公司计算机及网络限制与反限制？ - 系统设置 - TechWeb-技术社区

TechWeb-技术社区 » 系统设置 » 公司计算机及网络限制与反限制？

‹‹ 上一主题 | 下一主题 ››

小蜜蜂

TW新手

UID 75706
精华 0
积分 5
帖子 0
阅读权限 10
注册 2007-5-31
状态离线

#1

发表于 2007-3-4 15:50 资料短消息加为好友

公司计算机及网络限制与反限制？

目前我在网内做了如下限制，禁止员工上网程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛)`8t"t(N \6a8p
但我不知道是否有办法突破这种限制，所以找各位兄弟们一起来剖析一下TechWeb-技术社区4[*@"K%v-z.m3f;m)]
免的有人能突破上网，我都还不知道0o7@$w!^,C
9P%X:G/D-F#t.G
DC：win2003
客户端：win2000 pro程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛*f!C:n:m$i2?5o
上网方式：路由器NAT

DC 上做组策略
1、禁止了windows install 安装服务、禁止从移动存储设备进行安装2t,?*U(H/|+~
2、禁写注册表、禁止打开网络连接设置、查看系统属性tech.techweb.com.cn,w/Q']:R#Z2R8Q
3、禁用命令行、任务管理器、禁用IE代理4e4A9V+Q7?"}0W6P#d/k:P
4、开启IPsec，非本地网段IP的端口全部封掉程序开发，操作系统，服务器，源码下载，Linux,Unix,BSD,PHP,Apach,asp,下载,源码,黑客,安全,技术社区,技术论坛0i#V%?-A,_$b$z
5、加入开机脚本，把默认网关去掉

客户端不让上互联网tech.techweb.com.cn)|&j+j#e!f,{&m2v
1、C盘全部转为 NTFS
2、只用 domain user 登录，本地admin改名并换长密码&R2Q4a.^1d$F!}5o4g
3、设置开机脚本，每次开机，运行一次置网关为 None 的命令
TechWeb-技术社区:P+h2K*I9z;D,j1]!F(g
设置上网的公用电脑
1、公用电脑帐号自动登录（帐号只能用在这台电脑上，这台电脑只接受这个帐号以及域管理员帐号）
2、公用电脑帐号可以读、写内网一个指定的文件夹“X”，其他domain user只能读“X”下属于自己的某个文件夹，公用帐号不能访问其他服务器共享资源
3、公用电脑帐号也是 domain user 级
4、文件夹“X”上的内容只有域管理员才能删除，其他用户对上面的内容不能删除，也不能直接运行tech.techweb.com.cn7t%Y%|0o)[7r&C#o:e
;} u7e:T3^:m0R,X$j
用P2P终结者不定时查看网内流量
看看禁网的电脑名单是否有流量1]4{4|)N5d1s&|5M

对于外部人员带笔记本来
我目前的策略是从IP地址上来控制，公司内部IP目前已经全部是静态了，如果外部人员笔记本想入内网：TechWeb-技术社区-M$f/z%y#o$_4t
1、必须先到这边申请IP（这么做，至少可以让我知道什么人在什么地方以什么名义进入内网）
2、只有网内用户才对网络共享文件夹有访问权限，限制了everyone用户，所以外网用户即使加入了内网，还需要申请内网帐号（域外用户可以不加入域，而通过输入域帐号来访问网络资源，这样我也可以在帐号上设权限，限制其可访问的范围）

目前的效果：
1、禁网用户打不开网页；上不了QQ、MSN、POPO；用不了BT、eMule
2、用户需要下载东东时，要用公用电脑
3、公用电脑下载的东东要用到用户自己的电脑上时，必须通过文件夹“X”tech.techweb.com.cn2L0e0k0k4r-P;c
4、文件夹“X”被随时监管，谁下载了什么传到内网去了，一目了然
tech.techweb.com.cn:n8K0I2c%x1O/z,f9y.r
我也想过，如果我是想非法上网的用户
1、我可以在公用电脑上安装ccporxy类的代理，但客户端无法打开网络连接设置和IE代理设置，应该没法用
2、如果使用服务器/客户端形式的代理软件，那下载并传到内网的客户端会在文件夹“X”留存，迟早会被发现，同时，网管随机监察公用电脑进程，跟踪流量也会发现;^+r0O+\(v$m:|8l/s3G
3、破解本地admin密码并用本地admin登录，但C盘是NTFS，且客户端无光驱只有软驱，应该没戏吧？
&}4n(|/u/?/n.b G7V-l
兄弟们，如果你是一个想上网的用户，你会怎么做？

引用回复