Изоляция терминального сервера

[superpalych]

Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем).
2 ноутбука: WinXP SP2 и Vista (контроль не возможен).
1 шлюз: WinXP SP2, KWF, KMS.
1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver.
1 терминальный сервер: Win2k3 SP2, 1С, Office2k3.
1 управляемый коммутатор 2-го уровня D-Link 3550.
Необходимо
1. Все пользователи имели выход в интернет.
2. Ничего нельзя было вынести из терминального сервера за пределы офиса.
Путь решения, который Я вижу:
1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз.
2. Запретить выход в Интернет с терминального сервера.
3. Запретить расшаривание ресурсов на рабочих станциях.
4. Запретить терминальным пользователям доступ к общим сетевым папкам.
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

[fylhtqrf]

Цитата: Сообщение от superpalych Вопрос: Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

Канечна можно - делаем тонкого клиента на thinstation - т.е. клиенты могут грузится вообще без винта. В конфиге тонкого клиента режем usb, fdd, cdrom
НО если Вы занимаетесь соображениями -чтобы нечего не вынесли вот Вам минимум два примера как можно вынести в вашей конфигурации: 1. Распечатаьт необходимые данные на принтере и вынести.
2. если есть и-нет - то ничего нестоит послать файл по мылу самому себе и затем его получти с другого компа.
3. И кстати если буферы обмена компов взаимодействуют - то можна воспользоватся копи/пасте

[astyle]

- Все пользователи имели выход в инет:
или аппаратно или программно. Я не знаю что у тя за маршрутизатор, знаю про D-Link 804 - настроил на Wan подключение к интернет, а для твоей локалке он как шлюз. Кому надо прописал шлюз нужный, да и в нем самом настроек полно. Можно программно, но это прокси сервер надо ставить - кучу настроик можно прописать, пользователей можносоздавать,статистику составлять - вообщем по сравнению с 804 даст полный контроль происходящего.
- Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?
можно, предлагаю включить фильтр IP (свойства сетевых подключений - свойства tcp-ip - дополнительно - фильтрация свойство) ставим галочку и прописываем только параметр только TCP порты и добавляем порт 3389 - подключение удаленного рабочего стола.
- Ничего нельзя было вынести из терминального сервера за пределы офиса.
Надо в политиках безопасности рыскать. Можно ограничеться только оснаской настройки терминального сервера - там снять галки типа сопоставление принтеров, буферов обмена, и т.д.

На своем опыте - как что не придумывай, а ЛОГИ надо вести всего!

[axlwor]

дежа вю
всмысле в глазах двоится. пойду еще посмотрю, где еще разместили этот пост

[superpalych]

Цитата: Сообщение от fylhtqrf Канечна можно - делаем тонкого клиента на thinstation - т.е. клиенты могут грузится вообще без винта. В конфиге тонкого клиента режем usb, fdd, cdrom

Это вообще другая конфигурация сети. На терминальном серверу будут только серкретная документация.

Цитата: Сообщение от fylhtqrf НО если Вы занимаетесь соображениями -чтобы нечего не вынесли вот Вам минимум два примера как можно вынести в вашей конфигурации: 1. Распечатаьт необходимые данные на принтере и вынести.

Для этого есть отдельные программы, например Printer Activity Monitor.

Цитата: Сообщение от fylhtqrf 2. если есть и-нет - то ничего нестоит послать файл по мылу самому себе и затем его получти с другого компа.

А для этого у меня припосён Kerio Winroute FireWall.

Цитата: Сообщение от fylhtqrf 3. И кстати если буферы обмена компов взаимодействуют - то можна воспользоватся копи/пасте

Насколько я помню, в терминале этого нет (или отключено по умолчанию).

Цитата: Сообщение от astyle - Все пользователи имели выход в инет: или аппаратно или программно. Я не знаю что у тя за маршрутизатор

Я же написал, Kerio Winroute Firewall? a D-Link-3550 - управляемый коммутатор.

Цитата: Сообщение от astyle знаю про D-Link 804 - настроил на Wan подключение к интернет, а для твоей локалке он как шлюз. Кому надо прописал шлюз нужный, да и в нем самом настроек полно. Можно программно, но это прокси сервер надо ставить - кучу настроик можно прописать, пользователей можносоздавать,статистику составлять - вообщем по сравнению с 804 даст полный контроль происходящего.

KWF именно это и делает.

Цитата: Сообщение от astyle - Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера? можно, предлагаю включить фильтр IP (свойства сетевых подключений - свойства tcp-ip - дополнительно - фильтрация свойство) ставим галочку и прописываем только параметр только TCP порты и добавляем порт 3389 - подключение удаленного рабочего стола. - Ничего нельзя было вынести из терминального сервера за пределы офиса.

