Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Как ограничить подключение к сети лишних компьютеров?

Автор: Elaniel
Дата сообщения: 21.10.2004 13:59
Ситуация: Есть сеть на 100 с лишком компов. Стоит домен 2000. Активное оборудование - чужая умная циска. Пользователи приносят свои ноутбуки и имеют возможность (знают какой можно прописать айпишник и ДНС и имеют свой доменный логин) скачать себе конфиденциальную информацию.
Задача: все компы, за исключением "легальных", не должны пускаться в сеть (ни на один сервак или другую станцию).
Обсуждалось: на циске прописать разрешенные Мак-адреса сетевух, но много геморроя и есть проблема в том, что к чужой циске не пустят. Каким еще образом можно разрешить работу в сети только "легальным" Мак-адресам?
Автор: FreemanRU
Дата сообщения: 21.10.2004 14:26
Elaniel
ИМХО если

Цитата:
к чужой циске не пустят

то очень сложно, на гране невозможно.....

Цитата:
и имеют возможность

Это как так "имеют возможность"?????
Приказ №ххх "Меры противодействия по расщищению интелектуальной собственности"
п.1 Работникам запрещается подключать к сети любые средства связи.
п.х.....

Несоблюдение приказа карается увольнением и штрафом.

После этого опечатываются все соединения кабеля с разетками/сетвыми - и ждем первой ласточки. После этого проводим показательное раздвигание ягодиц... думаю это будет первый и единчвенный прицидент.
Автор: Elaniel
Дата сообщения: 21.10.2004 15:02
Да, возможно, последнее предложение будет наилучшим выходом. Просто заказчик просил решение именно на уровне оборудования/софта.
Автор: Svyazist
Дата сообщения: 21.10.2004 15:22
Elaniel
А почему нельзя сделать так чтобы доменный пользователь мог логиниться только на свой комп?
AD-пользователи и компоты=>свойства любого юзера=>вкладка "учетная запись"=>кнопка "вход на". ( там так и написано )
там из списка выбирается комп на который может залогинется данный юзер. На все другие компы домена он не сможет залогинеться.

Добавлено
так же не понятно как они могут заджойнить комп в домен? есть права?
Автор: JcVai
Дата сообщения: 21.10.2004 15:41
Elaniel
Файрвол с поддержкой фильтрации по mac-у на сервера.
Автор: FreemanRU
Дата сообщения: 21.10.2004 16:16
Svyazist
А никто не говорит о ЛОКАЛЬНОМ ВХОДЕ aka логин..
Ноут подцепляется, прописывается DNS, после этого можно цепляться на ресурсы, он выдаст приглошение ввести логин/пароль. Вводми свой доменный логин пароль - и вуаля. Это же не локальный вход. И комп не обязательно дожен быть в домене.

JcVai
ИМХО фаер с такой фильтрацией сильно грузит CPU. А там все-таки 100 клиентов.

Пришла мысль такая - можно попробовать поднять IpSec, соответсвенно если на компе не будет сертификата, то и доступа не будет.
И еще. Свитч же стоит наверняка... а он не управляемый случаем? Если нет, то может есть резон его сменить на управляемый?
Автор: Elaniel
Дата сообщения: 21.10.2004 16:20

Цитата:
А почему нельзя сделать так чтобы доменный пользователь мог логиниться только на свой комп?
AD-пользователи и компоты=>свойства любого юзера=>вкладка "учетная запись"=>кнопка "вход на". ( там так и написано )
там из списка выбирается комп на который может залогинется данный юзер. На все другие компы домена он не сможет залогинеться.

Сделать-то можно, а толку? При входе с компа-не_члена_домена на какой-нить сервак, у юзера запрашивается имя и пароль, к-рые он легко вводит и заходит на сервак. Логиниться в домен совсем не обязательно!

Цитата:
Файрвол с поддержкой фильтрации по mac-у на сервера.

Да, тоже выход. Но в идеале, конечно, надо бы запретить доступ не только к сервакам, но и рабочим станциям, это, конечно, куча работы, но как решение это можно вполне предложить заказчику, и они уже пусть думают, стоит ли овчинка выделки

Добавлено

Цитата:
Пришла мысль такая - можно попробовать поднять IpSec, соответсвенно если на компе не будет сертификата, то и доступа не будет.
И еще. Свитч же стоит наверняка... а он не управляемый случаем? Если нет, то может есть резон его сменить на управляемый?

