Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Запрет доступа к сетевому окружению и ограничение прав (http://forum.oszone.net/showthread.php?t=303689)

sovransky5 08-08-2015 19:55 2538930
Запрет доступа к сетевому окружению и ограничение прав
 
Приветствую всех!
У меня такая вот задача: на территории предприятия будет несколько рабочих станций (Win7 в домене W2k8R2) основная цель которых запускать клиент-серверное приложение и работать в нем. Приложение это коннектится к SQL серверу. Люди которые будут работать не совсем наши сотрудники плюс стоят эти компы далеко, к тому же работают по ночам. Не хотелось бы чтобы у них был доступ к сетевому окружению и общедоступным ресурсам в сети. В частности, на всех машинах в домене есть одна папка для обмена файлами с разрешением на чтение и запись для "Прошедших проверку". В общем в идеале надо чтобы они никуда кроме этой софтины залезть не могли. Вопрос, как это лучше всего организовать?

Что я пока планирую:
Отключаю везде USB порты.
Выставляю им права обычного пользователя естественно.
Через SRP выставлю разрешение им на запуск только именно этой софтины. Это реально?
Через GPP можно выключить значок "Сетевого окружения", но это полумера.
Можно отключить "NetBIOS через TCP/IP". Это поможет?
Можно так же сделать автологон в домен чтобы не было мороки с запоминанием и набором пароля при включении.

PS. Может эти машины вообще не заводить в домен? Обновления мне туда ставить большой необходимости нет, антивирус я там тоже не планирую. Доступ на них радмином. Авторизация на SQL локальная.

Angry Demon 09-08-2015 08:38 2539060
Цитата:
Цитата sovransky5
Не хотелось бы чтобы у них был доступ к сетевому окружению и общедоступным ресурсам в сети
Организуйте VLAN.

sovransky5 09-08-2015 10:57 2539112
Цитата Angry Demon:Используйте VLAN. »

установленные сейчас коммутаторы VLAN не поддерживают, а реализовывать это все надо имхо только на них. К тому же к своему стыду, я плохо знаком с этой технологией

El Scorpio 10-08-2015 02:11 2539398
sovransky5, как раз в соседней теме дали ссылку http://www.windowsfaq.ru/content/view/661/46/ на инструкцию по настройке IPSec посредством доменных политик.
Создаёте для указанных компьютеров политику с правилами IPSec "Блокировать всё", "Разрешить соединение с сервером SQL", а также "Разрешить DNS", "Разрешить DHCP" (для работы сети) и "Разрешить SMB для контроллера домена" (чтобы эти компьютеры могли авторизоваться в домене и загружать обновления групповых политик)

Что касается ваших предложений
Цитата:
Цитата sovransky5
Через SRP выставлю разрешение им на запуск только именно этой софтины. Это реально? »
реально

Цитата:
Цитата sovransky5
Через GPP можно выключить значок "Сетевого окружения", но это полумера.
Можно отключить "NetBIOS через TCP/IP". Это поможет? »
фигня и фигня. Любопытные граждане будут пытаться подключаться к сети по IP-адресам.

Цитата:
Цитата sovransky5
В частности, на всех машинах в домене есть одна папка для обмена файлами с разрешением на чтение и запись для "Прошедших проверку". »
Создайте группу безопасности SMB_Deny (или любое другое понятное имя), добавьте в неё эти компьютеры и этих пользователей. Затем для всех сетевых ресурсов добавьте правило контроля доступа "Запрет" для данной группы.

sovransky5 10-08-2015 17:19 2539676
Цитата:
Цитата El Scorpio
sovransky5, как раз в соседней теме дали ссылку http://www.windowsfaq.ru/content/view/661/46/ на инструкцию по настройке IPSec посредством доменных политик. »
спасибо, попробую так сделать.


Время: 21:41.

Время: 21:41.
© OSzone.net 2001-