想問一下,大家對公用筆電的 Windows update 或是漏洞更新管理修補都是怎麼做的?
已邀請的邦友 {{ invite_list.length }}/5
我司也是這樣,提供我們的方式給您。
由於我們筆電是固定借給某個人,並沒有回收,所以我們會請同仁於每個月的第二、四週連公司網路自行更新,另外是否有照做可以透過WSUS上的面板查看,所以不太會漏。
不過我們外借的數量少,比較好管控,您們的規模比較大,可以參考看看。
本人想法比較消極(掰)一點。
我認回既然是「公用電腦」,那麼應該是會讓人「借出使用」。
但秉持著「人性本健」這件事情,想必大概有87%的使用者不會好好愛惜使用。
所以這些公用電腦借出後,很可能會有中毒、網頁被綁架之類的事情發生。
資安什麼的,當你遇到「可被攜出使用的電腦」,使用者勢必會愛幹嘛幹嘛,等到要歸還時再說一句
「啊我就工(摸)作(魚)到一半電腦就變這樣了」。
我會建議:
1.如果你會在公用電腦內預先安裝一些你們公司的軟體,那就先做好一份乾淨的image檔,每個月Windows Update的放出來後,就把image檔拿出來更新。
這個image是以防電腦被使用者用到掛了,你還能夠快速的把電腦恢復到正常可使用的狀態的。
2.公用電腦內安裝好還原軟體,每當電腦歸還後,就還原到借出前的樣子,還原好就順便作一下Windows Update,再把還原軟體的還原點設定到這個時間點。
3.在公用電腦被借出的時間,就別煩惱這些電腦windows update跟漏洞防堵要怎麼辦了,記住一句「User人再好都是鬼」,所以做好後面能夠快速恢復電腦使用的準備還比較妥當。
以上是曾被Users坑過的經驗談。
我的想法是這樣
這些外出電腦可以用VPN讓他們連入公司更新
時間上可以安排請他們午休時或者下班前作業
或是花錢的方式 這些電腦買365帳號
不登入AD,直接使用intune去管理
這部分學習成本和複雜度會比較高,自行測試要花掉太多時間
盡可能買授權時,就請SI協助好,談好這些外部人員用intune和更新的部署
才要買授權
以後的管理就分為總公司內部,用AD管理到細節,這部分在後來的各式稽核和資安進場
會讓IT人員痛點降到比較低
外部這些分公司和不回公司的電腦
就用intune管理,用這說服稽核資訊的做法是沒問題的
層層管控到了
很多IT其實都在各式稽核資安事件中被搞倒的,這不得不防
沒聽過免錢的最貴嗎
設備免費使用的
只看到有形硬體的成本
管理的費用長期而論根本成本就更高
既然會衍生各式問題
就該導入零信任網路
在任何地方聯網都經過完整檢核資安及安裝指定內容
如果是公部門單位
應該日後也逃不掉
iThome鐵人賽
看影片追技術