Como evito a instalação não autorizada de software em PCs com Windows?

Existem medidas tecnológicas que você pode tomar para tornar mais difícil para os usuários instalarem software em seus PCs com Windows (que mencionarei no final). No entanto, trata-se de uma questão disciplinar, não técnica, e provavelmente melhor tratada através de políticas e processos disciplinares - já que alguma pessoa inteligente sempre encontrará uma maneira de contornar suas restrições - a menos que percebam uma conseqüência significativa em suas ações. / p>

Suponho que você seja o administrador de TI de uma empresa. Eu diria à gerência que os usuários que instalam software não autorizado em máquinas não são apenas um problema técnico, mas um risco legal e financeiro - e que eles implementem medidas disciplinares. Depois, faça apenas auditorias ocasionais e, se for encontrado software não autorizado, inicie procedimentos disciplinares - advertência verbal, advertência por escrito, etc. Uma vez que haja dor suficiente associada a contornar as políticas, as pessoas interromperão o comportamento por conta própria.

No Windows XP, pode ser extremamente difícil ajustar o software para ser executado como um usuário restrito em vez de um administrativo - o Windows Vista e o 7 fizeram algum progresso nesse sentido, portanto, a atualização dos PCs ajudará. Uma das melhores maneiras de saber quais permissões você precisa conceder é executar uma ferramenta como o Process Monitor , que mostrará exatamente o que um programa está tentando acessar e falhando devido a problemas de direitos, e você pode conceder direitos.

Isso pode ser muito entediante, então eu também recomendarei outras maneiras menos intensivas de administração para tornar mais difícil a instalação de software não autorizado - embora esses métodos incomodem significativamente os usuários e possam dificultar a operação normal ocasionalmente, razão pela qual métodos disciplinares são preferido:

• Desativar o acesso a drives USB
• Remover unidades ópticas de PCs - todo o software terá que vir da rede ou USB
• Bloquear o download de arquivos executáveis e .ZIP (e outros formatos de arquivo) no servidor proxy da web
• Bloqueie executáveis e arquivos no seu servidor de e-mail
• Use as Políticas de Restrição de Software (conforme sua pergunta) tutorial mais simples aqui

@ A resposta da BorkBlatt é muito boa em cobrir várias das bases. Se você quisesse uma solução de prevenção completa, há aplicativos como o Deep Freeze. Você configura a máquina como deseja que ela seja configurada, "congele" e, independentemente do que for alterado, a máquina retorna ao estado "congelado" na reinicialização.

Em outras palavras, você pode excluir o subdiretório do Windows e quando você reiniciar o diretório reaparecerá.

Isso traz sua própria sobrecarga de gerenciamento, no entanto. Você precisa usar as ferramentas de gerenciamento para criar uma janela de manutenção (supondo que as Atualizações do Windows funcionem de forma confiável para você), embora com a nova maneira de instalar certas coisas na reinicialização do Windows 7, descobrimos que essa é uma má ideia. Caso contrário, você precisa atualizar os sistemas manualmente. Antivírus são complicados se você insistir em executá-los nas máquinas clientes, pois as assinaturas atualizadas são apagadas na reinicialização, mas, por outro lado, qualquer infecção no sistema é apagada na reinicialização também.

Seus usuários podem usar um "espaço de descongelamento" (outra letra de unidade na unidade local) ou uma unidade mapeada de rede para armazenamento persistente se você usar DF e seu perfil móvel (ou deve) manter suas configurações de desktop / aplicativo. Basicamente, os únicos aplicativos que eles poderiam instalar seriam seu perfil local ou uma unidade mapeada, mas as alterações que dependem da colagem de arquivos em qualquer diretório do Windows podem ser apagadas na inicialização. Se eles insistirem em instalar o software, eles se reinstalarão a cada vez, normalmente, então não vale a pena.

Ah, e com o Deep Freeze, você precisará desativar a configuração do Active Directory que altera a ID da estação de trabalho periodicamente. Caso contrário, suas estações de trabalho "cairão" do domínio.

Também sugeriria analisar o que seus usuários realmente precisam acessar. Use o princípio da menor autoridade - se eles não precisarem de nenhum acesso acima do usuário comum, não o dê a eles. Não deixe as pessoas correrem como administrador. Use o conjunto de ferramentas Sysinternals para conceder privilégios mínimos a subdiretórios específicos quando os programas reclamarem sobre a impossibilidade de ler / gravar em uma determinada chave ou diretório do Registro.

Whitelisting permitido executáveis é mais drástico do que o Deep Freeze, na minha opinião, a menos que você raramente, ou nunca, mude os programas que você está executando. Existem programas como o LanSweeper que assistem à sua rede e fornecem listas de qual software está registrado como instalado, para que você possa auditar o software dessa maneira.

Deve aparecer no passo

1. Política de ict disciplinar / de empresa
2. login de acesso de usuário normal somente (windows)
3. desative a unidade USB / unidade óptica. (a maioria dos bancos e grandes corporações fazem)
4. desativar exe & download zip em http proxy & servidor de e-mail.

o mais importante é não. 1

na minha empresa, todos os novos funcionários passarão pela indução de TIC primeiro. eles aprenderão lá, o que pode & não pode.