Nossa organização é um pouco diferente da maioria. Durante certas épocas do ano, chegamos a milhares de funcionários e, durante os períodos de folga, a menos de cem. Ao longo de alguns anos, milhares de pessoas entraram e saíram de nossos escritórios e deixaram seu legado na forma de todos os tipos de instalações de software indesejadas, não aprovadas (e às vezes não licenciadas) em nossos desktops.
No momento, estamos instalando controladores de domínio redundantes e atualizando os servidores atuais, todos executando o Windows Server 2008 Enterprise, e eventualmente seremos capazes de executar uma rede 2008 DC pura. Com isso em mente, quais são as nossas opções para podermos bloquearUsuários, de modo que não possam instalar software não autorizado em sistemas sem a assistência (ou autorização) do grupo de TI?
Precisamos dar suporte a aproximadamente 400 desktops, então a automação échave. Tomei nota das restrições de software que podemos implementar através da Política de Grupo, mas isso implica que já sabemos quais usuários instalarão e tentarão executar... não tão elegante.
Alguma ideia?
Responder1
Se você estiver falando de laptops ou desktops que foram retirados/atribuídos a pessoas, simplesmente não conceda a eles acesso de administrador. Isso ainda permitirá que eles instalem programas (supondo que tenham sido gravados corretamente) em sua pasta pessoal e, quando eles saírem, você só precisará excluir o perfil/conta de usuário para remover quaisquer programas que instalaram/alterações feitas. Isso também limitará os danos que um vírus pode causar - simplesmente colocar em quarentena e limpar seus documentos em qualquer sistema no qual eles não tenham feito login, excluir e recriar sua conta, restaurar seus documentos limpos. O vírus desapareceu.
É muito difícil criar uma "lista branca" de executáveis aprovados com base no fato de que o código executável nem precisa ter um nome, simplesmente reside na memória em uma página marcada como executável. Sua melhor aposta é simplesmente facilitar a remoção de aplicativos indesejados quando o usuário sai.
Se este é um problema de segurança e não um problema de “limpeza”, como eles colocaram os programas no sistema?
Responder2
Se você tiver uma boa infraestrutura de rede e redirecionar certas pastas (e treinar os usuários para usar diretórios pessoais), poderá obter um produto como o Deep Freeze (acho que a Microsoft também tem um produto gratuito semelhante disponível) para poder configurar a máquina para o seu a configuração preferida da empresa "congela-a" e, ao reiniciar, o computador volta ao estado original em que você o configurou. Se eles instalarem algo (ou for infectado por um vírus), a reinicialização o colocará em um estado original novamente. Eles ainda podem instalar coisas, mas é um incômodo fazer isso todos os dias.
Claro, você pode limitar seus níveis de acesso para que, se não forem usuários avançados ou administradores, não possam instalar a maioria dos programas. Mas isso ainda não limitará a criatividade deles em encontrar maneiras de contornar seus bloqueios.
Certifique-se de ter suas políticas bem definidas. Torne isso uma ofensa passível de demissão, se necessário (não conheço as políticas da sua empresa ou o quão sério você está levando isso). Deixe claro que os computadores são propriedade da empresa, e não privados, e que eles não devem esperar privacidade. Em seguida, instale o software de desktop remoto (VNC, assistência remota, etc.) e explique que, se necessário, a TI pode monitorar remotamente a atividade. Você precisa que essas coisas sejam explicadas para que fique claro o que pode e o que não pode ser esperado como funcionário. O quão draconianas você deseja que suas regras sejam depende de você e do RH.
Você também pode considerar criar imagens de seus sistemas e, em seguida, recriar periodicamente a imagem de seus computadores para um estado original. No entanto, é uma dor de cabeça para acompanhar as atualizações do Windows.
Responder3
Certifique-se de que os usuários do domínio não sejam administradores ou superusuários nas áreas de trabalho locais. Eles não deveriam ser capazes de instalar coisas como Skype ou pacotes telefônicos se não o fossem. Dupla verificação.
Obtenha um conjunto de implantação moderno, como o Microsoft WDS gratuito ou talvez até opte pelo System Center Configuration Manager. As imagens usadas aqui são independentes de hardware, desde que existam drivers, elas funcionarão em uma infinidade de hardwares diferentes. Com o Configuraiton Manager você também pode implantar automaticamente os aplicativos necessários. Quando isso é automatizado, deve ser rápido e fácil simplesmente limpar e recarregar uma área de trabalho, se necessário.
Ajustes adicionais seriam um bônus, mas poderiam envolver o bloqueio de GPO do IE para evitar barras de ferramentas do usuário e assim por diante, MAS qualquer barra de ferramentas instalada por um usuário só estaria ativa para esse usuário. Portanto, simplesmente não reutilize contas de usuário.
Responder4
Algo como DeepFreeze é uma maneira infalível. Não tenho certeza de quanto gerenciamento é necessário para algo assim. Existem outras maneiras - a mais simples e prática é não torná-los administradores locais, como Zoredache mencionou. Eles podem instalar algumas coisas, mas não muito, dessa forma.