Comments 26
алису, алису можно отключить навсегда! И что бы она не кушала ресурсы.
Зачем алиса оператору ЧПУ.
Нет, я знаю зачем Алиса (Наташа) токарю нужна.
Я про другое.
И чтобы сделать из дефолтного Chrome или Firefox подходящий инструмент для такого сотрудника, приходилось немного костылить — обвешиваться плагинами
Но ведь и в этом браузере наверняка надо ставить плагины для Контур\Сбис\Эдо\КриптоПро и пр.?
Чем сборка Я.Браузера отличается от Хромиум.Гост? Телеметрией в пользу Я?
Спасибо за ваши вопросы! Все необходимые плагины можно добавить на этапе предварительной сборки дистрибутива в "Конструкторе сборок", и при установке весь набор будет присутствовать сразу. Не могу прокомментировать про Хромиумю.Гост, т.к. обычно в корпоративном сегменте используется Google Chrome Enterpise, а вот его нужно допиливать 100%. В достаточно ближайшем будущем новый браузер от Яндекс получит дополнительные плюшки, это написано в статье, личный кабинет on-prem, и вся Ваша телеметрия будет находиться в контуре Вашей компании, и не в пользу третьих лиц.
Конструктор сборок платный же?
Обновленный браузер от Яндекс сам по себе платный, Вам потребуется оформить подписку на необходимое количество лицензий. В рамках этой подписки, Вы получаете дополнительный сервис.
Конструктор сборок является бесплатным инструментом личного кабинета. В версии Яндекс Браузера для организаций функционал несколько шире чем бесплатной версии, а мы использовали все представленные в нем настройки, и наша техническая реализация учитывает этот расширенный функционал. Прошу прощения, если ввел вас в заблуждение.
Хотел добавить уточнение, это принципиально важно, т.к. мог Вас запутать. Имелся ввиду совершенно конкретный кейс, а именно рабочие места по типу АРМ Оператор, которые находятся как правило в DMZ зоне, обложены файрволами и сильно ограничены по сети. Такие рабочие места тоже нужно обновлять и обслуживать. Мы очень ждем новые фитчи от команды Яндекс Браузера, как раз имею ввиду ЛК on-prem и «Консоль Администратора», т.к. эти инструменты упростят упомянутые регламентные задачи и позволят получать настройки/расширения/обновления без необходимости открывать доступ во вне.
msiexec /qn /i "Yandex_Browser.msi"
taskkill /f /im browser.exe
sc config YandexBrowserService start= disabled
sc stop YandexBrowserService
sc delete YandexBrowserService
schtasks /delete /tn "Обновление Браузера Яндекс" /f
del /q /f "%SystemRoot%\Tasks\*Яндекс*.job"
for /D %%a in ("%ProgramFiles%\chrome_BITS_*") do echo %%a & rd /s /q "%%a"
for /D %%a in ("%ProgramFiles%\chrome_url_fetcher_*") do echo %%a & rmdir /s /q "%%a"
rd /s /q "%ProgramData%\Yandex\"
rd /s /q "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Installer"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\service_update.exe"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\cs.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\de.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\en-US.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\es.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\fr.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\it.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\ja.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\kk.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\pt-BR.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\pt-PT.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\tr.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\uk.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\uz.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\zh-CN.pak"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\23.9.1.1024\Locales\zh-TW.pak"
rd /s /q "%ProgramFiles%\Yandex\YandexBrowser\Application\SetupMetrics"
del /q /f "%ProgramFiles%\Yandex\YandexBrowser\Application\debug.log"
rd /s /q "%ProgramFiles%\Yandex\TempResources"
rd /s /q "%AppData%\Yandex\"
del /q /f "%USERPROFILE%\Desktop\*Yandex*.lnk"
rd /s /q "%LOCALAPPDATA%\Yandex\YandexBrowser\"
mkdir "C:\Temp\YandexBrowser"
mklink /d "%LOCALAPPDATA%\Yandex\YandexBrowser" "c:\Temp\YandexBrowser"
mkdir "%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\Default"
copy /y "Copy_Yandex\master_preferences" "%ProgramFiles%\Yandex\YandexBrowser\Application\"
copy /y "Copy_Yandex\Local State" "%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\"
copy /y "Copy_Yandex\Tablo" "%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\Default\"
copy /y "Copy_Yandex\Yandex.lnk" "%PUBLIC%\Desktop\"
Очень уж хотелось избавиться от ситуации «Кто во что горазд»
Все финики, бухи и закупцы сидят на тонких клиентах в обособленной ферме Windows Server RDS(2 сервера RDSH и третий RDSH, RDWA, RDCB, RD License).
