其實我也是一名網(wǎng)絡管理員，也面臨過和老克一樣的境遇。
在中國這個大網(wǎng)絡環(huán)境如此不安全的時代，內(nèi)網(wǎng)的安全確實很重要，但是公司內(nèi)很多人都不會去真正的重視，技術(shù)能實現(xiàn)的東西卻得不到有效的行政手段支持，這個才是最重要的。

老克的情況我設(shè)想了一個方案，可能不是很專業(yè)，但是可以有效的解決很多問題：

1、啟用域管理，將公司所有計算機增加到域，每個計算機只給user權(quán)限，這樣，很多的病毒因為權(quán)限不夠無法加載到系統(tǒng)里面，就無法執(zhí)行，同時下發(fā)域策略，禁用掉U盤等USB設(shè)備，同時對共享目錄進行權(quán)限細化，強制使用符合安全標準的密碼策略，（大寫、小寫、數(shù)字3者必備）

2、安裝網(wǎng)絡殺毒軟件，例如卡巴企業(yè)版，pc-cilin等，因為客戶端計算機的本地權(quán)限是USER，是無法停用和卸載殺毒工具的，因此不會造成殺毒軟件形同虛設(shè)的情況，每天下發(fā)殺毒更新策略，強制安裝。

3、對于因為需要特殊權(quán)限的域用戶，可以考慮給power user權(quán)限或者本地管理員權(quán)限，同時在域控端進行登錄用戶限制，并且安裝硬盤保護卡，保護系統(tǒng)盤和其他需要重點保護的分區(qū)，這樣重啟后被保護分區(qū)如果感染病毒也會被還原成沒有感染的狀態(tài)。

4、架設(shè)WSUS服務器，進行本地的補丁更新，并且下發(fā)策略，在中午的時候進行系統(tǒng)更新。

5、停用掉本地管理員帳戶

6、啟用上網(wǎng)行為監(jiān)控，可以通過硬件或者單獨架設(shè)防火墻，并且對P2P進行封鎖，只開放日常需要的端口，如80、8000、21、110等，并且安裝網(wǎng)絡監(jiān)控工具如：PRTG或者CACTI等，并且定時進行網(wǎng)絡嗅探，獲取違規(guī)的人員操作。

7、進行行政管制和一定的處罰機制，如果出現(xiàn)了違規(guī)狀況，可以保留日志作為證據(jù)，并且上報公司，進行相應處罰

以上就是我提出的一個簡單的解決方案，如果有不成熟的地方，請見笑