Esistono più prodotti per i fornitori che soddisfano questo scopo e sfortunatamente dobbiamo usare più di uno di essi.
Non sono infallibili; Microsoft SCCM potrebbe pensare che non abbiamo nessuna versione di Adobe Flash installata precedente a X.Y, ma poi (un altro prodotto) ne trova una gran quantità, mentre mancano anche le versioni di Internet Explorer sotto Y.Z.
(Penso che il divario arrivi, come tutte le soluzioni Microsoft, dove i prodotti Microsoft funzionano meglio con i prodotti Microsoft ma non con i prodotti di terze parti, mentre i prodotti di terze parti funzionano meglio con prodotti di terze parti ma mancano il marchio nell'interfaccia con Microsoft prodotti. Anche l'analisi delle stringhe di versione incoerente tra le soluzioni)
Ciò che si ottiene è avere una specie di agente su ogni workstation locale che legge dal rispettivo registro e riporta le informazioni sul controllo delle versioni del software a un server centrale. Dal server centrale ottieni una panoramica di quale percentuale della tua infrastruttura è aggiornata e cosa rimane vulnerabile.
In un flusso di lavoro separato, un altro server (qualcosa di simile a WSUS, ma ancora una volta, la divisione di Microsoft si impenna) quindi obbliga gli agenti di aggiornamento sulle workstation non conformi ad aggiornare la conformità durante la prossima finestra di aggiornamento. Strumenti di automazione come Puppet e Chef possono essere implementati per ottenere qualcosa come questa piattaforma multipiattaforma; è un problema semplice con soluzioni ben documentate.
NON lasciare che gli utenti aggiornino diligentemente. Non lo faranno, nemmeno sotto la minaccia di sparare.