Impedir que os usuários baixem determinados arquivos

A abordagem técnica típica é instalar umServidor proxy HTTPonde você implementa suas restrições/políticas de download.

Em seguida, você pode usar um GPO para garantir que o servidor proxy seja usado (supondo que todos os seus computadores sejam membros do domínio AD) e, na próxima fase, você bloqueie o acesso direto à Internet em seu gateway/firewall.

Normalmente você precede a implementação técnica concordando com uma Política de Uso da Internet(modelo SANS)com a administração e seus usuários, já que as pessoas podem (com razão) reclamar das possíveis preocupações de privacidade que poderiam associar ao "acesso monitorado à Internet".

Depende de como os usuários estão usando as estações de trabalho em questão – eles deveriam estar salvando arquivos ou são estações de trabalho genéricas? O problema é que você não quer que eles ouçam música ou que baixem vírus com suas músicas? (Também não sei seu orçamento.)

Dependendo disso, provavelmente usaria várias abordagens.

1. Servidor proxy, que HBrujin e Benjamin Dénécé cobriram bem. Existem opções de código aberto e pagas. Esta deve ser a primeira linha de defesa.
2. Alguns programas antivírus impedem o download de arquivos com determinadas extensões – talvez o seu seja um deles? (Seu AV possui um console de gerenciamento centralizado?)
3. Uma política de grupo de restrição de software que proíbe programas comuns de descompactação, iTunes, etc.
4. Bloqueie unidades USB por meio de política de grupo (para impedi-los de trazer músicas, vídeos e vírus de casa).
5. Se eles não deveriam economizar material em suas estações de trabalho, um produto comoCongelamento profundoou um concorrente pode ajudar. (Se você seguir esse caminho, talvez seja necessário permitir que as unidades USB forneçam um local legítimo para salvar arquivos.)

Boa sorte!

Agora estou procurando um programa que possa nos ajudar a prevenir, ou pelo menos imediatamente quando o download terminar, verificar o arquivo em busca de arquivos indesejados.

Comece com o firewall de última geração

Instale UNTANGLE como roteador. Com ele, você pode impedir o download de arquivos com extensões como mp3, mov etc. Além disso, você pode configurar a verificação MIME para bloquear arquivos com extensões falsas.

Você pode definir o registro e alertas de eventos por e-mail sobre vários incidentes de rede.

Tenho certeza de que isso seria muito difícil de corrigir por meio de um GPO

É impossível definir a triagem de arquivos por GPO em discos rígidos locais. Uma coisa que você pode fazer usando anúncio e gpo é evitar o armazenamento de quaisquer dados no disco local e redirecionar os usuários para o compartilhamento de rede, onde você pode configurar a triagem de arquivos no Windows Server com o Gerenciador de recursos do servidor de arquivos e parar de salvar com eficiência tipos de arquivos específicos.

Outra ideia é executar um arquivo em lote simples, que verificará o disco rígido periodicamente e excluirá todos os arquivos com extensões especificadas.

Acho que um dispositivo UTM como Watchguard ou Sonicwall seria uma opção mais barata no longo prazo, em vez de gastar todo esse tempo tentando obter uma política de grupo para lidar com o tráfego da Internet. Limite-se a usar algo feito para o trabalho...