[SOLUCIONADO] Inmunizar computadoras - Reducir Soporte

Hola a todos. De antemano muchas gracias por leer mi mensaje y espero alguien me pueda orientar. Asi que les explico lo que busco para ver que recomendaciones me pueden dar.

Busco la manera de proteger a toda costa las configuraciones de mis equipos de computo para minimizar el soporte.

Inicialmente utilizaba las politicas de grupo, los niveles de usuario, el firewall y el antivirus para intentar mitigar las desconfiguraciones causadas por el usuario y/o los virus (malware, adware, etc, etc).

Sin embargo en muchos casos debido a la necesidad de utilizar USBs, camaras, etc y pues programas que no son virus pero realizan desconfiguraciones me esta comenzando a pegar mucho el soporte.

Por lo que actualmente estoy utilizando, como piloto en algunas sucursales, una combinación de Deep Freez 6 Ent, redireccion de perfiles, politicas restrictivas y antivirus. Sin embargo pues la carga de diferentes perfiles se demora un tanto por ser siempre como la primera vez y para realizar las actualizaciones de los programas y de windows hay que buscar la sincronización de los reinicios descongelados de Deep Freeze y mis sucursales trabajan 24 hrs.

Me gustaria saber que utilizan ustedes o que recomiendan para minimizar el soporte. Les comento que tengo 2 sucursales grandes de aprox. 150 equipos cada una, y 15 chicas de aprox. 20 equipos cada una. (Todas con S.O. Win 7 Pro)

Muchas gracias por sus comentarios

Te faltó comentar lo más importante... ¿Qué utilizas de sistema operativo servidor? Si utilizas Windows server, supongo que está como servidor de dominio y que has creado políticas para que NO instalen nada en los equipos.

Un antivirus no te va proteger de malas instalaciones, un firewall, no te va a proteger de malas instalaciones.

En una empresa, deben existir políticas de TI entre las cuales, la principal es utilizar los equipos de la empresa para trabajo de la empresa y no personal.

Muchas gracias por tu comentario BrujoNic. Si efectivamente utilizo Windows Server 2008 R2 para la cuestion del dominio y las politica sobre los clientes Win7 Pro.

Se que el Antivirus y firewall no ayudan a proteger "las malas instalaciones", mas bien los mencione porque estos ayudan a mitigar Desconfiguraciones causadas por otros aspectos como los virus, malware, adware, exploits, etc.

Se que deben existir las politicas de uso en las empresas, que por cierto actualmente estamos buscando la certificacion de ISO 27001, pero no dejan de ser un elemento persuasivo.

En los equipos tengo prohibida la instalacion de programas y los usuarios son miembros de los niveles basicos de "usuarios", mas sin embargo en muchas de las areas esta permitida, por la administracion vaya, la utilizacion de USBs, Camaras, entre otros dispositivos que forman parte del trabajo. Y en algunas otras areas tienen permitida la navegacion a internet entre otras situaciones. A los programas que se instalan me refiero a toda la gama de "virus" que no son virus tal cual sino mas bien como adware, bromas, y todo lo que se propaga por USBs, que van desde un bloqueo de pantalla (tipo bromas) hasta algunos verdaderos virus que exploran vulnerabilidades del S.O y elaban privilegios alterando el funcionamiento del sistema.

Por lo busco soluciones proactivas para conseguir esto.

Actualmente me esta dando buenos resultados la mescla que mencione, pero con la desventaja que menciono de las actualizaciones.

E realizado pruebas tambien con algunas tecnologias tipo Diskless como provisioning de Citrix, pero pues tambien tiene lo suyo ademas de que a lo que veo solo podria implementarla en LAN y no atravez de la WAN por los enlaces de ancho moderado hacia las sucursales.

Por eso solicito de sus sugerencias para ver si alguien ha utilizado algo que le haya llenado el ojo para esta situacion.

Los perfiles móviles es una solución NO muy efectiva por lo que has experimentado debido a que todo o parte queda en el servidor dependiendo del tipo de cableado y con tantos clientes, se hace en parte INTOLERABLE.

Deep freeze, para uso de oficina y dependiendo de lo que hagan, no creo que sea una posible solución ya que es verdad que restaura o deja el SO como si nada hubiera pasado al reiniciar, pero SOLO la partición protegida por el mismo. Si hay otras particiones (que debe haber para uso del usuario) NO protegidas, el virus va a afectar estando o no ese programa activado. ¿Eso va a minimizar el soporte? Realmente creo que no porque los SO se deben actualizar y cuando lo hagan al reiniciar va a quedar sin esas actualizaciones, o sea, MAS soporte a mi punto de vista.

Yo lo que implementé, sugerí, explique, expuse mis puntos de vista por escrito y fueron aceptadas para evitar daños internos a la institución, es dejar uno o los equipos que fuesen necesarios con una distribución Linux donde podrías introducir llaves de memoria USB para evitar el contagio en los equipos windows.

