|
Изоляция терминального сервера
Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем). 2 ноутбука: WinXP SP2 и Vista (контроль не возможен). 1 шлюз: WinXP SP2, KWF, KMS. 1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver. 1 терминальный сервер: Win2k3 SP2, 1С, Office2k3. 1 управляемый коммутатор 2-го уровня D-Link 3550. Необходимо 1. Все пользователи имели выход в интернет. 2. Ничего нельзя было вынести из терминального сервера за пределы офиса. Путь решения, который Я вижу: 1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз. 2. Запретить выход в Интернет с терминального сервера. 3. Запретить расшаривание ресурсов на рабочих станциях. 4. Запретить терминальным пользователям доступ к общим сетевым папкам. Вопрос: Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера? |
Ответ: Изоляция терминального сервера
Цитата:
НО если Вы занимаетесь соображениями -чтобы нечего не вынесли вот Вам минимум два примера как можно вынести в вашей конфигурации: 1. Распечатаьт необходимые данные на принтере и вынести. 2. если есть и-нет - то ничего нестоит послать файл по мылу самому себе и затем его получти с другого компа. 3. И кстати если буферы обмена компов взаимодействуют - то можна воспользоватся копи/пасте |
Ответ: Изоляция терминального сервера
- Все пользователи имели выход в инет:
или аппаратно или программно. Я не знаю что у тя за маршрутизатор, знаю про D-Link 804 - настроил на Wan подключение к интернет, а для твоей локалке он как шлюз. Кому надо прописал шлюз нужный, да и в нем самом настроек полно. Можно программно, но это прокси сервер надо ставить - кучу настроик можно прописать, пользователей можносоздавать,статистику составлять - вообщем по сравнению с 804 даст полный контроль происходящего. - Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера? можно, предлагаю включить фильтр IP (свойства сетевых подключений - свойства tcp-ip - дополнительно - фильтрация свойство) ставим галочку и прописываем только параметр только TCP порты и добавляем порт 3389 - подключение удаленного рабочего стола. - Ничего нельзя было вынести из терминального сервера за пределы офиса. Надо в политиках безопасности рыскать. Можно ограничеться только оснаской настройки терминального сервера - там снять галки типа сопоставление принтеров, буферов обмена, и т.д. На своем опыте - как что не придумывай, а ЛОГИ надо вести всего! |
Ответ: Изоляция терминального сервера
дежа вю :mad:
всмысле в глазах двоится. пойду еще посмотрю, где еще разместили этот пост |
Ответ: Изоляция терминального сервера
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
1. Я, как администратор безопасности, должен иметь обычный доступ к терминальному серверу. 2. С него должна быть разрешена печать. 3. Пользователи при подключении должны проходить аутентификацию в домене, поднятом на другом сервере. Цитата:
Цитата:
Цитата:
|
Ответ: Изоляция терминального сервера
По поводу PrintActivitiMonitor - что он делает ? следит за тем кто какой док распечатал или что ? Если да то - опять копи-пасте из одного документа в другой - и нет проблем. можно элементарно срисовать ручкой и листочком с экрана. Можно экран сфоткать. Я уже бился - с похожей проблемой - она не решается компьютерным путем - тока административным - кто документ взял под роспись документ отдал под роспись (в переводе на компьютер - под роспись дали права - забрали права).
По поводу Kerio и прочего (у меня у самого ISA 2004 стоит) - ставим прогу помоему Hamachi или чтото похожее на клиентской машине (для некоторых не нужны админовские права даже - вот вчем ужас то) - организуем ВПН канал - до офиц сайта ЧЕРЕЗ ПРОКСИК и лазеем по и-нету через впн канал - и попробуй отследить где собака порылась ! Канечно Фсе это можно удавть с пом проксика - но поробуй сначала поймай нужную прогу а затем и сайт. А копи -пасте между клиентом и терминалом у меня например по умолчанию - там опция в настройках терминала - разрешить взаимодействие с буфером обмена |
Ответ: Изоляция терминального сервера
Цитата:
Цитата:
Цитата:
|
Ответ: Изоляция терминального сервера
на лишние протоколы - оно через ХТТП и работает это хамачи организует через ХТТП траффик ВПН. по поводу опятьже - фиксируемости что печатали - берем документ - открываем его шеснадцатиричным редактором - и печатаем КОДЫ - и опа - PAM - фиксирует что печатали коды а не текст а еще круче засунуть документ в архив и распечатать - шеснадцатиричные коды архива а потом через сканер распознать и вогнать в компот. Если чел имеет доступ к данным не под роспись на бумаге - он эти данные утащит без ответственно. А вот если под роспись -то хотябы будет знать что по шапке получит - даже если не зафиксируют факт утаскивания данных.
Кстати ни что не мешает (канечна если разбирается чел) написать прогу которая по RDP - протоколу пересылает файл на клиентский компот -Вот исчто одна дыра. Всте таки - думай в сторону административного решения и не полность компьютерного. Да и вообще счас телефоны с хорошим разрешением - сфоткал с экрана и гудбай. |
Ответ: Изоляция терминального сервера
Вот не в ту сторону вы думаете.
Если перед фирмой реально встала проблема защиты информации, ваша задача - убедить руководство в том, что качественно такого рода проблемы решаются одним единственным способом - придётся создавать комплексную систему безопасности. Начиная с физического контроля за вносом и выносом носителей, заканчивая realtime мониторингом трафика. И за это придётся очень нихило забашлять. И заниматься этим должен не админ, а грамотный специалист по безопасности. Также есть варианты, когда сторонняя контора обеспечивает разработку и внедрение такого рода проектов. Да варианты есть, стоит только поменять угол зрения под которым вы смотрите на проблему... А кустарная лепка из дерьма закончится тем, что конфиденциальная инфа рано или поздно покинет пределы вашей сети. И угадайте кого первого прессовать начнут? Вам лишние девять граммов веса нужны? Думаю, что нет. |
Ответ: Изоляция терминального сервера
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Ответ: Изоляция терминального сервера
Если вернуться к первому посту и вопросу в нем можно ли запретить выход в сеть с терминального компота. Да можно - первое с пом групповой политики. Второе поставить фиреволл (я например ISa server пользую -тока не для урезания терминала а наоборот для публикации терминала в и-нетете). И обязательно ограничь доступ к серверу физически.Какой из вариантов тебе интересен -расскажу
А поповоду того что Iskam - себя предлагает врядли - он просто говорит как д.б. в идеале тока ктож тот идеал видел ... но надо к этому стремиться |
Ответ: Изоляция терминального сервера
Цитата:
Что бы не было никаких приколов, делаеться отдельная зона для терминала и разрешаеться трафик только до домена, исключительно до нужных портов и трафик на rdp при этом на терминале буфер обмена выключить, подключение клиенских принтеров отключить, обновления проводить во вне рабочее время, когда терминальные подключения запрещены. |
| Текущее время: 21:01. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2004 - 2026 NoWa.cc