Não permitir que computadores de domínio se comuniquem entre si

9

Nosso domínio consiste em cerca de 60 computadores. Fui encarregado de garantir que as estações de trabalho do Windows 10 não possam se comunicar umas com as outras. Meu gerente pediu que eu criasse rotas estáticas para que os computadores pudessem se comunicar apenas com as impressoras de rede, o servidor de arquivos, o DC e o acesso à Internet.

Como todos esses computadores estão na mesma rede, não acredito que as rotas estáticas impeçam que esses computadores se vejam. Qual é a melhor maneira de permitir que computadores no domínio usem recursos de rede, mas não se comuniquem diretamente entre si?

    
por taiwie 25.07.2017 / 14:43

3 respostas

16

Se você tiver um comutador que ofereça suporte a ele, 'portas protegidas' para conexões por cabo ou 'isolamento do cliente' para pontos de acesso no Wi-Fi podem ajudar a eliminar o tráfego entre hosts na mesma rede de camada 2.

Por exemplo, isso é de Manual do switch Cisco :

Protected ports have these features: A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port. Data traffic cannot be forwarded between protected ports at Layer 2; only control traffic, such as PIM packets, is forwarded because these packets are processed by the CPU and forwarded in software. All data traffic passing between protected ports must be forwarded through a Layer 3 device.

Então, se você não pretende transferir dados entre eles, não é necessário realizar ações quando eles estiverem "protegidos".

Forwarding behavior between a protected port and a nonprotected port proceeds as usual.

Seus clientes podem ser protegidos, o servidor DHCP, o gateway etc. podem estar em portas desprotegidas.

Atualização 27-07-2017
Como apontado pelo @sirex, se você tiver mais de um switch que não esteja empilhado, o que significa que eles praticamente NÃO são um único switch, portas protegidas não vai parar o tráfego entre os .

Note: Some switches (as specified in the Private VLAN Catalyst Switch Support Matrix ) currently support only the PVLAN Edge feature. The term "protected ports" also refers to this feature. PVLAN Edge ports have a restriction that prevents communication with other protected ports on the same switch. Protected ports on separate switches, however, can communicate with each other.

Se esse for o caso, você precisará de Portas VLAN privadas privadas :

In some situations, you need to prevent Layer 2 (L2) connectivity between end devices on a switch without the placement of the devices in different IP subnets. This setup prevents the waste of IP addresses. Private VLANs (PVLANs) allow the isolation at Layer 2 of devices in the same IP subnet. You can restrict some ports on the switch to reach only specific ports that have a default gateway, backup server, or Cisco LocalDirector attached.

Se a PVLAN estiver passando por vários switches, os troncos de VLAN entre os switches devem ser portas VLAN .

You can extend PVLANs across switches with the use of trunks. Trunk ports carry traffic from regular VLANs and also from primary, isolated, and community VLANs. Cisco recommends the use of standard trunk ports if both switches that undergo trunking support PVLANs.

Se você é usuário da Cisco, pode usar esta matriz para ver se seus switches suportam as opções de que você precisa.

    
por 25.07.2017 / 16:54
11

Você poderia fazer isso, se fizesse algo tão horrível quanto fazer uma sub-rede por cliente. Isso seria um pesadelo de gerenciamento.

O Firewall do Windows, com as políticas apropriadas, ajudará com isso. Você poderia fazer algo como Isolamento de Domínio, mas ainda mais restritivo. Você pode impor regras por UO, com os servidores em uma UO e as estações de trabalho em outra. Você também quer ter certeza de que as impressoras (e servidores) não estão na mesma sub-rede das estações de trabalho para simplificar isso.

link

Com relação às impressoras de rede, você pode tornar isso ainda mais fácil se não permitir impressão direta, mas hospedá-las como filas compartilhadas de um servidor de impressão. Esta tem sido uma boa ideia por um longo tempo por várias razões.

Posso perguntar qual é o objetivo real do negócio? É para ajudar a prevenir surtos de malware? Manter em mente a imagem geral / a linha de chegada ajuda a definir os requisitos, portanto, isso deve sempre fazer parte da sua pergunta.

    
por 25.07.2017 / 15:30
-3

Se você puder ligar cada estação de trabalho a um usuário específico, poderá permitir que apenas esse usuário acesse essa estação de trabalho.

É uma configuração de política de domínio: faça logon localmente à direita.

Isso não impede que o usuário vá até a estação de trabalho mais próxima e digite sua senha para acessar sua máquina designada, mas é facilmente detectável.

Além disso, isso afeta apenas os serviços relacionados ao Windows, de modo que um servidor da Web nas máquinas ainda estaria acessível.

    
por 25.07.2017 / 19:05