iT邦幫忙

0

大量公用筆電漏洞更新修補及WindowsUpdate管理問題

  • 分享至 

  • xImage

由於即將新購大量公用筆電,數目約有近百台。
目前筆電預計都需加入網域,且使用者只有本機 power users 權限,且透過內部 WSUS Server 部署更新(政策因素,更新檔不能從Windowsupdate網站下載)。
由於這些筆電經常外出使用,勢必會遇到很多筆電無法取得最新更新或是長期不更新的狀況。
想問一下,大家對公用筆電的 Windows update 或是漏洞更新管理修補都是怎麼做的?

LowLaser iT邦新手 4 級 ‧ 2023-03-22 11:22:31 檢舉
Microsoft MDM雲端解決方案
https://ithelp.ithome.com.tw/users/20002185/ironman/791

iOS 是使用JAMF解決方案
Windwos平台請自行評估
有考慮租用 W365 嘛,可能這各才是最終解決方案
setsuna iT邦新手 2 級 ‧ 2023-03-24 14:16:11 檢舉
目前因經費關係無法採用付費方案,但日後會再跟客戶討論導入此類方案。
其實之前就討論過這些解決方案,但客戶的考量很多又比較"固執",所以常常最後都淪為用人力做苦工的窘境。

感謝提供意見,我們會在日後建議客戶導入。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
lion_inin
iT邦新手 1 級 ‧ 2023-03-21 16:30:15

我司也是這樣,提供我們的方式給您。

由於我們筆電是固定借給某個人,並沒有回收,所以我們會請同仁於每個月的第二、四週連公司網路自行更新,另外是否有照做可以透過WSUS上的面板查看,所以不太會漏。

不過我們外借的數量少,比較好管控,您們的規模比較大,可以參考看看。

setsuna iT邦新手 2 級 ‧ 2023-03-21 17:58:16 檢舉

我們原來的作法有點類似你們公司,但客戶連自行更新都懶,後來客戶就以各種藉口把更新作業推給我們,導致我們必須多指派人力回收NB進行更新。本來的公用NB數量還能勉強投入人力,現在新增這麼多根本難以承受。
感謝你的回覆,如果有能自動化免人為介入的做法也希望能跟我分享。

3
小處成就大事
iT邦研究生 1 級 ‧ 2023-03-21 16:42:19

本人想法比較消極(掰)一點。
我認回既然是「公用電腦」,那麼應該是會讓人「借出使用」。
但秉持著「人性本健」這件事情,想必大概有87%的使用者不會好好愛惜使用。
所以這些公用電腦借出後,很可能會有中毒、網頁被綁架之類的事情發生。
資安什麼的,當你遇到「可被攜出使用的電腦」,使用者勢必會愛幹嘛幹嘛,等到要歸還時再說一句
「啊我就工(摸)作(魚)到一半電腦就變這樣了」。

我會建議:
1.如果你會在公用電腦內預先安裝一些你們公司的軟體,那就先做好一份乾淨的image檔,每個月Windows Update的放出來後,就把image檔拿出來更新。
這個image是以防電腦被使用者用到掛了,你還能夠快速的把電腦恢復到正常可使用的狀態的。
2.公用電腦內安裝好還原軟體,每當電腦歸還後,就還原到借出前的樣子,還原好就順便作一下Windows Update,再把還原軟體的還原點設定到這個時間點。
3.在公用電腦被借出的時間,就別煩惱這些電腦windows update跟漏洞防堵要怎麼辦了,記住一句「User人再好都是鬼」,所以做好後面能夠快速恢復電腦使用的準備還比較妥當。

