V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
andyangyu
V2EX  ›  宽带症候群

公司网络白名单,哀嚎遍野

  •  1
     
  •   andyangyu · 2018-11-29 23:06:19 +08:00 via Android · 17210 次点击
    这是一个创建于 2196 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不知道什么技术,fq 都不起作用,即便是 wifi 连手机热点也打不开白名单之外的网站,难道只能用虚拟机了吗?

    114 条回复    2018-12-05 16:33:02 +08:00
    1  2  
    Sanko
        1
    Sanko  
       2018-11-29 23:36:03 +08:00 via Android
    4g
    dot2017
        2
    dot2017  
       2018-11-29 23:36:52 +08:00
    谁上班逛淘宝被老板发现好几次了吧
    andyangyu
        3
    andyangyu  
    OP
       2018-11-29 23:49:38 +08:00 via Android
    @dot2017 不是,金融公司,受银监会监管那种
    @Sanko 4g 也不行啊,拿回家也只能打开白名单的网页
    lhx2008
        4
    lhx2008  
       2018-11-29 23:58:12 +08:00 via Android
    看看能不能走个远程连接,不行的话只能用手机摸鱼了
    vcfghtyjc
        5
    vcfghtyjc  
       2018-11-29 23:58:23 +08:00
    会不会内置 vpn,所有流量先走审查网关?
    andyangyu
        6
    andyangyu  
    OP
       2018-11-30 00:03:43 +08:00 via Android
    @vcfghtyjc 如果是的话是不是没有其他办法了
    @lhx2008 唉,开始是不能用 qq,网盘邮箱之类的,现在比 gfw 还过分,以后还怎么愉快地搬砖啊
    andyangyu
        7
    andyangyu  
    OP
       2018-11-30 00:04:30 +08:00 via Android   ❤️ 1
    @lhx2008 而且又没有管理员账户,都是组策略限制的
    cchange
        8
    cchange  
       2018-11-30 00:04:31 +08:00
    既然都已经监管到这个程度了 就别尝试突破了
    l1ve
        9
    l1ve  
       2018-11-30 00:05:11 +08:00
    混淆域名试试? 4G 怎么会用不了呢,莫非你们公司有专用的基站?不太现实吧
    andyangyu
        10
    andyangyu  
    OP
       2018-11-30 00:05:33 +08:00 via Android
    @cchange 也没奢求其他的,就查查资料好多网站都打不开了
    andyangyu
        11
    andyangyu  
    OP
       2018-11-30 00:06:17 +08:00 via Android
    @l1ve 连上 4g 也只能打开白名单的网站,你说神不神奇
    cchange
        12
    cchange  
       2018-11-30 00:06:59 +08:00
    可能是驱动级的软件

