ユーザーが特定のファイルをダウンロードできないようにする

典型的な技術的アプローチは、HTTP プロキシ サーバーダウンロードの制限/ポリシーを実装する場所。

次に、GPO を使用してプロキシ サーバーが使用されるように強制し (コンピューターがすべて AD ドメイン メンバーであると想定)、次のフェーズとしてゲートウェイ/ファイアウォールで直接のインターネット アクセスをブロックします。

通常、技術的な実装の前にインターネット利用ポリシーに合意する必要があります。(SANS テンプレート)管理者とユーザーの間で、監視されたインターネット アクセスに関連する潜在的なプライバシーの懸念について (当然ながら) 苦情が寄せられる可能性があるためです。

それは、ユーザーが問題のワークステーションをどのように使用しているかによって異なります。つまり、ファイルを保存することを想定しているのか、それとも汎用ワークステーションなのかということです。問題は、ユーザーに音楽を聞かせたくないということなのか、それとも音楽と一緒にウイルスをダウンロードしてしまうということなのかということです。(予算もわかりません。)

これに応じて、おそらく複数のアプローチを使用することになります。

1. プロキシ サーバーについては、HBrujin と Benjamin Dénécé が詳しく説明しています。オープン ソースと有料オプションの両方があります。これが最初の防御線となるはずです。
2. 一部のウイルス対策プログラムは、特定の拡張子を持つファイルのダウンロードをブロックします。お使いのプログラムもその 1 つでしょうか? (お使いのウイルス対策プログラムには集中管理コンソールがありますか?)
3. 一般的な解凍プログラムや iTunes などを禁止するソフトウェア制限グループ ポリシー。
4. グループ ポリシーを使用して USB ドライブをブロックします (自宅から音楽、ビデオ、ウイルスを持ち込むのを防ぐため)。
5. ワークステーションに資料を保存する必要がない場合は、次のような製品が役立ちます。ディープフリーズまたは、競合他社が役立つかもしれません。(この方法を採用する場合は、USB ドライブにファイルを保存するための正当な場所を与えることを許可する必要があるかもしれません。)

幸運を！

私は現在、不要なファイルを防ぐために、または少なくともダウンロードが完了したらすぐにファイルをスキャンして不要なファイルを検出するプログラムを探しています。

次世代ファイアウォールから始める

UNTANGLE をルーターとしてインストールします。これにより、mp3、mov などの拡張子を持つファイルのダウンロードを防ぐことができます。また、MIME スキャンを設定して、偽の拡張子を持つファイルをブロックすることもできます。

さまざまなネットワーク インシデントに関するログ記録と電子メール イベント アラートを設定できます。

これをGPOで修正するのは非常に難しいと思います

ローカル ハード ドライブで gpo によるファイル スクリーニングを設定することはできません。ad と gpo を使用して実行できることの 1 つは、ローカル ディスクにデータが保存されないようにし、ユーザーをネットワーク共有にリダイレクトすることです。ネットワーク共有では、ファイル サーバー リソース マネージャーを使用して Windows Server でファイル スクリーニングを設定し、特定のファイル タイプを効率的に保存しないようにすることができます。

もう 1 つのアイデアは、ハード ドライブを定期的にスキャンし、指定された拡張子を持つすべてのファイルを削除する単純なバッチ ファイルを実行することです。

長い目で見れば、インターネット トラフィックを処理するグループ ポリシーの取得に時間を費やすよりも、Watchguard や Sonicwall などの UTM デバイスの方が安価な選択肢になると思います。目的に合わせて作られたものを使用するようにしてください...