В нашей организации работает менее 100 человек на ноутбуках с Windows XP. Мы поощряем Firefox, хотя некоторые люди все еще используют IE7. Но в последнее время мы получили несколько шпионских / вирусных атак, которые происходили через устаревшие плагины. У всех разные уровни обновлений плагинов, и, как правило, мы не узнаем о том, что кто-то пренебрегает обновлениями, пока они не затронуты этим в виде какой-то веб-страницы со шпионским ПО, просматривающей старую Java или Flash. версия.
У нас настроен System Center Essentials, чтобы поддерживать все компьютеры в актуальном состоянии вплоть до Центра обновления Windows. У нас также есть компания Trend Micro, которая до сих пор нас хорошо защищала, поэтому в настоящее время проблема заключается только в профилактическом обслуживании.
Как лучше всего гарантировать, что на всех компьютерах установлены самые последние версии Flash и Java? Можем ли мы использовать какую-то автоматическую проверку для сканирования всех компьютеров, подобную проверке Mozilla? Проверка плагина а в широком масштабе? Может ли для этого пригодиться System Center Essentials? Те из вас, кто управляет такими компьютерами, как вы обновляете все плагины?
У меня есть Flash Player, Java и Adobe Reader, все они развернуты с помощью групповой политики, поскольку они все чаще становятся целью атак типа «проехать и получить».
Для страницы Java по развертыванию Active Directory, посмотреть здесь.
Чтобы развернуть Adobe Reader и Flash Player, вам необходимо подписать дистрибьюторское соглашение с Adobe. Вот (это бесплатно), который обычно сортируется примерно за час.
Инструкции по установке Adobe Reader: в этом PDF.
Для Flash Player в электронном письме с подтверждением соглашения о распространении будет содержаться ссылка на программы установки msi. Обратите внимание, что существует 2 установщика - один для Internet Explorer (элемент управления ActiveX), а другой для браузеров на основе плагинов (Firefox, Opera). Я устанавливаю оба из них в одной и той же групповой политике, так как их нужно поддерживать в актуальном состоянии, даже если используется только один браузер.
Проблема, возможно, заключается в том, что все машины - ноутбуки. Если ваши ноутбуки чем-то похожи на мои ноутбуки, развертывание программного обеспечения с помощью групповой политики невероятно удачно (к сожалению, больше промахов, чем попаданий). Вы можете включить настройку ожидания, пока сеть станет доступной, прежде чем разрешить вход, но это, вероятно, увеличит время входа в систему и просто расстроит ваших пользователей.
используйте инструмент диспетчера конфигурации, например wpkg или инструмент Microsoft server manager (новое название не помню, раньше он назывался SMS). Wpkg - это бесплатное программное обеспечение, которое работает очень хорошо, это весь xml, поэтому вы можете легко сохранить его в системе контроля версий. ПК с Windows вносят изменения ежедневно (или всякий раз, когда вы это планируете), поэтому он является идеальным партнером для автоматической установки (ред.).
Вы пишете определение пакета с командами, необходимыми для установки / обновления плагинов, и клиенты Windows сделают это при следующем запуске. Работает очень красиво. Между прочим, нет необходимости в доменах Windows, это может работать с общей папкой самбы.