[其他] 公司计算机及网络限制与反限制

目前我在网内做了如下限制，禁止员工上网
但我不知道是否有办法突破这种限制，所以找各位兄弟们一起来剖析一下
免的有人能突破上网，我都还不知道

DC：win2003
客户端：win2000 pro
上网方式：路由器NAT

DC 上做组策略
1、禁止了windows install 安装服务、禁止从移动存储设备进行安装
2、禁写注册表、禁止打开网络连接设置、查看系统属性
3、禁用命令行、任务管理器、禁用IE代理
4、开启IPsec，非本地网段IP的端口全部封掉
5、加入开机脚本，把默认网关去掉

客户端不让上互联网
1、C盘全部转为 NTFS
2、只用 domain user 登录，本地admin改名并换长密码
3、设置开机脚本，每次开机，运行一次置网关为 None 的命令

设置上网的公用电脑
1、公用电脑帐号自动登录（帐号只能用在这台电脑上，这台电脑只接受这个帐号以及域管理员帐号）
2、公用电脑帐号可以读、写内网一个指定的文件夹“X”，其他domain user只能读“X”下属于自己的某个文件夹，公用帐号不能访问其他服务器共享资源
3、公用电脑帐号也是 domain user 级
4、文件夹“X”上的内容只有域管理员才能删除，其他用户对上面的内容不能删除，也不能直接运行

用P2P终结者不定时查看网内流量
看看禁网的电脑名单是否有流量

对于外部人员带笔记本来
我目前的策略是从IP地址上来控制，公司内部IP目前已经全部是静态了，如果外部人员笔记本想入内网：
1、必须先到这边申请IP（这么做，至少可以让我知道什么人在什么地方以什么名义进入内网）
2、只有网内用户才对网络共享文件夹有访问权限，限制了everyone用户，所以外网用户即使加入了内网，还需要申请内网帐号（域外用户可以不加入域，而通过输入域帐号来访问网络资源，这样我也可以在帐号上设权限，限制其可访问的范围）

目前的效果：
1、禁网用户打不开网页；上不了QQ、MSN、POPO；用不了BT、eMule
2、用户需要下载东东时，要用公用电脑
3、公用电脑下载的东东要用到用户自己的电脑上时，必须通过文件夹“X”
4、文件夹“X”被随时监管，谁下载了什么传到内网去了，一目了然

我也想过，如果我是想非法上网的用户
1、我可以在公用电脑上安装ccporxy类的代理，但客户端无法打开网络连接设置和IE代理设置，应该没法用
2、如果使用服务器/客户端形式的代理软件，那下载并传到内网的客户端会在文件夹“X”留存，迟早会被发现，同时，网管随机监察公用电脑进程，跟踪流量也会发现
3、破解本地admin密码并用本地admin登录，但C盘是NTFS，且客户端无光驱只有软驱，应该没戏吧？

兄弟们，如果你是一个想上网的用户，你会怎么做？