阐述企业网管监控的十种技巧

不管人们喜欢与否，现在企业里的网管们一般都要承担起监控公司员工使用网络或计算机行为的任务，因为有的公司老板可能需要了解他的员工在上班时间访问了哪些网站，发送或接受了哪些文件，甚至在发送的电子邮件中说了些什么。

因为这些员工行为有可能会对公司的利益造成损失，例如上班时间做工作无关的事情，或泄露公司机密信息等。常用方法如下:

一、通过审核策略监控员工对文件、文件夹等的访问
在一个Windows网络中，通过启用操作系统中自带的审核策略功能，网管可以知道员工打开了哪些文件或文件夹，或者曾经尝试打开哪些不具有权限的文件或文件夹。在windows 2000以后的Windows系统中，审核功能是借助于组策略来实现的。只需要两步即可建立起对某些文件或文件夹的审核功能：

1、首先，你必须在组策略设置界面中设置审核功能。图1、

阐述企业网管监控的十种技巧（图一）

启用审核

2、然后你要在你想审核的文件或文件夹的属性中设置审核。图2、

阐述企业网管监控的十种技巧（图二）

设置审核对象

关于如何设置审核的具体步骤，请参阅微软的知识库文章KB article 310399 （http://support.microsoft.com/?kbid=310399）。

二、检查缓存的Web文件
假若公司内的计算机数量并不多，那么网管假如想查看公司的用户都访问了哪些站点，实际上并不需要专门的软件就可以实现这个目的，只需要检查web浏览器的缓存文件夹（在IE浏览器中通常叫做Internet临时文件）。IE浏览器为了让用户可以快速的显示已经访问过的页面，把页面的副本和用户下载的图片都被存放在这儿。但是，一些聪明的用户可能会删除临时文件夹中的内容，以免被你查看。图3、

阐述企业网管监控的十种技巧（图三）

员工上网产生的临时文件

但是网管可以使用微软的免费工具Shared Computer Toolkit中的用户限制工具，来拒绝用户访问IE浏览器中工具菜单的Internet选项功能，来避免用户直接从这儿清除访问历史和临时Internet文件。

三、在防火墙上监控Web访问
另一种监控用户正在访问的站点的方法是在防火墙进行设置，通过用户的帐号、IP地址或计算机名等信息来查看用户的访问记录。企业级别的防火墙，像微软的ISA Server、思科的PIX和CheckPoint的Firewall-1等，或者本身具有这种内置的报表功能，或者通过插件功能来提供用户访问站点历史记录报表的功能，使用这些功能可以来查看这些访问历史记录。很多防火墙都提供用户访问记录分析功能，通过该功能提供多种方式对用户的访问纪录计行查询和统计分析，包括：按时间段、按访问地址范围、按源地址范围、按协议类型等。还有用户访问内容监控，提供对用户访问内容的监控，鉴别用户身份，分析用户访问目标地址，用户访问的内容，用户是否访问过非法网站等功能。假如你的公司使用了防火墙的话，那么可以仔细的看一下帮助文档，来了解一下如何利用这个功能。

进入讨论组讨论。

四、通过URL地址来过滤Web访问

监控员工访问过的站点是被动的，现在的企业中，很多网管实际上采取了更主动的措施，即阻止不想让员工在公司访问的站点。例如对一些色情站点和一些和工作相差甚远的娱乐性站点，来主动去阻挡这些公司不答应的行为，这样可以让员工不会把工作时间浪费在与工作无关的事情上。SurfControl公司的SurfGuardian就是这样一款网页过滤工具，可以让企业网管灵活地根据自身的业务需求，了解和治理互联网的使用情况，为企业或企业资源免遭有害及不适当的网络内容威胁提供了最大程度的保障。类似的工具比较多，有针对家庭用户的，也有针对企业用户的。其中在微软的最新操作系统Vista中的父母控制功能就有web过滤器这个功能可以很好的实现这个限制。

五、通过要害词来过滤Web访问
通过网址或者域名来过滤Web访问存在一个问题，在你进行过滤设置前必须知道你想监控或阻止的站点地址。尽管许多公司有自己创建的不想让用户访问的站点的黑名单。但是如今新网站更新的如此频繁，想要保持这个黑名单及时更新实在是一件麻烦的事情，可以说是防不胜防。如此，很多企业网管则开始寻找一种更简单、更轻易实行的办法来实现过滤网站的目的，即要害词过滤功能。现在市面上有很多硬件和软件工具来实现这个功能，可以通过要害词来过滤站点。

