唉~
原本大家的電腦都是自由使用,
沒想到最近一位老業務的離職事件(註),卻讓老闆對員工開始產生一些不信任感,
並要求我提出解決方案...
對於電腦上的使用,
要求現有的30台電腦裡,只有4個人(台)開放可以上網,其他完全封鎖!!
還要求作業檔案只能儲存於伺服器硬碟上或是網路硬碟NAS,
並且無法把檔案存於電腦硬碟裡,
也不能使用任何USB儲存及光碟燒錄設備...
就是完全做到檔案不外流的安全措施工作~~
以上這讓我很頭大!
有些業助小姐要傳電子郵件,你要他不上網,怎傳?
要硬碟無法儲存任何檔案,還要我看能不能就不要裝硬碟...簡直不可能(傻眼)
我現在只想到要裝還原卡的可能,重開機後就重新來過,不留痕跡!
強迫大家把資料存於網路硬碟上...(用意就是老闆要過濾,要看大家做了什麼)
其他方式真的不了~
不過還要我把小姐們或是業務電腦裡面的 MSN SKYPE 談話內容都要保留,
但是~~無法上網際網路的情況下,這些軟體根本就已沒用...
那如果得要用這些軟體,該怎辦? 談話內容根本無法儲存於雲端?(還是現在有支援,我是不了~我用不到)
留在電腦裡,要是有裝還原卡的話,也會被清乾淨...
想起在校園中,有網管這東西,老師都知道台下的學生在幹啥,
這樣類似的做法,不曉得老闆愛不愛?
有什麼辦法讓老闆知道所有員工今天上什麼網,做了啥事,傳了什麼,下載了什麼,這東西嗎??
關於電腦主機板上USB埠,要我用膠封死,面板USB埠電線剪掉,電腦機殼上鎖!
光碟機拔除,這簡單點,其他...
不曉得可否用軟體來做到USB埠無法使用方法? 移除驅動之類的?
不然點膠後,那主機板就差不多毀了一半去了~
總之就是要做到資料不外留的動作就是了...
這報告好難寫啊~~
(註)
離職老業務,竟自己開了一間跟現在老闆的行業一樣的企業社,
老闆擔心以前業務盜摳公司客戶檔案資料,把生意都搶走~
或許事情已成真,老闆正要開始做網羊補牢的動作...
苦了晚輩,沒有自由,無網路可用...(最近公司才升50M光纖,還沒飆夠,就要"禁"了)
作業系統是WINXP
1981 河馬 wrote:
對於電腦上的使用,
要求現有的30台電腦裡,只有4個人(台)開放可以上網,其他完全封鎖!!...(恕刪)
簡單的方法1:把網卡設定裡面,閘道器那一欄留空白,就無法上網了。(內部區網仍可以通)。
不過這簡單的方法,需要每台電腦都有權限管控,就是只有 Admin 可以改網卡設定,員工都用 user 權限登入無法改網卡設定。
簡單的方法2:
把 IP 分享器拿掉,只有那四台電腦用 PPPoE 程式撥接上網。(不過要防止撥接密碼被看到)。
其餘電腦手動設定 IP/子網遮罩(因為沒有 DHCP 可以自動取得)。沒有 NAT ,所以無法上網。
複雜的:
需要一台閘道路由器。由路由器防火牆寫腳本指令去管制。這需要網管知識,若用 unix-like 系統去架那台路由器,也需要 unix-like 相關知識,困難度比較高。
假如是透過 Transpent Proxy 上網的,還可以記錄員工上了哪些網站,上傳下載了什麼檔案。
1981 河馬 wrote:
還要求作業檔案只能儲存於伺服器硬碟上或是網路硬碟NSA,
並且無法把檔案存於電腦硬碟裡,
也不能使用任何USB儲存及光碟燒錄設備...
就是完全做到檔案不外流的安全措施工作~~
Google 搜尋:無碟系統
這個難度很高,需要的知識量很龐大。以樓主的描述來看,可能需要委外處理。
但如果只是想監看員工電腦硬碟都存了什麼,不用這麼麻煩,每台電腦都開分享,定期 rsync 差異備份同步到伺服器硬碟就好了。不過你可能要整理一下,比如把家目錄(桌面那些)抓出來,方便查找。
1981 河馬 wrote:
以上這讓我很頭大!
有些業助小姐要傳電子郵件,你要他不上網,怎傳?
