Como posso impedir que os usuários instalem software?

Se você estiver falando de laptops ou desktops com check-out / atribuído a pessoas, simplesmente não conceda a eles acesso de administrador. Isso ainda permitirá que eles instalem programas (Assumindo que foram escritos corretamente) em sua pasta pessoal e, quando eles saírem, você precisará excluir apenas sua conta de perfil / usuário para remover quaisquer programas que eles instalaram / alteraram. Isso também limitará os danos que um vírus pode causar - simplesmente colocar em quarentena & limpar seus documentos em qualquer sistema que eles não tenham feito login, exclua & recriar sua conta, restaurar seus documentos limpos. Vírus foi embora.

É realmente difícil criar uma "lista branca" de executáveis aprovados com base no fato de que o código executável não precisa nem ter um nome, simplesmente residir na memória em uma página marcada como executável. Sua melhor aposta é simplesmente facilitar a remoção dos aplicativos indesejados quando o usuário sair.

Se isso é um problema de segurança e não um problema de "limpeza", como eles colocaram os programas no sistema?

Se você tiver uma boa infraestrutura de rede e redirecionar determinadas pastas (e treinar usuários para usar diretórios pessoais), você poderá obter um produto como o Deep Freeze (acho que a Microsoft também tem um produto gratuito similar disponível) para que você possa configurar máquina para configuração preferida da sua empresa, em seguida, "congelar", então na reinicialização do computador volta para o estado original que você configurá-lo para. Se eles instalarem algo (ou se infectarem com um vírus), a reinicialização o colocará em um estado intocado novamente. Eles ainda podem instalar coisas, mas é um incômodo fazer isso todos os dias.

É claro, você pode limitar seus níveis de acesso, de modo que, se não forem usuários avançados ou administradores, não poderão instalar a maioria dos programas. Mas isso ainda não limitará sua criatividade de encontrar maneiras de contornar seus blocos.

Certifique-se de ter suas políticas bem explicitadas. Torne-se uma ofensiva de fogo, se necessário (não conheço as políticas da sua empresa ou o quão sério você está levando isso). Deixe claro que os computadores são de propriedade de empresa, não de propriedade privada e não devem esperar privacidade. Em seguida, instale o software de desktop remoto (VNC, assistência remota, etc.) e explique que, se necessário, a TI pode monitorar remotamente a atividade. Você precisa que essas coisas sejam explicitadas, de modo que fique claro o que pode e o que não pode ser esperado como empregado. Quão draconiano você quer que suas regras sejam, depende de você e do RH.

Você também pode considerar criar imagens de seus sistemas e, em seguida, periodicamente refazer a imagem de seus computadores em um estado puro. Dor na bunda para acompanhar as atualizações do Windows, no entanto.

Verifique se os usuários do domínio não são administradores ou superusuários nos desktops locais. Eles não devem poder instalar coisas como o Skype ou as suítes de telefone, se não forem. Verifique novamente.

Instale um pacote de implantação moderno, como o Microsoft WDS gratuito ou até mesmo o System Center Configuration Manager. As imagens usadas aqui são independentes de hardware, desde que os drivers existam e funcionem em uma infinidade de hardware diferente. Com o Configuraiton Manager, você pode implantar automaticamente os aplicativos de que eles precisam também. Quando isso é automatizado, deve ser rápido e simples simplesmente limpar e recarregar uma área de trabalho, se necessário.

Embora você possa evitar muitos problemas com o uso de contas restritas que não resolverão todos os seus problemas. Basta perguntar a qualquer pessoa que faça TI em uma escola. : (

Além do uso de contas restritas, você deve usar perfis obrigatórios, pois isso também ajuda a reduzir alguns dos problemas que os usuários podem causar.

Você também pode imaginar as máquinas e restaurar as máquinas quando apropriado. Existem várias maneiras pelas quais as imagens da máquina podem ser restauradas (semi-) automaticamente, de modo que o número de máquinas realmente não seja um grande problema. Tenho certeza de que há outros aqui que podem fornecer os detalhes.

Algo como o DeepFreeze é uma maneira infalível. Não tenho certeza o quanto de gerenciamento vai para algo assim embora. Há outras maneiras - a mais simples e prática é não torná-las administradores locais, como Zoredache mencionou. Eles podem instalar algumas coisas, mas não muito, dessa forma.

A versão da Microsoft é chamada de Windows SteadyState . XP ou Vista apenas - não há planos para suportá-lo no Windows 7.