    有好多这种情况就直接双硬盘了 办私事就启动第二个系统

    如果开启了 bitlocker 那就最好是换一台电脑吧
    andyangyu
        13
    andyangyu  
    OP
       2018-11-30 00:08:24 +08:00 via Android
    @cchange 好吧~_~,双硬盘不指望了,都贴了封条的,搬砖条件真的是恶劣啊
    a1044634486
        14
    a1044634486  
       2018-11-30 00:09:17 +08:00 via Android
    虚拟机都没用吧?这种本地有安全软件。。。
    benjix
        15
    benjix  
       2018-11-30 00:09:43 +08:00 via iPhone
    域?加入域了的话没救
    l1ve
        16
    l1ve  
       2018-11-30 00:10:15 +08:00
    @andyangyu 在公司楼下呢?
    一个或许可行的方案是买一个 4G 热点,放在楼下或者附近没有白名单的地方,然后 WIFI 连接热点实现上网
    andyangyu
        17
    andyangyu  
    OP
       2018-11-30 00:10:25 +08:00 via Android
    @a1044634486 虚拟机明天再折腾折腾,真的不知道自己能忍受多久这样的日子
    andyangyu
        18
    andyangyu  
    OP
       2018-11-30 00:12:03 +08:00 via Android
    @l1ve 我的意思是电脑可以连 4g 热点,但是连上也打不开白名单之外的网站,情况就是这么尴尬,我一个运维开发都想不到什么办法
    l1ve
        19
    l1ve  
       2018-11-30 00:13:10 +08:00
    @andyangyu 手机是可以的是吧,Ping 能 ping 通吗
    trepwq
        20
    trepwq  
       2018-11-30 00:14:05 +08:00 via iPhone
    应该是系统里安装了审查软件,win to go 了解一下吧
    andyangyu
        21
    andyangyu  
    OP
       2018-11-30 00:14:43 +08:00 via Android
    @l1ve 手机当然可以,也没有牛逼到控制基站。😂实在不行就只能手机查问题了,不过这也太不方便了
    cchange
        22
    cchange  
       2018-11-30 00:15:38 +08:00
    @andyangyu 和 IT 协商一下呗
    如果你需要管理员权限 得让 IT 随时响应
    如果不能 就提供本地管理员权限啊 否则没法干活
    andyangyu
        23
    andyangyu  
    OP
       2018-11-30 00:15:56 +08:00 via Android
    @trepwq 听君一席话。。但是电脑限制了 usb 写入,只能读,不知道 bios 启动可不可以选择 u 盘,明天试一试
    l1ve
        24
    l1ve  
       2018-11-30 00:16:27 +08:00
    @andyangyu 看 Ping 能否 Ping 通吧,ping 不通的话就开个虚拟机直连热点,ping 通的话就是 hosts 的问题
    andyangyu
        25
    andyangyu  
    OP
       2018-11-30 00:16:56 +08:00 via Android   ❤️ 1
    @cchange 这哪是 it 就能做的事啊,公司有安全部门,这些骚操作都是安全部门搞出来的
    vcfghtyjc
        26
    vcfghtyjc  
       2018-11-30 00:17:47 +08:00
    你这样折腾小心 IT 部门找你。还是老老实实两个设备吧。其实这样分离也挺好的。
    andyangyu
        27
    andyangyu  
    OP
       2018-11-30 00:18:22 +08:00 via Android
    @l1ve 嗯,目前想到靠谱的就是虚拟机了,貌似大家也没有什么更好的办法,就是不知道虚拟机还能用多久,毕竟控制权不在我这
    andyangyu
        28
    andyangyu  
    OP
       2018-11-30 00:19:47 +08:00 via Android
    @vcfghtyjc 两个设备还不知道公司允不允许,虽然现在有同事这么干,被抓到的话都不知道怎么解释啊。。
    s609926202
        29
    s609926202  
       2018-11-30 00:21:29 +08:00 via iPhone
    @andyangyu 不可能的吧,4G 又不看你是哪一家公司的
    andyangyu
        30
    andyangyu  
    OP
       2018-11-30 00:24:17 +08:00 via Android
    @s609926202 网友们说是驱动级别的限制,目前也不知道什么操作,同事们都怨声载道
    freed
        31
    freed  
       2018-11-30 00:25:44 +08:00
    自带笔记本或者 WIN 平板?

    你这种肯定是公司电脑上装上安管软件啦

    你还是别折腾了..

    既然装了肯定有日志..

    你不停的尝试的话..说不定老大哥在后台默默看着你呢....



    我们安管软件扫进程扫硬盘限制网页..

    如果你开了啥东西或者访问啥触发安管报警,就有人来找你谈话...


    PS:就算可以 U 盘启动用 PE 或者 WTG

    既然安全已经做到这样了,那么你如果用公司网络的话肯定有记录的..

    也只能用自己手机的 4G..

    而且你电脑的所有开发环境啥的都要重新搞

    只是查查问题的话没必要..