Используется Chromium-Gost с GPO
https://www.cryptopro.ru/products/chromium-gost
Один раз сделать сборку и настроить её разворачивание это маленькая часть задачи.
Как организовано постоянное обновление браузера?
Человек-RSS при появлении новой версии тыкает создание новой сборки в "Конструкторе сборок" ?
Все зависит от процессов Вашей службы ИБ, штатный механизм обновления вполне справляется с этой задачей, но есть нюанс со стихийностью такого обновления. Делать свежую сборку имеет смысл в том случае, если Вы собираетесь вносить изменения в разрезе контента (добавить/убрать плагины, добавить корпоративных ссылок, изменить фон), чтобы актуальная сборка была доступна в Вашем каталоге, или в качестве регламентной задачи по поддержанию Вашего каталога приложений в актуальном состоянии. Ко всему прочему в каталоге с установленным браузером имеется сервис апдейтер, который без труда можно вызывать консольно, централизованно, например, в установленные в Вашей компании "окна обслуживания".
Всегда есть способы улучшить процесс, а самое главное автоматизировать его, например, есть замечательный командлет "Invoke-WebRequest", помощью которого можно скачивать файлы с веб-ресурсов, складываем во временное расположение, проверяем версию файла
"
($YandexBrowserExe.FullName)" -ErrorAction SilentlyContinue).VersionInfo.FileVersionRaw" (в переменную в параметре Path подставляете название файла с полным путем), полученное значение сравниваете с текущей версией, и если версия более свежая, то копируете с заменой новый файл в каталог с дистрибутивом, конечно же не забываем оповестить о выходе новой версии, например, с этой задачей справляется командлет "Send-MailMessage". Очень много зависит от используемого инструментария, тоже SCCM отлично управляется из консоли Powershell, в скрипт можно сразу добавить создание нового деплоя в ближайшее "окно обслуживания".
Как говорится, совершенству нет предела. Если у Вас есть интересный опыт по процессу патчменеджмента, с удовольствием с ним ознакомлюсь.
Пускать козла в огород разрешать браузеру обновляться самому это непозволительная роскошь. К тому же не всегда у компьютеров есть права на выход в интернет через прокси (есть только у пользователей).
Как технически реализовать это когда уже новая версия в хранилище/каталоге это не проблема.
Проблема в том, как узнать что вышла новая версия, сформировать новую сборку. Я же не могу чистый msi поверх сборки накатить? Как узнать что не сломался ли плагин какого-нибудь клиент-банка в новой версии. И при этом не пропустить вспышку zero-day какой-нибудь.
Одной установкой не закрыть все вопросы, к сожалению. Естественно применяется комплексный подход. Обязательно должен быть тестовый стенд или тестовая группа, где Вы проверяете результаты обновления, на тот самый случай, если есть вероятность поломать работу плагинов. Есть традиционные шаблоны групповых политик, которые помогают приводить браузер к эталонному виду. Ранее упоминал про будущую фитчу ЛК on-prem, там можно будет создавать свои каталоги с плагинами и предоставить пользователям возможность их установки/удаления, там же можно будет продублировать необходимые настройки, если по каким-то причинам не отработало GPO. Пока этого функционала нет, можно переложить эту задачу поддержания нужных настроек на свои инструменты автоматизации, на том же SCCM это легко делается бейзлайнами (в случае не комплаенс, выполняется правка реестра).
А про zero-day уязвимости мы с Вами всегда узнавали и узнаем из ИТ пабликов и интернет ресурсов, посвящённых тематике ИБ, некоторые из которых позволяют оформлять подписку на рассылку новых публикаций.
Не все подзадачи стоит полностью отдавать на откуп автоматизации, например, есть такой замечательный инструмент "Patch Connect Plus", который позволяет полностью поставить на поток процесс обновления стороннего ПО и строго по заданному графику, но иногда это может привести к тяжелым последствиям, связанным с массовым откатом к прежней версии. Процесс нужно инициировать и контролировать, иначе проблем не избежать.
