Security

Целесообразно ли компьютерам одного домена взаимодействовать друг с другом

Наш домен состоит примерно из 60 компьютеров. Мне было поручено убедиться, что рабочие станции Windows 10 не могут взаимодействовать друг с другом. Мой менеджер попросил меня создать статические маршруты, чтобы компьютеры могли взаимодействовать только с сетевыми принтерами, файловым сервером, DC и выходить в интернет. Поскольку все эти компьютеры находятся в одной сети, я не думаю, что статические маршруты помешают этим компьютерам видеть друг друга. Каков наилучший способ позволить компьютерам в домене использовать сетевые ресурсы, но не общаться напрямую друг с другом?

Ответ 1

Если у вас есть коммутатор, который поддерживает это, «защищенные порты» для кабельных соединений или «изоляция клиента» для точек доступа Wi-Fi могут помочь вам устранить трафик между узлами в одной сети Layer-2.

Например, это из руководства по коммутаторам Cisco:

Защищенные порты обладают следующими характеристиками: Защищенный порт не передает никакой трафик (одноадресный, многоадресный или широковещательный) на любой другой порт, который также является защищенным. Трафик данных не может пересылаться между защищенными портами на уровне 2; пересылается только управляющий трафик, например, пакеты PIM, поскольку эти пакеты обрабатываются центральным процессором и пересылаются программно. Весь трафик данных, проходящий между защищенными портами, должен быть направлен через устройство уровня 3.

Поэтому, если вы не собираетесь передавать данные между портами, вам не нужно предпринимать никаких действий, как только они станут «защищенными». Пересылка данных между защищенным и незащищенным портом происходит как обычно. Ваши клиенты могут быть защищены, DHCP-сервер, шлюз и т. д., могут находиться на незащищенных портах.

Если у вас есть несколько коммутаторов, не объединенных в стек, то есть они практически НЕ являются одним коммутатором, защищенные порты не будут останавливать трафик между ними. Некоторые коммутаторы (как указано в матрице поддержки частных виртуальных локальных сетей Catalyst Switch Support Matrix) в настоящее время поддерживают только функцию PVLAN Edge. Термин «защищенные порты» также относится к этой функции. Порты PVLAN Edge имеют ограничение, которое предотвращает связь с другими защищенными портами на том же коммутаторе. Однако защищенные порты на отдельных коммутаторах могут взаимодействовать друг с другом. В этом случае вам понадобятся изолированные частные порты VLAN:

В некоторых ситуациях необходимо предотвратить соединение уровня 2 (L2) между конечными устройствами на коммутаторе без размещения устройств в разных IP-подсетях. Такая настройка предотвращает нерациональное использование IP-адресов. Частные сети VLAN (PVLAN) позволяют изолировать на уровне 2 устройства в одной IP-подсети. Вы можете ограничить доступ к некоторым портам коммутатора только теми портами, к которым подключен шлюз по умолчанию, резервный сервер или Cisco LocalDirector.

Если PVLAN распространяется на несколько коммутаторов, то магистрали VLAN между коммутаторами должны быть стандартными портами VLAN. Вы можете расширить PVLAN между коммутаторами с помощью магистральных портов. Магистральные порты передают трафик из обычных VLAN, а также из первичных, изолированных и общественных VLAN. Cisco рекомендует использовать стандартные магистральные порты, если оба коммутатора, на которых осуществляется транкинг, поддерживают PVLAN. Если вы являетесь пользователем Cisco, вы можете использовать эту матрицу, чтобы узнать, поддерживают ли ваши коммутаторы необходимые вам опции.

Ответ 2

Брандмауэр Windows Firewall с соответствующими политиками поможет в этом. Можно сделать что-то вроде Domain Isolation, но еще более ограниченное. Вы можете применять правила для каждой OU, с серверами в одной OU и рабочими станциями в другой. Также нужно убедиться, что принтеры (и серверы) не находятся в одной подсети с рабочими станциями, чтобы упростить задачу.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Что касается сетевых принтеров вы можете сделать это еще проще, если не разрешите прямую печать, а разместите принтеры в виде общей очереди на сервере печати. Это было хорошей идеей в течение долгого времени по многим причинам. Держать в голове общую картину/конечную цель помогает определить требования, поэтому это всегда должно быть частью вашего вопроса.

Ответ 3

Если вы можете привязать каждую рабочую станцию к определенному пользователю, вы сможете разрешить доступ к этой рабочей станции только этому пользователю. Это параметр политики домена: logon locally right. Это не мешает пользователю подойти к ближайшей рабочей станции и ввести свой пароль для доступа к назначенной машине, но это легко обнаружить. Кроме того, это влияет только на службы, связанные с Windows, поэтому веб-сервер на этих машинах все равно будет доступен.

Схожие статьи

Security

Рекомендуется ли иметь отдельный вход в домен для администраторов домена?

YubiKey: что это такое? Обзор аппаратного ключа безопасности
Security

YubiKey: что это такое? Обзор аппаратного ключа безопасности

Security

Необходимы ли анонимные имена пользователей?

Security

Как я могу загрузить исполняемый файл внутри сети компании, если она заблокирована?