Impedir que o usuário instale software

26

Meu avô é bastante versado em tecnologia para a idade dele e adora enviar e-mails, usar o Photoshop e navegar na web. Tornei seu computador bastante seguro instalando o AdBlock e ensinando-o a não baixar vírus, mas de vez em quando ele recebe um panfleto pelo correio com uma avaliação gratuita do 'Avast antivirus'. Ele é o tipo de pessoa que não consegue resistir a liberdade e o instala imediatamente. Isso é muito chato, porque diminui bastante a velocidade do computador, impede a abertura do Firefox e faz todo tipo de coisa como esse antivius é basicamente um vírus. Também é uma verdadeira dor de desinstalação.

Minha pergunta: Posso configurar algo que o impeça de baixar, instalar ou executar um instalador do Avast?

Eu tenho o Windows 7

windows installation anti-virus Dragongeek
fonte
Primeiro nível de defesa: instale o filtro de spam de e-mail :-)
Bergi
12
@ Bergi, lol, não é um e-mail, é uma carta física real!
Dragongeek
4
Isto não é resolver a questão ... Educar-lo é a melhor solução ...
Dave
6
@ Džuris Não sou fã de software antivírus em geral. Você pode bloquear basicamente todos os malwares usando o AdBlock e o Windows built-in defender. Especificamente, o Avast mexeu com as configurações do Firefox (página inicial), instalou todos os tipos de plugins de navegador e desativou o adblocker (?!). Além disso, reduz a velocidade do computador mais antigo do meu avô, especialmente durante o login.
Dragongeek
8
Você já tentou dizer a ele que a instalação de software livre por meio de anúncios por correio e e-mail equivale a ele ingerir um pote de maionese grátis que fica sentado ao sol por 6 dias? Além disso, veja thewindowsclub.com/...
MonkeyZeus

Respostas:

29

Se você deseja impedir a instalação de um software específico, tente importar seu certificado (assinatura digital) para "Certificados não confiáveis". Sempre que ele tentar instalá-lo, a caixa de diálogo do UAC mostrará "Este software não é confiável" em vez de solicitar que você conceda acesso de administrador ao programa instalador.

Existe uma maneira mais segura de usar o certificado do instalador, mas pode atrasar um pouco o sistema inteiro. Você pode importar o certificado do Avast para a Diretiva de Grupo; portanto, mesmo que não exija privilégios de administrador, ele não será executado.

Se você deseja bloquear toda a instalação do software, forneça a ele uma conta de usuário (sem privilégios de administrador). Poderia ser a única solução para bloquear tudo, no entanto. Você precisa garantir que seu avô não precise de privilégios de administrador com frequência.

Se permitir, você pode configurar o software antivírus atual para desconfiar do certificado do Avast e excluir o instalador imediatamente após o download. Essa também é uma boa opção.

De qualquer forma, eu pessoalmente acredito que educar seu avô para aprender a resistir a anúncios e a qualquer teste gratuito é a solução definitiva. Então você não terá que se preocupar com isso e com aquilo para impedi-lo de instalá-los.

iBug
fonte
"De qualquer forma, eu pessoalmente acredito que educar seu avô a aprender a resistir a anúncios e a qualquer teste gratuito é a solução definitiva". <- talvez a instalação de um adblocker possa ajudar um pouco?
Ismael Miguel
4
@IsmaelMiguel Não bloqueará anúncios físicos .
iBug
Mas pode ajudar a reduzir outro vetor de ataque?
Ismael Miguel
@IsmaelMiguel Unlikely. O OP já disse que o e-mail não é o caso.
iBug
2
A pergunta @IsmaelMiguel afirma que o adblocker já está em vigor.
15

Impedir a execução de programas baixados

Além da boa sugestão do @Bug de remover direitos administrativos da conta do seu avô (depois de criar outra conta com direitos de administrador primeiro!), Você deve impedir a execução de arquivos (por exemplo, instaladores de software) salvos no diretório Downloads.

Faça isso editando as permissões NTFS na pasta Downloads e limpe a pasta Traverse / execute a permissão de arquivo .

Isso impedirá que qualquer executável salvo nesta pasta seja iniciado. Você também pode fazer isso na pasta da área de trabalho.

A vantagem desse método, combinada à remoção de direitos de administrador da conta, é que ele impede a execução de qualquer instalador, não apenas aqueles que exigem direitos de administrador. Muitos programas indesejados ainda serão instalados se o usuário não tiver direitos de administrador, mas se o programa não puder ser executado em primeiro lugar, isso não importa.

Eu digo Restabelecer Monica
fonte
Isso afetará os instaladores .msi?
Ismael Miguel
@IsmaelMiguel Não tenho certeza, mas de acordo com minha experiência, os .msiinstaladores provavelmente não serão afetados.
iBug
Infelizmente, os instaladores do .MSI não são afetados pela remoção da permissão Execute.
Eu digo Restabelecer Monica
2
@TwistyImpersonator Será que é porque .msios arquivos são lidos por msiexec.exe, em vez de se ser executado, exigindo, portanto, a permissão somente leitura?
IBug 27/12
1
@iBug Sim. Para o sistema operacional, os arquivos .MSI não são executáveis; eles são apenas outro arquivo que precisa ser aberto com outro aplicativo. Mas, neste caso, é um aplicativo que instala software.
Eu digo Restabelecer Monica
4

Eu fiz isso tanto para um amigo da família analfabeto quanto à tecnologia (que pensa que " hot_nympho_girls_movie.exe " é legítimo, mesmo depois de uma dúzia de lembretes) e para laptops no trabalho que são emprestados diariamente aos estudantes (queremos que eles instale os drivers e o software de que precisam, mas não deseja criar novamente a imagem da máquina no final de cada dia)

Usamos o Toolwiz Time Freeze, que é um produto gratuito. Você o instala, configura a máquina como deseja e, em seguida, ativa o software. Quando o computador é reiniciado, ele volta ao ponto em que você ligou o software. Você pode "descongelar" arquivos e pastas específicos (por exemplo, eu desbloquei as pastas de configuração do Thunderbird para que os e-mails persistam entre as reinicializações) para que você possa dar ou assumir o controle necessário.

Provavelmente é um pouco exagerado, mas funciona muito bem para nós, porque cada máquina que emprestamos está "pronta para funcionar" no momento em que é encerrada no final do dia. E nosso amigo da família não se queixou de pop-ups e barras de ferramentas misteriosamente aparecendo.

Grayda
fonte
Isso se comporta de maneira semelhante a uma conta de convidado?
precisa
" mesmo depois de uma dúzia de lembretes " Chega um momento em que você para de ativar o estúpido.
RonJohn
@WesToleman Mais como um computador convidado . A máquina inteira, todas as contas de convidado, tudo, exceto as pastas que você descongela, são redefinidas quando você reinicia.
Grayda