第十一天了…有點無力…連假懶懶的~
相信管制也是不少人的痛...
要怎麼管?該如何管?管了xx部門會不會有話?管了使用者是不是會有其他方式破解?
管制對於一個小型網路、一間公司來說，都是相當重要的一件事
不論是最簡單的區網 ip分享的防火牆管制!還是高級一點的防火牆管制…
甚至是Switch、伺服器、個人電腦管制，都是有其必要…

有些要出於系統安全的考量、有些要出於資安上的考量
雖說資安不是絕，有法限制就有法可鑽，但是…相關的管制卻有其必要性

一、硬體防火牆管制，最好搭配可使用VLan的Switch，對各區來區分、管制，再聯絡各區主管開會討論其限制。
對於最重要的產線，通常主管會希望不讓他們對外連線，這時防火牆的管制就很重要了，再強大的破解方式(非跳板)在沒有連線埠的狀況下，是無法對外的(這類有多種方式限制)

二、網絡限制，最好可以搭配多種必須設備，可以讓使用者無法任意使用公司內網，除擔心使用者私自帶機器來連線，造成中毒外，更可以有效防止隨意在內網偷取資料。

三、主機管制，該給什麼權限?什麼功能要限制，也是必須的，不過大多不會去限制這個，理由是在於維修問題上，過多的管制(以改gpo的方式來說)有問題使用者看了，學了…這些自然失效，還談的上什麼管制?即使是權限限制的部分也有法可破解…
目前較有效的還是以軟體式去管(因為可以在伺服端那留下log，證明較存在)

四、主機設備管制，通常買台電腦，總會有相關的光碟機…等等配件，是否要給使用者光碟機這玩意?也是要跟各區主管討論的，有些認為不用(要拆)有些不這麼認為…這類的管制也很麻煩…
甚至有些公司要求使用硬碟開機鎖(這類的…一但有問題也很頭大…，電腦少的還好，電腦多的改起來花不少時間)

五、伺服器管制，檔案伺服…等等之類的，要給什麼權限?什麼人可以讀?什麼人可以寫?什麼人可以砍?又要依須求去做，否則權限大亂、檔案消失…也是很頭大的…若能的話，升級到win 2003 r2可以針對檔案部分做細部的log…

六、信箱管制，若是自建的設備，該開放多少的寄信容量?可以存放的容量要多少?有沒有群組功能?能不能建通訊錄手動/自動的更新?…等等等

管制的事一堆…有些沒有要求其實不必去做，有些要事先規劃，因為其必要性的問題…(也許有些沒有提到…