Tornar a navegação segura para surfistas pornográficos

Em vários lugares em que trabalhei, desconfio que alguns executivos navegam na pornografia em seus computadores de trabalho. Parece que essa navegação pornô levou a infecções por vírus em seus computadores, apesar da presença de um antivírus. Filtrar a navegação desses usuários específicos não é uma opção. Qual seria minha próxima melhor solução? Coloquei o Firefox + Adblock pro em seus computadores. Estou tentado a adicionar o NoScript, mas estou preocupado que eles comecem a ligar quando o noscript interferir na navegação em sites legítimos. Há mais alguma coisa que eu possa devido a mitigar esse risco?

Talvez você queira experimentar um aplicativo de sandbox como o Steady State da Microsoft: http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx

Também recomendo um scanner de malware em tempo real, como o Windows Defender, além de qualquer antivírus que você esteja executando. Talvez adicione também um scanner de malware baseado em nuvem, como o Threatfire ou o Prevx.

Use a filtragem OpenDNS Low e diga a eles que você está protegendo a empresa contra malware, phishing etc. Você pode colocar exceções legítimas em "Gerenciando domínios individuais". Eles não vão procurar você, exceto sites pornográficos, agora? ;-)

Felicidades

Você diz: "Parece que essa navegação pornô levou a infecções por vírus em seus computadores, apesar da presença de um antivírus".

Vejo muitas respostas com foco no aspecto pornô da questão.

Pode-se chegar a um "site de armadilha" do tipo pornografia, mesmo ao procurar algo tão inocente quanto uma receita de biscoito ou peças do modelo mais recente do Corvette.

Como você já está usando um produto antivírus, provavelmente é hora de revisar sua utilidade e substituí-lo.

Mas acima de tudo, você precisa ter certeza do que realmente está causando outras infecções além de "..este pornô surfando ..."

Use o IE8 ou o Chrome, que são executados em um nível de segurança abaixo do usuário padrão. Execute-os como um usuário padrão no Windows XP / Vista, para que não danifiquem suas máquinas.

E no Windows Vista: o IE8 e o Chome são executados com um nível de integridade mais baixo.

Filtre - mas não bloqueie pornografia. AV e análise de página no gateway. Bloquear exes. Mostre a eles como o Firefox é o navegador preferido do viciado em pornografia.

TBH, eu seria cuidadoso em admitir que você sabe o porquê, não se preocupe em expressar esses pensamentos ... tudo o que você precisa fazer deve ser bem invisível para o usuário. Boa sorte!

Quando eu entrei na TI pela primeira vez, eu trabalhava em uma pequena loja para mães e filhos, onde íamos a muitos pequenos escritórios. Trabalhávamos em seus computadores pessoais também pela mesma taxa, e sempre que havia um freqüentador de pornografia frequente, eu apenas os queimava uma cópia do knoppix, mostrava como inicializar em um CD e partir.

Edit: Você já tentou abordar o fato de que eles estão usando computadores de trabalho para ver pornografia com seu chefe? Você pode não ter influência sobre eles, mas alguém da cadeia pode dar a eles um "cmoonnnnnnn"

Outra opção possível, instale o Hyper-V em sua máquina e depois de ter um .VHD limpo da configuração do computador, você pode deixá-lo ir. Especialmente se eles estiverem usando perfis em rede, isso permitirá que eles joguem o lixo na máquina local e que você restaure o VHD original e o perfil da rede ainda seja o mesmo para que você possa recuperá-los instantaneamente.

Como conselho, eu seria muito cuidadoso com a questão do motivo pelo qual esses computadores continuam tendo problemas se estiverem no nível executivo. Disse à pessoa errada que você pode acabar com um deslizamento rosa.

Sandboxie pode ser útil para esse fim. Geralmente ele tenta interceptar todos os discos e os armazena em uma pasta sandbox. Acho que funciona particularmente bem quando combinado com a instância do Portable Firefox.

Opções que eu procuraria ...

