V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
jsjcjsjc
V2EX  ›  问与答

快不行了,有没有办法限制外网(内网可以),控制 U 盘的安全方案软件?

  •  
  •   jsjcjsjc · 2023-03-08 10:04:40 +08:00 · 1932 次点击
    这是一个创建于 663 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近查杀了产线的调试电脑, 发现台台都是病毒样本窝啊,幸亏生产设备是物理隔绝的连接到母体,不然就完犊子了.

    想问一下有没有安全方案软件推荐,希望隔绝外网,内网 OK,并且可以控制 U 盘.

    感谢
    26 条回复    2023-03-09 14:50:29 +08:00
    villivateur
        1
    villivateur  
       2023-03-08 10:17:36 +08:00
    装个带网管的路由器就能“隔绝外网”。
    USB 的话,要么系统配置禁用 U 盘,要么装杀毒软件?
    jsjcjsjc
        2
    jsjcjsjc  
    OP
       2023-03-08 10:25:10 +08:00
    @villivateur 他们都是用个人热点哈,不经过路由器
    duke807
        3
    duke807  
       2023-03-08 10:27:47 +08:00 via Android
    我司自动化烧录、测试、自动化设备都是配 linux 系统
    rojer12
        4
    rojer12  
       2023-03-08 10:27:57 +08:00
    内外网隔离直接配 acl ,u 盘隔离可以用一些终端安全防护软件,但是无法完全禁止,可以改 ps2 的键鼠后物理破坏所有 usb 口,文件传输的话可以内网搭一个中间机器,专门插 u 盘共享文件
    rojer12
        5
    rojer12  
       2023-03-08 10:29:11 +08:00
    @jsjcjsjc 拆无线网卡只保留网线接口
    jsjcjsjc
        6
    jsjcjsjc  
    OP
       2023-03-08 10:33:59 +08:00
    @rojer12 感谢,但关键是连接的内网只能通过无线连接~~
    sekisui
        7
    sekisui  
       2023-03-08 10:42:02 +08:00 via iPhone   ❤️ 2
    用一个无线路由器桥接公司 Wi-Fi ,然后网线连接这些电脑。然后把电脑的无线网卡拆了
    sekisui
        8
    sekisui  
       2023-03-08 10:42:30 +08:00 via iPhone
    网线连接桥接的无线路由器和这些电脑
    rojer12
        9
    rojer12  
       2023-03-08 10:45:23 +08:00
    @jsjcjsjc #6 我倒是用过 wifi 管控类的设备,可以只允许区域内的白名单热点,其他所有热点都能干掉,但是不推荐你用,最好还是用有线网络
    jsjcjsjc
        10
    jsjcjsjc  
    OP
       2023-03-08 10:50:11 +08:00
    @sekisui 感谢哈,但是无线网卡不能卸载哈,需要连接生产设备~~
    SunsetShimmer
        11
    SunsetShimmer  
       2023-03-08 11:18:34 +08:00 via Android
    情况过于复杂了..
    一个不直接解决问题的办法:教育培训、杀毒软件、Deep Freeze (或者类似的软件)。
    SgtPepper
        12
    SgtPepper  
       2023-03-08 12:10:41 +08:00
    @jsjcjsjc 加域了吗 加域了就好办 直接策略禁止使用 wifi 和 u 盘
    yolee599
        13
    yolee599  
       2023-03-08 12:13:05 +08:00 via Android
    装还原软件,重启自动全盘还原
    freed
        14
    freed  
       2023-03-08 12:18:28 +08:00
    我们内网机器如果检测到连接了互联网,会直接报警.通报.扣分.
    cjpjxjx
        15
    cjpjxjx  
       2023-03-08 12:28:30 +08:00 via iPhone
    通过策略组禁止用户修改网络配置和再接存储设备,然后新建一个用户,不要给管理员权限可以避免 90%的麻烦
    diguoemo
        16
    diguoemo  
       2023-03-08 12:32:14 +08:00 via Android
    火绒企业版?
    adoal
        17
    adoal  
       2023-03-08 12:57:51 +08:00
    罚钱。每个人都是自己所用电脑的第一责任人。
    NSAgold
        18
    NSAgold  
       2023-03-08 13:03:43 +08:00
    新建一个无管理员权限的普通账户
    组策略禁用 U 盘
    写个 batch 脚本循环检测 wifi ssid ,不对就切网重连,用 vbs 无窗口开机启动这个 bat
    deorth
        19
    deorth  
       2023-03-08 13:24:51 +08:00 via Android
    那就是不行了
    jacy
        20
    jacy  
       2023-03-08 13:52:46 +08:00
    企业方案很多呀,我司就部署了,可以控制到单个 u 盘的读写访问,服务器下发规则
    mingl0280
        21
    mingl0280  
       2023-03-08 14:08:15 +08:00
    组策略禁用 U 盘,禁止使用管理员账户
    kklove77
        22
    kklove77  
       2023-03-08 15:18:57 +08:00
    @jacy #20 叫什么名字呢?
    jacy
        23
    jacy  
       2023-03-08 16:26:49 +08:00
    stcQ2G13k9yxep40
        24
    stcQ2G13k9yxep40  
       2023-03-09 03:30:14 +08:00 via iPhone   ❤️ 1
    你们公司没有防火墙吗?限制内网用户访问外网这是最最基本的操作,防火墙上建一条安全策略,指定车间电脑所在内网网段去往 untrust 区域 deny 即可。
    限制 U 盘,使用 AD 域配置组策略禁用可移动磁盘,然后下发组策略到客户端电脑。同样可以指定哪些用户禁用,哪些用户开放 U 盘权限。
    jsjcjsjc
        25
    jsjcjsjc  
    OP
       2023-03-09 08:54:25 +08:00
    @qishouvip2022 公司电脑分 IT 和 OT, IT 的都是办公电脑,非常严格的策略.但是 OT 生产线上的不能做标准话管理.所以是独立的
    stcQ2G13k9yxep40
        26
    stcQ2G13k9yxep40  
       2023-03-09 14:50:29 +08:00
    @jsjcjsjc 我们公司车间上产线的电脑是单独的 VLAN 网段,防火墙上同样配置策略,只要是接入了内网就可以做统一管理。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1011 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:07 · PVG 04:07 · LAX 12:07 · JFK 15:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.