Про свитч писал - он чужой со всеми вытекающими. IpSec заказчику не подойдёт, скорее всего. Хотя можно попробовать что-нибудь подумать в этом направлении. У них связь есть с внешним миром через сетевой экран Дионис, а он, кажись, IpSec не поддерживает, надо уточнять будет. А так спасибо.
Автор: FreemanRU
Дата сообщения: 21.10.2004 16:48

Цитата:
У них связь есть с внешним миром через сетевой экран Дионис

А так внешний мир и не нужен. Шифроваться будет только траффик между КД и клиентами. А все остальное - не шифрованное. А этот Дионис - это аппаратное или программное решение?
Автор: Elaniel
Дата сообщения: 21.10.2004 16:56

Цитата:
Дионис - это аппаратное или программное решение

Программно-аппаратное. Разработка некоего "Фактора". 3-й пень с ОС "Дионис"
Но если трафик принудительно шифровать, то Дионис они не увидят. А если принудительно только на серваках трафик шифровать, то "нелегальный" комп сможет залезть на другую рабочую станцию.

Добавлено
Да и сервак с Домино тоже во внешний мир через Дионис лезет, а на этом серваке к тому же пользовательские данные и проч. лежит.
Автор: FreemanRU
Дата сообщения: 21.10.2004 17:00
Elaniel
Если мне память не изменяет, то Ipsec шифрует или не шифрует траффик исходя из destination пакета. Так что мешает сделать траффик на этот Дионис не шифрованным?
Соответсвенно надо сделать так, чтобы сервера на Win2k не отвечали на нешифрованные пакеты. И все. И клиенты посылали шифрованные пакеты на сервера и на друг друга, и не шифрованные на Дионис
Автор: RandomUser
Дата сообщения: 21.10.2004 21:42
в АД, в политиках доменных есть фишка - доступ к компьютеру по сети, дык там можно указать что к серваку по сети могут коннектиться только определенные компы прописанные в АД, соответсвенно левый комп аля ноут принесеннный хрен к серваку подцепится....
Автор: Elaniel
Дата сообщения: 22.10.2004 15:22
RandomUser

Цитата:
в АД, в политиках доменных есть фишка - доступ к компьютеру по сети, дык там можно указать что к серваку по сети могут коннектиться только определенные компы прописанные в АД

Там ведь только пользователи, а не компы.

FreemanRU

Цитата:
И клиенты посылали шифрованные пакеты на сервера и на друг друга, и не шифрованные на Дионис

Но если они будут слать нешифрованные пакеты на Дионис, то точно также они будут их слать на левый ноут. Если же ставить политику шифрования Require Security, то Диониса они уже не увидят, там же нельзя настроить так (вроде бы), чтоб на определенные объекты слался только шифрованный трафик, а на другие только нешифрованный. Или я чего-то путаю?
Автор: FreemanRU
Дата сообщения: 22.10.2004 15:43
Elaniel

Цитата:
Но если они будут слать нешифрованные пакеты на Дионис, то точно также они будут их слать на левый ноут. Если же ставить политику шифрования Require Security, то Диониса они уже не увидят, там же нельзя настроить так (вроде бы), чтоб на определенные объекты слался только шифрованный трафик, а на другие только нешифрованный. Или я чего-то путаю?

ИМХО нет. К сожалению не могу проверить точно. По идеи так - настраивается шифрованный траффик на все узлы КРОМЕ Диониса. (там привила придется в ручную делать)
Автор: Elaniel
Дата сообщения: 22.10.2004 15:49
Ок, буду пробовать
Автор: RandomUser
Дата сообщения: 22.10.2004 19:52
Elaniel

там можно и компьютер добавить, посмотри повнимательней.....тока что сам проверил все добавляется......там когда добавляешь есть кнопочка "ТИПЫ ОБЪЕКТОВ" вот там-то и ставится галочка "КОМПЬЮТЕР" и после этого они очень даже легко добавляются....
Автор: Nebkeny
Дата сообщения: 26.10.2004 16:33
Полностью согласен с RandomUser . Прописываешь в AD только нужные компы и никто другой с левого в домен не войдет !
Автор: Elaniel
Дата сообщения: 28.10.2004 13:42
RandomUser

Цитата:
там можно и компьютер добавить, посмотри повнимательней.....тока что сам проверил все добавляется......там когда добавляешь есть кнопочка "ТИПЫ ОБЪЕКТОВ" вот там-то и ставится галочка "КОМПЬЮТЕР" и после этого они очень даже легко добавляются....

Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователей - Доступ к компьютеру из сети
- Это правильно, здесь добавляем? В других местах не нашёл. Так вот нет там кнопочки "Типы объектов". Повторюсь, домен-контроллер Windows2000 SP3.
Автор: TOHbI4
Дата сообщения: 28.10.2004 14:38
Все тебе правильно говорили про AD и разрешения только определнным компам... вкладку "объекты - компьютеры" надо искать когда добавляешь юзверей на тот или иной объект. Просто по-дефолту там стоит "Юзеры", добавь туда только компы и все будет Ок. Не надо тут никаких программно-аппаратных комплексов... Если такое решение тебя чем-либо не устраивает, то поставь MS ISA 2004... там есть такое управление сетью, в том числе и локальной... токо смотри там внимательно в настройках, иначе получишь геморр во всей сети... По защищенности ISA 2004 ничем не уступает Линуксу у которого все сетевые сервисы дропают пакеты
Автор: Elaniel
Дата сообщения: 28.10.2004 15:43
TOHbI4

Цитата:
поставь MS ISA 2004...

А причем здесь ISA? Хорошо посмотрю.

Добавлено

Цитата:
вкладку "объекты - компьютеры" надо искать когда добавляешь юзверей на тот или иной объект. Просто по-дефолту там стоит "Юзеры", добавь туда только компы и все будет Ок

Может, я чего-то не догоняю... А по-подробней можно?
Автор: FreemanRU
Дата сообщения: 28.10.2004 20:52
TOHbI4
Nebkeny
RandomUser
Прежде чем советовать надо было проверить. На выбор доступны: "Встроенные участники безопасности", "Пользователи", "Группы".. К каким из объектов относиться Компьютер??
TOHbI4

Цитата:
MS ISA 2004

ИМХО это уж совсем лишнее... проще фаер с МАК фильтрацией поставить, как советовал b]JcVai[/b]
Автор: binagal
Дата сообщения: 28.10.2004 20:59
Elaniel


Цитата:
Может, я чего-то не догоняю... А по-подробней можно?


Такую галку я нашел в 2003, а в 2000 получилось просто написать имя компа в поле имени юзера - он подхватил его как объект.
Автор: Elaniel
Дата сообщения: 29.10.2004 09:37
Понятно, спасибо.
Автор: Elaniel
Дата сообщения: 02.11.2004 15:20

Цитата:
Такую галку я нашел в 2003, а в 2000 получилось просто написать имя компа в поле имени юзера - он подхватил его как объект

Короче, не прокатило:
Сделал OU, добавил туда тестовый комп. Сделал группу WS, добавил туда несколько компов, включил GPO на тестовый OU, в список доступа добавил группу WS. Получилось: с "нелегальных" компов доступа нет, ошибка "...запрещено администратором...", с "легальных" компов тоже не пускает, ошибка "...данный пользователь не имеет прав доступа...".
Ладно, добавляю в список доступа (в GPO) кроме группы WS группу Администраторы и Пользователи. Проверяю, доступ есть всем и отовсюду!
Итог: замкнутый круг.
Автор: FreemanRU
Дата сообщения: 02.11.2004 22:33
Elaniel

Цитата:
Короче, не прокатило:

Это все от игнорирования RTFM.... Процесс сетевого входа все помнят? Так вот на какой стадии там проверяется с КАКОГО КОМПА идет соединение? По моему ни на какой Загляните в журнал безопасности, и посмотрите от чьего имени идут коннекты....

Страницы: 1

Предыдущая тема: Экспорт-импорт групповых политик, домен Win2000, AD


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.