六、监控进出的电子邮件信息
此前看到网上有人说，超过三分之一的美国和英国公司都会监控员工的电子邮件信息，以避免可能会给公司带来法律、财务和治理等风险。对于现在的企业来说，电子邮件成了沟通的重要工具，电子邮件中是否包含了泄漏公司机密信息，成为很多公司治理者担心的问题，因此对电子邮件进行监控也就成了一些企业治理者的要求。现在世面上的电子邮件监控软件也不在少数，其中笔者看到一款是eyou电子邮件监控，可以监测到局域网中任何一台计算机通过Outlook、FoxMail等邮件软件设置的SMTP、POP3格式的邮件。同时也可以监测到163、sohu、hotmail、tom、sina、21cn等WEB方式发送的邮件。具体的系统日志可以在软件界面中查询用户访问日志，也可以在硬盘的记录目录中查询。可以根据具体的时间来制定查询范围。

七、监控即时通讯工具（IM）
即时通讯工具的应用已经很广泛，它大大提高了企业中员工之间或与外界的交流频率，从而在一定程度上提高了工作效率，同时也带来了一定的安全风险。对于那些认为即时通讯工具带来的弊大于利的企业来说，就需要采取一些措施了。通常企业网管可以在企业防火墙上设置阻挡某一类即时通讯工具所使用的端口，从而禁止企业中员工使用这些工具。当然，有的企业觉得完全禁止会带来工作效率上的下降的话，则会采用监控的办法来控制IM的使用。此前网络上一度炒的火热的MSN监控事件就是这一应用的体现。现在关于即时通讯工具的监控争论颇多，但是这仍然阻挡不了企业对这类工具的需求，具体的工具也不在少数，从网络上可以搜到很多，所以对于企业员工来说，要当心哦。

八、使用Keyloggers（按键记录器）捕捉信息
很多企业使用Keyloggers（按键记录器）来记录用户的所有按键记录，这类工具通常可以分为两类：硬件设备和软件工具。硬件的是一种安装在键盘和PS2或USB接口之间的小设备，像KeyGhost。图4、

阐述企业网管监控的十种技巧（图四）

KeyGhost

硬件记录器由高速微处理器和大容量存储器组成，这样的硬件记录器会记录下使用电脑时输入的任何信息。可以捕捉三个月到一年或者更长时间范围内键盘的动作。在键盘上输入预先设定的无序字符，就可以打开一个命令菜单，对所需要的信息进行提取和恢复。这种硬件按键记录器是无法被任何软件发现的。它能够在几秒钟内安装，自动开始记录所有的键盘输入，记录的按键操作内容能够被任何文本编辑器在任何电脑上检索出来，并配有专用分析软件帮助用户识别记录的内容。软件的键盘记录器可以通过配置将捕捉到的信息发送到远程的计算机上，像SpyRecon。通常这类软件会被杀毒软件查杀。

九、使用屏幕监控软件来查看用户行为
屏幕监控是企业监控员工的一种最直观的方式，通过特定工具对员工电脑屏幕进行实时监视，就象看自己的电脑屏幕一样。很多工具甚至可以定时的对指定的计算机的屏幕进行录像，或者对被监控端发送警告信息等。这种工具在监控效果上来说来得最直观，但是对企业员工的隐私也威胁最大。可以说是一柄双刃剑。

十、利用Windows组策略功能全面控制
对于一些企业来说，假如对网管员对Windows的组策略功能足够的了解的话，实际上可以完成对很多员工行为的控制，包括软件的安装、硬件的使用。通过使用组策略中的软件限制策略功能，网管员可以决定哪些程序是可信赖的，而哪些是不可信赖的，对于不可信赖的程序，则系统会拒绝执行。通过这个功能可以限制用户安装哪些软件，例如不能安装QQ、MSN或某些游戏等。在Windows Vista组策略中，可以对硬件设备的安装进行限制，只有指定类型的设备可以安装，其他未指定设备一律无法安装；只有指定的具体硬件可以安装，其他未指定的硬件一律无法安装；所有可移动设备都无法安装，对于某些设备，限制用户的读取或者写入操作。

束语：上述的手法即是通常使用的，然尔在网络这块天空中还有很多此类监控方法，那就有待于使用者尝试与探索了。

进入讨论组讨论。