Проблема в том, что:
1. Я, как администратор безопасности, должен иметь обычный доступ к терминальному серверу.
2. С него должна быть разрешена печать.
3. Пользователи при подключении должны проходить аутентификацию в домене, поднятом на другом сервере.

Цитата: Сообщение от astyle Надо в политиках безопасности рыскать. Можно ограничеться только оснаской настройки терминального сервера - там снять галки типа сопоставление принтеров, буферов обмена, и т.д.

Вот я и думаю, что кто-нибудь уже сталкивался с подобной ситуацией, и знает, как решить подобную проблему.

Цитата: Сообщение от astyle На своем опыте - как что не придумывай, а ЛОГИ надо вести всего!

На это нет времени.

Цитата: Сообщение от axlwor дежа вю всмысле в глазах двоится. пойду еще посмотрю, где еще разместили этот пост

Лучше бы по существу ответил.

[fylhtqrf]

По поводу PrintActivitiMonitor - что он делает ? следит за тем кто какой док распечатал или что ? Если да то - опять копи-пасте из одного документа в другой - и нет проблем. можно элементарно срисовать ручкой и листочком с экрана. Можно экран сфоткать. Я уже бился - с похожей проблемой - она не решается компьютерным путем - тока административным - кто документ взял под роспись документ отдал под роспись (в переводе на компьютер - под роспись дали права - забрали права).
По поводу Kerio и прочего (у меня у самого ISA 2004 стоит) - ставим прогу помоему Hamachi или чтото похожее на клиентской машине (для некоторых не нужны админовские права даже - вот вчем ужас то) - организуем ВПН канал - до офиц сайта ЧЕРЕЗ ПРОКСИК и лазеем по и-нету через впн канал - и попробуй отследить где собака порылась ! Канечно Фсе это можно удавть с пом проксика - но поробуй сначала поймай нужную прогу а затем и сайт.
А копи -пасте между клиентом и терминалом у меня например по умолчанию - там опция в настройках терминала - разрешить взаимодействие с буфером обмена

[superpalych]

Цитата: Сообщение от fylhtqrf По поводу PrintActivitiMonitor - что он делает ? следит за тем кто какой док распечатал или что ? Если да то - опять копи-пасте из одного документа в другой - и нет проблем. можно элементарно срисовать ручкой и листочком с экрана. Можно экран сфоткать. Я уже бился - с похожей проблемой - она не решается компьютерным путем - тока административным - кто документ взял под роспись документ отдал под роспись (в переводе на компьютер - под роспись дали права - забрали права).

PAM фиксирует текст распечатанного документа (в новых версиях).

Цитата: Сообщение от fylhtqrf По поводу Kerio и прочего (у меня у самого ISA 2004 стоит) - ставим прогу помоему Hamachi или чтото похожее на клиентской машине (для некоторых не нужны админовские права даже - вот вчем ужас то) - организуем ВПН канал - до офиц сайта ЧЕРЕЗ ПРОКСИК и лазеем по и-нету через впн канал - и попробуй отследить где собака порылась ! Канечно Фсе это можно удавть с пом проксика - но поробуй сначала поймай нужную прогу а затем и сайт.

А зачем разрешать лишние протоколы? HTTP - обязательный минимум.

Цитата: Сообщение от fylhtqrf А копи -пасте между клиентом и терминалом у меня например по умолчанию - там опция в настройках терминала - разрешить взаимодействие с буфером обмена

Понял, отрублю.

[fylhtqrf]

на лишние протоколы - оно через ХТТП и работает это хамачи организует через ХТТП траффик ВПН. по поводу опятьже - фиксируемости что печатали - берем документ - открываем его шеснадцатиричным редактором - и печатаем КОДЫ - и опа - PAM - фиксирует что печатали коды а не текст а еще круче засунуть документ в архив и распечатать - шеснадцатиричные коды архива а потом через сканер распознать и вогнать в компот. Если чел имеет доступ к данным не под роспись на бумаге - он эти данные утащит без ответственно. А вот если под роспись -то хотябы будет знать что по шапке получит - даже если не зафиксируют факт утаскивания данных.
Кстати ни что не мешает (канечна если разбирается чел) написать прогу которая по RDP - протоколу пересылает файл на клиентский компот -Вот исчто одна дыра. Всте таки - думай в сторону административного решения и не полность компьютерного. Да и вообще счас телефоны с хорошим разрешением - сфоткал с экрана и гудбай.

[Iskam]

Вот не в ту сторону вы думаете.
Если перед фирмой реально встала проблема защиты информации, ваша задача - убедить руководство в том, что качественно такого рода проблемы решаются одним единственным способом - придётся создавать комплексную систему безопасности. Начиная с физического контроля за вносом и выносом носителей, заканчивая realtime мониторингом трафика. И за это придётся очень нихило забашлять. И заниматься этим должен не админ, а грамотный специалист по безопасности. Также есть варианты, когда сторонняя контора обеспечивает разработку и внедрение такого рода проектов. Да варианты есть, стоит только поменять угол зрения под которым вы смотрите на проблему...
А кустарная лепка из дерьма закончится тем, что конфиденциальная инфа рано или поздно покинет пределы вашей сети. И угадайте кого первого прессовать начнут?
Вам лишние девять граммов веса нужны?
Думаю, что нет.

