Permitir apenas login de domínio de computadores conhecidos

Navegue suas respostas
1

Existe alguma maneira de impedir que computadores ingressem em um domínio no controlador de domínio, ou seja, permitir acesso apenas a domínios de domínio?

O requisito é que mesmo os administradores de domínio não conseguirão unir um computador ao domínio sem adicioná-lo ao DC primeiro?

A configuração é SBS2003 R2 Premium com clientes XP / W7.

Obrigado

    
por Chris 02.12.2009 / 14:56

3 respostas

1

Seu comentário faz as coisas parecerem mais claras.

802.1X ou IPSEC, implementado usando certificados em cada computador cliente para permitir a autenticação de dispositivos do cliente, vai dar-lhe o ambiente seguro que você deseja. Nada pode ser feito para evitar que dispositivos não autorizados sejam anexados ao meio de rede (com endereços IP ou MAC falsificados, se necessário) se você não estiver realmente autenticando os dispositivos clientes.

Se os usuários puderem manipular fisicamente o dispositivo do cliente (ou seja, tentar retirar o certificado do dispositivo), a autenticação do dispositivo não será boa.

Assumindo, no entanto, que você pode armazenar o certificado do dispositivo em um local razoavelmente à prova de violação que não pode ser acessado de forma prática, pode criar uma situação muito segura em relação a dispositivos não autorizados conectados ao meio de rede e usados para acessar servidores , usando 802.1X ou IPSEC.

    
por 02.12.2009 / 15:32
0

Basicamente, "o que Evan disse", enfatizando que, na operação normal, mexer com os comportamentos padrão é uma idéia baaaaaad.

Se você realmente quiser, pode criar algo usando as informações em este artigo da base de conhecimento (e alguma imaginação em seu parte).

Uma alternativa é fazer algo com a configuração de GPO "Adicionar estações de trabalho ao domínio" (documentação aqui ).

    
por 02.12.2009 / 16:49
0

mh, Evan está correto, mas "não normal" parece ser uma configuração assim.

pesquise no Google por microsoft docs sobre como configurar o isolamento de domínio ipsec, como este link

Eu usei muitos desses documentos para entender como configurar isso na minha lan em casa. Eu uso o modo de negociação para todas as políticas ipsec. isso torna todo o tráfego do meu domínio seguro, mas permite que clientes externos se conectem, se necessário. Eu uso kerberos para autenticação em vez de um servidor pki desde que é mais fácil de gerenciar, mas eu estou trabalhando no meu caminho até a configuração do servidor pki.

suas outras opções são produtos de fornecedores de segurança de terceiros, como a Symantec, www.symantec.com/business/network-access-control

e há outros por aí que permitem o mesmo scenerio. diabos, você poderia até usar um firewall em cada cliente / servidor com políticas para se comunicar apenas com ip's na lista de permissões, e manter uma lista de todos os mac / ip usando um sistema de registro dhcp. windows 2008 r2 agora tem opções de registro de dhcp mac que eu li um pouco, que poderia ser roteirizado para fazer algumas coisas funky mais tarde abaixo da estrada.

    
por 15.12.2009 / 14:28

Tags

Java socks4 client Implantar / definir a senha do BIOS no Dell PowerEdge via script (R210, R410)