    而且安管软件那边也会看到你不在线
    yingfengi
        32
    yingfengi  
       2018-11-30 00:26:48 +08:00 via Android
    应该是上网行为管理,或者 360 天擎之类的这种。看描述是前者。微屁恩应该直接给禁了连不上吧。
    金融行业是有这些要求的
    freed
        33
    freed  
       2018-11-30 00:27:46 +08:00
    @s609926202 他电脑连的手机 4G,但是电脑是公司的撒,电脑里装了安管软件.所以可以限制..
    yingfengi
        34
    yingfengi  
       2018-11-30 00:28:17 +08:00 via Android
    往下翻了下。有禁止 usb 写入吗。。。那估计是有做准入了,就是前面我说的 360 天擎之类的东西。。。。。
    andyangyu
        35
    andyangyu  
    OP
       2018-11-30 00:29:06 +08:00 via Android
    @freed 对啊,我们组运维的小伙伴确实能看到我的每一个操作,之前在他电脑上瞄到的,就是很好奇为什么走代理都不行,理论上不应该都由代理转发请求么,这已然触及到我的知识盲区。
    cchange
        36
    cchange  
       2018-11-30 00:29:58 +08:00
    如果允许插入 u 盘会好一些 可以把查到的代码用 U 盘复制一下

    如果 usb 口都被封死,那就老老实实手抄吧。

    实际上这种情况可以吧电脑放在单位 自己带一个小平板或 surface

    别玩火
    andyangyu
        37
    andyangyu  
    OP
       2018-11-30 00:30:32 +08:00 via Android
    @yingfengi 第一次进这种公司,真的好不适应,可能是以前野惯了?大公司都这么干的么?
    andyangyu
        38
    andyangyu  
    OP
       2018-11-30 00:31:37 +08:00 via Android
    @cchange 有时候想 copy 点儿什么东西就太不方便了,带情报员真的是最后的办法了。。
    andyangyu
        39
    andyangyu  
    OP
       2018-11-30 00:32:37 +08:00 via Android
    @cchange 打错字了,带平板。。但是平板也要键盘什么的吧,真不方便
    yuikns
        40
    yuikns  
       2018-11-30 00:33:49 +08:00 via iPhone
    @freed 赞同。而且说不定还有录屏哦

    我觉得安全策略上面的事情安全策略上解决。一定要用这台机器访问查询,那多简单,直接拉白名 complain 就是
    mytsing520
        41
    mytsing520  
       2018-11-30 01:23:41 +08:00
    涉密企业一般会这么干,防止泄密,金融企业这样做很正常。

    提解决方法:
    1.换电脑,不带公司用,工作娱乐分开;
    2.请 IT 开通上网许可,表示工作性质规定,当然这个要你们领导批。
    mario85
        42
    mario85  
       2018-11-30 01:34:00 +08:00 via iPhone   ❤️ 2
    适应就好。用玻璃胶封死网口和 usb 的都见过。也就防君子不防小人。
    真想偷啥东西,电脑上写个程序,外面搞个单片机,利用屏幕像素点闪烁,照样传输数据。
    boris1993
        43
    boris1993  
       2018-11-30 02:11:10 +08:00 via Android
    既然下了这么狠的手,没办法了
    要么忍要么滚
    sfree2005
        44
    sfree2005  
       2018-11-30 05:23:03 +08:00 via Android
    用另外自带电脑查资料的话,需要复制粘贴的话还是很麻烦的。看下能不能走公司流程尽可能增加白名单网站吧。和几个同事一起,写个列表,给出理由,安全组的同事应该也会明白。
    conge
        45
    conge  
       2018-11-30 06:50:38 +08:00
    这种情况下,唯一的解决办法,就是不要用公司电脑干公司不允许干的事情。

    公司加的限制,请不要随便突破。
    做了就是违反公司安全规定,分分钟被开除。
    clino
        46
    clino  
       2018-11-30 06:59:30 +08:00 via Android
    吓死。。。以为说的是墙
    iConnect
        47
    iConnect  
       2018-11-30 07:44:50 +08:00 via Android
    如果公司的白名单中包含云服务器产商的话,可以用 web 端开远程桌面,数据同步也只能用这个方法。
    xenme
        48
    xenme  
       2018-11-30 08:02:45 +08:00 via iPhone
    一般都是本身所有访问都走代理或者 always on vpn,非白名单全部 block 很简单。

