安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能对比
下载中心
购买咨询
客户列表
关于安企神

使用ISA Server禁止MSN传送文件

更新时间:2022-07-15 16:32:19


本文简介:在企业中使用P2P传输文件确实造成了一些安全隐患 ,病毒和木马都有可能由这个途径突破企业防火墙进入企业内部网络,还有企业的重要信息或数据也可能由此途径泄漏到外部网络。因此很多企业有禁止P2P软件传送文件,又不能影响消息通讯的需求。 在此我给大家介绍一下如何禁止MSN传送文件。    如果只允许用户使用Windows Messenger,而不使用MSN Messenger,可以实现封堵MSN传文件的

使用ISA Server禁止MSN传送文件

在企业中使用P2P传输文件确实造成了一些安全隐患 ,病毒和木马都有可能由这个途径突破企业防火墙进入企业内部网络,还有企业的重要信息或数据也可能由此途径泄漏到外部网络。因此很多企业有禁止P2P软件传送文件,又不能影响消息通讯的需求。 在此我给大家介绍一下如何禁止MSN传送文件。
  
  如果只允许用户使用Windows Messenger,而不使用MSN Messenger,可以实现封堵MSN传文件的问题。
  
  经过我对这两个软件的分析之后发现:Windows Messenger和MSN Messenger登录 .net帐号时都是使用TCP的1863端口的,但是传输文件的时候使用的端口就不同。
  
  Windows Messenger使用的是TCP 的6891 ~ 6900端口,语音视频传输用的是UDP的5004 ~ 65535端口。而MSN Messenger传输文件仍然是TCP的1863端口。这样我就想到了只让用户使用Windows Messenger,然后把TCP的6891 ~ 6900端口端口封掉不就可以啦!
  
  不过,不让用户使用MSN Messenger有点困难,但是还是有办法实现的。
  
  下面做个实验看看具体是怎么配置的!
  
  一、 网络结构
  
  二、 实验步骤
  
  较早步: 架设DNS Server;
  
  第二步: 提升DC,建立活动目录环境 ;
  
  第三步: 建立域用户和组;
  
  第四步:将ISA Server和Client加入到域中;
  
  第五步:安装ISA Server 2004 标准版,在安装完成后安装Service Pack 1补丁包;
  
  第六步:配置ISA Server;
  
  第七步:配置防火墙策略;
  
  第八步:测试;
  
  三、封掉MSN Messenger;
  
  1. 配置步骤;
  
  2. 测试:;
  
  3. 进一步测试.;
  
  4. 监视客户端是否使用了MSN Messenger;
  
  总结
  
  一、 网络结构
  
  1. 网络结构图
  
  


 


  
  2. 结构描述
  
  (1)DC、DNS
  
  操作系统:Windows Server 2003 SP1
  
  IP:192.168.6.11/24
  
  网关:192.168.6.16
  
  DNS:192.168.6.11
  
  域名:test.net
  
  (2)ISA Server
  
  操作系统:Windows Server 2003 SP1
  
  内网网卡IP :192.168.6.16/24
  
  内网网关:无
  
  DNS:192.168.6.11
  
  (3)Client
  
  操作系统:Windows 2000 Professionnal SP4
  
  IP:192.168.6.21/24
  
  网关:192.168.6.16
  
  DNS:192.168.6.11
  
  客户配置为防火墙客户。
  
  二、 实验步骤
  
  本文中涉及到了一些DNS Server和AD(活动目录)中的一些配置和内容,具体方法 忽略。在此域环境只是我的企业网络的需要,不是必须的。
  
  较早步: 架设DNS Server。
  
  第二步: 提升DC,建立活动目录环境。
  
  第三步: 建立域用户和组。
  
  1. 建立测试用域用户组:
  
  (1) 浏览网页组
  
  (2) MSN组
  
  (3) 邮件组
  
  2. 建立测试用域用户帐号:
  
  (1)test1:加入到浏览网页组、MSN组和邮件组。
  
  (2)test2:加入到无限上网组。
  
  第四步:将ISA Server和Client加入到域中。
  
  第五步:安装ISA Server 2004 标准版,在安装完成后安装Service Pack 1补丁包。
  
  第六步:配置ISA Server。
  
  1. ISA Server使用默认的边缘防火墙模版。
  
  2. 新建四个用户集,并于AD中的用户组对应。
  
  (1)现在我们建立较早个用户集,在防火墙策略右边的工具箱中,点击“用户”,然后点击“新建”
  
