Como Bloquear/Desativar/Barrar o uso do MSN Messenger

Por Rodolfo Ferreira

Tenho visto muitas pessoas pedindo para bloquear o MSN, já existem diversas mensagens sobre o assunto em listas de discussão e na internet.

Eu vou escrever o procedimento eficaz (e não eficiente) para combater ao uso na sua empresa.

O que você precisa?
Microsoft ISA Server 2000 ou posterior - https://www.microsoft.com/isaserver/

O MSN é um software que tenta a conexão por diversas maneiras (por porta, por aplicação, por http quando a porta está bloqueada dentre outras) e para efetivar o bloqueio, você precisa mexer em diversos "lugares".

Bloqueamos o MSN por questões de: Produtividade - as pessoas passam parte do tempo conversando e não produzem; Segurança - é possível enviar e receber dados e isso pode trazer cavalos de tróia, vírus e malware. Além da banda que é desperdiçada para tal.

Por outro lado, o uso do MSN é útil para conversas entre parceiros e filiais, vídeo conferência e assistência remota*

*No caso do serviço estar ativado no Windows XP.

Vamos lá:
Você não precisa instalar o Firewall Client nas máquinas, pois o MSN Messenger é um aplicativo proxy-aware.

Primeiro você usará o KB891598 para barrar o tráfego via Content Group, veja:
https://support.microsoft.com/?kbid=891598&SD=tech

Depois, você fechará o trafego na porta 1863 e impedirá o uso da aplicação do MSN. Veja como fazer:

1. Crie um PROTOCOL RULE:
Abra o ISA, vá em Servers and Arrays, escolha seu servidor, clique em Access Policy e com o botão direito clique em Protocol Rule na opção NEW.
1.1Agora o Wizard vai te ajudar com o processo, primeiro digite um nome para a regra - por exemplo - Protocolo do MSN.
1.2Na tela Rule Action - Escolha Deny.
1.3Na tela Protocols - Selecione o protocolo MSN Messenger.
1.4Na tela Schedule - Escolha a agenda, ou seja, quando você quer barrar o MSN Messenger. Para barrar sempre escolha always.
1.5Na tela Client Type - Você pode definir quem estará bloqueado e quem estará barrado, para barrar o acesso de todos escolha Any Request.
1.6Veja se tudo está ok e clique em Finish.

2. Crie um IP Packet Filter:
Abra o ISA, vá em Servers and Arrays, escolha seu servidor, clique em Access Policy e com o botão direito clique em IP Packet Filter na opção NEW
2.1 Agora o Wizard vai te ajudar com o processo, primeiro digite um nome para a regra - por exemplo - Filtro de pacote do MSN.
2.2 Na tela Filter Mode - Escolha Block packet transmmission.
2.3 Na tela Filter Type - Clique em Custom.
2.4 Na tela Filter Settings - Preencha da seguinte maneira:
IP Protocol: TCP
Direction: Both
Local port: Dynamic
Remote Port:
Fixed port - 1863
2.5 Na tela Local Computer - escolha Default IP addres for each external interface on the ISA Server Computer.
2.6 Na tela Remote Computers - Escolha All Remote Computers.
2.7 Veja se tudo está ok e clique em Finish.

Isso já barra o uso do MSN, mas temos outras variáveis.

Barre o acesso aos sites de "web messenger" como o webmessenger e outros (existem vários!)
Bloqueie via GPO o uso do msnmsgr.exe e outros executáveis do messenger.
Não deixe as pessoas instalarem, bloqueie via GPO (as pessoas não precisam ter permissão nenhuma além do trabalho delas, certo?).

Existem diversos programas que conseguem se conectar como se fosse o MSN Messenger, isto é, podemos usar determinado programa (XYZ.exe) conectado no serviço do MSN da Microsoft. Eu conheço alguns, vejam:

Skywing's MSN

flatsheep.com

AIM, Yahoo e ComVC.

Messenger Client

XcomMSN

Trinity Messenger

TjMSN

MicMessenger

Protocol

Adium

mIRC

MSN2Go

UR Messenger

Pongo

qmsn

openMSN

Mac Messenger

M2 Messenger

Gaim

aMSN

Regnessem

Miranda IM

Ayttm

Web Messenger

Kopete

Dave's Messenger

Msnger.com

jMessenger

Blobsy

TMSNC

KMess

JChatMSN

PixaMSN

msnmsgr

PlanetaMessenger.org

Licq

(Quetzalcoatl)

Universal Instant

gtmess

XUL - Cross Platform

Messenger

 

Depois, dê uma passada aqui para ver a discussão sobre o tema:
http://www.experts-exchange.com/Security/Firewalls/Q_20610865.html

Eu, particularmente, não acho uma boa idéia barrar os "ranges" dos IPs, pois a Microsoft tem vários.

Isso tudo funciona?

Sim, mas lembre-se sempre que podem aparecer outros softwares que conseguem se logar no MSN. Esse artigo aplica-se ao MSN Messenger da Microsoft.
O que pode ajudar a combater, além desse artigo?
Uma política de segurança patrocinada pela alta administração da empresa.

Até a próxima!

Rodolfo Ferreira - rhferreira@gmail.com - é consultor de infra-estrutura da B2Br do Grupo TBA. Mestrando em Engenharia da Computação pelo Instituto de Pesquisas Tecnológicas da Universidade de São Paulo, optando pela área de concentração em Redes de Computadores, possui as certificações CCNA, CompTIA Network+, MCP, MCSA, MCSE e MCT. A B2Br é a nova empresa do Grupo TBA. Com a missão de construir soluções simples e funcionais para os projetos mais complexos. A B2Br é a primeira integradora de soluções de tecnologia da informação 100% nacional.