1.На данный момент времени такую же GPO не нахожу в списке. Повторить в точности такой метод не получится. Возможно что-то появится в будущем, не могу сказать наверняка, только предполагать. Есть политика UpdateAllowed, которая отключает автоматические обновления в браузере. Но в данном случае придется планировать и подготавливать развертывания на тестовую группу, и в случае успеха, распространять на всех пользователей. В нашем случае применяется именно такой подход, в стом числе и для других браузеров, но это часть регламента, т.е. делаем так по описанному процессу.
2.Неполный дистрибутив (пакт обновлений) накатывается на уже установленный браузер при ручном и автообновлении, как и в Google Chrome. В случае с централизованным обновлением, необходимо скачивать полный дистрибутив в личном кабинете (Конструкторе сборок).
Все подготовленные скрипты в обязательном порядке тестируются. В зависимости от Вашей инфраструктуры и имеющегося инструментария. У нас дистрибутив распространяется на клиентские устройства и запускается локально. SCCM позволяет определять статус установки, возвращать коды ошибок в случае фейла, короче процесс управляемый. С учетом предварительного тестирования, как правило на клиентах не происходит ничего ужасного, и уж тем более не доходит до перезаливки. Если нет инструментов по типу SCCM, можно попробовать обеспечить логирование результатов развертывания через текстовые файлы, например, еще один скрипт с методом обнаружения установки, по результатам которого вписывать в текстовый файл имя хоста, дату/время и статус (1, 0).
Я точно могу Вам сказать, работает отлично и с EXE, и с MSI. В компании имеется набор инструментов, а также стандарт по управлению ПО, т.е. вне зависимости от того, что это за ПО, методы развертывания не меняются. По этой причине используется SCCM, PSADT и т.д.. Сильная сторона PSADT в том, что есть секции "пре" и "пост", в которых отражены предварительные действия перед установкой, например, удаление прежней версии и чистка "хвостов", а также действия после установки (назовем это настройкой ПО). Ко всему прочему, в PSADT реализованы собственные функции логирования процессов установки/удаления/восстановления, что позволяет достаточно быстро определить причину сбоя, а самое главное на каком шаге это произошло. Ну и некоторые "бантики", в установочном пакете можно заменить штатные картинки и иконки на любые другие, например, брендовые, ну или на иконки вендора ПО. Не самое важное конечно, но эстетика будет присутствовать. Результаты этой эстетики можно наблюдать, когда развертывание производится не в "тихом" режиме, а в интерактивном, когда видно окна.
Как я и упоминал, мы ожидаем новые фишки, в "Консоли Администратора" будет возможность управлять обновлениями, что позволит снизить затраты по времени на задачи патчменеджмента.
Хотел добавить уточнение, это принципиально важно, т.к. мог Вас запутать. Имелся ввиду совершенно конкретный кейс, а именно рабочие места по типу АРМ Оператор, которые находятся как правило в DMZ зоне, обложены файрволами и сильно ограничены по сети. Такие рабочие места тоже нужно обновлять и обслуживать. Мы очень ждем новые фитчи от команды Яндекс Браузера, как раз имею ввиду ЛК on-prem и «Консоль Администратора», т.к. эти инструменты упростят упомянутые регламентные задачи и позволят получать настройки/расширения/обновления без необходимости открывать доступ во вне.
Конструктор сборок является бесплатным инструментом личного кабинета. В версии Яндекс Браузера для организаций функционал несколько шире чем бесплатной версии, а мы использовали все представленные в нем настройки, и наша техническая реализация учитывает этот расширенный функционал. Прошу прощения, если ввел вас в заблуждение.
Одной установкой не закрыть все вопросы, к сожалению. Естественно применяется комплексный подход. Обязательно должен быть тестовый стенд или тестовая группа, где Вы проверяете результаты обновления, на тот самый случай, если есть вероятность поломать работу плагинов. Есть традиционные шаблоны групповых политик, которые помогают приводить браузер к эталонному виду. Ранее упоминал про будущую фитчу ЛК on-prem, там можно будет создавать свои каталоги с плагинами и предоставить пользователям возможность их установки/удаления, там же можно будет продублировать необходимые настройки, если по каким-то причинам не отработало GPO. Пока этого функционала нет, можно переложить эту задачу поддержания нужных настроек на свои инструменты автоматизации, на том же SCCM это легко делается бейзлайнами (в случае не комплаенс, выполняется правка реестра). А про zero-day уязвимости мы с Вами всегда узнавали и узнаем из ИТ пабликов и интернет ресурсов, посвящённых тематике ИБ, некоторые из которых позволяют оформлять подписку на рассылку новых публикаций. Не все подзадачи стоит полностью отдавать на откуп автоматизации, например, есть такой замечательный инструмент "Patch Connect Plus", который позволяет полностью поставить на поток процесс обновления стороннего ПО и строго по заданному графику, но иногда это может привести к тяжелым последствиям, связанным с массовым откатом к прежней версии. Процесс нужно инициировать и контролировать, иначе проблем не избежать.
