Actualmente estamos usando Teamviewer 9. Tenemos un par de máquinas de escritorio que están bloqueadas de la siguiente manera:
1). La shell ya no es explorer.exe, es un programa personalizado que hemos creado.
2). El sistema operativo es Windows 7 integrado, la última versión, los últimos parches de seguridad.
3). El usuario inicia sesión de una de estas dos formas: el modo de administración, que permite que el shell de Windows y el acceso completo a la computadora para solucionar problemas, es a través del inicio de sesión del usuario que ejecuta nuestro software de ejecución personalizado y evita que el usuario ejecute el shell de Windows. >
Hemos encontrado algunos agujeros sin embargo. En varios momentos principalmente predecibles (cuando la persona de soporte sale de una sesión de Teamviewer en una computadora bloqueada con el usuario bloqueado conectado) el cuadro de diálogo de Teamviewer aparece en la computadora cliente. En este cuadro de diálogo de Teamviewer hay un botón de opciones que parece un pequeño icono de engranaje. Este ícono sería el mismo que las opciones en el menú Extras en un panel de Teamviewer regular (las nuestras están personalizadas y, por lo tanto, solo muestran un ícono de engranaje). Cuando el usuario ingresa a este cuadro de diálogo de configuración y elige la opción de video a la izquierda y luego presiona el botón Seleccionar imagen, el usuario puede ingresar cmd.exe (que ejecutará un comando shell), ingrese explorer.exe para ejecutar el shell. Si ejecutan el cmd.exe o el explorador, esto les permitirá ejecutar IE o ftp.exe.
Dado que estas máquinas están conectadas a Internet a través de módems celulares, preferimos que el usuario no pueda ejecutar estos programas. La experiencia previa nos ha enseñado que estos usuarios inician sesión en sus propias cuentas de Netflix y ven películas y varias cosas por el estilo, que cuando se ejecutan a través de conexiones de datos celulares pueden ser muy costosas en un período de tiempo muy breve.
Hemos investigado la posibilidad de utilizar la política de grupo, pero, según nuestra investigación, la política de grupo solo funciona si se está ejecutando el shell. Podríamos estar equivocados, por supuesto, pero esa es la información que me dieron al hacer este post. Ahora, si pudiéramos bloquear el shell hasta el punto en el que no pudiera hacer NADA, pero ejecutar el programa que queremos que se ejecute, incluyendo cualquier dispositivo USB mientras el usuario bloqueado está conectado, lo consideraríamos, pero ese nivel de bloqueo no fue así. Parece posible a partir de nuestra investigación.
Si alguien conoce alguna buena documentación sobre cómo lograr este nivel de bloqueo en una computadora (similar en la mayoría de los casos al nivel de bloqueo que desearía ver en un cajero), estaremos más interesados en esta información.