公司屏蔽IM软件的一点心得

erylily

看到好多XD都在为封堵IM软件发愁，其实IM软件太影响员工工作效率了，呵呵。\r\n偶在公司经过一段时间摸索，总结出一点心得，想跟大家分享一下。希望给大家一些借鉴啦。\r\n偶们公司全国各地都通过专线连接到总部，只有总部有INTERNET出口，一共5000+台PC通过这里出去，通过HTTP代理，使用ISA+WEBSENCE,防火墙关闭了80和443之外的所有端口。WEBSENCE是个好东西，可以生成详细的报表，供偶们信息安全部门分析员工访问INTERNET情况，并且过滤很多地址，包括防火墙杀手Http-tunnel的地址.QQ的地址有限，很容易屏蔽掉，MSN是标准软件，websence也屏蔽的很好。\r\n不幸的是，每天发现IPS上还有很多MSN的流量，观测好几天才知道，是美国总部那边有MSN网关（美国总部是允许MSN的）。MSN竟然能自己找到那个网关地址，偶们大汗~~~因为不能关闭通往美国的路由，没办法，只能从别的方面下手了。\r\n公司所有电脑加入了AD，集中管理很方便，修改了LOCAL ADMINSTRATOR的名称和密码，一般部门的人是不会拥有ADMIN权限的，安全IM就没有可能，最头痛的就是IT部门和一些配置NB的部门和老板，他们基本都有LOCAL ADMIN的权限。\r\n公司标准PC是安装McAfee的杀毒软件和ePO,利用EPO集中管理Agent的能力，偶把msn和qq启动必须加载的dll文件9(msn 是msgslang.dll,msidcrl.dll,QQ是Basicctrldll.dll),定义为病毒，当MSN和QQ启动时，该DLL被杀，程序无法使用。\r\n但是，IT部门很多人就发现了这个问题，擅自停掉了EPO（感觉没有IM，他们都活不了了），还好，所有成功登陆的事件会被IPS记录，利用最后终极杀手涧，行政处罚~\r\n呵呵，忙碌了将近两个月，终于算基本解决了这个IM的问题，个人感觉，偶们还是信息安全政策做的不足，不然完全不必这么狼狈，比如权限分配合理点，行政手段跟进快一些，也许就不是现在这个样子了。

不要爱人

我在一个韩资公司里边看到一个软件，叫做PC保安的东西！好像能够实现上边的功能哦！那能不能在NAC上要求用户端必须开启EPO了？

erylily

现在好了，通过2008的组策略，禁止程序的HASH值就可以了。

waring_id

可以监控ＩＭ的协议，使用ＩＳＡ就是有这样的好处，包括ＱＱ（禁止关键字）就可以了

flb_2001

其实IM也可以提高工作效率的啊，这个是相对的，主要现在的老板不希望上班时间聊天而已，但其实还有个安全问题是这些东西容易感染病毒

spark8103

封IP，我们公司就这么干的

polokus

我这边，公司是允许使用MSN的，员工之间都是使用msn联系的

64139303

想要真正封  但是又允许看网页的 我只想到这些办法\r\n1。搞个应用层的防火墙，比如linux下面就有很多种的\r\n2。制定能访问的目的IP，还要保证这些IP没有代理功能\r\n3。公司人数不多的话 可以试下聚生网管  这个我用过 还不错

goodboy1881

我怀疑一个警告两次罚款三次开除这样的行政手段有效吗？\r\n\r\n嘿嘿嘿，如果我想跳槽，是不是只要聊天三次就可以了？

phphp

用得着这么麻烦？堵在这，那里又出来了\r\n不用IM的，发10000/m通讯补偿\r\n偷着用的，罚75%/m工资