  


 


  
  打开新建用户集向导:
  
  


 


  
  在“用户集名称”中,输入新建的用户集的名字“浏览网页组”,然后点击“下一步”,来到“用户”页。
  
  


 


  
  在“用户”页,单击“添加”,并选择“Windows 用户和组”
  
  


 


  
  在这里点击“位置”,选择“整个目录”,后点击“确定”
  
  


 


  
  在“输入对象名称来选择”栏里面输入“浏览网页组”,然后点击“检查名称”。
  
  


 


  
  检查成功后,点击确定回到“用户”页,如下图所示,点击“下一步”,按照提示完成用户集的建立。
  
  


 


  
  刚建立好的用户集会在“用户”中显示出来
  
  


 


  
  (2)然后,按照同样的方法,建立其他四个用户集。
  
  全部建立好的用户集如下图:
  
  


 


  
  (3)点击“应用”,应用刚才配置的用户集设置。
  
  


 


  
  3. 自定义协议,使用TCP 的6891 ~ 6900端口,包括出站和入站
  
  (1)新建协议:TCP出站6891 ~ 6900端口
  
  在防火墙策略右边的工具箱中,点击“新建”,然后点击“协议”
  
  


 


  
  选择“协议”后出现“欢迎使用新建协议定义向导”对话框:
  
  


 


  
  输入协议定义名称:TCP 出6891-6900 ,并点击“下一步”,进入“首要连接信息”对话框
  
  


 
点击“新建”
  
  

 


  
  打开“新建/编辑协议连接”对话框,选择协议类型为:TCP,方向:出站,端口范围从6891到6900,然后点击“确定”,回到“首要连接信息”对话框
  
  

 


  
  点击“下一步”进入“辅助连接”对话框
  
  

 


  
  直接点击“下一步”完成新建协议向导。
  
  (2)按照同样办法,新建协议:TCP入站6891 ~ 6900端口
  
  

 


  
  第七步:配置防火墙策略。
  
  1. 新建一条规则:允许DNS协议访问外网
  
  规则名:allow DNS to external
  
  顺序: 1
  
  操作:允许
  
  从:内部
  
  到:外部
  
  协议: DNS
  
  用户:所有用户
  
  2. 新建第二条规则:封掉TCP 的6891 ~ 6900端口
  
  规则名:Deny TCP 6891-6900
  
  顺序: 2
  
  操作:拒绝
  
  从:内部
  
  到:外部
  
  协议: TCP 出6891-6900、TCP 入 6891-6900
  
  用户:所有用户
  
  3. 新建第三条规则:允许所有用户访问网页、收发邮件和登录MSN。
  
  规则名:allow from internal to external
  
  顺序: 3
  
  操作:允许
  
  从:内部
  
  到:外部
  
  协议: DNS、HTTP、HTTPS、MSN、MSN Messenger、POP3、SMTP
  
  用户:所有用户
  
  备注:这一条规则建好之后马上停用,在后面实验的时候会启用,在看到本文后面的测试部分时就会知道为什么有这一条策略了。
  
  4. 新建第四条规则:允许浏览网页组浏览网页
  
  规则名:允许浏览网页
  
  顺序: 4
  
  操作:允许
  
  从:内部
  
  到:外部
  
  协议: DNS、HTTP、HTTPS
  
  用户:浏览网页组
  
  5. 新建第五条规则:允许使用MSN
  
  规则名:允许使用MSN
  
  顺序: 5
  
  操作:允许
  
  从:内部
  
  到:外部
  
  协议: DNS、HTTPS、MSN、MSN Messenger
  
  用户: MSN组
  
  6. 新建第六条规则:允许邮件组收发邮件
  
  规则名:允许收发邮件
  
  顺序: 6
  
  操作:允许
  
  从:内部
  
  到:外部
  
  协议: DNS、POP3、SMTP
  
  用户:邮件组
  
  7. 新建第七条规则:允许无限上网组访问外网
  
  规则名:允许无限上网
  
  顺序: 7
  
  操作:允许
  
  从:内部
  
  到:外部
  
  协议:所有出站通讯
  
  用户:无限上网组
  
  全部访问规则截图:
  
  

 


