请教一下目前的技术是否可以做到封锁员工自己带的随身 wifi?就是说让员工即便是插上随身 wifi 但是也用不了,如果能做到的话效果是啥样的?是没有 wifi 信号吗
bannychen · 2018-02-08 10:37:36 +08:00 · 11457 次点击这是一个创建于 2465 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
turan12 2018-02-08 10:41:20 +08:00
不知道干扰 2.4G 和 5G 频段的罪过会不会比直接干扰移动信号频段大。这问题应该要用行政手段来解决吧,比如说发现一次罚款 2k,再次发现罚款 5k,第三次发现直接走人之类的。
|
 |
2
murmur 2018-02-08 10:42:48 +08:00
抓到就开除即可
损一点可以鼓励互相举报 |
 |
3
7sa 2018-02-08 10:43:36 +08:00  1
上网行为管理设备就可以,一般效果就是封你电脑 ip 一段时间
|
 |
4
yanyuechuixue 2018-02-08 10:43:50 +08:00 via Android
封锁 USB 接口不就行了?
不过干嘛要不允许… |
 |
5
SuperMild 2018-02-08 10:44:00 +08:00
楼主是说员工手机还是公司电脑?
|
 |
6
b821025551b 2018-02-08 10:44:35 +08:00
把旁边的三家运营商基站炸了。
|
 |
7
yulitian888 2018-02-08 10:45:22 +08:00
定向干扰?怎么识别哪些设备是员工带来的,哪些是办公环境里的?
|
 |
8
Tink 2018-02-08 10:46:41 +08:00
我们公司可以
|
 |
9
hing 2018-02-08 10:48:43 +08:00 1
爱快路由器可以限制随身 WiFi
|
 |
10
learnshare 2018-02-08 10:48:47 +08:00
何必?
|
 |
11
Laobai 2018-02-08 10:50:20 +08:00 via Android
爱快,高恪等固件都能限制随身 wifi
|
 |
12
zj299792458 2018-02-08 10:54:50 +08:00 1
用法拉第笼啊,墙上地上铺一层金属即可,然后在屋内放一个运营商信号 2g 的发射器,类似电梯里,如果电话也不让用那就不用了。文科生纯 yy。
|
 |
13
IllllI 2018-02-08 10:55:32 +08:00
不明白这是要干嘛
|
 |
14
Applenice 2018-02-08 10:56:01 +08:00
那直接禁所有设备的 USB (先指定一台开放 USB 的机器),大家都从那台机器传输文件不就行了
|
 |
15
f2f2f 2018-02-08 10:56:55 +08:00
终端装管理软件就行,全部连接都封死
|
 |
16
timwei 2018-02-08 10:57:04 +08:00
有域控的话,组策略禁用无线网卡跟 usb 口
怕员工取回本地管理员就锁机箱 再不济就上 workwin/ipguard |
|
17
Applenice 2018-02-08 10:57:17 +08:00
加一句,手机开热点的话就不知道了啊(逃
|
 |
18
bfhh126 2018-02-08 10:57:17 +08:00 1
防火墙监测到多终端上网直接封 IP 一段时间。
|
 |
19
l0wkey 2018-02-08 10:57:36 +08:00 1
有个脑洞...
准实时探测非公司提供的 ssid,找 bssid,AP 模拟对应 bssid 和 ssid 发一个一样的信号。。。 |
 |
20
sothx 2018-02-08 10:57:59 +08:00 via iPhone 1
如果是出于管理考虑,公司这么做并不好,如果是出于带宽考虑,可以执行。
如果有技术部门,限制了 wifi 也会影响一些需要 wifi 的工作。 更何况现在的流量这么廉价,通过 wifi,督促员工作的作用不大。 |
 |
21
SeeMeTomorrow 2018-02-08 10:58:42 +08:00
目前只允许每个账号使用随时 wifi 连接一台手机
 |
 |
22
DOLLOR 2018-02-08 10:59:09 +08:00
首先你该说明白你的目的是什么?是防止员工用 wifi 把公司的内网广播出来?还是防止员工利用数据流量转 wifi 来访问互联网?
