none
Сетевое окружение в XP HE RRS feed

  • Вопрос

  • Добрый день. В офисе сущ. 2 рабочие группы, как сделать, чтобы компы одной группы не видели в сетевом окружении компы другой? Сами компы другой группы в сетевом окружении не видны, но пингуются,  видны расшаренные ресурсы, их можно также увидеть, набрав в проводнике адрес типа \\10.34.3.ххх.

    4 декабря 2008 г. 9:07

Все ответы

  • Вопрос делится на две части.

    1. В рабочих группах Сетевое окружение общее, нельзя сделать так, чтобы кто-то что-то видел, а кто-то - нет. Можно так - "никто не видит ничего". Выполните команду net config server /hidden:yes на машинах, они скроются из Network Neighborhood. ВНИМАНИЕ, ОПАСНО! То, что вы сделаете, - это не безопасность, а просто косметика! По именам и адресам машины всё равно будут достижимы.

     

    2. О чудо, удивитесь - то, что вы просите, называется "безопасность". По всему, у вас в компании вообще нулевой уровень безопасности - приходи, кто хочешь; бери, что хочешь. Сразу же осуждаю выбор системы Windows XP Home - эта система не поддерживает внятный уровень конфигурации безопасности, многое приходится делать ужимками и прыжками (редактированием реестра, использованием NT4-утилит). Поэтому профессионалы в принципе с ней не работают.

     

    Тот факт, что ресурсы видны, говорит о Гостевой модели доступа. Первое, с чего потребуется начать - переход на внятную модель безопасности, когда каждый пользователь обязан аутентифицировать себя именем и паролем, работая с ограниченными привилегиями.

     

    Если кто-то предложит "а давайте поменяем номер сетевого сегмента" или что-то в этом роде - помните, это тоже - только косметика, не безопасность.

    4 декабря 2008 г. 9:17
    Отвечающий
  • Выбор Home Edition обусловлен низким бюджетом компании, а не достаточностью профессионализма. Возникает вопрос, зачем нужны в этом самом home edition рабочие группы, если по существу компьютеры видят друг друга в разных группах. На компьютерах запись гостя отключена, к пользователей пароли на вход в систему.

    4 декабря 2008 г. 9:29
  • В принципе, Netwok Neighborhood - опять же, косметика. Вы можете определить принадлежность машины к той или иной группе так, чтобы это всё показывалось красиво, не в куче. На безопасность не влияет.

     

    Вспомнил: Podans говорил, в Home Edition используется неотключаемая гостевая модель доступа. Травил бы дустом за такое, но что поделаешь, ситуация имеет место быть. К счастью, не приходится сталкиваться с этой системой слишком часто.

     

    Пробежался по Google - ага, XP Home держит всегда включённым Simple File Sharing, что в свою очередь заставляет всех удалённых пользователей аутентифицироваться как Guest вне зависимости от того, включён ли Guest в учётных записях (отключение влияет только на локальный логон).

     

    По низкому бюджету придётся констатировать только одно: сэкономив 40 долларов, вы получили продукт, не удовлетворяющий элементарным нормам безопасности..

    4 декабря 2008 г. 10:13
    Отвечающий
  • это не есть гуд, а существуют сторонние средства, позволяющие ограничивать доступ к рабочей группе ?

    4 декабря 2008 г. 10:39
  •  

    Может фигню скажу, но:

    1) Почему не разделить эти две группы физически (воткнуть в разные свитчи, протянуть разные провода)?

    2) Если правильно помню, две различных подсети могут видеть друг друга только при использовании шлюза. Соответственно в вашем случае проще всего развести эти две рабочие группы по двум различным подсетям. Если нужны подробности - пишите.

    4 декабря 2008 г. 11:35
  •    Это не фигня, но есть версия, что бюджет не позволит .) Дешевле было бы настроить два IP-сегмента, но! (но!) это всё по-прежнему останется косметикой, безопасность начинается с учётных записей..

     

       Пока что занимаюсь установкой XP Home в виртуальную машину, буду проверять, как же отключить гостей. Буду думать в направлении cacls (назначение прав доступа NTFS с командной строки) и способа настроить права на шаринги (Windows NT 4.0 Server Manager).

       Заодно, применим Windows NT 4.0 User Manager for Domains + passprop для настройки парольных политик, Account Lockout и прочих User Rights. Полагаю, если убрать User Right: Access This Computer from Network с группы Authenticated Users, но дать его Users, станет сильно легче.

    4 декабря 2008 г. 11:46
    Отвечающий
  •  

    У меня не различные подсети, а различные рабочие группы. Пока нашел такой выход - брэндмауэр Windows -> Исключения -> Общий доступ к файлам и принтерам -> изменить облась -> особый список - и там можно задавать.

    Понимаю что извращение, но правильно сказали - бюджет Smile

    4 декабря 2008 г. 12:34