  
  7. 规则描述
  
  (1)第四、五、六这三条规则,可以合并为一条,但是我没有这样配置。因为这三条规则搭配使用,用不同的搭配可以给用户不同的权限。
  
  例如:有的用户只能浏览网页和使用MSN。有的用户只能使用MSN和收发邮件。有的人是能收发邮件。
  
  (2)第七条规则的用途:
  
  如果有测试的需要或某些特殊用户(如:管理员和老总),可将加入到无限上网组,那么他们上网将无限制,但是还是受到第2条规则的限制。
  
  第八步:测试
  
  使用用户:test1在cleint上登录,然后开始测试:
  
  1. 使用Windows Messenger登录MSN,成功登录。
  
  

 


  
  

 


  
  2. 找个朋友来互传文件试一下。
  
  前提是他那边也用Windows Messenger登录的。WM和MSN Messenger之间传文件是存在问题的,这个现象在公网上也是一样的。微软这个地方可能是考虑到了两个软件的用途不同的缘故吧。
  
  下面是我传文件给他的图:
  
  

 


  
  传失败了,看看这时对方的截图是怎么样的:
  
  

 


  
  他传文件给我的图:
  
  

 


  
  对方的截图:
  
  

 


  
  很明显,传输doc和zip的文件是不能传了。
  
  注:我做过多次测试,其他任何文件都无法传输,但是发送消息都是没有问题的。
  
  3. 使用用户test2登录到客户端client再次进行测试,现象相同:
  
  

 


  
  4. 使用MSN Messenger登录传文件试一下。
  
  (1)由于安装了Windows Messenger之后,安装MSN Messenger是不可以的。所以我找一个绿色版的MSN Messenger 7.5,可以和Windows Messenger同时使用了。登录MSN成功:
  
  

 


  
  (2) 让对方也换成MSN Messenger之后再传一次文件试一下。
  
  

 


  

 
 我对用MSN Messenger传文件时的日志分析了一下,发现传文件用的也是TCP 的1863端口,而且1863端口失败的话会尝试用443端口的。这些端口就不能封了,除非MSN都不让用。
  
  现在,现象比较明确了:用户使用Windows Messenger登录MSN帐号封掉传文件时可以实现的,但是如果用户使用MSN Messenger登录就可以传文件了。
  
  所以现在的事情就是要想办法把MSN Messenger这个软件封掉,不能让客户端用户使用,同时又不能影响Windows Messenger。
  
  三、封掉MSN Messenger
  
  仔细想想MSN Messenger和Windows Messenger的功能和特性,还有区别。就会明白微软公司为什么做了一个MSN Messenger还要做一个Windows Messenger了。企业就是应该用Windows Messenger,而MSN Messenger应该是个人用的,不应该应用到企业中来。微软的产品分工还是蛮明确的!
  
  首先,安装软件的权限当然是不能给用户的。
  
  另外,就只有绿色MSN Messenger这一条路了。
  
  可以利用软件限制策略来限制MSN Messenger,这个办法确实比较有效。
  
  但是,需要查找MSN Messger的各个版本的哈希值,配置策略也比较麻烦。
  
  而且配置一条策略对用户登录计算机的速度也是一个影响,而在ISA Server的“监视”中的“会话”栏里面是可以看到MSN的连接会话的,既然可以看到会话,如何禁止这类会话呢?
  
  所以我考虑另外想一个办法,看能不能在ISA Server上做一点配置。
  
  在客户端的“任务管理器”中可以看到MSN Messenger的进程:
  
  

 


  
  禁止这个进程去访问网络应该去就可以了,在某些个人防火墙上是有这类功能的,那么ISA Server能不能做到呢?
  
  在ISA Server的服务器管理设置中有对配置禁止客户端应用程序去访问外部网络的设置,但是前提是必须在客户端上安装防火墙客户端。
  
  下面看看详细配置方法:
  
  1. 配置步骤:
  
  (1) 打开ISA Server 管理控制台:

立即下载试用

企业防泄密软件哪款好用?公司防泄密软件推荐使用

企业防泄密软件哪款好用?公司防泄密软件推荐使用

99% 的企业每年都有员工离职:员工离职带走核心图纸导致严重泄密...

85% 的安全威胁来自企业内部:公司重要文档图纸泄露造成严重损失...

80% 的企业每年都发生泄密事件:重要文档数据随意扩散造成诸多麻烦...

