Запретить пользователям Windows входить в систему, пинговать или просматривать другие рабочие станции [закрыто]

Первое, что вам нужно сделать, это запустить с минимальными привилегиями. Если ваши пользователи являются администраторами на рабочих станциях, вы уже проиграли битву. Затем убедитесь, что на каждой рабочей станции используется другой пароль администратора.

Следующая важная задача - логически сегментировать вашу сеть. В случае взлома все узлы в каждом сегменте должны иметь одинаковое значение. Think Desktop | Серверы | Active Directory. Тогда учетным записям с повышенным доступом в каждом сегменте разрешен доступ только к этому сегменту.Таким образом, учетная запись администратора сервера не может использоваться в сегменте рабочих станций. Учетную запись администратора Active Directory нельзя использовать в сегменте сервера или рабочей станции. Если они не используются, им следует запретить доступ.

Дело в том, что если учетная запись администратора домена используется на рабочей станции, то вся организация подвергается риску, если некоторые из них могут получить права администратора в одной системе. Это то, что нужно предотвратить.

Межсетевые экраны. Таким же образом вы ограничиваете сетевой трафик в любой другой ситуации. Вы, вероятно, захотите использовать управляемый брандмауэр на основе хоста, который разрешил бы связь с серверами и другими устройствами инфраструктуры на всех или определенных портах и ​​не разрешал бы взаимодействие в противном случае. Вы также можете сильно ограничить доступ к сети для любой машины без управляемого брандмауэра, используя 802.1x.

Вы должны быть достаточно продвинутыми, чтобы также учитывать такие бизнес-потребности, как мобильные пользователи и устройства, развертывание новых устройств и т. Д. , так что вы не вносите серьезных задержек и неудобств в обычную рабочую среду ИТ. Я нигде не видел такого, чтобы я работал.