是否可借由控制電腦端DefaultGateway,來限制3G網卡連外上網?

lesterkuo 2011-12-14 13:29:02 ‧ 5740 瀏覽

分享至

目前正在測如何限制user透過3G上網,當然也爬了不少文,如限制USB或用管控軟體......等,因公司user皆需LocalAdmin的權限,又一定要用USB;但分析了3G上網方式後,是否可借由控制電腦端DefaultGateway,來限制3G網卡對外的路由.大概想法及遇到的問題如下:
1.一開機就將電腦網卡上所有的DefaultGate改為內部的DefaultGate IP => 請問這是否可由GPO或registry來作
2.再限制user修改電腦上的Route Table => 目前雖能關閉網路的設定UI介面,但無法鎖如 Route ADD 等指令，請問這是否可由GPO或registry來作

如可行這樣因該就算接上3G網路,DefaultGateway還是出不去.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

vino1

iT邦大師 1 級 ‧ 2011-12-15 10:01:48

最佳解答

3G 上網您要封鎖的是那一種?! 智慧手機模擬AP分享出來的3G網路, 還是接 USB 的 3G 網卡?!

如果是3G網卡, 因為3G 網卡都是接上USB後, 會執行 autorun.inf 去安裝各家的連線程式, 進而去設定撥號連線,因此..小弟有一個想法, 您參考看看

假設每一台電腦硬碟分割為 C: D: 然後光碟機為 E: , 所以隨身碟接上去會是 F: ...
GPO 設定一條軟體限制政策, 底下是以 Win 2003 網域來說明
[電腦設定] -> [Windows設定] -> [安全性設定] -> [軟體限制原則]
在[其他原則]新增兩條路徑規則 ,

路徑 F:\*.exe ; 安全性等級為 [不允許]
路徑 F:\*\*.exe ; 安全性等級為 [不允許]
套用到這條規則的電腦, 其 F: 底下的執行檔就無法執行, 撥號程式自然也就執行不起來

然後GPO 一併啟用 [禁止存取新增連線精靈], 這樣 user 也無法自定義撥號內容
[使用者設定] -> [系統管理範本] -> [網路] -> [網路連線] ->啟用 [禁止存取新增連線精靈]

回應 3
分享
檢舉

sula3065408 iT邦研究生 1 級 ‧ 2011-12-15 14:47:21 檢舉

localAdmin的權限有沒有可能讓使用自己把上述設定給改回來？

小成 iT邦高手 10 級 ‧ 2011-12-15 15:05:33 檢舉

無法執行可以COPY到桌面執行...

vino1 iT邦大師 1 級 ‧ 2011-12-15 17:07:13 檢舉

如果用雜湊規則所做出來的針對檔案的禁用方式, 不論你copy到哪邊,就算用 rename 的方式也無法執行..

其實很想問版主, power user 也可以使用隨身碟...有什麼非得用 localAdmin 的理由嘛?!

登入發表回應

Ray

iT邦大神 1 級 ‧ 2011-12-14 21:40:33

您可以導入 Symantec 的 Network Access Control (NAC) 軟體, 透過中央控管主控台, 管理員可以主動派送規則到所有 Client 端, 封鎖 USB 上的所有裝置, 但是僅允許插入隨身碟, 這樣就可以避免使用 3G 網卡. 這個派送規則只有 Symantec 主控台可以修改, Client 即使有 Local administrator 權限也改不了.

NAC 也可以封鎖特定的 Application, 禁止用戶執行特定的軟體.

NAC 可以單獨買, 也可以合併在 SEP 12 的防毒軟體裡面一起買, 比較便宜.