    自己单独电脑别连公司网络,直接 4G 或者公司的 guest wifi 好了。别折腾了,有风险
    vtvw
        49
    vtvw  
       2018-11-30 08:04:51 +08:00 via iPhone
    这是被开除的节奏啊,要么走,要么忍,你可以向公司提意见……
    不要再做违反安全规定的事儿了,上网行为一查,公司一旦计较起来(。 ́︿ ̀。)
    yidinghe
        50
    yidinghe  
       2018-11-30 08:05:19 +08:00 via Android
    手机网络也白名单是怎么回事,楼主手机被黑了?
    winterx
        51
    winterx  
       2018-11-30 08:18:06 +08:00
    给楼主解释一下,巨硬的 system center,就是专门管理所有主机的,可以看你电脑装了什么
    审计系统如深信服,是有专门的证书跟驱动,装在主机上,可以实时记录 QQ 等所有流量,甚至还能看到你聊天记录
    深信服也可以不装他的东西,但精准流量识别还是能做得到
    墙也识别不了的流量,他会归类为未知,暴力点全部未知流量 deny,看你怎么玩

    所以楼主碰到着这公司,要么老老实实上班,要么。。。。。
    way001
        52
    way001  
       2018-11-30 08:39:59 +08:00
    别乱搞,这玩意都是留有记录或者带行为监控的。小心被抓典型
    R18
        53
    R18  
       2018-11-30 08:46:21 +08:00
    如果真有需求就申请啊,讲明了没这个玩意工作就做不了了。
    tt67wq
        54
    tt67wq  
       2018-11-30 08:48:00 +08:00
    早点离职吧
    Laobai
        55
    Laobai  
       2018-11-30 08:49:45 +08:00 via Android
    Windows to go 了解一下
    icymorn
        56
    icymorn  
       2018-11-30 08:51:47 +08:00
    涉密不上网好吗,这个严格要求是对的,楼主忍不了还是跳槽吧
    mikeven
        57
    mikeven  
       2018-11-30 08:52:20 +08:00 via iPhone
    带个电脑带个热点,解决
    dengtongcai
        58
    dengtongcai  
       2018-11-30 08:54:47 +08:00 via iPhone
    用 ss 都不行?不应该啊
    andyangyu
        59
    andyangyu  
    OP
       2018-11-30 08:58:55 +08:00 via Android
    @winterx 我们公司应该就是用的您说的这一套,看了大家的回复,还是自己带个平板吧
    jasonyang9
        60
    jasonyang9  
       2018-11-30 09:04:18 +08:00
    格盘装 Linux
    Felldeadbird
        61
    Felldeadbird  
       2018-11-30 09:05:26 +08:00
    公司这样做是为了防涉密吧。都白名单了,楼主就别尝试去突破了,真的想突破,最好就是和 管网的人打好关系。以前我在港企工厂 上班,也是白名单。 然后和网管打好关系后,让他开了白名单的翻墙 IP 给我。就可以愉快地 常有互联网。
    SoulSleep
        62
    SoulSleep  
       2018-11-30 09:18:15 +08:00
    socket5 肯定防不住
    Maskeney
        63
    Maskeney  
       2018-11-30 09:22:25 +08:00 via Android
    难道这不是正常操作?分配电脑给你又不是让你上网聊天逛淘宝用的,你总是想突破干什么?
    openbsd
        64
    openbsd  
       2018-11-30 09:32:00 +08:00
    看情况像是组策略强制,然后 ISA 实施的过滤,不退域应该没啥好办法吧,如果你破解了,下次给来个 Bitlocker+应用白名单 Hash,纵使你手段通天,也得跪 虚拟机太容易识别了,不靠谱,没 Bitlocker 的话,可以试试双系统[狗头]
    liaixiao
        65
    liaixiao  
       2018-11-30 09:33:29 +08:00 via Android
    涉密很正常,建议楼主老老实实上班,不然就换一家。之前在外派到国企,能上网的电脑和不能上网的电脑是分开的。百度个资料都要用手机。
    openbsd
        66
    openbsd  
       2018-11-30 09:33:36 +08:00
    @cchange #12 ISA,策略直接推送到本地的,微软出品,根本没辙
    Ansen
        67
    Ansen  
       2018-11-30 09:33:44 +08:00
