Me preguntaba qué políticas, etc., podría configurar para evitar que se produzcan instalaciones en un entorno de dominio de servidor 2003. Tengo clientes 2003 RC2 y XP Pro.
Supongo que la forma más rápida y sencilla es convertir a todos en invitados, pero esto también les impide otras cosas que puedan necesitar hacer o acceder. He visto muchas ideas pero no lo bloquean todo por completo. Sé que probablemente no haya una solución, pero me gustaría acercarme lo más posible.
Gracias a todos,
Respuesta1
Elimine los derechos de administrador local, elimine al usuario avanzado local, pase horas depurando software deficiente y con mala arquitectura con problemas de acceso utilizando el software sysinternals para solucionar manualmente los problemas de acceso.
Configure recursos compartidos de software para directorios personales, perfiles, etc. y redirija subdirectorios seleccionados (como mis documentos) a un recurso compartido de red. Luego use algo como Faronics Deep Freeze para "restablecer" la computadora a un estado impecable después de cada reinicio.
Creo que también tienen software que puede incluir ejecutables en la lista blanca, pero será complicado configurarlo y mantenerlo si tiene una gran cantidad de sistemas con diversas necesidades que atender.
Obtenga sistemas sin unidades de CD y utilice una unidad USB portátil para instalar el software.
Haga que RR.HH. respalde políticas que dejen muy claro qué está permitido y qué no en los sistemas, que son propiedad de la empresa y que no hay expectativas de privacidad sobre ellos.
Utilice software de filtrado para monitorear el uso de la web y puede bloquear descargas si es necesario.
¿Qué tan draconiano quieres llegar a ser?
También puede utilizar imágenes de sus sistemas y volver a crear imágenes periódicamente de sus computadoras para dejarlas en un estado limpio. Sin embargo, todavía requiere mantenimiento, ya que una imagen con un mes de desactualización necesita un mes de parches instalados, además los usuarios aún necesitan tener sus propios datos contabilizados en el servidor o si logran guardar "accidentalmente" cosas localmente, voy a escuchar quejas.
Deberá examinar sus políticas y equilibrar la usabilidad con el PITA que va a hacer para que los empleados realicen su trabajo y lo miserables que quiere que se sientan sus empleados, si el empleador espera mucho del empleados y al mismo tiempo no les dará ninguna sensación de empoderamiento o libertad... los empleados que sienten un pie en la espalda y los ojos sobre sus hombros tienen formas maravillosamente creativas de hacer su vida más miserable y no lo harán. sentirse mal en lo más mínimo por ello si se sienten justificados.
Respuesta2
La respuesta es impedirles que sean administradores. Si no está dispuesto a hacer esto, siempre habrá una manera de evitar cualquier cosa que usted implemente.
Respuesta3
Su primer paso será conseguir la aceptación de la empresa para que realmente le permita hacer tal cosa. Incluso en entornos corporativos seguros gigantes, he visto ejecutivos que no están dispuestos a configurar listas blancas de aplicaciones. Después de eso deberías investigarpolíticas de restricción de software.
Esto le permite permitir o bloquear software según:
Hash, Certificado, Ruta y Zona de Internet.
Donde no se aplica la restricción de Software es:
Controladores u otro software en modo kernel.
Cualquier programa ejecutado por la cuenta SISTEMA.
Macros dentro de documentos de Microsoft Office 2000 u Office XP.
Programas escritos para Common Language Runtime.
Para el bloqueo de CLR, debe utilizar CASPOL.
Los pasos de implementación serían configurar una máquina de prueba y comenzar a bloquear las políticas. Los derechos de administrador no tienen ningún efecto sobre este tipo de restricción (a menos que elija ver el enlace para obtener más detalles). Una vez que haya bloqueado el software regularr y el basado en CLR, la única fuente real de preocupación es Java.
Respuesta4
Siempre podrán "instalar" software que no requiera acceso de administrador. Gran parte del software no necesita escribir en la carpeta Archivos de programa ni realizar cambios en todo el sistema. Aplicaciones especialmente simples que son solo EXE o "aplicaciones portátiles". Después de todo, les permites ejecutar archivos EXE, ¿verdad?
Si realmente no son administradores y no tienen derechos de escritura o modificación de Archivos de programa o Windows, apuesto a que solo están ejecutando aplicaciones simples. Hay una configuración de política de grupo que le permite incluir en la lista blanca los EXE permitidos, pero tendría mucho cuidado al jugar con eso, ya que puede hacer que todas sus máquinas no funcionen.