raytracy建議把port全禁掉,shunyuan又說理論上 SSH 的 port 是不禁的,身為MIS想問,該進掉嗎??唉!!!現在員工真難管.就算查到,MIS也不知道他在作什麼,拿不出證據fire他怎辦??有更明確的辦法嗎??

我想不出有甚麼理由可以不禁 SSH Port? 除了身分很特殊的用戶或應用軟體之外, 目前絕大部分公司裡有甚麼正當的應用, 是非得用 SSH 連到外面去, 才能完成工作的? 我想不出來....

既然正常的工作用不到 SSH, 禁了 SSH 對用戶並沒有任何影響...

我再說清楚一點好了, 還是一樣所有 Port 全封, 然後:

要發 Email: 一律透過公司的 Email Server. 所有郵件內容都複製以供稽核.
要上網: 一律透過公司的 Proxy Server, Proxy 上設定可以上的網站, 並記錄內容.

IM, Skype 之類的, 一律不准使用. 如果是公司內部因節費要使用, 可以架設微軟的 Office Communication Server (OCS), 內建 SIP 語音電話和 IM 功能 (搭配 Office Communicator 和 IP PBX), 這樣可以控管在只有公司內部使用, 或是只有跟公司結盟認證(Federation)的夥伴公司間使用.

這樣還需要開甚麼其他的 Port 嗎? 應該就足夠平常上班使用了吧....

另外,有員工是用windows/網路連接/帶上VPN連到公司外部VPN服務器,VPN要怎樣封掉呢??

有些人據說是用hotspot-shield或者是openVPN一類的架在公司外面.
或者花錢買聯康的VPN http://www.link886.com/
PPTP TCP src port 1-65535, dst port:1723
IKE UDP src port 1-65535, dst port:500
L2TP UDP src port 1-65535, dst port:1701

看來為了封VPN,SSH也只好想辦法把全部的port封掉了.好像沒更好辦法了.

如果用3G/3.5G連線怎麼禁止？
拿iPhone/Android當MODEM用怎麼禁止？

如果用3G/3.5G連線怎麼禁止？
拿iPhone/Android當MODEM用怎麼禁止？
→停用USB設備 只要抓不到此項設備 如何使用呢
OR
→禁止安裝撥接程式 一般這些網卡或手機都需要撥接程式 沒有撥接程式安裝上去 應該也沒用

luxuryorder提到：
raytracy建議把port全禁掉,shunyuan又說理論上 SSH 的 port 是不禁的,身為MIS想問,該進掉嗎??唉!!!現在員工真難管.就算查到,MIS也不知道他在作什麼,拿不出證據fire他怎辦??有更明確的辦法嗎??

我們公司的 Linux server 都必須用 SSH 登入，這應該已經是很普通的事情，現在還有人用 Telnet 嗎？

沒蓋我？