En internet, implementé un servidor viejito con pfSense creando políticas de navegación y en el mismo activar filtro de SPAM, evitar descargas p2p, antivirus para revisar las páginas visitadas, etc.

Con esa combinación de cosas, logré minimizar mucho lo que has expuesto e incluso, en otro cliente grande, estoy implementando lo mismo inicialmente con otro pfSense configurándolo a sus necesidades. Tiene muchas herramientas pero por dicha también existe mucha información en la red.

Algo que traté de implementar pero fracasó, fue el concepto de un servidor y terminales tontas, donde los equipos se configuraban para que iniciaran desde red y tomaban todos los recursos del servidor.

Mi idea era con Linux CERO costo solo cobrando la configuración y servicio, pero debido a una aplicación windows, fue desechada.

Intentaron con Multi-Point (Windows) y también fracasó.

Lo anterior te lo comento porque no existe un "mundo ideal" en lo referente al servicio informatico sea cual sea, ya que existen "usuarios" y estos siempre nos van a dar "de comer" porque cometen errores inocentes.

La certificación ISO 27001 que quieren llevar, esta bien. Pero espero que sea real porque he visto sitios donde año con año les dan un documento indicando que son certificados ISO bla bla bla donde realmente no cumplen ni un 1% de lo que realmente deben hacer.

Ese es mi comentario/opinión para que lo medites.

Saludos.

Hola larrysys

Hace tiempo que deje de lado el factor usuario, en mis palabras la mayoría son unas bestias que hay que ir educando poco a poco. Controlar al usuario simplemente no se puede hay que irlo educando en mejores prácticas.

El deepfrezze no te lo recomiendo para entornos laborales (a lo mejor en las redes de 20 equipos puede ser) el deepfrezze se usa en escuelas donde no importa si se guarda o no la información, donde no es tan necesario instalar las actualizaciones de todo el software que se pueda llegar a usar.

En lo personal sugiero enfocar tus recursos y esfuerzos en lo que yo considero más importante, políticas de seguridad, seguridad e integridad de la información, control de tiempo muerto.

Posibles soluciones que se me ocurren pero todo depende de tu entorno, recursos y factibilidades técnicas:

(Posiblemente ya tengas algo de esto)
1.- Dividir por áreas de trabajo, segmentado tu red en varias subredes. Con el objetivo de que las áreas que no se involucran con otras áreas no tengan contacto de información ni de recursos.
2.- Sesiones de capacitación cortas de 15 o máximo 30 minutos para ir educando a los usuarios en mejoras practicas (uso de equipo, seguridad, correo etc lo que te sea necesario.)
3.- Para las políticas de seguridad en tus equipos Windows pues no te queda de otra que usar Windows server.
4.- Centralizar la información de uso laboral para rápido acceso en caso de emergencia, seguridad, redundancia etc.
5.- Para los tiempos muertos que los usuarios puedan ocasionar entrando a redes sociales, páginas web etc, montar un servidor proxy para filtrado web por medio de “wildcards”. (Este mismo lo puedes usar para control de ancho de banda si es necesario.)
6.-Centralizar la administración del antivirus desde un solo equipo para que desde ahí puedas actualizar, reparar, instalar ejecutar scaneos o revisiones programados.
7.- Buscate un buen programa para control remoto pero para red local, puedes usar el escritorio de Windows, o el que uso yo NetConnect es como el TeamViewer pero solo funciona en LAN.

8.- Este funciona bastante bien, genera correos masivos con tips, mejores prácticas para educar a los usuarios por medio del correo electrónico, apóyate con diseñador o alguien que le mueva al diseño para que generes un buen flayer que llame la atención y los usuarios lo lean.

Hay muchas cosas más, pero todo depende de tu entorno, esto es considero yo lo básico para redes grandes.

Saludos espero te sirva, Suerte.

El pfSense que menciona Brujo es muy completo, leyendo en internet tiene muchas funcionalidades firewall, vpn, proxies

y si tienes perfiles de usuarios estos no podrian instalar programas o aplicaciones solo el administrador lo puede hacer.... ese deep freeze lo usan en los cafe internet y para desinstalarlo es un problema.

Cuidado con tus comentarios bahia201 porque si los usarios son béstias, es porque son humanos de lo cual vos y yo también lo somos. Así que vos también parasarías a ser parte de lo mismo.

Si tanto te sentís superior a otros, entonces creo que sería mejor que no participaras en los foros con cometarios tan negativos y ofensivos.

Yo soy directo y duro para responder pero NO trato en ningún momento de minimizar a nadie.

De Acuerdo BrujoNIC una disculpa a todos los lectores y usuarios que se ofendieron por mi expresión, es una palabra que usamos en mi entorno sin ánimos de ofender que en definitiva no debí usar en un foro multinacional.

No me siento superior ateniendo muchos usuarios, trato con ellos a diario y lo que si sostengo es que los usuarios deben ser educados en buenas prácticas de TI.

Disculpas sinceras, dejo el tema para no iniciar discusión.

Saludos y Suerte.

Muchas gracias a todos por sus comentarios. Pues a poner manos a la obra.