要硬碟無法儲存任何檔案,還要我看能不能就不要裝硬碟...簡直不可能(傻眼)
架一台 mail 伺服器,區網就可以傳,不必連外。
但 mial 能夾帶檔案,即使不能上網,也有可能經由 mail 傳檔案出去。
不過自己的郵件伺服器,可以完整記錄,誰傳了什麼檔案出去,都可以查出來。
1981 河馬 wrote:
不過還要我把小姐們或是業務電腦裡面的 MSN SKYPE 談話內容都要保留,
但是~~無法上網際網路的情況下,這些軟體根本就已沒用...
那如果得要用這些軟體,該怎辦? 談話內容根本無法儲存於雲端?(還是現在有支援,我是不了~我用不到)
留在電腦裡,要是有裝還原卡的話,也會被清乾淨...
不能上網,這些聊天軟體,當然就不能用了
記錄的話,市面上有側錄器,屬於閘道裝置。就是專門在錄這些聊天的的封包內容,非常邪惡的東西。但只限未加密明碼傳輸的才有效。
若有閘道路由器主機,也能用免費軟體達成,去抓聊天軟體的封包,解析內容並記錄,但難度較高。
1981 河馬 wrote:
不曉得可否用軟體來做到USB埠無法使用方法? 移除驅動之類的?
windows 群組原則,可以限制 USB 的使用。
不過員工使用電腦要有權限之分,這才會有效。比如 user 帳號登入的無法去改群組原則。
如果員工登入電腦都是 Administrator 管理員身分,那只要懂的,人人都可以去改群組原則,就沒用了。
此外這不是絕對保險,因為可以用隨身碟開機,開進別的 OS,根本不用進 windows。
用快乾什麼的,封起來,確實是比較靠譜。不過 USB 鍵盤滑鼠怎麼辦?難不成要轉成 PS/2 插頭用
那印表機、掃瞄器之類的呢,總不能轉成 LTP 埠吧,這也太扯了....
如果滑鼠鍵盤...之類的,仍用 USB 的,那封其它的 USB 孔根本沒有意義,有漏洞。要封就是全部都要封,這點必須考慮到。
*********************************
覺得是:疑人不用,用人不疑啦。
搞這一大堆,其實防君子,不妨小人。
真要有心把檔案攜帶出去,一定有破解方法。
因為你們公司不可能是像電影演的情報局那種安全等級,出入口還要搜身啥的。
比方說:手機把螢幕畫面、文件拍下來,資料不就被盜取了....該不會老闆知道後,連手機都不准有照相功能了
就算不拍照、手機還有錄音功能呢,直接用唸的錄下來....
那不拍照、不錄音,手寫總行了,最原始的用紙筆抄。總不可能出入都要搜身吧。
包括 USB 孔封起來,那接 SATA 什麼的,不照樣拷貝資料,機殼可能都要上鎖。eSATA、1394 什麼的,也要封起來。
還有網路啊,難道就不能把網路線拔起來,插到小筆電之類的,直接透過網路,盜取伺服器裡面的資料。
就算內部的網線不能上網,難道就不能插 3G 什麼的,利用 3G 盜取資料往外傳。
所以不論做什麼的,都是防君子不防小人。
乾脆訂做鐵櫃,主機鎖在裡面,只有小孔讓線可以通過,開關的話做一條延伸出來的,那還比較可靠呢
技術含量低,只是鐵櫃需要花錢....
搞不好這樣最簡單哦,建議老闆訂做一堆櫃子,每台電腦主機都鎖裡面。要記得留通風孔,用鐵罩擋住。
USB 啥的都不能用了,網線也不能被拔掉,偷插小筆電,或被偷換成 3G 無線,硬碟也不可能被拔走,因為都鎖在鐵櫃裡面。有沒有道理?
*********************************************
只有鍵盤滑鼠螢幕,用小盒子連接機房
關鍵字:遠端 KVM
KVM 鍵盤滑鼠螢幕切換器的網路版。
用網路線連接雙端,可將鍵盤滑鼠螢幕的信號遠端傳送。理論長度可到 100公尺。
很貴,一組要好幾千。
機房那邊可以是每位員工一台獨立電腦,也可以是一台超級伺服器開 很多 VM 虛擬機給員工們使用。
VM 虛擬機的話,就是把 USB (鍵盤滑鼠)橋接給 VM 虛擬機。
但螢幕畫面是怎麼處理的,這就不清楚了。
內文搜尋
從 APP 打開
X