none
Zakazanie pripojenia k SBS2011 pocitacom ktore nie su v domene.

    Dotaz

  • Zdravim Vas,

    Chcem sa opytat ako je mozne zakazat pristup k serveru (stacil by share) pocitacom mimo domeny.... Neccem aby sa hociktory pc co sa pripoji do steie a napise si meno servera nasledne meno a heslo uzivatela vedel dostat k datam. Chcem tiez zamedzit pre ine PC ako tie co uz su pripoje v sieti na DHCP servery pridelovanie IP tak ze aktualne IPCky prehodim do Allow listu. To zamedzenie pristupu k serveru na ine ako domenove PC by sa ma dat nastavit v active directory ale nedopatral som sa ze kde.

     

    Dakujem za rady

     

    PZ


    14. listopadu 2011 17:04

Odpovědi

  • Ahoj, na tohle by bylo nejlepší implementovat NAP (Network Acces Protection) a zavést certifikáty počítačů - že by se směly jen určité počítače připojit do sítě. Ochrana např, že by se IP adresa přidělila jen určeným MAC adresám mi přijde jako nic moc a nesplní to příliš svůj účel.
    14. listopadu 2011 17:27
  • standardní windows firewall tohle neumí, to už musíš mít nějaký který umí inspekci paketů a pokročilejší pravidla tzn. buď forefront a nebo kerio connect a případně další.

    v ad jsou jen stroje které tam jsou. přístupy se řeší na úrovni uživatelů a ne počítačů (pro cizí stroje, které v doméně nejsou).

    jak psal Jirka, nejlepší je to řešit buď přes NAP a nebo přes VLAN.

    DHCP bezpečnost sama o sobě neřeší, jen přiděluje IP adresy na vyžádání. to nijak neřeší otázku bezpečnosti - IP si mohu nastavit manuálně...


    michal zobec www.michalzobec.cz | www.virtualnipc.cz

    15. listopadu 2011 12:25
  • Už vám to bylo řečeno ale asi nechcete slyšet NE.

    Ověřování share je řešeno přes uživatele. Takže i když přistoupíte z počítače který není v doméně ale přihlásite se uživatelem z domény JE TO SPRÁVNĚ. Je to by design a nejde to změnit.

    To co chcete se řeší odmítáním TCP/IP paketů které nesplňují bezpečnost.

    Musíte změnit něco před tím. Tím něčím je NAP nebo VLAN.


    JCH
    15. listopadu 2011 15:27

Všechny reakce

  • Ahoj, na tohle by bylo nejlepší implementovat NAP (Network Acces Protection) a zavést certifikáty počítačů - že by se směly jen určité počítače připojit do sítě. Ochrana např, že by se IP adresa přidělila jen určeným MAC adresám mi přijde jako nic moc a nesplní to příliš svůj účel.
    14. listopadu 2011 17:27
  • Ahoj, 

    To pridelovanie by bol iba bonus, a v active directory sa neda povolit pristup iba pre pocitace v domene ? Este by som to chcem nejako osekat na firewalle.

    14. listopadu 2011 17:42
  • standardní windows firewall tohle neumí, to už musíš mít nějaký který umí inspekci paketů a pokročilejší pravidla tzn. buď forefront a nebo kerio connect a případně další.

    v ad jsou jen stroje které tam jsou. přístupy se řeší na úrovni uživatelů a ne počítačů (pro cizí stroje, které v doméně nejsou).

    jak psal Jirka, nejlepší je to řešit buď přes NAP a nebo přes VLAN.

    DHCP bezpečnost sama o sobě neřeší, jen přiděluje IP adresy na vyžádání. to nijak neřeší otázku bezpečnosti - IP si mohu nastavit manuálně...


    michal zobec www.michalzobec.cz | www.virtualnipc.cz

    15. listopadu 2011 12:25
  • To je mi jasne ze DHCP bezpecnost neriesi. Iba by sa odstavilo pridelovanie IP adries vsetkym zariadeniam. Mam tam Zyxel USG 50 ako firewall. V politikach SBSka sa ale musi dat nastavit iba pristup pre domenove PC. Teraz nehovorim o celej LANke ale pristup do siete by mali iba PC ktore su celnmi domeny nie ti ktori sa overia cez meno a heslo ked pride na hociakom PC a zada si meno servera.

    15. listopadu 2011 14:22
  • Už vám to bylo řečeno ale asi nechcete slyšet NE.

    Ověřování share je řešeno přes uživatele. Takže i když přistoupíte z počítače který není v doméně ale přihlásite se uživatelem z domény JE TO SPRÁVNĚ. Je to by design a nejde to změnit.

    To co chcete se řeší odmítáním TCP/IP paketů které nesplňují bezpečnost.

    Musíte změnit něco před tím. Tím něčím je NAP nebo VLAN.


    JCH
    15. listopadu 2011 15:27
  • No je pravda ze nie sa tazko pocuva :-) Uz je viac ludi co mi hovori ze to nejde ako tych ze to ide :)  Budem sa teda musiet pustit do NAPka.

    Dakujem za rady.

     

    PZ

    15. listopadu 2011 18:20
  • V politikach SBSka sa ale musi dat nastavit iba pristup pre domenove PC. Teraz nehovorim o celej LANke ale pristup do siete by mali iba PC ktore su celnmi domeny nie ti ktori sa overia cez meno a heslo ked pride na hociakom PC a zada si meno servera.


    to je ale práce pro firewall a nikoli pro systém jako takový. řešením je jedině filtrace povoleným zařízením na základě MAC adresy. jenže to se taky dá obejít velice snadno.

    buď si pořídíte nějaký skutečný podnikový firewall pro server, nebo NAP nebo se to dá řešit VLAN (to řeší routery).


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    • Navržen jako odpověď Michal Zobec 15. listopadu 2011 20:36
    15. listopadu 2011 20:36