Quão draconiano você quer chegar? Eu trabalho para um Higish Ed mais amplo e nossas máquinas de laboratório de informática (algo entre 1200-1700 deles) têm que ser bloqueadas em alto grau. Está bem trancado. Os surtos de malware geralmente são tratados apenas pela recriação de imagens em vez de limpá-los, e esses surtos são bastante raros.
Esse tipo de coisa é muito mais fácil em um domínio do AD, já que a estrutura do GPO melhora muito a capacidade de gerenciar essas estações. Mesmo o modo básico de "Usuário Normal" para o Win 7 é restritivo o suficiente para a maioria de nossas necessidades.
A Política de Grupo pode ser usada para fazer o seguinte, sem necessidade de acesso de administrador:
- Defina quando a estação de trabalho baixar e aplicar as Atualizações do Windows, sem necessidade de login de administrador.
- Toda uma constelação de ajustes da interface do usuário para remover itens como acesso à linha de comando, acesso à edição de registro e outras coisas semelhantes.
- Impedir que dispositivos de armazenamento em massa USB sejam acessados.
- Impedir que unidades de rede sejam mapeadas.
- E muito, muito mais.
Além disso, o Microsoft SteadyState costumava ser um bom produto, mas o MS o matou há algumas semanas. Nós provavelmente iremos para o Deep Freeze ou outra coisa se precisarmos.
Bloquear estações de trabalho usadas diariamente pelo mesmo Usuário Genérico do Office é mais complicado. Eles tendem a gostar de mais personalização do que um usuário de laboratório ocasional e ficam irritados quando seus marcadores desaparecem após uma recriação de imagem.