其實我也是一名網絡管理員，也面臨過和老克一樣的境遇。
在中國這個大網絡環境如此不安全的時代，內網的安全確實很重要，但是公司內很多人都不會去真正的重視，技術能實現的東西卻得不到有效的行政手段支持，這個才是最重要的。

老克的情況我設想了一個方案，可能不是很專業，但是可以有效的解決很多問題：

1、啟用域管理，將公司所有計算機增加到域，每個計算機只給user權限，這樣，很多的病毒因為權限不夠無法加載到系統里面，就無法執行，同時下發域策略，禁用掉U盤等USB設備，同時對共享目錄進行權限細化，強制使用符合安全標準的密碼策略，（大寫、小寫、數字3者必備）

2、安裝網絡殺毒軟件，例如卡巴企業版，pc-cilin等，因為客戶端計算機的本地權限是USER，是無法停用和卸載殺毒工具的，因此不會造成殺毒軟件形同虛設的情況，每天下發殺毒更新策略，強制安裝。

3、對于因為需要特殊權限的域用戶，可以考慮給power user權限或者本地管理員權限，同時在域控端進行登錄用戶限制，并且安裝硬盤保護卡，保護系統盤和其他需要重點保護的分區，這樣重啟后被保護分區如果感染病毒也會被還原成沒有感染的狀態。

4、架設WSUS服務器，進行本地的補丁更新，并且下發策略，在中午的時候進行系統更新。

5、停用掉本地管理員帳戶

6、啟用上網行為監控，可以通過硬件或者單獨架設防火墻，并且對P2P進行封鎖，只開放日常需要的端口，如80、8000、21、110等，并且安裝網絡監控工具如：PRTG或者CACTI等，并且定時進行網絡嗅探，獲取違規的人員操作。

7、進行行政管制和一定的處罰機制，如果出現了違規狀況，可以保留日志作為證據，并且上報公司，進行相應處罰

以上就是我提出的一個簡單的解決方案，如果有不成熟的地方，請見笑