Protegendo máquinas Windows de usuários

É realmente muito simples: não conceda aos usuários direitos de "Administrador" e você terá 95% do tempo de manter máquinas limpas e felizes.

Não dê a eles "Usuários Avançados" no Windows XP ou anterior, porque isso é efetivamente o mesmo que "Administrador" (é muito, muito fácil chegar ao "Administrador" de "Usuários Avançados").

Não ter direitos "Administrador" não será problema para o Microsoft Office. Não deve ser um problema para qualquer aplicativo com um "Designed for Windows XP" ou um novo logotipo (como se um usuário limitado fizesse parte dos requisitos do logotipo). Será necessário certificar-se de que outros aplicativos funcionem adequadamente, mas vale a pena a compensação em seu tempo para garantir que o aplicativo funcione, em vez de limpar os PCs descartados mais tarde. Existem ferramentas que podem ajudá-lo também. Um dos melhores é Aaron Margosis "LUA Buglight" (veja link ).

Se você achar que precisa aplicar alterações de permissão de segurança para fazer com que alguns programas funcionem, procure usar as configurações de segurança do sistema de arquivos da política de grupo para fazer seu trabalho sujo (supondo que você esteja em um domínio do AD). Então, pelo menos, você pode saber quais permissões precisam ser definidas uma vez e ter uma política de grupo para reaplicá-las consistentemente para você em novos computadores.

Se você não estiver fazendo isso, leve os dados do usuário dos PCs para um computador servidor. Veja como usar o "Redirecionamento de Pastas" e os perfis de usuários móveis para ajudá-lo (assumindo, novamente, que você está em um domínio do AD). Idealmente, os PCs devem estar sem estado o suficiente para que um usuário possa se levantar, fazer logon em outro PC e ter todos os seus arquivos de dados disponíveis. (O software de aplicativo disponível é outra história, mas também há uma "história" para isso com a política de instalação de software). Não vou entrar em um grande link-fest com esses itens aqui, apenas para manter esta resposta um pouco no tópico. .

Se você realmente quiser impedir softwares de terceiros indesejados, combinados com manter os direitos de "Administrador" longe dos usuários, convém usar "Políticas de Restrição de Software" (consulte link e link ). Com as políticas de restrição de software em vigor, um usuário não administrador não pode executar código fora dos caminhos permitidos (ou com base na assinatura digital). Coisas como o Google Chrome, que são instaladas em um local por usuário (e software mal-intencionado desse tipo), nem funcionam. É um ótimo recurso, e sem dúvida um dos mais subutilizados.

Você também pode considerar redirecionar seus Meus Documentos e outras pastas para locais de rede para que você não tenha que mexer com seu esquema de particionamento e pode simplesmente Steadystate o disco inteiro.

link

Considere também o uso de produtos como servidores proxy Bluecoat para proteger o tráfego da Internet contra sites maliciosos. O proxy pode não apenas assinar assinaturas usando a proteção antivírus no gateway da Web, mas também pode bloquear sites usando a filtragem de categoria de estilo Websense para bloquear o acesso a sites de malware conhecidos.

A melhor maneira de proteger as máquinas contra a equipe é travar permissões restritas e garantir que você não esteja usando direitos administrativos como doces. Se eles precisarem fazer algo com direitos de administrador NEAR, designe-os ao grupo de usuários avançados. Certifique-se de que sua solução antivírus esteja atualizada e funcionando também.

Verifique se o seu antivírus está configurado para verificar todos os dispositivos removíveis conectados aos computadores. Um fornecedor nos deu um cartão SD com o Conficker, porque eles aparentemente têm políticas de antivírus insatisfatórias em sua organização. Surpreendentemente, isso foi da maior empresa com a qual fazemos negócios, uma empresa com receita de mais de US $ 100 bilhões e 300.000 funcionários.