Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Windows [игнор отключен] [закрыт для гостей] / Сетевые ресурсы - только с машин домена / 24 сообщений из 24, страница 1 из 1
29.12.2004, 16:29
    #32850176
Петров П.П.
Петров П.П.
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Уважаемые сисадмины!

У меня проблема: необходимо в домене Win2000 отключить возможность
доступа к сетевым ресурсам домена с компьютеров, не входящих в состав домена.

То есть может быть так: приходит чувак с ноутбуком, поключается к локалке, вводит net use * \\server\share, вводит свое доменное имя\пароль и качает инфу.

Как можно сделать чтобы это только с доменных компов можно делать.
Какие политики надо рулить для этого?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 07:58
    #32850761
Yanis
Yanis
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
По-моему нереально.
По крайней мере потому, что винды младше 2000 регистрируются в домене "бесплатно".
Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 09:13
    #32850822
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Если только в эту сторону покопать (см. рисунок) - актив директори, свойства пользователя. Но всё равно косяк - можно дать компу имя машины с которой вход разрешён - и получиться зайти, если другой комп выключен.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 09:23
    #32850843
Yanis
Yanis
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Да, способ должен быть работоспособным. Одно "но" - если в этом списке перечислять все машины домена, с которых каждый юзер может потенциально логиниться, то
1. Распухнет АД
2. Распухнет голова у админа, который будет пытаться поддерживать список в актуальном состоянии

Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 09:57
    #32850913
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
А у тебя юзеры часто лезут на чужие машины логиниться? Мои так и незнают, что так можно.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 10:17
    #32850953
trubb
trubb
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
везет тебе у тебя наверно у каждого компутер - а когда на отдел из 6 морд - 2 компутера всего?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 10:25
    #32850971
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
можно так:
раздавать адреса DHCP-й,
жестко привязывая к mac адресу.

После этого настроить файрволлы чтоб пускало только свои IP
на виндовые порты (135 138 139 и прочее)

все это в принципе можно автоматизировать.

+ на подключающихся чуваков с ноутбуками натравить службу безопасности :-)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 10:42
    #32851009
Петров П.П.
Петров П.П.
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
А если служба безопасности проспала? Нет надо это программно решать...

На ноутбуке айпи адрес можно и вручную прописать.
Кроме того, mac-адрес сетевой платы можно и перепрошить. Не все сетевые платы правда, но достаточное число.

Я слышал, можно запретить доступ не с доменных компьютеров, используя IPSec и Kerberos. Но я с ними не знаком. Может кто-нибудь слышал?

Еще можно замутить с подписыванием трафика SMB, если поможет.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 10:43
    #32851014
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Ну так ты пока хоть что-то сделай. Сложные варианты потом потихоньку до ума доводить и полировать будешь.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 10:54
    #32851037
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
перевести в native-mode активдиректорю.
Будет тада керберос, он действительно делает такое.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 10:58
    #32851047
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
а служба безопасности - это в т.ч. и Вы:
например, как он подключается?
У Вас в сети есть свободные скоммутированные розетки?
А зачем они есть?

Когда заботятся о безопасности, следят за такими вещами.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 11:16
    #32851107
Петров П.П.
Петров П.П.
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Нет, свободных розеток нет.

Стоит рабочая станция, патч-корд идет от сетевой платы в розетку.
Злоумышленник отключает рабочую станцию, и в освободившуюся розетку тыкает свой ноутбук.

Или где витая пара идет, он ее перекусывает, обжимает и подключается...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 11:17
    #32851109
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
вот сволочь :-)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 11:20
    #32851116
trubb
trubb
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Петров П.П.Или где витая пара идет, он ее перекусывает, обжимает и подключается...
за такое морду бьют или телегу начальству пишут о систематической порче имущества с удержанием ущерба в 10 кратном размере из з\п
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 11:22
    #32851121
trubb
trubb
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
а хаб с собой он не приносит?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 11:26
    #32851131
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
можно легко сделать мониторинг
и отлавливать отключение рабочей станции,
тогда возьмете с поличным :-)

И вообще отключить его аккаунт, раз он такой редиска.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 12:41
    #32851344
Петров П.П.
Петров П.П.
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Его физически не существует, есть только угроза. Ей аккаунт не отключишь.

В любой организации, сотрудник может взять информацию, даже если нет дисковводов типа CD-RW\DVD-RW,если он к ней имеет доступ
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 12:54
    #32851381
trubb
trubb
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
ну тогда это не в форум - а в контору глубокого бурения за опытом.....
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 13:01
    #32851402
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
все элементарно, вот например в банках -
на входе/выходе мордоворот не пропускает не тлько с буком, но и просто с дискетой.

Можно заставить не выключать рабочие станции и случай каждого отключения расследовать отдельно.

CD/RW/DVD отключить равно как флоповоды, системники - на замок или
опечатывать.
Com/LPT/USB порты отключить.
Интернет - отключить.
Перейти на тонких клиент.


После этого кто и имеет доступ - скорее всегь инфу ему придется переписывать на бумажку. :-)


Есессна, кому надо - прорвется.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 13:04
    #32851408
Yanis
Yanis
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
А кто-то натренирует память и все что надо - унесет в голове, а потом воспроизведет при помощи клавиатуры
Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 13:08
    #32851418
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
На тот случай мы держим особого специалиста - гипнотезера,
который форматирует память по окончании рабочего дня!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 13:12
    #32851438
Yanis
Yanis
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
И еще одного гипнотизера, который восстанавливает память в начале следующего дня :-)
А что вы делаете со вторым гипнотизером, чтобы не было утечки информации через него?
Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 13:33
    #32851483
очень-сложное-решение
очень-сложное-решение
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Це элементарно. Он работает в ночную смену и утром,
после того как он загрузит всех сотрудников,
ему тоже прочищают башню и отпускают домой!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.12.2004, 13:45
    #32851507
Yanis
Yanis
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Сетевые ресурсы - только с машин домена
Все, стоп. Хватит флейма, а то можно еще много страниц контрдоводами исписать
Posted via ActualForum NNTP Server 1.1
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Windows [игнор отключен] [закрыт для гостей] / Сетевые ресурсы - только с машин домена / 24 сообщений из 24, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 1364ms
Закрыть
start [/forum/search_topic.php?author=king85&author_mode=last_posts&do_search=1]:
 0ms
get settings:
 7ms
get forum list:
 10ms
get settings:
 7ms
get forum list:
 15ms
get settings:
 8ms
get forum list:
 16ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 67ms
get topic data:
 12ms
get forum data:
 3ms
get page messages:
 58ms
get tp. blocked users:
 1ms
others: 1152ms
total:  1364ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]