Eu queria saber quais políticas, etc., eu poderia configurar para impedir que qualquer instalação ocorresse em um ambiente de domínio do servidor 2003? Tenho clientes RC2 e XP Pro de 2003.
Acho que a maneira mais rápida e fácil é tornar todos convidados, mas isso também os impede de outras coisas que eles possam precisar fazer/acessar. Já vi muitas ideias, mas elas não bloqueiam tudo totalmente. Eu sei que provavelmente não há uma solução, mas gostaria de chegar o mais perto possível.
Obrigado a todos,
Responder1
Remova direitos de administrador local, remova usuário avançado local, passe horas depurando software de baixa qualidade e mal arquitetado com problemas de acesso usando software sysinternals para solucionar manualmente problemas de acesso.
Configure compartilhamentos de software para diretórios pessoais, perfis, etc. e redirecione subdiretórios selecionados (como meus documentos) para um compartilhamento de rede. Em seguida, use algo como Faronics Deep Freeze para “redefinir” o computador de volta ao estado original após cada reinicialização.
Acho que eles também têm software que pode colocar executáveis na lista de permissões, mas será difícil configurar e manter se você tiver um grande número de sistemas com necessidades diversas para atender.
Obtenha sistemas sem unidades de CD e use uma unidade USB portátil para instalação de software.
Faça com que o RH apoie políticas que deixem bem claro o que é permitido e o que não é nos sistemas, que eles são propriedade da empresa e que não há expectativa de privacidade sobre eles.
Use um software de filtragem para monitorar o uso da web e você pode bloquear downloads, se necessário.
Quão draconiano você quer ser?
Você também pode usar imagens de seus sistemas e recriar periodicamente a imagem de seus computadores para um estado limpo. Ainda requer manutenção, já que uma imagem desatualizada por um mês precisa de um mês de patch às terças-feiras instaladas, e os usuários ainda precisam de seus próprios dados contabilizados no servidor ou se eles estão conseguindo "acidentalmente" salvar coisas localmente, você está vai ouvir resmungos.
Você precisará examinar suas políticas e equilibrar a usabilidade com o quanto de PITA você vai pagar para os funcionários realizarem seu trabalho e o quão infeliz você deseja que seus funcionários se sintam, se o empregador espera muito do funcionários e, ao mesmo tempo, não lhes dará nenhuma sensação de poder ou liberdade... funcionários que sentem um pé nas costas e olhos sobre os ombros têm maneiras maravilhosamente criativas de tornar sua vida mais miserável e não o farão. sentir-se-ão minimamente mal por isso se se sentirem justificados.
Responder2
A resposta é impedi-los de serem administradores. Se você não estiver disposto a fazer isso, sempre haverá uma maneira de eles contornarem qualquer coisa que você implementar.
Responder3
Seu primeiro passo será conseguir a adesão da empresa para realmente permitir que você faça tal coisa. Mesmo em ambientes corporativos gigantescos e seguros, tenho visto executivos relutantes em configurar listas de permissões de aplicativos. Depois disso você deve investigarpolíticas de restrição de software.
Isso permite que você permita ou bloqueie software com base em:
Hash, certificado, caminho e zona da Internet.
Onde a restrição de software não se aplica é:
Drivers ou outro software de modo kernel.
Qualquer programa executado pela conta SYSTEM.
Macros dentro de documentos do Microsoft Office 2000 ou Office XP.
Programas escritos para o Common Language Runtime.
Para bloqueio CLR você deve usar CASPOL.
As etapas de implantação seriam configurar uma máquina de teste e começar a bloquear as políticas. Os direitos de administrador não têm efeito sobre este tipo de restrição (a menos que você opte por ver o link para obter detalhes). Depois de bloquear o software regular e CLR, a única fonte real de preocupação é o java.
Responder4
Eles sempre poderão “instalar” software que não exija acesso de administrador. Muitos softwares não precisam gravar na pasta Arquivos de Programas ou fazer alterações em todo o sistema. Aplicativos especialmente simples que são apenas EXEs ou “aplicativos portáteis”. Afinal, você permite que eles executem arquivos EXE, certo?
Se eles realmente não são administradores e não têm direitos de gravação ou modificação em arquivos de programas ou no Windows, aposto que estão apenas executando aplicativos simples. Há uma configuração de política de grupo que permite colocar na lista de permissões quais EXEs são permitidos, mas eu teria muito cuidado ao brincar com isso, pois pode tornar todas as suas máquinas inoperantes.