Evitar que los usuarios descarguen ciertos archivos

El enfoque técnico típico es instalar unservidor proxy HTTPdonde implementas tus restricciones/políticas de descarga.

Luego, puede usar un GPO para exigir que se use el servidor proxy (suponiendo que todas sus computadoras sean miembros del dominio AD) y, como siguiente fase, bloquear el acceso directo a Internet en su puerta de enlace/firewall.

Normalmente se precede a la implementación técnica acordando una Política de Uso de Internet.(plantilla SANS)con la administración y sus usuarios, ya que las personas podrían (con razón) quejarse de los posibles problemas de privacidad que podrían asociar con el "acceso monitoreado a Internet".

Depende de cómo los usuarios utilicen las estaciones de trabajo en cuestión: ¿se supone que deben guardar archivos o son estaciones de trabajo genéricas? ¿El problema es que no quieres que escuchen música o que estén descargando virus con su música? (Tampoco conozco su presupuesto).

Dependiendo de esto, probablemente usaría múltiples enfoques.

1. Servidor proxy, que HBrujin y Benjamin Dénécé cubrieron bien. Hay opciones de código abierto y de pago. Esta debería ser la primera línea de defensa.
2. Algunos programas antivirus impedirán la descarga de archivos con determinadas extensiones. ¿Quizás el tuyo sea uno de ellos? (¿Su AV tiene una consola de administración centralizada?)
3. Una política de grupo de restricción de software que prohíbe programas comunes de descompresión, iTunes, etc.
4. Bloquee las unidades USB mediante la política de grupo (para evitar que traigan música, vídeos y virus desde casa).
5. Si se supone que no deben ahorrar material en sus estaciones de trabajo, un producto comoCongelación profundao un competidor podría ayudar. (Si sigue esta ruta, es posible que deba permitir que las unidades USB les brinden un lugar legítimo para guardar archivos).

¡Buena suerte!

Ahora estoy buscando un programa que pueda ayudarnos a prevenir, o al menos inmediatamente después de finalizar la descarga, escanear el archivo en busca de archivos no deseados.

Comience con un firewall de próxima generación

Instale UNTANGLE como enrutador. Con él, puede evitar la descarga de archivos con extensiones como mp3, mov, etc. Además, puede configurar el escaneo MIME para bloquear archivos con extensiones falsas.

Puede configurar el registro y alertas de eventos por correo electrónico sobre varios incidentes de red.

Estoy bastante seguro de que esto sería muy difícil de solucionar mediante un GPO.

Es imposible configurar la detección de archivos mediante gpo en discos duros locales. Una cosa que puede hacer usando ad y gpo es evitar almacenar datos en el disco local y redirigir a los usuarios al recurso compartido de red, donde puede configurar la detección de archivos en Windows Server con el Administrador de recursos del servidor de archivos y dejar de guardar de manera eficiente tipos de archivos particulares.

Otra idea es ejecutar un archivo por lotes simple, que escaneará el disco duro periódicamente y eliminará todos los archivos con extensiones específicas.

Creo que un dispositivo UTM como Watchguard o Sonicwall sería una opción más económica a largo plazo en lugar de perder todo ese tiempo intentando conseguir una política de grupo para gestionar el tráfico de Internet. Limítate a usar algo hecho para el trabajo...