1) filtragem em linha. Eu pensei que já havia passado por essa configuração antes; basicamente, ter o tráfego HTTP filtrado por malware enquanto eles navegam (filtre o conteúdo do malware, não bloqueie o pornô ... queria deixar isso claro). Algo como a implementação do HAVP-Squid Secure Proxy ou WebScan a partir desta página . Também pode haver outros nessa lista.

2) Sandboxie . Pode haver outro software semelhante a este.

3) Faronics Deep Freeze ; no entanto, os usuários podem salvar dados apenas em unidades de rede, seus perfis ou unidades externas (ou em outras partições configuradas para salvar dados). Quando você reinicia, o computador volta ao estado em que estava quando congelado. Não executamos antivírus em sistemas com ele, pois qualquer coisa que o infecte desaparecerá na reinicialização (descobrimos que a exclusão de c: \ Windows é catártica ... a reinicialização recupera o sistema operacional). Isso ainda permitirá que eles infectem seu perfil, mas seu sistema estará seguro.

4) Use algo como o Partimage ou outro software de criação de imagens que permita criar instantâneos do disco rígido para recuperar seus sistemas quando estiverem infectados.

Isso é tudo que eu gostaria de explorar como possibilidades ...

Existem maneiras de lidar com esses problemas, mas você está fazendo tudo errado. Primeiro, você precisa reunir seus fatos. Suspeitas e suposições são inúteis. Esta é uma tarefa administrativa simples e rotineira.

• Descubra por que o software AV parece ser ineficaz e corrija ou substitua-o
• Descubra de onde vêm as infecções, sem adivinhações

Minha recomendação seria encontrar documentos técnicos de empresas como Finjan, McAfee, etc. que falam sobre "drive-by Malware". Lembro-me de que a Finjan, em particular, tem estudos de caso sobre os principais varejistas cujos sites foram invadidos e usados ​​para distribuir malware.

Use essa pretensão de agitar as mãos e excitar alguns executivos, depois use o caos para implementar algumas melhorias, como:

• Atualize para o Vista / 7
• Faça com que eles sejam executados como usuários sem privilégios
• Forneça a eles uma conta de administrador sem acesso à Internet
• Instale ferramentas apropriadas para proteger a rede (como um firewall local)

Você também precisa gerenciar a situação política. Se você tiver várias pessoas em TI, designe uma pessoa como "Suporte executivo" e torne o trabalho executivo a prioridade 1 e acompanhe o trabalho. Quando outros projetos são arrastados, o motivo se torna a quantidade de ciclos que o VP Fred e o EVP Bob estão gastando. (Não mencione o pornô) Você não pode se queixar disso - deve explicitamente documentá-lo.

Lembre-se de que você não pode resolver os problemas do mundo. Se é aceitável que as pessoas usem os ativos da empresa para brincar com pornografia, suas opções são limitadas. Apenas faça um esforço honesto para mitigar o risco para a empresa como um todo e cubra sua bunda no processo.

Habilite uma política de grupo que força o histórico do navegador IE a ser mantido por, digamos, 30 dias. Depois, oculte a guia que possui o histórico claro. Eu acho que a guia pode estar oculta, eu sei que você pode definir para impedi-los de limpar.

Tornar a empresa ampla, é simplesmente uma nova política de segurança ....... :)

Pego em flagrante seria o que você está procurando.

Caso contrário, siga a ideia do CD. Libere uma política da empresa que diga que entendemos ao viajar, talvez seja necessário usar os ativos da empresa para visitar sites pessoais. Como tal, estamos fornecendo a todos os usuários de laptops um CD inicializável que permitirá a separação da navegação na Internet pessoal e da empresa. Eles entenderão isso sem que seja realmente dito.

ou faça os dois :) Isso os força a usar o CD.

Dê a eles uma fatura pelo seu tempo em consertar o PC e sugira que eles simplesmente se inscrevam em um site. Tenho certeza de que seria menos caro e lhes daria um caminho "limpo" para o que eles procuram.