Do not allow domain computers to communicate with each other
Our domain consists of around 60 computers. I have been tasked with making sure that Windows 10 workstations cannot communicate with each other. My manager asked that I create static routes so that computers can only communicate with the network printers, file server, DC, and access the Internet.
Since all of theses computers are on the same network I don't believe static routes are going to prevent these computers from seeing each other. What is the best way to allow computers on the domain to use network resources, but not communicate directly with each other?
إذا كان لديك مفتاح يدعمه ، فإن "المنافذ المحمية" للاتصالات الكبلية أو "عزل العميل" لنقاط الوصول على شبكة Wi-Fi يمكن أن تساعدك على التخلص من حركة المرور بين المضيفين في نفس الطبقة- 2. شبكة.
على سبيل المثال ، هذا من دليل Cisco switch :
تحتوي المنافذ المحمية على هذه الميزات: المنفذ المحمي لا يقوم بإعادة التوجيه أي حركة مرور (أحادية البث أو البث المتعدد أو البث) إلى أي منفذ آخر هو أيضًا منفذ محمي. لا يمكن إعادة توجيه حركة البيانات بين منافذ محمية في الطبقة 2 ؛ التحكم فقط في حركة المرور ، مثل حزم PIM ، يتم إعادة توجيهها لأن هذه الحزم تتم معالجتها بواسطة وحدة المعالجة المركزية و إحالتها في البرنامج. كل حركة مرور البيانات بين المحمية يجب إعادة توجيه المنافذ من خلال جهاز من الطبقة الثالثة.
لذلك إذا كنت لا تنوي نقل البيانات بينها ، فلن تحتاج إلى اتخاذ إجراء بمجرد أن تكون "محمية".
سلوك إعادة التوجيه بين منفذ محمي ومنفذ غير محمي تستمر العملية كالمعتاد.
يمكن حماية عملائك ، ويمكن أن يكون خادم DHCP ، والبوابة ، وما إلى ذلك على منافذ غير محمية.
تحديث 27-07-2017
كما أشارsirex ، إذا كان لديك أكثر من مفتاح واحد غير مكدس ، مما يعني أنها ليست مفتاحًا واحدًا تقريبًا ، فإن المنافذ المحمية لن توقف حركة المرور بين تلك .
ملاحظة: بعض المفاتيح (كما هو محدد في VLAN Catalyst Switch الخاص Support Matrix) يدعم حاليًا ميزة PVLAN Edge فقط. ال يشير مصطلح "المنافذ المحمية" أيضًا إلى هذه الميزة. منافذ PVLAN Edge لديها قيود تمنع الاتصال مع الآخرين المحمي المنافذ على نفس المفتاح. منافذ محمية على مفاتيح منفصلة ، ومع ذلك ، يمكنهم التواصل مع بعضهم البعض.
إذا كانت هذه هي الحالة ، فستحتاج منافذ شبكة محلية ظاهرية خاصة معزولة :
في بعض الحالات ، تحتاج إلى منع اتصال الطبقة الثانية (L2) بين الأجهزة الطرفية على مفتاح بدون وضع الأجهزة في شبكات IP فرعية مختلفة. هذا الإعداد يمنع ضياع IP عناوين. تسمح شبكات VLAN الخاصة (PVLANs) بالعزل عند الطبقة 2 من الأجهزة في نفس شبكة IP الفرعية. يمكنك تقييد بعض المنافذ على قم بالتبديل للوصول إلى منافذ محددة فقط لها بوابة افتراضية ، خادم النسخ الاحتياطي ، أو Cisco LocalDirector مرفق.
إذا كان PVLAN يمتد عبر محولات متعددة ، فيجب أن تكون قنوات VLAN بين المحولات منافذ VLAN قياسية .
يمكنك تمديد PVLANs عبر المحولات باستخدام الكابلات . جذع تنقل الموانئ حركة المرور من شبكات VLAN العادية وأيضًا من الأساسي ، شبكات محلية ظاهرية (VLAN) معزولة ومجتمعية. توصي Cisco باستخدام المعيار منافذ قنوات الاتصال إذا كان كلا المحولين اللذين يخضعان للتوصيل يدعمان PVLANs.
إذا كنت من مستخدمي Cisco ، فيمكنك استخدام هذه المصفوفة لمعرفة ما إذا كانت المحولات الخاصة بك تدعم الخيارات التي تحتاجها.
يمكنك القيام بذلك ، إذا فعلت شيئًا فظيعًا مثل إنشاء شبكة فرعية واحدة لكل عميل. سيكون هذا بمثابة كابوس إدارة.
جدار حماية Windows ، مع السياسات المناسبة ، سيساعد في ذلك. يمكنك أن تفعل شيئًا مثل عزل المجال ، ولكن حتى أكثر تقييدًا. يمكنك فرض القواعد لكل وحدة تنظيمية ، مع الخوادم في وحدة تنظيمية ومحطات عمل في أخرى. قد ترغب أيضًا في التأكد من أن الطابعات (والخوادم) ليست على نفس الشبكة الفرعية مثل محطات العمل لتبسيط ذلك.
https://technet.microsoft.com/en-us/library/cc730709 (v = ws.10) .aspx
فيما يتعلق بطابعات الشبكة - يمكنك تسهيل ذلك إذا لم تسمح بالطباعة المباشرة ، لكنك استضافت الطابعات كقوائم انتظار مشتركة من خادم طباعة. كانت هذه فكرة جيدة لفترة طويلة لأسباب متعددة.
هل يمكنني أن أسأل ما هو الهدف الفعلي لهذا العمل؟ هل هو للمساعدة في منع انتشار البرامج الضارة؟ يساعد وضع الصورة الكبيرة / خط النهاية في الاعتبار على تحديد المتطلبات ، لذلك يجب أن يكون ذلك دائمًا جزءًا من سؤالك.
إذا كان بإمكانك ربط كل محطة عمل بمستخدم معين ، يمكنك السماح لهذا المستخدم فقط بالوصول إلى محطة العمل هذه.
إنه إعداد نهج المجال: تسجيل الدخول محليًا بشكل صحيح.
هذا لا يمنع المستخدم من الذهاب إلى أقرب محطة عمل وإدخال كلمة المرور الخاصة به للوصول إلى الجهاز المخصص له / لها ، ولكن يمكن اكتشافه بسهولة.
كما يؤثر هذا فقط على الخدمات المتعلقة بـ Windows ، لذا فإن خادم الويب على الأجهزة لا يزال من الممكن الوصول إليها.