    只能申请装 linux 了~ 不信还能限制
    yksoft1
        68
    yksoft1  
       2018-11-30 09:34:21 +08:00
    @mario85 本地安全软件带不明进程、不明文件监控可破。
    openbsd
        69
    openbsd  
       2018-11-30 09:35:32 +08:00
    @andyangyu #23 只读 USB,IT 作死啊,扫描到 U 盘病毒都杀不了.....这种策略简直了,直接 U 盘白名单不就好了,不是公司领取的 U 盘插上去也用不了
    whypool
        70
    whypool  
       2018-11-30 09:35:55 +08:00
    域无所不能,别想了
    openbsd
        71
    openbsd  
       2018-11-30 09:35:57 +08:00
    @andyangyu #18 双系统,妥妥的
    openbsd
        72
    openbsd  
       2018-11-30 09:37:47 +08:00
    @yidinghe #50 ISA 客户端,域控把策略分发到本地的,别小看巨硬
    sonyxperia
        73
    sonyxperia  
       2018-11-30 09:38:32 +08:00
    公司不让访问就不访问,不然就跳槽。
    社畜哪有那么多抱怨
    zacharyjia
        74
    zacharyjia  
       2018-11-30 09:39:02 +08:00
    感觉还是老老实实遵守公司规范好了,要干别的用手机。不要试图突破了,技术上管不了的人家可以用制度干掉的。
    aino
        75
    aino  
       2018-11-30 09:44:06 +08:00
    lcatt
        76
    lcatt  
       2018-11-30 09:44:42 +08:00
    @mario85 那为啥不直接摄像头拍下来。。。
    lcatt
        77
    lcatt  
       2018-11-30 09:45:38 +08:00
    @andyangyu 大银行都是虚拟终端做开发,你面前只有一个屏幕键盘鼠标。。。
    xuanaux
        78
    xuanaux  
       2018-11-30 09:49:37 +08:00 via Android
    金融行业?老老实实用手机上网吧,不然小心被开除。要是被扣上啥泄露金融机密就完了。
    joeytat
        79
    joeytat  
       2018-11-30 10:04:13 +08:00
    但手机也不能连外网是啥情况....
    shuizhengqi
        80
    shuizhengqi  
       2018-11-30 10:09:42 +08:00
    我在银行的时候,有线无线都不能上外网,只能自己手机热点
    nightv2
        81
    nightv2  
       2018-11-30 10:12:48 +08:00
    @joeytat 用手机流量开热点给笔记本用
    eddiechen
        82
    eddiechen  
       2018-11-30 10:27:04 +08:00
    很正常,游戏开发公司就是这么干,每人两台电脑,一台干活的只能内网,一台垃圾笔记本专门查资料,需要拷贝资料的要到专门允许使用 usb 的上网电脑
    CoderGeek
        83
    CoderGeek  
       2018-11-30 10:27:21 +08:00
    虚拟机 应该可以的 = =
    tailf
        84
    tailf  
       2018-11-30 11:12:25 +08:00
    看来是在系统上做的限制。所以虚拟机可能可以。
    alienx717
        85
    alienx717  
       2018-11-30 11:37:18 +08:00
    还是放弃吧,这样的地方邮件的附件是什么他们都知道。
    meisky6666
        86
    meisky6666  
       2018-11-30 11:58:02 +08:00
    too young ,连域都不知道,看来没去过大企业
    mario85
        87
    mario85  
       2018-11-30 12:56:46 +08:00 via iPhone
    @lcatt #76 ocr 错误率高,后期还需要人工审校,不稳
    yogogo
        88
    yogogo  
       2018-11-30 13:32:53 +08:00
    你需要 TNT~
    idnicho
        89
    idnicho  
       2018-11-30 13:34:50 +08:00
    域+组策略?
    smg
        90
    smg  
       2018-11-30 15:16:40 +08:00   ❤️ 2
    @andyangyu

