Controle de acesso a sites, bloqueio de portas USB e controle de instalações.

[Alvaro José Masiero]

Trabalho em uma empresa pequena (poucos funcionários e pouco recurso financeiro).
Possuímos Internet rápida e 15 computadores (notebooks e desktops) presentes na rede. Possuímos somente um server de banco de dados, sem um server Active Directory.
Preciso de uma solução para evitar extravio de projetos (projetos feitos em autocad e correlacionados), portanto, preciso bloquear acesso as portas USB, restringir a navegação na Internet e instalação de programas nas máquinas. O que posso fazer? Dentro de um custo baixo mas eficaz.

Alvaro

[Swalls]

Tem várias formas de fazer isso, a parte do USB acredito que a mais fácil é configurando as maquinas clientes a partir de GPO pelo Active directory.

 

por ex, usar uma gpo com atualização de registro para modificar o start do registro UsbStor de 1(ativado) para 4 (desativado)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

 

você também pode fazer isso em configuração do Computador > Políticas > Modelos Administrativos > Sistema > Acesso de Armazenamento Removível

 

1. você vai colocar os projetos em uma pasta compartilhada no servidor.
2. Limitar as permissões dessa pasta para evitar exclusão e copia.
3. incluir um serviço de backup e historico de recuperação dessas pastas. No passado eu usei o DFSR, não sei se ele é obsoleto hoje. (nunca mais fiz uma infra assim)
4. usar comandos reg via GPO para bloquear dispositivos de armazenamento externo, incluindo e não limitando a discos, usb, portas ps2, etc..
5. instalar programas na maquina apenas usuários administradores podem fazer no AD, se os usuários padrões estão podendo fazer isso, seu AD está mal configurado.
6. Separar os departamento que podem conversar entre si ou não. (no sentido de segurança de arquivos)
7. usar um proxy para filtrar o que deve ou não passar pela rede.

 

Bloquear portas USB pelo windows não impede o usuário se inserir um dispositivo bootável e fazer o que quiser, então você terá que inserir senha na BIOS(UEFI) e fazer configurações de segurança por lá também.

 

 

Entenda, o correto tanto eticamente quanto juridicamente é você contratar um especialista em infraestrutura de TI para isso, ele vai construir a estrutura da sua rede na empresa, isso inclui segurança, permissões de pastas, bloqueio de USB, limitações por usuários, limite de uso das maquinas locais, bloqueio da rede externa, auto logoff das maquinas não conectadas ao AD, fará o termo da politica de uso para seus funcionarios aceitarem(PUA), etc..

 

 

[Alvaro José Masiero]

Obrigado pelas dicas, porém, como citei, no momento, não temos AD, mas pretendo implantá-lo.

[Swalls]

ainda consegue fazer uma pequena parte dessas coisas pelo editor de politica de uso local, mas terá que criar um usuário administrador em todas as maquinas, uma a uma.

As configurações você pode clonar depois de fazer em um deles.

[Alvaro José Masiero]

Obrigado pessoal pela consultoria. Estarei trabalhando com essas dicas.