最近,一名用户将公司 PC 与网络断开,并使用 USB 网络共享与他们的 Android 手机完全绕过公司网络并访问互联网。我认为我不需要解释为什么这很糟糕。从零成本(即开源、使用脚本和组策略等)和技术角度(即 HR 已经收到通知,我不认为这是某种症状),最好的方法是什么?更深层次的企业文化问题等),以检测和/或防止类似的事情再次发生?有一个系统范围的解决方案(例如通过使用组策略)会很好,但如果这是不可能的,那么对这个人的 PC 做一些特定的事情也可能是一个答案。
一些细节:PC 是 Windows 7 加入了 Active Directory 域,用户具有普通用户权限(不是管理员),PC 上没有无线功能,禁用 USB 端口不是一个选项
注意:感谢您的精彩评论。我添加了一些额外的细节。
我认为禁止网络共享的原因有很多,但对于我的特定环境,我可以想到以下几点: (1) 防病毒更新。我们有一个本地防病毒服务器,可为联网的计算机提供更新。如果您未连接到网络,则无法接收更新。(2) 软件更新。我们有一个 WSUS 服务器并审查每个更新以批准/禁止。我们还通过组策略向其他常用软件程序(例如 Adobe Reader 和 Flash)提供更新。如果计算机未连接到本地网络,则它们无法接收更新(不允许从外部更新服务器进行更新)。(3)互联网过滤。我们过滤掉恶意的,呃,顽皮(?)的网站。
更多背景信息:已经通知了 HR。说的人是高层次的人,所以有点棘手。尽管诱人不是一个好主意,但该员工的“树立榜样”。我们的过滤并不严格,我猜虽然没有直接证据(缓存已清除),但该人可能一直在查看淘气站点。他说他只是在给他的手机充电,但 PC 已经从本地网络上拔掉了。我不想让这个人陷入困境,只是可能防止类似的事情再次发生。
默认情况下,squid 会记录所有访问信息,包括“成功”和“失败”。我只对记录“失败”感兴趣。换句话说,我想做一些事情,比如只记录 Squid DENIED 结果代码,或者不记录成功的 HTTP 事务。无论我如何定义“成功”和“失败”,我都需要能够更具体地定义 Squid 将写入日志文件的访问信息类型。有人知道怎么做这个吗?