Como posso impedir que os usuários instalem software?

2

Nossa organização é um pouco diferente da maioria. Durante certas épocas do ano, crescemos para milhares de funcionários e, nos tempos de folga, menos de cem. Ao longo de alguns anos, muitos milhares de pessoas entraram e saíram em nossos escritórios e deixaram seu legado para trás na forma de todos os tipos de instalações de software indesejadas, não aprovadas (e às vezes não licenciadas) em nossos desktops.

No momento, estamos instalando controladores de domínio redundantes e atualizando servidores atuais, todos executando o Windows Server 2008 Enterprise e, eventualmente, podendo executar uma rede pura do DC 2008. Com isso em mente, quais são as nossas opções em poder bloquear usuários , de modo que eles não possam instalar software não autorizado em sistemas sem a assistência (ou autorização) do grupo de TI?

Precisamos dar suporte a aproximadamente 400 desktops, então a automação é key . Tomei nota das Restrições de Software que podemos implementar por meio da Política de Grupo, mas isso implica que já sabemos o que os usuários instalarão e tentarão executar ... não tão elegantes.

Alguma idéia?

    
por Cypher 03.06.2010 / 00:32

6 respostas

2

Se você estiver falando de laptops ou desktops com check-out / atribuído a pessoas, simplesmente não conceda a eles acesso de administrador. Isso ainda permitirá que eles instalem programas (Assumindo que foram escritos corretamente) em sua pasta pessoal e, quando eles saírem, você precisará excluir apenas sua conta de perfil / usuário para remover quaisquer programas que eles instalaram / alteraram. Isso também limitará os danos que um vírus pode causar - simplesmente colocar em quarentena & limpar seus documentos em qualquer sistema que eles não tenham feito login, exclua & recriar sua conta, restaurar seus documentos limpos. Vírus foi embora.

É realmente difícil criar uma "lista branca" de executáveis aprovados com base no fato de que o código executável não precisa nem ter um nome, simplesmente residir na memória em uma página marcada como executável. Sua melhor aposta é simplesmente facilitar a remoção dos aplicativos indesejados quando o usuário sair.

Se isso é um problema de segurança e não um problema de "limpeza", como eles colocaram os programas no sistema?

    
por 03.06.2010 / 01:09
1

Se você tiver uma boa infraestrutura de rede e redirecionar determinadas pastas (e treinar usuários para usar diretórios pessoais), você poderá obter um produto como o Deep Freeze (acho que a Microsoft também tem um produto gratuito similar disponível) para que você possa configurar máquina para configuração preferida da sua empresa, em seguida, "congelar", então na reinicialização do computador volta para o estado original que você configurá-lo para. Se eles instalarem algo (ou se infectarem com um vírus), a reinicialização o colocará em um estado intocado novamente. Eles ainda podem instalar coisas, mas é um incômodo fazer isso todos os dias.

É claro, você pode limitar seus níveis de acesso, de modo que, se não forem usuários avançados ou administradores, não poderão instalar a maioria dos programas. Mas isso ainda não limitará sua criatividade de encontrar maneiras de contornar seus blocos.

Certifique-se de ter suas políticas bem explicitadas. Torne-se uma ofensiva de fogo, se necessário (não conheço as políticas da sua empresa ou o quão sério você está levando isso). Deixe claro que os computadores são de propriedade de empresa, não de propriedade privada e não devem esperar privacidade. Em seguida, instale o software de desktop remoto (VNC, assistência remota, etc.) e explique que, se necessário, a TI pode monitorar remotamente a atividade. Você precisa que essas coisas sejam explicitadas, de modo que fique claro o que pode e o que não pode ser esperado como empregado. Quão draconiano você quer que suas regras sejam, depende de você e do RH.

Você também pode considerar criar imagens de seus sistemas e, em seguida, periodicamente refazer a imagem de seus computadores em um estado puro. Dor na bunda para acompanhar as atualizações do Windows, no entanto.

    
por 03.06.2010 / 00:40
1

Verifique se os usuários do domínio não são administradores ou superusuários nos desktops locais. Eles não devem poder instalar coisas como o Skype ou as suítes de telefone, se não forem. Verifique novamente.

Instale um pacote de implantação moderno, como o Microsoft WDS gratuito ou até mesmo o System Center Configuration Manager. As imagens usadas aqui são independentes de hardware, desde que os drivers existam e funcionem em uma infinidade de hardware diferente. Com o Configuraiton Manager, você pode implantar automaticamente os aplicativos de que eles precisam também. Quando isso é automatizado, deve ser rápido e simples simplesmente limpar e recarregar uma área de trabalho, se necessário.

Outros ajustes seriam um bônus, mas poderiam envolver o bloqueio de GPO do IE para impedir barras de ferramentas do usuário e assim por diante, MAS qualquer barra de ferramentas instalada por um usuário estaria ativa somente para esse usuário. Então, simplesmente não reutilize contas de usuários.

    
por 03.06.2010 / 10:05
1

Embora você possa evitar muitos problemas com o uso de contas restritas que não resolverão todos os seus problemas. Basta perguntar a qualquer pessoa que faça TI em uma escola. : (

Além do uso de contas restritas, você deve usar perfis obrigatórios, pois isso também ajuda a reduzir alguns dos problemas que os usuários podem causar.

Você também pode imaginar as máquinas e restaurar as máquinas quando apropriado. Existem várias maneiras pelas quais as imagens da máquina podem ser restauradas (semi-) automaticamente, de modo que o número de máquinas realmente não seja um grande problema. Tenho certeza de que há outros aqui que podem fornecer os detalhes.

    
por 03.06.2010 / 10:18
0

Algo como o DeepFreeze é uma maneira infalível. Não tenho certeza o quanto de gerenciamento vai para algo assim embora. Há outras maneiras - a mais simples e prática é não torná-las administradores locais, como Zoredache mencionou. Eles podem instalar algumas coisas, mas não muito, dessa forma.

    
por 03.06.2010 / 00:40
0

A versão da Microsoft é chamada de Windows SteadyState . XP ou Vista apenas - não há planos para suportá-lo no Windows 7.

    
por 03.06.2010 / 09:34