ISA2004如何禁止CCPROXY - ISA - - 网络安全 - 51CTO技术论坛

技术员

帖子 618
精华 0
无忧币 102
积分 844
阅读权限 30

注册日期 2007-11-3

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-8 09:15　　标题：ISA2004如何禁止CCPROXY
＜上一帖 | 下一帖＞

公司不同员工有不同的权限，有些员工是不允许上网的。但是他们通过能上的那些电脑上安装了代理软件，比如CCPROXY，这样他们自己就能上了~！
不知道该怎么解决这类问题~！

2008-7-8 09:15

1楼

[ 顶部 ]

技术员

帖子 618
精华 0
无忧币 102
积分 844
阅读权限 30

注册日期 2007-11-3

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-9 08:59　

这个有没有人知道啊~！

论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)

2008-7-9 08:59

2楼

[ 顶部 ]

modernist
新新人类

帖子 9
精华 0
无忧币 2
积分 19
阅读权限 20
来自 (保密)

注册日期 2006-9-29

最后登录 2008-7-10

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-10 14:32　

让能上网的用户只能使用web proxy和身份验证放上上网，

2008-7-10 14:32

3楼

[ 顶部 ]

技术员

帖子 618
精华 0
无忧币 102
积分 844
阅读权限 30

注册日期 2007-11-3

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-11 09:22　

没看懂3楼的意思！~~~~~~~~~~

2008-7-11 09:22

4楼

[ 顶部 ]

副版主

帖子 588
精华 0
无忧币 1308
积分 647
阅读权限 140

注册日期 2007-8-13

最后登录 2008-10-13

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-11 12:43　

我也想知道。。今天想了一下。。查了资料。。确实比较麻烦

2008-7-11 12:43

5楼

[ 顶部 ]

boblzj

新新人类

帖子 43
精华 0
无忧币 151
积分 44
阅读权限 20

注册日期 2008-7-11

最后登录 2008-8-12

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-11 23:49　　标题：回复 #1 飘泪DE街的帖子

LZ的公司使用的域环境么? 如果是的话.可以考虑把那些不能上网的员工加入到一个组.给这个组设置一个组策略.不准他们更改tcp/ip的设置.这样就不能使用ccproxy的网关了.
如果是工作组环境.那就要麻烦些了.给他们工作组中的PC建立专有的用户.然后分别去设置这些用户没有改TCP/IP的权限.这样一般的不太会玩的都能搞定.要是自己建个虚拟机.用虚拟机的网卡设置.还得另想办法.
关USB接口.关下载设置....
要是使用ARP攻击对方掉线.那感觉一个ARP防火墙就对付了.不建议使用.
对了.再问一句.公司的交换机什么牌子的.要是CISCO的.用VLAN技术就解决了.
给能上网的电脑划一个VLAN里.给不能上的划一个VLAN里..这样他们在第二层就不能通信了.嘿嘿嘿.

2008-7-11 23:49

6楼

[ 顶部 ]

副版主

帖子 588
精华 0
无忧币 1308
积分 647
阅读权限 140

注册日期 2007-8-13

最后登录 2008-10-13

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-13 14:17　

很多高级设置都得硬件支持。。。。唉。。。。又是钱的问题。。。。

2008-7-13 14:17

7楼

[ 顶部 ]

技术员

帖子 618
精华 0
无忧币 102
积分 844
阅读权限 30

注册日期 2007-11-3

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-14 10:57　

不是思科的~！
也不是域环境~
郁闷~！

2008-7-14 10:57

8楼

[ 顶部 ]

副版主

帖子 588
精华 0
无忧币 1308
积分 647
阅读权限 140

注册日期 2007-8-13

最后登录 2008-10-13

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-14 13:53　

兄弟。。我同情你。。。。。
没有域环境，，，确实很难控制了。。。。。
CCPROXY代理设置就是在INTERNET设置里添加代理。。。。如果是域的直接禁止更改此选项就好了。

我这边现在也是遇到同样的麻烦。。。。准备尽快上域，，要不然死的惨

其实可以利用行政手段。。。。。你试试

2008-7-14 13:53

9楼

[ 顶部 ]

boblzj

新新人类

帖子 43
精华 0
无忧币 151
积分 44
阅读权限 20

注册日期 2008-7-11

最后登录 2008-8-12

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-14 18:50　

那只能出个工作组环境的办法啦。
条件，晚上需要加班。机器如果很多的话。。。还需要给BOSS写个公司网络升级解决议建书。

升级前。记得对公司的重要文件和文档。客户的联系方式。ERP系统做备份
如果是XP的工作组公司：
备份各种文件服务器资料。备份很重要。NTbackup与正常的复制各一份。。此次升级最好不要改动文件服务器。打印机服务器。SQL数据库服务器。邮件服务器这些服务器。还有财会部门的最好也不要改动。因为会计资料是要备档的。但是报告上要打上也升级服务器。其实就是简单做个备分。清理什么的。要不方案被人看见会感觉有针对感。

下面是员工PC的重配置方案：(最好根据实际情况做些改动。)

需要重做个XP 然后装上各种应用软件。杀毒软件。防木马软件。创建不同的用户帐户，密码。只加进users组。
更改你的administrator管理员帐户名。设置16位的复杂性密码（防爆力破解）。禁止泄露！
BOSS的机器加入POWER USER组。
添加SNMP服务。设定复杂的共同体名。在你的机器上使用what'sup 之类的网管软件。监听网络上的流量。流量大的就要注意了。。。
使用gpedit.msc 下的用户配置---->管理模板---->网络---->网络连接下的---->禁止访问LAN的连接属性-->启用
让员工使用自己的用户帐户登陆他们的PC。限止他们修改注册表的权限。基本上能防的差不多了。

最好也关上USB的接口。别让员工的U盘随便在公司就接入了。还又就是要注意可以上网用户的下载。以及对网页的访问。。工作量很大。但是前期的布置会给后期的维护减轻很大的工作负担

2008-7-14 18:50

10楼

[ 顶部 ]

技术员

帖子 618
精华 0
无忧币 102
积分 844
阅读权限 30

注册日期 2007-11-3

最后登录 2008-10-10

离线

[查看资料] [发短消息] [Blog]

发表于:2008-7-15 09:02　

也想过加域~但是加域的话，还是可以本机登陆，如果要把别的用户密码都改了，工作量不小！~

2008-7-15 09:02

11楼

[ 顶部 ]