Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » GPO как запретить с сервера доступ к сетевым ресурсам других

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

AlexSTAL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дано: доменная сеть. Есть выделенный сервер, с которого разрешён выход в интернет.
Как через ГПО (или ещё как) запретить Пользователям с этого сервера доступ к сетевым ресурсам в этом домене.
Простое сокрытие значков не подойдёт - нужна защита от вирусов, которые могут непосредственно обращаться к ресурсам с документами \\серв\шара
Подчеркну - не пользователю запретить доступ к ресурсам, а пользователю с конкретного компьютера/сервера

Всего записей: 33 | Зарегистр. 11-06-2007 | Отправлено: 12:01 24-01-2018
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Как через ГПО (или ещё как) запретить Пользователям с этого сервера доступ к сетевым ресурсам в этом домене.  

 
Фаерволом запретить доступ с этого ПК по протоколу SMB к сети на порт TCP 445 (и в зависимости от версий Windows и остальных настроек порт 139).

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 16:47 25-01-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSTAL
Как бы диссонируют сами названия Групповая политика и выделенный сервер. Групповая оно на то и групповая, что для группы. В единственном же экземпляре, проще и лучше настраивать конкретный же экземпляр. В данном случае - сервер.
Отключить на сервере SMB. Хоть галку снять "Клиент для сетей Microsoft" - самое простое. Или фаер.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:55 25-01-2018 | Исправлено: Paromshick, 18:56 25-01-2018
AlexSTAL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Отключить на сервере SMB. Хоть галку снять "Клиент для сетей Microsoft"

Не указал - обратный доступ должен быть, что бы можно было файлами обмениваться

Всего записей: 33 | Зарегистр. 11-06-2007 | Отправлено: 19:59 25-01-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Эта система называется "ниппель" туда дунь, а оттуда нет.
Что-то вы не так планируете, очевидно. Поймите, IT уже взрослый мальчик, всё уже придумано. И часто бывает, что такие казалось бы "тонкие" задачи на самом дел от неправильного подхода, основанного на слове "хочу". Чтоб было.
Зачем он нужен, такой сервер? Задачи какие будет решать? Заходить на него с интернета, брать всякую ерунду, заранее туда выложенную?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:09 25-01-2018
AlexSTAL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Эта система называется "ниппель" туда дунь, а оттуда нет.  
Что-то вы не так планируете, очевидно. Поймите, IT уже взрослый мальчик, всё уже придумано. И часто бывает, что такие казалось бы "тонкие" задачи на самом дел от неправильного подхода, основанного на слове "хочу". Чтоб было.  
Зачем он нужен, такой сервер? Задачи какие будет решать? Заходить на него с интернета, брать всякую ерунду, заранее туда выложенную?

В конторе нет компьютеров (ни одного), есть тонкие клиенты и терминальные серверы, на них 1С, почта через клиента, офис и т.д.
Все политики запуска ограничены жёстко через белый список процессов.
Браузер - только изолированный от всего Гугл Хром из WtWare.
Возникла потребность (2 года "терпели") - что-то сохранять из интернета и печатать. Ну а так же всё же упростить хождение по присланным ссылкам.
Развернул дополнительный терминальный сервер, опубликовал приложение Гугл Хром...
Задумка - создать на этом сервере папку для обмена скачанными файлами. При этом изолировать его от расшаренных ресурсов других серверов, для защиты от шифровальщиков.
Архивирование, зеркалирование VM, теневые копии и т.д. при этом присутсвуют

Всего записей: 33 | Зарегистр. 11-06-2007 | Отправлено: 20:29 25-01-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Паранойя или ФСБ? Шутка.
Даже если вы изберёте пятый вариант, все равно, теоретически, при установлении соединения по туннелю может какой-то супернедокументированный мегачервь просочиться. Надо всё-таки понимать, какую ценность представляет ваша информация. Причем, в обязательном порядке, не для вас, а для взломщика. Надеясь получить три копейки никто не будет взламывать на рубль.
Надо просто настроить сегментацию сети, посмотреть на основные типы атак, напр. https://habrahabr.ru/post/283482/ что обломались шифровальщики. Настоить своевременную установку заплат. Настроить резервное  и теневое копирование на случай утери. Как бы всё.
При этом хром ваш отправляет инфу по полной, это известно. Аплоад разрешен, и наверняка по почте можно слать что угодно и куда угодно. На флешки, бери - и неси. То есть утечки. Не прав?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:52 25-01-2018 | Исправлено: Paromshick, 20:54 25-01-2018
AlexSTAL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Паранойя или ФСБ? Шутка.  
Даже если вы изберёте пятый вариант, все равно, теоретически, при установлении соединения по туннелю может какой-то супернедокументированный мегачервь просочиться. Надо всё-таки понимать, какую ценность представляет ваша информация. Причем, в обязательном порядке, не для вас, а для взломщика. Надеясь получить три копейки никто не будет взламывать на рубль.
 

Да нет... задача не защититься от взлома, а не дать шифровальщику загубить документы. И всё.
 

Цитата:
Надо просто настроить сегментацию сети, посмотреть на основные типы атак, напр. https://habrahabr.ru/post/283482/ что обломались шифровальщики. Настоить своевременную установку заплат. Настроить резервное и копирование на случай утери. Как бы всё.  
 

Это всё есть, задача - минимальными средствами защититься от банального шифровальщика.
 

Цитата:
При этом хром ваш отправляет инфу по полной, это известно. Аплоад разрешен, и наверняка по почте можно слать что угодно и куда угодно. На флешки, бери - и неси. То есть утечки. Не прав?

Да нет, речь не идёт про конфиденциальность данных и утечки. Банально - с помощью простой настройки защититься от шифровальщика )))
P.S. Флешки запрещены )

Всего записей: 33 | Зарегистр. 11-06-2007 | Отправлено: 20:58 25-01-2018
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSTAL
Можно защищаться от вируса с помощью марлевой повязки, а можно в бункере закрыться и не выходить. И то и другое - защита. Но в последнем случае, явный перебор.
От шифровальщика закроет грамотное распределение ACL и тогда юзер может попортить только свои данные; патчи, ибо все эти чудо-шифровальщики, которые админа получают, используют уже известные и пропатченные уязвимости; теневое копирование, которое защитит от небольшой порчи файлов и резервное копирование. Которое должно быть всегда ибо должно всегда быть.
Эти марлевые повязки закроют не только от вирусов, но и многого другого.
Вы говорите, что всё есть, но тогда, какие шары могут быть доступны из DMZ. В принципе.
Впрочем, как угодно. Есть период разбрасывать камни "нестандартных решений".
Поставьте, лучше если, сторонний фаервол, который закроет исходящий SMB. Ибо взломать встроенный фаер - достаточно в реестр залезть. Или настройте встроенный. Только не говорите, что при таком банковском раскладе у вас права админа у пользователей.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:05 26-01-2018
AlexSTAL

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Поставьте, лучше если, сторонний фаервол

в топку сторонний софт! там дыр в разы больше может быть, чем у MS
пользователи естественно ограничены в правах....

Всего записей: 33 | Зарегистр. 11-06-2007 | Отправлено: 11:33 26-01-2018
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » GPO как запретить с сервера доступ к сетевым ресурсам других


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru