Nie pozwól komputerom domeny komunikować się ze sobą

Nasza domena składa się z około 60 komputerów. Zadanie polegało na upewnieniu się, że stacje robocze systemu Windows 10 nie mogą się ze sobą komunikować. Mój menedżer poprosił o utworzenie tras statycznych, aby komputery mogły komunikować się tylko z drukarkami sieciowymi, serwerem plików, DC i dostępem do Internetu.

Ponieważ wszystkie te komputery są w tej samej sieci, nie sądzę, aby trasy statyczne uniemożliwiałyby sobie wzajemne widzenie się tych komputerów. Jaki jest najlepszy sposób, aby umożliwić komputerom w domenie korzystanie z zasobów sieciowych, ale nie komunikować się bezpośrednio ze sobą?

Jeśli masz przełącznik, który go obsługuje, „chronione porty” dla połączeń kablowych lub „izolacja klienta” dla punktów dostępu w Wi-Fi mogą pomóc w wyeliminowaniu ruchu między hostami w tej samej sieci warstwy 2.

Na przykład pochodzi z instrukcji przełącznika Cisco :

Chronione porty mają następujące funkcje: Chroniony port nie przekazuje żadnego ruchu (emisji pojedynczej, multiemisji lub emisji) do żadnego innego portu, który jest również portem chronionym. Nie można przekazywać danych między chronionymi portami w warstwie 2; przekazywany jest tylko ruch kontrolny, taki jak pakiety PIM, ponieważ pakiety te są przetwarzane przez CPU i przekazywane w oprogramowaniu. Cały ruch danych przesyłany między chronionymi portami musi być przekazywany przez urządzenie warstwy 3.

Jeśli więc nie zamierzasz przenosić danych między nimi, nie musisz podejmować działań, gdy zostaną one „zabezpieczone”.

Przekazywanie między portem chronionym a portem niechronionym przebiega jak zwykle.

Klienci mogą być chronieni, serwer DHCP, brama itp. Mogą znajdować się na niechronionych portach.

Aktualizacja 27-07-2017
Jak wskazał @sirex, jeśli masz więcej niż jeden przełącznik, który nie jest ułożony w stos, co oznacza, że ​​praktycznie NIE jest to jeden przełącznik, chronione porty nie zatrzymają ruchu między nimi .

Uwaga: Niektóre przełączniki (określone w Matrycy obsługi prywatnych przełączników katalizatora VLAN) obecnie obsługują tylko funkcję PVLAN Edge. Termin „chronione porty” odnosi się również do tej funkcji. Porty PVLAN Edge mają ograniczenie uniemożliwiające komunikację z innymi chronionymi portami na tym samym przełączniku. Chronione porty na oddzielnych przełącznikach mogą się jednak komunikować.

W takim przypadku potrzebujesz izolowanych prywatnych portów VLAN :

W niektórych sytuacjach należy uniemożliwić łączność w warstwie 2 (L2) między urządzeniami końcowymi na przełączniku bez umieszczania urządzeń w różnych podsieciach IP. Ta konfiguracja zapobiega marnowaniu adresów IP. Prywatne sieci VLAN (PVLAN) umożliwiają izolację w warstwie 2 urządzeń w tej samej podsieci IP. Można ograniczyć niektóre porty przełącznika, aby uzyskać dostęp tylko do określonych portów, do których podłączona jest brama domyślna, serwer kopii zapasowych lub Cisco LocalDirector.

Jeśli PVLAN obejmuje wiele przełączników, łącza VLAN między przełącznikami powinny być standardowymi portami VLAN .

Możesz rozszerzyć PVLAN między przełączniki za pomocą magistrali. Porty trunkingowe przenoszą ruch ze zwykłych sieci VLAN, a także z podstawowych, izolowanych i społecznościowych sieci VLAN. Cisco zaleca stosowanie standardowych portów trunkingowych, jeśli oba przełączniki podlegające trunkingowi obsługują sieci PVLAN.

Jeśli jesteś użytkownikiem Cisco, możesz użyć tej macierzy, aby sprawdzić, czy Twoje przełączniki obsługują potrzebne opcje.

Możesz to zrobić, jeśli zrobisz coś tak okropnego, jak 1 podsieć na klienta. To byłby koszmar zarządzania.

Pomoże w tym Zapora systemu Windows z odpowiednimi zasadami. Możesz zrobić coś takiego jak Domain Isolation, ale jeszcze bardziej restrykcyjne. Możesz egzekwować reguły na jednostkę organizacyjną, z serwerami w jednej jednostce organizacyjnej, a stacjami roboczymi w innej. Aby to uprościć, należy również upewnić się, że drukarki (i serwery) nie znajdują się w tej samej podsieci co stacje robocze.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

W przypadku drukarek sieciowych - możesz to uczynić jeszcze łatwiejszym, jeśli nie zezwalasz na drukowanie bezpośrednie, ale hostujesz drukarki jako współdzielone kolejki z serwera wydruku. To był dobry pomysł od dłuższego czasu z wielu powodów.

Czy mogę zapytać, jaki jest faktyczny cel biznesowy tego? Czy ma to pomóc w zapobieganiu epidemiom złośliwego oprogramowania? Pamiętając o dużym obrazie / linii mety, pomagasz zdefiniować wymagania, więc to zawsze powinno być częścią twojego pytania.

Jeśli możesz powiązać każdą stację roboczą z określonym użytkownikiem, możesz zezwolić tylko temu użytkownikowi na dostęp do tej stacji roboczej.

Jest to ustawienie zasad domeny: lokalne logowanie.

Nie uniemożliwia to użytkownikowi przejścia do najbliższej stacji roboczej i wprowadzenia hasła w celu uzyskania dostępu do wyznaczonej maszyny, ale jest to łatwe do wykrycia.

Dotyczy to również usług związanych z systemem Windows, więc serwer WWW na komputerach byłby nadal dostępny.