Nuestra organización es un poco diferente a la mayoría. Durante determinadas épocas del año, llegamos a tener miles de empleados y, durante las horas libres, a menos de cien. En el transcurso de unos años, miles de personas entraron y salieron de nuestras oficinas y dejaron su legado en forma de todo tipo de instalaciones de software no deseadas, no aprobadas (y a veces sin licencia) en nuestros escritorios.
Actualmente estamos instalando controladores de dominio redundantes y actualizando los servidores actuales, todos ejecutando Windows Server 2008 Enterprise y eventualmente podremos ejecutar una red DC 2008 pura. Teniendo esto en cuenta, ¿cuáles son nuestras opciones para poder bloquearusuarios, de modo que no puedan instalar software no autorizado en sistemas sin la asistencia (o autorización) del grupo de TI?
Necesitamos admitir aproximadamente 400 escritorios, por lo que la automatización esllave. He tomado nota de las restricciones de software que podemos implementar a través de la Política de grupo, pero eso implica que ya sabemos qué usuarios instalarán e intentarán ejecutar... no tan elegante.
¿Algunas ideas?
Respuesta1
Si está hablando de computadoras portátiles o de escritorio que están prestadas/asignadas a personas, simplemente no les dé acceso de administrador. Esto aún les permitirá instalar programas (suponiendo que hayan sido escritos correctamente) en su carpeta de inicio, y luego, cuando se vayan, solo necesitará eliminar su perfil/cuenta de usuario para eliminar cualquier programa que hayan instalado/cambios que hayan realizado. Esto también limitará el daño que puede causar un virus: simplemente ponga en cuarentena y limpie sus documentos en cualquier sistema en el que no haya iniciado sesión, elimine y vuelva a crear su cuenta, restaure sus documentos limpios. El virus desapareció.
Es bastante difícil crear una "lista blanca" de ejecutables aprobados basándose en el hecho de que el código ejecutable ni siquiera necesita tener un nombre, simplemente reside en la memoria en una página marcada como ejecutable. Lo mejor que puede hacer es simplemente facilitarle la eliminación de las aplicaciones no deseadas cuando el usuario se marcha.
Si se trata de un problema de seguridad y no de "limpieza", ¿cómo consiguieron introducir los programas en el sistema en primer lugar?
Respuesta2
Si tiene una buena infraestructura de red y redirige ciertas carpetas (y capacita a los usuarios para que utilicen directorios personales), puede obtener un producto como Deep Freeze (creo que Microsoft también tiene disponible un producto gratuito similar) para que pueda configurar la máquina en su La configuración preferida de la empresa luego la "congela", de modo que al reiniciar la computadora vuelve al estado original en el que la configuró. Si instalan algo (o se infecta con un virus), al reiniciarlo vuelve a estar en un estado impecable. Todavía pueden instalar cosas, pero es complicado hacerlo todos los días.
Por supuesto, puede limitar sus niveles de acceso para que, si no son usuarios avanzados o administradores, no puedan instalar la mayoría de los programas. Pero esto aún no limitará su creatividad para encontrar formas de sortear tus bloqueos.
Asegúrese de tener sus políticas bien explicadas. Conviértalo en un delito que pueda ser despedido si es necesario (no conozco las políticas de su empresa ni la seriedad con la que se lo está tomando). Deje en claro que las computadoras son propiedad de la compañía, no privada, y que no deben esperar privacidad. Luego instale el software de escritorio remoto (VNC, asistencia remota, etc.) y explique que, si es necesario, TI puede monitorear la actividad de forma remota. Necesita que se expliquen estas cosas para que quede claro qué se puede y qué no se puede esperar como empleado. Qué tan draconianas desea que sean sus reglas depende de usted y de RR.HH.
También puede considerar crear imágenes de sus sistemas y luego volver a crear imágenes periódicamente de sus computadoras para dejarlas en un estado impecable. Sin embargo, es un dolor de cabeza mantenerse al día con las actualizaciones de Windows.
Respuesta3
Asegúrese de que los usuarios del dominio no sean administradores o superusuarios en los escritorios locales. No deberían poder instalar cosas como Skype o paquetes telefónicos si no lo son. Doble verificación.
Obtenga un paquete de implementación moderno, como el Microsoft WDS gratuito o incluso opte por System Center Configuration Manager. Las imágenes utilizadas aquí son independientes del hardware, siempre que existan controladores, funcionarán en una gran cantidad de hardware diferente. Con Configuraiton Manager también puede implementar automáticamente las aplicaciones que necesitan. Cuando esto esté automatizado, debería ser rápido y sencillo simplemente borrar y recargar un escritorio si es necesario.
Realizar más ajustes sería una ventaja, pero podría implicar el bloqueo de GPO de IE para evitar las barras de herramientas del usuario, etc., PERO cualquier barra de herramientas instalada por un usuario solo estaría activa para ese usuario. Así que simplemente no reutilice las cuentas de usuario.
Respuesta4
Algo como DeepFreeze es una forma segura. Sin embargo, no estoy seguro de cuánta gestión se dedica a algo así. Hay otras formas: la más sencilla y sin intervención es no convertirlos en administradores locales, como mencionó Zoredache. Pueden instalar algunas cosas, pero no mucho, de esa manera.