如果是前者,直接设立 MAC 地址、IP 地址实名制,只许公司电脑联网。 如果是后者,那就无解。除非你能把隔壁、楼上、楼下公司及其员工的 wifi 以及方圆 5 公里内所有基站都炸了。 |
|
23
SeeMeTomorrow 2018-02-08 11:00:19 +08:00
上图第二行那个用户接入了两台移动终端,所以被冻结 20 分钟
|
 |
24
zyxbcde 2018-02-08 11:00:41 +08:00 via Android
为了防止员工玩手机的话完全没必要吧,手机都无限流量了。
|
 |
25
MikuM97 2018-02-08 11:01:19 +08:00
我们公司,早期是靠深信服的行为管理,做共享检测,后期有了内网安全系统之后,直接禁止私自安装软件,世界都清静了。
|
 |
26
nullcoder 2018-02-08 11:06:24 +08:00
@miaojiang22220 内网安全系统是什么?
|
 |
27
mytsing520 2018-02-08 11:09:20 +08:00
仅就楼主的标题的提问来回答:
可以做到,行为是屏蔽该内网地址的访问,相关 IP 用户需要主动申请恢复网络 |
 |
29
stanjia 2018-02-08 11:10:22 +08:00
贵公司真是无聊= =
|
 |
30
yoke123 2018-02-08 11:11:21 +08:00
|
 |
31
leavic 2018-02-08 11:22:46 +08:00
贵公司是秦城监狱吗?
|
 |
32
Soar360 2018-02-08 11:46:14 +08:00
~去网吧,电脑的 USB 口只要插上 360 随身 WiFi,系统就会自动重启……
|
 |
33
function007 2018-02-08 11:52:54 +08:00
公司网络不许私用还是算正常操作吧,行政上执行严一点应该就能杜绝大部分,再加个行为管理的辅助一下监督。不过事先要给员工说清楚,这样再犯事的于情于理公司都该处罚了
|
 |
34
laqow 2018-02-08 12:00:36 +08:00 via Android
装一个带宽小一点带身份验证的简单 wifi 给员工用就好了嘛。。大部分情况不就是图个看微信省钱。。
|
 |
35
yingfengi 2018-02-08 12:38:06 +08:00 via Android
两种
1.上网行为管理做防共享策略:检测到随身 WIFI 对该 PC 断网,并且后台记录。 2.无线反制:只允许连接白名单的 WIFI |
 |
36
Admstor 2018-02-08 12:39:17 +08:00
楼主说的是那种公司没有 wifi,但是有网线,然后禁止在电脑上插 USB 网卡分享网络的事
这个 21 楼已经给了答案 毕竟所有设备都有 MAC 地址的,封禁起来有 100 种方法,即便是 MAC 伪装也没用,详细去复习网络基础就能知道了 但是如果你是移动 mofi,应该目前除了频道干扰还没其他办法做到 说实在的,公司的 wifi 就算给我用我也懒得用,各种监听太泄露隐私 |
|
38
yingfengi 2018-02-08 12:40:33 +08:00 via Android
@SeeMeTomorrow 深信服 AC12.0.3 版本?
|
 |
39
imbushuo 2018-02-08 12:49:38 +08:00
当然可以,企业级设备都做了几年这个了…… AP 带单独的天线直接扫,发现了疑似在 LAN/符合关键词之类的,客户端和 Rouge AP 被周围所有 AP 用单独的第三天线踢爆,然后如果是大规模部署网络的话可以直接上报位置 |
 |
40
Cu635 2018-02-08 12:55:12 +08:00
lz 这么干的目的是啥?是公司没有 wifi 只有有线,不让员工上班玩手机?