企业防泄密软件哪款好用?公司防泄密软件推荐使用

没有保护的数据资产,会被有意无意的任意流传扩散,价值也就无从谈起,因此,无论在内部办公还是对外交流过程中,文档的自身安全应该受到重视。如何保护重要文件不被泄密,用哪款防泄密软件?

公司防泄密软件推荐使用

为了保障企业的数据安全,选择一款高效、稳定的企业防泄密软件显得尤为重要。在众多防泄密软件中,安企神软件以其卓越的性能和全面的功能,成为了众多企业的首选。

安企神文件加密软件对用户而言是透明、无感知的。文件的保存加密、打开解密完全由后台驱动内核自动完成,整个过程无需人工干涉,也不影响员工原来的操作习惯和工作习惯,员工们甚至感觉不到加密软件的存在。

文件未经审批通过U盘拷贝、QQ、微信、电子邮件或其它任何方式流传出去,文件将自动损毁而无法打开。如果文件需要发给客户或公司外面的人,则需要经过管理人员的批准解密。

企业防泄密软件哪款好用?公司防泄密软件推荐使用

软件功能介绍

安企神软件采用了先进的加密技术,可以对企业数据进行高效的加密保护。无论是存储在本地电脑上的文件,还是通过网络传输的数据,安企神软件都能提供强大的加密支持,确保数据在传输和存储过程中的安全性。

软件还能审计和追踪文件的访问、修改和删除等操作,为管理员提供全面的数据安全保障。支持外发文件控制,有效防止敏感数据被非法复制和传播。详细功能如下:

1、加密数据

能够对单个文件或文件夹进行加密,确保只有经过授权的用户才能访问。

对敏感数据进行加密是一种常见的防泄密措施。通过加密,即使数据被窃取或丢失,也无法被未授权人员轻易解密和使用。

企业防泄密软件哪款好用?公司防泄密软件推荐使用

2、控制访问权限

可以控制员工在电脑上进行的操作,如禁止复制、删除、修改等。

限制对敏感数据的访问权限是另一种有效的防泄密措施。只有经过授权的人员才能访问敏感数据,从而减少数据泄漏的风险。

3、审计和监控

通过审计和监控工具,企业可以跟踪和记录对敏感数据的访问和使用情况,及时发现异常行为并进行处理。

4、数据备份和恢复

定期备份敏感数据并制定有效的恢复计划,可以确保在数据丢失或损坏时能够及时恢复,降低数据泄漏对企业的影响。

5、U盘外设管理

能够限制U盘等外部设备的接入,规范员工对外部设备的使用。

企业防泄密软件哪款好用?公司防泄密软件推荐使用

企业防泄密软件哪款好用?公司防泄密软件推荐使用

6、操作管控

可以记录员工的电脑操作行为,包括文件操作、应用程序使用等。

7、日志审计

能够对员工的电脑使用情况进行全面监控和记录,便于后期审查。

8、敏感内容识别

具备智能的敏感内容识别功能,能够自动检测和过滤敏感信息。

9、资产和运维管理

能够统一管理公司的电脑设备,进行资产管理、远程控制等操作。

企业防泄密软件哪款好用?公司防泄密软件推荐使用

软件优势

安企神数据防泄密软件是一款高效、稳定且功能全面的数据保护工具,其优势主要体现在以下几个方面:

1、全方位的数据保护: 具备强大的数据加密功能,能够对企业内部的各种数据类型进行全方位的保护。

2、灵活的权限控制: 软件支持根据员工的职务和权限设置不同的文件访问权限,确保每个员工只能获得必要的信息。

3、丰富的审计功能: 软件能够记录所有文件的访问历史,包括文件的打开、修改、删除等操作,以便企业进行监控和追溯。

4、易用性和灵活性: 软件支持移动设备的使用,员工可以在手机或平板电脑上随时随地查看和编辑文件,提高工作效率。

5、高效稳定的性能: 采用高效的数据处理技术和算法,确保系统运行流畅且不影响业务正常运行。

企业防泄密软件哪款好用?公司防泄密软件推荐使用

四、总结

综上所述,安企神数据防泄密软件以其全方位的数据保护、灵活的权限控制、丰富的审计功能、易用性和灵活性以及高效稳定的性能等优势,成为了企业保护数据安全的重要工具。如果您正在寻找一款可靠的防泄密软件来保护企业的数据安全,那么安企神软件将是您的理想选择。


本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/11699.html