Patches push-mäßig über's (vermutlich vorhandene) Firmen-VPN, sobald die Verbindung aufgebaut ist.
Inventarliste (sowas wie dpkg -i) bei Feststellung des aufgebauten VPN und dann Push in die Gegenrichtung.

So in der Art.

Ob es dafür Software gibt oder man das selber scripten muß, weiß ich nicht, könnte es mir aber vorstellen. Das Problem haben ja sicher noch mehr Firmen/Abteilungen.

• Ich würde die Laptops inventarisieren, primär die Hardware und grob die Software (OS + OS Version) + Firmen ID/Kontakdaten der Nutzer

• Autoupdate aktivieren, die Laptops sollen sich aktualisieren sobald die im Netz sind (davon ausgehend, das sie eine binär Distributionen ist) -> das Entwicklerteam rund um die Distro weiß vermutlich wie mit Schwachstellen umzugehen ist

Ich würde mir selber den Newsfeed der Schwachstellen von der Distro holen und täglich drüber schauen um zu sehen ob es etwas besonders relevantes für mein Unternehmen gibt. Sollte mir etwas auffallen würde ich eher zu der Distro beitragen als selber etwas zu patchen.

@balduin Ja, aber so eine "Handinventarisierung" ist dann sehr schnell veraltet.
autoupdate ist sicherlich vernünftig, aber was, wenn der User das einfach ausstellt?

man anacrontab
Da dann den täglichen apt get update && apt get upgrade reinschreiben. Ausgabe an eine Datei anhängen. User, die darauf kommen, sind nicht mehr auszutricksen…
(Nicht völlig ernst gemeint, und die Distro sollte auch so gut sein, dass keine schrottigen Updates kommen, aber der Ansatz könnte funktionieren.)

@Elias Schwerdtfeger Dann besser einmal unattended-upgrades installieren, denke ich.

"Ja, aber so eine "Handinventarisierung" ist dann sehr schnell veraltet." -> vermutlich im Bezug auf Software.

Ich würde mir nur aufschreiben. Z. B.

OS: Debian
Version: 12 Bookworm

autoupdate ist sicherlich vernünftig, aber was, wenn der User das einfach ausstellt?

Haben die User Rootrechte? Wenn ja, dann schreibe eine Policy, die das verbietet. Lass die Policy vom Chef unterschreiben oder vom Vorstand.