|
 |
41
wanhuiming 2018-02-08 12:57:39 +08:00
上有政策 下有对策 别这样吧
|
 |
42
contmonad 2018-02-08 13:11:10 +08:00 via iPhone
进厂的时候过安检加搜身就可以,参考华为红区管理
|
 |
43
likuku 2018-02-08 13:15:34 +08:00
MAC 地址绑定,仅白名单
|
 |
44
tuding 2018-02-08 13:43:17 +08:00 1
一般来说随身 wifi 上网有两种模式,一种是 NAT 模式,一种是桥模式。
NAT 模式可以通过控制 TTL 来禁止随身 wifi 上网 桥模式可以通过 IP+MAC+VLAN(+PORT)来禁止随身 wifi 上网 当然,还是通过行政手段是最有效的,某大厂的做法是罚款把直属领导捆绑上,员工罚多少直属领导也罚多少,效果良好。 |
 |
45
axisray 2018-02-08 13:55:54 +08:00
|
 |
46
Tounea 2018-02-08 13:58:49 +08:00
666
|
|
47
yingfengi 2018-02-08 14:14:14 +08:00 via Android
@axisray 请教下,今天有个客户说 AC 做微信认证,说微信经常拉不起来会是什么情况,还没给他远程。
|
 |
48
totoro625 2018-02-08 14:50:36 +08:00 via Android
只需要封锁随身 wifi 的话,可以吊销那个 wifi 辅助程序的数字证书,或者电脑定时杀那个程序,让 wifi 的那个辅助程序无法运行。顺便再弄个监控程序,程序被破坏直接发信息给管理员。这样他们带来的随身 wifi 就没用了
|
 |
49
xiaozecn 2018-02-08 14:55:37 +08:00 via Android
不如干脆公司提供一个独立于内网的 WIFI 啊。这都啥年代了,还玩禁止这一套。
|
 |
50
F2Sky 2018-02-08 15:15:19 +08:00 via Android
总想着用技术手段解决管理上的问题。
|
 |
51
fate 2018-02-08 15:18:48 +08:00
可以了解下 360 天巡
|
 |
52
rooftop64 2018-02-08 15:47:56 +08:00
云子可信
|
 |
53
smg 2018-02-08 16:06:46 +08:00
代理服务器 完美解决 接什么随身 wifi 都没用
|
 |
54
geralt0725 2018-02-08 16:32:07 +08:00 4
啥公司?告诉大家免得误投简历
|
 |
55
yuriko 2018-02-08 16:46:54 +08:00
不太理解 LZ 的需求,是不让公司网络扩散,还是不想员工用手机?
|
 |
57
winglight2016 2018-02-08 19:53:59 +08:00
参考一下华为、远光等大公司等做法吧,直接控制互联网访问,禁止安装 usb 驱动,安装系统安全策略等等
|
 |
58
anheiyouxia 2018-02-08 20:15:51 +08:00 via Android
以前的公司,不知怎么设置的,所有 USB 端口都没用,插上去没反应的
|
 |
59
icorgi 2018-02-08 20:31:35 +08:00
如果可以做到终端管控(有域、准入环境)就禁 usb 口,禁无线网卡,没办法就上网行为管理
|
 |
60
flyfishcn 2018-02-08 21:46:22 +08:00
如果不上域,参考公安网,安装类似禁止一机两用监控程序,插入未授权外设自动报警。如果卸载,检测到网络通但是监控软件并没有运行的,如果没有上报故障,则按泄密直接纪律处分。
上域就直接禁止软件安装、禁止安装设备驱动。 另外之前看一些行为管理软件有准入客户端,准入网关有动态 ACL,不安装直接没有网络访问权限,安装了自带防私接。用过诺顿企业版套件有此功能。 |
|
61
yanyuechuixue 2018-02-08 22:07:56 +08:00
@zj299792458 法拉第牢笼需要把发送者单独关起来或接受者单独关起来,关在一起是不行的...
|
 |
62
woscaizi 2018-02-08 22:18:24 +08:00 via iPhone
现在 4G 套餐有的都无限了,还冒着被处罚的危险共享电脑的 wifi ?
|
 |
63
Cyron 2018-02-08 23:26:52 +08:00 via iPhone
我觉得真要管理,就要求所有员工必须连接公司 wifi,然后统一加限制。当然,两台手机可破
|
 |
64
huangtao728 2018-02-08 23:42:09 +08:00
可以的,但是打开之后连公司提供的 WiFi 也会受限(不过看使用场景这点并不影响)
跟考场的信号屏蔽器一个原理,可以搜得到 WiFi,但是连不上,最简单的,一块 ESP8266 也能实现 话说回来,什么年代了都还用这一招。。。提高工作效率绝对有比这更好的方法。 |
 |
65
bclerdx 2018-02-08 23:51:31 +08:00
@function007 如果公司非要这么干,那就所有人,包括领导在内的全部禁止,光禁止底层员工,有意思么?