    金融行业的话,建议不要违规,后果很严重,老老实实干活就行,为了钱忍,受不了就走。
    如果某个项目涉案的话调查的范围会更广,私人电话的通话 短信 邮件记录都会被调查。

    如果你使用的是公司的电脑,对用户来说是没有任何隐私而言的。使用的技术也很广泛:

    1 硬件方面的限制可以做到简单粗暴,直接禁用,McAfee Symantec 等传统安全厂商都有方案
    a .电脑的 BIOS 设置,禁止网络启动或 USB 启动,设置完并加密,带 TMP 芯片,部署 Bitlocker,可以防止硬件暴力破解,比如把电脑偷走。
    b. 光驱 /红外蓝牙 /无线 /指纹 /摄像头 /USB 可移动存储设备等都有策略做限制。


    2 软件方面:通用解决方案是 域环境 加 代理服务器,域环境下有一堆第三方厂商来支持
    https://www.manageengine.com 打印机的 SNMP 漏洞都能给你扫出来
    https://www.netwrix.com 很方便的查看到组策略的部署执行情况
    https://www.solarwinds.com 没用过
    https://www.beyondtrust.com 权限管理做的比较好,管理员的动态密码很强大
    https://www.zscaler.com/ 云代理,最近很流行

    可能还会再装一些防泄密的 agent, 比如图片内容的 OCR 识别等这些功能。


    3 一般还会部署一些专业的防火墙,入侵检测设备,或者上网行为管理等
    CheckPoint,Cisco AMP,Symantec, 山石网科,深信服等。

    不要轻易的去尝试破解绕过,后台都可以看到,没事大家都太平,出事分分钟揪出来背锅。
    ww2000e
        91
    ww2000e  
       2018-11-30 15:16:54 +08:00
    难道不是在公司网络出口限制的。。 不一定非要在你电脑上限制。。
    jandan
        92
    jandan  
       2018-11-30 15:20:32 +08:00
    4G 这个怎么实现的呢?
    vamxmen
        93
    vamxmen  
       2018-11-30 15:30:08 +08:00
    听起来像是操盘团队一样。。。保密级别这么高的吗
    bclerdx
        94
    bclerdx  
       2018-11-30 15:46:50 +08:00
    @smg 必定会有反制措施的。
    bclerdx
        95
    bclerdx  
       2018-11-30 15:48:50 +08:00
    @zacharyjia 必定有反制措施。
    hlz0812
        96
    hlz0812  
       2018-11-30 15:55:59 +08:00 via iPhone
    1.胆子大自己把电脑给重装了,但是被查水表机率 99.9%

    2.带一台笔记本或者平板
    wolfie
        97
    wolfie  
       2018-11-30 16:25:09 +08:00
    屏蔽了云村音乐,前天开了个 windows server 听音乐😂😂。
    sephinh
        98
    sephinh  
       2018-11-30 16:33:23 +08:00 via Android
    手机都不行?给你手机装东西了?
    ahaxzh
        99
    ahaxzh  
       2018-11-30 16:39:49 +08:00
    证券公司本就如此,不然怎么保证你上班期间不炒股呢。这个审查一般是手机电脑等设备要加入公司域或者其他,之前遇到的同事是自带热点,就是那种联通电信的移动电源形式插 SIM 卡的设备。但是,如果设备加入了公司的监管,用什么都特么会监控的,可能和深信服的 AP 什么的有关系。还有券商的软件都是会记录 IP、地址、手机号、MAC 地址的。
    Jabin
        100
    Jabin  
       2018-11-30 16:40:59 +08:00
    shen xin fu 聊 QQ 内容都能看见
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1634 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 16:51 · PVG 00:51 · LAX 08:51 · JFK 11:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.