Обновленный браузер от Яндекс сам по себе платный, Вам потребуется оформить подписку на необходимое количество лицензий. В рамках этой подписки, Вы получаете дополнительный сервис.
Все зависит от процессов Вашей службы ИБ, штатный механизм обновления вполне справляется с этой задачей, но есть нюанс со стихийностью такого обновления. Делать свежую сборку имеет смысл в том случае, если Вы собираетесь вносить изменения в разрезе контента (добавить/убрать плагины, добавить корпоративных ссылок, изменить фон), чтобы актуальная сборка была доступна в Вашем каталоге, или в качестве регламентной задачи по поддержанию Вашего каталога приложений в актуальном состоянии. Ко всему прочему в каталоге с установленным браузером имеется сервис апдейтер, который без труда можно вызывать консольно, централизованно, например, в установленные в Вашей компании "окна обслуживания". Всегда есть способы улучшить процесс, а самое главное автоматизировать его, например, есть замечательный командлет "Invoke-WebRequest", помощью которого можно скачивать файлы с веб-ресурсов, складываем во временное расположение, проверяем версию файла "($YandexBrowserExe.FullName)" -ErrorAction SilentlyContinue).VersionInfo.FileVersionRaw" (в переменную в параметре Path подставляете название файла с полным путем), полученное значение сравниваете с текущей версией, и если версия более свежая, то копируете с заменой новый файл в каталог с дистрибутивом, конечно же не забываем оповестить о выходе новой версии, например, с этой задачей справляется командлет "Send-MailMessage". Очень много зависит от используемого инструментария, тоже SCCM отлично управляется из консоли Powershell, в скрипт можно сразу добавить создание нового деплоя в ближайшее "окно обслуживания". Как говорится, совершенству нет предела. Если у Вас есть интересный опыт по процессу патчменеджмента, с удовольствием с ним ознакомлюсь.
Спасибо за ваши вопросы! Все необходимые плагины можно добавить на этапе предварительной сборки дистрибутива в "Конструкторе сборок", и при установке весь набор будет присутствовать сразу. Не могу прокомментировать про Хромиумю.Гост, т.к. обычно в корпоративном сегменте используется Google Chrome Enterpise, а вот его нужно допиливать 100%. В достаточно ближайшем будущем новый браузер от Яндекс получит дополнительные плюшки, это написано в статье, личный кабинет on-prem, и вся Ваша телеметрия будет находиться в контуре Вашей компании, и не в пользу третьих лиц.
1.На данный момент времени такую же GPO не нахожу в списке. Повторить в точности такой метод не получится. Возможно что-то появится в будущем, не могу сказать наверняка, только предполагать. Есть политика UpdateAllowed, которая отключает автоматические обновления в браузере. Но в данном случае придется планировать и подготавливать развертывания на тестовую группу, и в случае успеха, распространять на всех пользователей. В нашем случае применяется именно такой подход, в стом числе и для других браузеров, но это часть регламента, т.е. делаем так по описанному процессу.
2.Неполный дистрибутив (пакт обновлений) накатывается на уже установленный браузер при ручном и автообновлении, как и в Google Chrome. В случае с централизованным обновлением, необходимо скачивать полный дистрибутив в личном кабинете (Конструкторе сборок).
Все подготовленные скрипты в обязательном порядке тестируются. В зависимости от Вашей инфраструктуры и имеющегося инструментария. У нас дистрибутив распространяется на клиентские устройства и запускается локально. SCCM позволяет определять статус установки, возвращать коды ошибок в случае фейла, короче процесс управляемый. С учетом предварительного тестирования, как правило на клиентах не происходит ничего ужасного, и уж тем более не доходит до перезаливки. Если нет инструментов по типу SCCM, можно попробовать обеспечить логирование результатов развертывания через текстовые файлы, например, еще один скрипт с методом обнаружения установки, по результатам которого вписывать в текстовый файл имя хоста, дату/время и статус (1, 0).
Я точно могу Вам сказать, работает отлично и с EXE, и с MSI. В компании имеется набор инструментов, а также стандарт по управлению ПО, т.е. вне зависимости от того, что это за ПО, методы развертывания не меняются. По этой причине используется SCCM, PSADT и т.д.. Сильная сторона PSADT в том, что есть секции "пре" и "пост", в которых отражены предварительные действия перед установкой, например, удаление прежней версии и чистка "хвостов", а также действия после установки (назовем это настройкой ПО). Ко всему прочему, в PSADT реализованы собственные функции логирования процессов установки/удаления/восстановления, что позволяет достаточно быстро определить причину сбоя, а самое главное на каком шаге это произошло. Ну и некоторые "бантики", в установочном пакете можно заменить штатные картинки и иконки на любые другие, например, брендовые, ну или на иконки вендора ПО. Не самое важное конечно, но эстетика будет присутствовать.
Результаты этой эстетики можно наблюдать, когда развертывание производится не в "тихом" режиме, а в интерактивном, когда видно окна.