открой для себя wpkg )
Как я и упоминал, мы ожидаем новые фишки, в "Консоли Администратора" будет возможность управлять обновлениями, что позволит снизить затраты по времени на задачи патчменеджмента.
аза чем нужен psappdeloyблабла когда msiник можно через gpo деплоить норм? я думал он позволяет exeшники раскидывать но чёто в ихней докумемтации тока про msi написано
Я точно могу Вам сказать, работает отлично и с EXE, и с MSI. В компании имеется набор инструментов, а также стандарт по управлению ПО, т.е. вне зависимости от того, что это за ПО, методы развертывания не меняются. По этой причине используется SCCM, PSADT и т.д.. Сильная сторона PSADT в том, что есть секции "пре" и "пост", в которых отражены предварительные действия перед установкой, например, удаление прежней версии и чистка "хвостов", а также действия после установки (назовем это настройкой ПО). Ко всему прочему, в PSADT реализованы собственные функции логирования процессов установки/удаления/восстановления, что позволяет достаточно быстро определить причину сбоя, а самое главное на каком шаге это произошло. Ну и некоторые "бантики", в установочном пакете можно заменить штатные картинки и иконки на любые другие, например, брендовые, ну или на иконки вендора ПО. Не самое важное конечно, но эстетика будет присутствовать.
Результаты этой эстетики можно наблюдать, когда развертывание производится не в "тихом" режиме, а в интерактивном, когда видно окна.
хмм интиресно, спасибо за информацию
вот Вам идея для следующей статьи), яна хабре ничего про етот не нашёл, например вот етот архив с toolkitом его нужно раскидывать на клиентские компы и запускать оттудова или как? а как же файло т.е. дистрибутив с софтом его можно както центрелизовано хранить или тоже нужно раскидывать на компы (такойе себе), я ни понимаю поетому костылю самопальные ps1 скритпы которые запускаются на клиенских компах через gpo естсесно в таком случае дебаг затруднён мягко говоря поетому приходится тщательно тестировать прежде чем раскидывать на сотню-другую компов иначе получим компы которые уходят в bootloop или просто висят на экране "Подождите" с троббером
Все подготовленные скрипты в обязательном порядке тестируются. В зависимости от Вашей инфраструктуры и имеющегося инструментария. У нас дистрибутив распространяется на клиентские устройства и запускается локально. SCCM позволяет определять статус установки, возвращать коды ошибок в случае фейла, короче процесс управляемый. С учетом предварительного тестирования, как правило на клиентах не происходит ничего ужасного, и уж тем более не доходит до перезаливки. Если нет инструментов по типу SCCM, можно попробовать обеспечить логирование результатов развертывания через текстовые файлы, например, еще один скрипт с методом обнаружения установки, по результатам которого вписывать в текстовый файл имя хоста, дату/время и статус (1, 0).
В Chrome есть возможность через GPO указать до какой версии (конкретный билд 119.0.6045.160 или версия, например 119.0) он может обновиться.
В нашей организации перед обновлением проводится тестирование на совместимость и если тест пройден эта версия назначается на все ПК.
ПК сами с серверов Google скачивают нужную версию и нет необходимости проводить централизованное обновление другими инструментами.Chrome при обновлении качает не полный дистрибутив, а разность между дистрибутивом версии которая установлена и дистрибутивом версии которую нужно скачать. Особенно это заметно при минорных обновлениях, когда качается всего пару мегабайт.
Если конечных устройств десятки тысяч этим здорово минимизируется трафик.
У Яндекс браузера есть такие возможности?
1.На данный момент времени такую же GPO не нахожу в списке. Повторить в точности такой метод не получится. Возможно что-то появится в будущем, не могу сказать наверняка, только предполагать. Есть политика UpdateAllowed, которая отключает автоматические обновления в браузере. Но в данном случае придется планировать и подготавливать развертывания на тестовую группу, и в случае успеха, распространять на всех пользователей. В нашем случае применяется именно такой подход, в стом числе и для других браузеров, но это часть регламента, т.е. делаем так по описанному процессу.
2.Неполный дистрибутив (пакт обновлений) накатывается на уже установленный браузер при ручном и автообновлении, как и в Google Chrome. В случае с централизованным обновлением, необходимо скачивать полный дистрибутив в личном кабинете (Конструкторе сборок).
А у вас офис не закрыли, после отзыва лицензии?
Яндекс Браузер для организаций. Опыт QIWI