51CTO技术论坛 » 网络安全 » ISA » ISA2004如何禁止CCPROXY        上一帖     下一帖    查看完整版本

页: [1]

飘泪DE街2008-7-8 01:15
ISA2004如何禁止CCPROXY

公司不同员工有不同的权限,有些员工是不允许上网的。但是他们通过能上的那些电脑上安装了代理软件,比如CCPROXY,这样他们自己就能上了~!
不知道该怎么解决这类问题~!

飘泪DE街2008-7-9 00:59
这个有没有人知道啊~!

modernist2008-7-10 06:32
让能上网的用户只能使用web proxy和身份验证放上上网,

飘泪DE街2008-7-11 01:22
没看懂3楼的意思!~~~~~~~~~~

onepeople2008-7-11 04:43
我也想知道。。今天想了一下。。查了资料。。确实比较麻烦

boblzj2008-7-11 15:49
回复 #1 飘泪DE街 的帖子

LZ的公司使用的域环境么? 如果是的话.可以考虑把那些不能上网的员工加入到一个组.给这个组设置一个组策略.不准他们更改tcp/ip的设置.这样就不能使用ccproxy的网关了.
如果是工作组环境.那就要麻烦些了.给他们工作组中的PC建立专有的用户.然后分别去设置这些用户没有改TCP/IP的权限.这样一般的不太会玩的都能搞定.要是自己建个虚拟机.用虚拟机的网卡设置.还得另想办法.
关USB接口.关下载设置....
要是使用ARP攻击对方掉线.那感觉一个ARP防火墙就对付了.不建议使用.
对了.再问一句.公司的交换机什么牌子的.要是CISCO的.用VLAN技术就解决了.
给能上网的电脑划一个VLAN里.给不能上的划一个VLAN里..这样他们在第二层就不能通信了.嘿嘿嘿.

onepeople2008-7-13 06:17
很多高级设置都得硬件支持。。。。唉。。。。又是钱的问题。。。。

飘泪DE街2008-7-14 02:57
不是思科的~!
也不是域环境~
郁闷~!

onepeople2008-7-14 05:53
兄弟。。我同情你。。。。。
没有域环境,,,确实很难控制了。。。。。
CCPROXY代理设置就是在INTERNET设置里添加代理。。。。如果是域的直接禁止更改此选项就好了。

我这边现在也是遇到同样的麻烦。。。。准备尽快上域,,要不然死的惨


其实可以利用行政手段。。。。。你试试

boblzj2008-7-14 10:50
那只能出个工作组环境的办法啦。
条件,晚上需要加班。机器如果很多的话。。。还需要给BOSS写个公司网络升级解决议建书。

升级前。记得对公司的重要文件和文档。客户的联系方式。ERP系统做备份
如果是XP的工作组公司:
备份各种文件服务器资料。备份很重要。NTbackup与正常的复制各一份。。 此次升级最好不要改动文件服务器。打印机服务器。SQL数据库服务器。邮件服务器这些服务器。还有财会部门的最好也不要改动。因为会计资料是要备档的。但是报告上要打上也升级服务器。其实就是简单做个备分。清理什么的。要不方案被人看见会感觉有针对感。

下面是员工PC的重配置方案:(最好根据实际情况做些改动。)

需要重做个XP 然后装上各种应用软件。杀毒软件。防木马软件。创建不同的用户帐户,密码。只加进users组。
更改你的administrator管理员帐户名。设置16位的复杂性密码(防爆力破解)。禁止泄露!
BOSS的机器加入POWER USER组。
添加SNMP服务。设定复杂的共同体名。在你的机器上使用what'sup 之类的网管软件。监听网络上的流量。流量大的就要注意了。。。
使用gpedit.msc 下的用户配置---->管理模板---->网络---->网络连接下的---->禁止访问LAN的连接属性-->启用
让员工使用自己的用户帐户登陆他们的PC。限止他们修改注册表的权限。基本上能防的差不多了。

最好也关上USB的接口。别让员工的U盘随便在公司就接入了。还又就是要注意可以上网用户的下载。以及对网页的访问。。工作量很大。但是前期的布置会给后期的维护减轻很大的工作负担

飘泪DE街2008-7-15 01:02
也想过加域~但是加域的话,还是可以本机登陆,如果要把别的用户密码都改了,工作量不小!~

onepeople2008-7-15 01:54
加域的前期准备是少不了的,,,,要考虑很多权限问题,,,

所以舒服之前也得痛苦一番。。。。。。

软件备份,,重要数据备份,,,,密码策略,,,,权限策略。。。。。行政规章。。。。等等。。。

每一项都得花点精力。。。

本机上只开通administrator,,密码时高点,,,,,只给他们域帐号。。。。但就主要是USER的权限太小了。。
建议。。自己做个GHOST系统。。。做的时候。。先把USER的几个权限先提高一点。。然后可能会省事一点

cairong2008-7-25 09:48
我也碰到这问题。我想能不能通过IPsec组策略把不能上网的机器的IP端口全部封掉,从而来实现禁用CCPROXY。前提是要有域。

onepeople2008-7-26 05:50
风间子的提供的办法是:进行流量和连接数限制。。。。。。。

最直接的办法就是行政手段。。。

飘泪DE街2008-7-26 09:41
流量限制的话,不太准确~
连接数限制不知道怎么弄?
还有是哪里看到过禁止2级代理的,不知道如何操作

onepeople2008-7-26 12:33
直接点。。。ISA拿二级代理是没有办法的。。。。

只能限制他的连接数连限制网速。。。二级代理多了。自动慢。。

只能这样了

飘泪DE街2008-7-27 12:40
[quote]原帖由 [i]onepeople[/i] 于 2008-7-26 20:33 发表
直接点。。。ISA拿二级代理是没有办法的。。。。

只能限制他的连接数连限制网速。。。二级代理多了。自动慢。。

只能这样了 [/quote]
ISA2006也米办法吗?NND,代理软件~!

onepeople2008-7-27 13:48
确实没办法。有些很强的代理软件。。。你只能说无奈

飘泪DE街2008-7-28 00:57
代理软件是不是也有自己的使用端口?封端口?

onepeople2008-7-28 01:10
代理软件使用常用端口。。。。。例如 80  等等

但是他可以把代理端的各种应用。。。变换到80端口上。。。。进行伪装。。。。

所以。。除非你什么都不给开。。



相关文章:
ISA服务器的咨询
ISA2004如果禁止用户访问某个外部IP
isa2006本地被訪問題
ISA上自建协议的问题
一个想不通

查看完整版本: ISA2004如何禁止CCPROXY


Powered by 51CTO.COM