Как я и упоминал, мы ожидаем новые фишки, в "Консоли Администратора" будет возможность управлять обновлениями, что позволит снизить затраты по времени на задачи патчменеджмента.
Хотел добавить уточнение, это принципиально важно, т.к. мог Вас запутать. Имелся ввиду совершенно конкретный кейс, а именно рабочие места по типу АРМ Оператор, которые находятся как правило в DMZ зоне, обложены файрволами и сильно ограничены по сети. Такие рабочие места тоже нужно обновлять и обслуживать. Мы очень ждем новые фитчи от команды Яндекс Браузера, как раз имею ввиду ЛК on-prem и «Консоль Администратора», т.к. эти инструменты упростят упомянутые регламентные задачи и позволят получать настройки/расширения/обновления без необходимости открывать доступ во вне.
Конструктор сборок является бесплатным инструментом личного кабинета. В версии Яндекс Браузера для организаций функционал несколько шире чем бесплатной версии, а мы использовали все представленные в нем настройки, и наша техническая реализация учитывает этот расширенный функционал. Прошу прощения, если ввел вас в заблуждение.
Одной установкой не закрыть все вопросы, к сожалению. Естественно применяется комплексный подход. Обязательно должен быть тестовый стенд или тестовая группа, где Вы проверяете результаты обновления, на тот самый случай, если есть вероятность поломать работу плагинов. Есть традиционные шаблоны групповых политик, которые помогают приводить браузер к эталонному виду. Ранее упоминал про будущую фитчу ЛК on-prem, там можно будет создавать свои каталоги с плагинами и предоставить пользователям возможность их установки/удаления, там же можно будет продублировать необходимые настройки, если по каким-то причинам не отработало GPO. Пока этого функционала нет, можно переложить эту задачу поддержания нужных настроек на свои инструменты автоматизации, на том же SCCM это легко делается бейзлайнами (в случае не комплаенс, выполняется правка реестра).
А про zero-day уязвимости мы с Вами всегда узнавали и узнаем из ИТ пабликов и интернет ресурсов, посвящённых тематике ИБ, некоторые из которых позволяют оформлять подписку на рассылку новых публикаций.
Не все подзадачи стоит полностью отдавать на откуп автоматизации, например, есть такой замечательный инструмент "Patch Connect Plus", который позволяет полностью поставить на поток процесс обновления стороннего ПО и строго по заданному графику, но иногда это может привести к тяжелым последствиям, связанным с массовым откатом к прежней версии. Процесс нужно инициировать и контролировать, иначе проблем не избежать.
Обновленный браузер от Яндекс сам по себе платный, Вам потребуется оформить подписку на необходимое количество лицензий. В рамках этой подписки, Вы получаете дополнительный сервис.
Все зависит от процессов Вашей службы ИБ, штатный механизм обновления вполне справляется с этой задачей, но есть нюанс со стихийностью такого обновления. Делать свежую сборку имеет смысл в том случае, если Вы собираетесь вносить изменения в разрезе контента (добавить/убрать плагины, добавить корпоративных ссылок, изменить фон), чтобы актуальная сборка была доступна в Вашем каталоге, или в качестве регламентной задачи по поддержанию Вашего каталога приложений в актуальном состоянии. Ко всему прочему в каталоге с установленным браузером имеется сервис апдейтер, который без труда можно вызывать консольно, централизованно, например, в установленные в Вашей компании "окна обслуживания".
($YandexBrowserExe.FullName)" -ErrorAction SilentlyContinue).VersionInfo.FileVersionRaw" (в переменную в параметре Path подставляете название файла с полным путем), полученное значение сравниваете с текущей версией, и если версия более свежая, то копируете с заменой новый файл в каталог с дистрибутивом, конечно же не забываем оповестить о выходе новой версии, например, с этой задачей справляется командлет "Send-MailMessage". Очень много зависит от используемого инструментария, тоже SCCM отлично управляется из консоли Powershell, в скрипт можно сразу добавить создание нового деплоя в ближайшее "окно обслуживания".
Всегда есть способы улучшить процесс, а самое главное автоматизировать его, например, есть замечательный командлет "Invoke-WebRequest", помощью которого можно скачивать файлы с веб-ресурсов, складываем во временное расположение, проверяем версию файла
"
Как говорится, совершенству нет предела. Если у Вас есть интересный опыт по процессу патчменеджмента, с удовольствием с ним ознакомлюсь.
Спасибо за ваши вопросы! Все необходимые плагины можно добавить на этапе предварительной сборки дистрибутива в "Конструкторе сборок", и при установке весь набор будет присутствовать сразу. Не могу прокомментировать про Хромиумю.Гост, т.к. обычно в корпоративном сегменте используется Google Chrome Enterpise, а вот его нужно допиливать 100%. В достаточно ближайшем будущем новый браузер от Яндекс получит дополнительные плюшки, это написано в статье, личный кабинет on-prem, и вся Ваша телеметрия будет находиться в контуре Вашей компании, и не в пользу третьих лиц.