|
 |
67
travelforlove 2018-02-09 03:03:49 +08:00
其实非常容易,也是国外的行业标准。
在公司是大跨国技术公司并完全实施了大跨国技术公司的全套行业标准的前提下。 设置一些 AP 去扫描所有广播 /未广播的 wifi 信号,排除掉已知的公司外部的干扰。 剩下一旦出现新的信号就查到是谁然后约谈。 如果有人通过伪装 mac 之类的明显恶意行为提升查找难度的话, 就直接远程拿到那附近所有电脑的 USB 记录然后不给任何赔偿的开除那个涉嫌泄密的人。 国内农企也有很多不画那么多钱在基础设备上的方法, 比如所有 USB 能物理拆除的就物理拆除,不能的就贴封条之类的。 比如抓到一个典型之后判个入狱十五年之内的。 |
|
68
travelforlove 2018-02-09 03:10:27 +08:00
@f2f2f 这个可以通过使用 USB 启动员工自己的操作系统来破解。
|
|
69
travelforlove 2018-02-09 03:15:29 +08:00
|
|
70
travelforlove 2018-02-09 03:21:38 +08:00
@flyfishcn 可以通过克隆 MAC 地址让没有安装任何监控程序的电脑接入,也可以自己发包伪装成监控软件有在运行,公安内网数据以前基本上是个专业贩子都能拿到,最近不知道具体什么状况。
|
|
71
travelforlove 2018-02-09 03:24:50 +08:00
|
 |
72
des 2018-02-09 07:57:29 +08:00 via Android
|
|
73
zj299792458 2018-02-09 09:10:05 +08:00 via iPhone
@yanyuechuixue 个人理解楼主的目的是要让员工不能通过随身 wifi 上网,而不是要屏蔽随身 wifi 的信号怕有辐射?
|
 |
74
openbsd 2018-02-09 09:26:25 +08:00
仅限 Windows 环境 AD 配合组策略,不适用任何第三方软件的情况下
可以精细到 只能使用公司制定的 U 盘 |
 |
75
luoqeng 2018-02-09 09:38:28 +08:00
公司网线直接插无线路由器。隐藏 SSID。
|
 |
76
fchypzero 2018-02-09 09:40:54 +08:00
现有网络环境做好授权,堵住非授信设备访问网络。
上 IP-Guard 类似的软件,亲测有用。 |
 |
77
Famio 2018-02-09 09:47:10 +08:00
我们公司 AD+ISA,走域用户认证,热点你能连,没认证过不去。
|
 |
78
dilu 2018-02-09 09:57:10 +08:00
技术上不是什么问题 但是对员工这么苛刻真的好吗?如果你是有特殊的安全性需求还好,不然的话,工作苦,工资少,零食没有,奖金没有,还不让用一下 WIFI 估计辞职也是早晚的事
|
 |
79
chaleaoch 2018-02-09 10:04:23 +08:00
随身 wifi windows 系统可以封。
|
 |
80
DevNet 2018-02-09 10:47:58 +08:00
|
 |
81
c0878 2018-02-09 11:33:14 +08:00
直接网关上把不想让员工访问的域名封掉就好了 随身 wifi 不也是最终要走有线网络
|
 |
82
8cbx 2018-02-09 13:01:19 +08:00
办法一:断掉所有网口,贴封条,拿胶水堵死,发现拆封罚款或开除
办法二:WiFi 压制,大功率压制所有 2.4g 和 5g 频段,让网速成渣,自然就没人用了 |
|
83
flyfishcn 2018-02-09 13:32:37 +08:00 via iPhone
@travelforlove 真要弄有很多办法,这种只是能防止未经授权访问,当然这样防范已经够了,能查到人了。如果加个摄像头,你还敢随便接入么?当然你可以破坏摄像头,还有再好的防泄密措施也防不住记在脑子里然后带出去,对吧?
|
 |
84
winstars 2018-02-09 14:41:02 +08:00
可以的,操作系统组策略里面直接禁止开热点。
|
 |
85
que01 2018-02-09 14:46:40 +08:00
让我想起上学时候的锐捷了。。。。。。那时候用它拨号上网 不能发热点 发热点就给你断网。。。所以说 按说还是可以的。。。。。。。
|
 |
86
yoqu 2018-02-09 16:19:58 +08:00
我们公司上网拨号用 inode,完美解决大家电脑乱分 wifi 的问题
|
 |
87
picasso250 2018-02-09 16:35:21 +08:00
所有的公司电脑都使用有线.
然后全频带阻塞干扰. 绝对安全. 只是人可能要穿上防护服. |
 |
88
panpanpan 2018-02-12 07:51:35 +08:00 via iPhone
参考一下大学里面封锁共享 wifi 的方式。
|
Select Language