[superpalych]

Цитата: Сообщение от fylhtqrf на лишние протоколы - оно через ХТТП и работает это хамачи организует через ХТТП траффик ВПН.

Ну ты и загнул. У нас, слава богу, нет никого, кто сможеть хотя бы книжку прочитать, как это сделать.

Цитата: Сообщение от fylhtqrf по поводу опятьже - фиксируемости что печатали - берем документ - открываем его шеснадцатиричным редактором - и печатаем КОДЫ - и опа - PAM - фиксирует что печатали коды а не текст а еще круче засунуть документ в архив и распечатать - шеснадцатиричные коды архива а потом через сканер распознать и вогнать в компот.

Вспомнил, как Филл Зимерман вывез из США исходные коды программы PGP?

Цитата: Сообщение от fylhtqrf Если чел имеет доступ к данным не под роспись на бумаге - он эти данные утащит без ответственно. А вот если под роспись -то хотябы будет знать что по шапке получит - даже если не зафиксируют факт утаскивания данных.

Это понятно. Но для сведений, составляющих коммерческую тайну небольшой компании (50 ПК, 150 работников) никто не будет вводить режим.

Цитата: Сообщение от fylhtqrf Кстати ни что не мешает (канечна если разбирается чел) написать прогу которая по RDP - протоколу пересылает файл на клиентский компот -Вот исчто одна дыра. Всте таки - думай в сторону административного решения и не полность компьютерного. Да и вообще счас телефоны с хорошим разрешением - сфоткал с экрана и гудбай.

Оно и понятно, только вот скорость работы с документами эти меры снижают на несколько порядков. А разрешение на ознакомление с документами я буду задавать с помощью ACL.

Цитата: Сообщение от Iskam Вот не в ту сторону вы думаете. Если перед фирмой реально встала проблема защиты информации, ваша задача - убедить руководство в том, что качественно такого рода проблемы решаются одним единственным способом - придётся создавать комплексную систему безопасности. Начиная с физического контроля за вносом и выносом носителей, заканчивая realtime мониторингом трафика.

Ну уморил! Я себе еле помошника выпросил на 0,5 ставки, а ты говоришь об отдельной службе ЗИ.

Цитата: Сообщение от Iskam И за это придётся очень нихило забашлять.

Ага, догонят и ещё забашляют.

Цитата: Сообщение от Iskam И заниматься этим должен не админ, а грамотный специалист по безопасности.

С одним из дипломированных специалистов по информационной безопасности ты и имеешь честь переписываться.

Цитата: Сообщение от Iskam Также есть варианты, когда сторонняя контора обеспечивает разработку и внедрение такого рода проектов.

Аутсорсинг называется.

Цитата: Сообщение от Iskam Да варианты есть, стоит только поменять угол зрения под которым вы смотрите на проблему...

А ещё бюджет увеличить на пару порядков.

Цитата: Сообщение от Iskam А кустарная лепка из дерьма закончится тем, что конфиденциальная инфа рано или поздно покинет пределы вашей сети.

Всем специалистам по ЗИ известно, что стоимость системы защиты не должна превышать риска, который равен произведению "Вероятности утечки" на "Ущерб от разглашния".

Цитата: Сообщение от Iskam И угадайте кого первого прессовать начнут? Вам лишние девять граммов веса нужны? Думаю, что нет.

Учитывая, что ты не дал ни одного дельного совета, а только демагогией занимался, смею преlgjkj;bnm? что ты себя предлагаешь на роль такого внешнего специалиста.

[fylhtqrf]

Если вернуться к первому посту и вопросу в нем можно ли запретить выход в сеть с терминального компота. Да можно - первое с пом групповой политики. Второе поставить фиреволл (я например ISa server пользую -тока не для урезания терминала а наоборот для публикации терминала в и-нетете). И обязательно ограничь доступ к серверу физически.Какой из вариантов тебе интересен -расскажу
А поповоду того что Iskam - себя предлагает врядли - он просто говорит как д.б. в идеале тока ктож тот идеал видел ... но надо к этому стремиться

[vurdalak]

Цитата: Вопрос: Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

А кто мешает убрать МС клиента с данного сервера, или хотя бы его выключить.
Что бы не было никаких приколов, делаеться отдельная зона для терминала и разрешаеться трафик только до домена, исключительно до нужных портов и трафик на rdp при этом на терминале буфер обмена выключить, подключение клиенских принтеров отключить, обновления проводить во вне рабочее время, когда терминальные подключения запрещены.