以上是曾被Users坑過的經驗談。

看更多先前的回應...收起先前的回應...
阿摔 iT邦新手 3 級 ‧ 2023-03-21 16:49:36 檢舉

確實 你永遠沒辦法想像使用者會做出甚麼事情
我們能做的事情其實就只是避免問題發生或者盡快復原

hsiang11 iT邦好手 1 級 ‧ 2023-03-21 16:52:48 檢舉

可攜出的電腦會比較難鎖權限,還原法也是可以,只是還是公司要願意買好的還原軟體

阿摔
一開始遇到User歸還電腦時,電腦中毒的中毒、軟體亂裝、網頁被綁架、設定一堆印表機有得沒的,花了一整天去掃毒、移除軟體、調整設定,問User他都做了什麼,也只回「就正常使用啊」,到後來只要電腦歸還,就是直接還原,快速有效,也不用去跟User五四三。

hsiang11
對啊,就是因為鎖權限什麼的會被借用的User靠北,所以最後上層主管就說「公用筆電不要鎖權限」,不鎖權限就變成借電腦的幾乎都亂用,還好後面有申請到買還原軟體,電腦一回來就直接還原。

DennisLu iT邦好手 1 級 ‧ 2023-03-21 17:52:15 檢舉

新筆電都SSD+USB3了,
一回來就跑乾淨版還原,
還原到乾淨版後就更新到最新再備份成新的備份範本。
大概一個月一次每月累積更新的就好。
那備品SSD是該有的,這種燒法,難保長期下來不會掛掉。
公共電腦,沒有大容量需求,OS給100GB以內或夠用就好了,沒分割出來的沒差,這樣備份起來會簡單快速點。

再生龍替代版不用錢,都做disk整顆to image。

只要是公司的電腦資產權限照鎖.沒有IT授權什麼都不能安裝.
當然,在外有急件時, IT會遠端評估協助安裝合法軟體.

4
hsiang11
iT邦好手 1 級 ‧ 2023-03-21 16:48:05

我的想法是這樣
這些外出電腦可以用VPN讓他們連入公司更新
時間上可以安排請他們午休時或者下班前作業

或是花錢的方式 這些電腦買365帳號
不登入AD,直接使用intune去管理
這部分學習成本和複雜度會比較高,自行測試要花掉太多時間
盡可能買授權時,就請SI協助好,談好這些外部人員用intune和更新的部署
才要買授權

以後的管理就分為總公司內部,用AD管理到細節,這部分在後來的各式稽核和資安進場
會讓IT人員痛點降到比較低
外部這些分公司和不回公司的電腦
就用intune管理,用這說服稽核資訊的做法是沒問題的
層層管控到了
很多IT其實都在各式稽核資安事件中被搞倒的,這不得不防

setsuna iT邦新手 2 級 ‧ 2023-03-24 16:27:19 檢舉

我們現在就是被各種稽核、資安政策搞到寸步難行,連其他分點的電腦都不能連遠端過去維護,只能真人實體跨縣市維護....

intune這類方案,目前客戶的政策是不允許的,我們還在嘗試說服客戶中...

1
sd3388
iT邦好手 1 級 ‧ 2023-03-21 23:07:57

沒聽過免錢的最貴嗎

設備免費使用的
只看到有形硬體的成本
管理的費用長期而論根本成本就更高

既然會衍生各式問題
就該導入零信任網路
在任何地方聯網都經過完整檢核資安及安裝指定內容
如果是公部門單位
應該日後也逃不掉

setsuna iT邦新手 2 級 ‧ 2023-03-24 16:30:53 檢舉

零信任網路已經在規劃導入了,但客戶的想像跟實際能做到的還差很多。
其實很多道理大家都知道,但決定權不在我們這些人身上,而是在對技術一竅不通卻又自以為內行的客戶長官身上....

sd3388 iT邦好手 1 級 ‧ 2023-03-25 11:03:14 檢舉

那些長官動嘴說都很容易
花錢做事就不肯
出事責任推的一乾二淨

現在我就學乖了
遇到這種長官我就啥都不說
你說怎麼做我就怎麼辦
花多少錢做多少事
沒有白紙黑字寫的是一律不幹
大不了老子換地方待就是了

0
灰灰
iT邦新手 1 級 ‧ 2023-04-10 10:27:53

如果錢捨不得花 ,又要最高安全防護
那就只能為難使用土法鍊鋼囉!! 人力........./images/emoticon/emoticon03.gif

0
zero
iT邦好手 1 級 ‧ 2024-08-21 14:21:43

已刪除

我要發表回答

立即登入回答