请搞网络的指点一下该如何配机

猴哥

暂时先要买3，4台机子，用HUB都能上网
主要是工程制图，机械设计，自动化之类的
以后会增加几台，最多到20吧
麻烦的在于如何保密，如何避免手下干活的copy图纸卖钱
这里的主管是个老年人，并不具备太多电脑知识，甚至可以说电脑知识基本为零，一切都指望买机器的时候电脑公司给弄好设置，做个镜像。手下干活的是年轻人，要在电脑上画图，修改。

大概十来年前他们也这样配置过十来台机子的局域网，那时候是主管的机子有光驱USB接口啥的，其他的机子，光驱最多只是可以读的，没有写的功能，机箱和主板上的USB口都让用钳子掐了。说白了，就是只让一个人有输出设备，其他机子的用户，可以干活，但copy不出来。
我知道这个法子，其实基本不保密，但当初那些下级用户的电脑知识也不咋滴，所以资料也没有丢失。
当然现在这么干就不合适了。随便一个软件，就从网络上copy走了。

现在这次，我设想把所有需要保密的资料放在主管的主机上，这台主机保留USB和刻录机，但只有主管有自己的开机密码。
其他用的，也就是那些年轻人，用XP自带的远程登录，用个人账户上主管的机子，因为这样好像是不能copy的，但是读数据修改没问题。因为眼前我就经常远程登录，也确实就是这样的，至于这是不是XP自带的默认设置我倒不清楚。
但这样有个问题，每次只能有一个账户使用主机，两个就不行
这不符合我的要求，我要求每台机子都能同时干活

我猜也许有软件可以轻松事先这些功能
但一定要考虑主管人本人并不熟悉电脑操作，哪怕最基本的
所以我想问问搞网络的兄弟们有啥更简单更直接的法子，现在配机器需要注意什么？这些下级用户的机器是不需要能输出的功能的，机子咋配？网络配置咋弄？才能打到保密的效果？

当然，这些下级用户的计算机水平也就是一般人而已，真要是有那种高手，也没辙，所以我并没有期望能做到尽善尽美万无一失。

罗里罗嗦，其实我也不清楚这事该咋说，但愿能看明白
谢谢

nniu

是不是DLP？

erjing

按照老外的标准方法，使用域来管理。
交换机上做端口隔离，防火墙上做屏蔽列表。

按照国内通用的法子，直接安装网吧管理软件。
找一盗版即可。

cccff

下面机器一定要上网么？

olive

远程登录是不行的，第一，远端机的硬盘是可以映射到本地的，所以不能防止拷贝。第二，登录人数也有限制，除非主管的机器安装的是服务器版本。

猴哥

原帖由 erjing 于 2010-7-10 02:12 发表
按照老外的标准方法，使用域来管理。
交换机上做端口隔离，防火墙上做屏蔽列表。

按照国内通用的法子，直接安装网吧管理软件。
找一盗版即可。

国外的法子听起来还得再雇个网管，再加上日常的维护，成本增加不说，忒麻烦了
国内的这法子，所谓网吧管理软件，是啥意思？能具体说说么？
这些技术资料是放在主机上，别人可以访问编辑，还是干脆下面每台机子的硬盘上都有？

猴哥

原帖由 cccff 于 2010-7-10 08:44 发表
下面机器一定要上网么？

得上网
因为公司主管不会Email，得靠下面的人
即便知道他们主要是利用网络玩QQ，偶尔Email，可也得上
再说不想弄得太紧，水至清则无鱼么

猴哥

原帖由 nniu 于 2010-7-10 02:09 发表
是不是DLP？

不知道啥是DLP，不过搞仪表自动化，好像那个名字是CLP吧

erjing

网吧管理软件可以限制对本地机器的安全访问。
不过如果有网络，而且不限制的话，鬼都知道可以把这些东西直接传出去。。。
用email也能传出去啊。gmail就可以了。
除非的除非，采用带有深层检测的防火墙，然后针对不同的格式来限制。不过深层检测正对的文件类型是不可以定义的，只能阻止.exe；.dll；.rar；.zip这样的。
那如果他们把文件采用加密方式，比如穿插到.bmp格式的图片中，还是可以传出去的。
总之，只要有互联网，就不可能完全限制住。

猴哥

原帖由 erjing 于 2010-7-10 11:37 发表
网吧管理软件可以限制对本地机器的安全访问。
不过如果有网络，而且不限制的话，鬼都知道可以把这些东西直接传出去。。。
用email也能传出去啊。gmail就可以了。

要是不上网，只保留管理者一人的机子能上网，然后把下面的机子USB口掐了，不安装刻录机，最好再在机箱上弄个铅封锁头啥的
难道只有这一个暴力的法子么？