Не пущать !!!

[bast]

Вопрос.
Может я конечно многого хочу, но все же...
Можно ли, внутреними средствами сервера W2K3, не пускать на сервер пользователей не получивших IP от его DHCP. Т.е.: все компы в сетке получают IP с сервака и все эти адреса привязаны к их MAC адресам. Соответственно на компах обрезано, в плане безопасности, все что только можно. Особо одаренная личность, притаскивает на работу свой собственный домашний комп (с кучей всякой фигни для взлома по сети), подключает его к сетке, РУКАМИ прописывает IP с другого компа, или просто не использующийся в данный момент в сети и пытается лезть своими корявыми руками туда куда ему лезть не положено.
Вопрос: Есть ли в серваке внутренние средства не пускать такого умника, или хотя б какие то сторонние средства? Т.е. если адрес не получен от нашего DHCP сервера - никакого доступа вообще, вплоть до полного проглатывания всех пакетов.

[mknsp]

firewall

[bast]

Между сервером и локальной сетью ? Которую он же и обслуживает.

[mknsp]

Даже виндовозный ICF (W2k3_SP1, WXP_SP2) может давать отпор по IP, т.о. необходимо IP-адреса из неиспользуемой в даный момент зоны резервации DHCP-сервера запретить и менять только при добавлении нового терминала. Также рекомендую на всю эту зону запретить доступ на все порты кроме 3389, чтобы пользователи знающие свой IP, который жестко закреплен за МАКом, не могли подключить свой домашний комп с этого IP кроме как по терминальной сессии.

[bast]

Да дело то принципиальное, со своего компа в принципе в сетку нельзя, хоть и терминалом. А сервак ко всему еще и файловый, одними терминалами для тех кому можно - не обойдешься. Наверное самое простое и правда внутрений файрфол подстроить.

[mknsp]

Вопрос.
Можно ли, внутреними средствами сервера W2K3, не пускать на сервер пользователей не получивших IP от его DHCP. Т.е.: все компы в сетке получают IP с сервака и все эти адреса привязаны к их MAC адресам.
Вопрос: Есть ли в серваке внутренние средства не пускать такого умника, или хотя б какие то сторонние средства? Т.е. если адрес не получен от нашего DHCP сервера - никакого доступа вообще, вплоть до полного проглатывания всех пакетов.

Да из задачи однозначно видно что нужно использовать фаер.

[aleks]

Да дело то принципиальное, со своего компа в принципе в сетку нельзя, хоть и терминалом. А сервак ко всему еще и файловый, одними терминалами для тех кому можно - не обойдешься. Наверное самое простое и правда внутрений файрфол подстроить.

что-то типа http://www.opennet.ru/tips/info/750.shtml должно помочь. Под виндой arp.exe ввод из файла не поддерживает, поэтому написать всё в скрипт (.bat, .cmd файлы). Идея: забить на сервере mac-ip таблицу для сети всякой ерундой, а для нужных пар mac-ip задать правильные значения. Поможет пока юзери не научаться менять MAC'и на своих компах.

[Soft_warrior]

Да дело то принципиальное, со своего компа в принципе в сетку нельзя, хоть и терминалом. А сервак ко всему еще и файловый, одними терминалами для тех кому можно - не обойдешься. Наверное самое простое и правда внутрений файрфол подстроить.

если компьютер не в домене.
на вход в сервер потребуется минимум авторизация пользователя домена.
комп при регистрации в домене получает имя и SID
можно попробовать ресурсы раздавать по компьютерам и администраторам а не поюзерам, например "шару" могут юзать только "компьютеры домена", "контролеры домена" и т.д.
- такое может получаться?

чужой комп SID не получит пока не подключится к домену.
политиками разрулить права - кто может добавлять в домен.
использовать максимальную безопасность сети в этих же политиках.
обязательную авторизацию и т.д.

[bast]

Домена нет и наверное никогда не будет, поэтому такой вариант отпадает.

[Soft_warrior]

не понимаю почему имея сервер 2к3, кучу пользователей, машин и не иметь централизованное управление пользователями.
active directory это не есть плохо, она повышает безопасность системы.
для сисадмина вообще сказка.
в одноранговой сети очень сложно защититься от несанкционированного включения в сеть. т.к. все компьютеры являются обособленными и к друг другу ходюсь либо по постоянно вводимым паролям, либо как гостями.

единственное почему может не быть выделенного сервера -
это сетка на небезопасных протоколах типа netbios, ipx, машины 286-386 с фоксовыми базами.

[bast]

Ты забыл еще одну причину возможного отсутствия AD - все уже установлено и работало стабильно до меня. Просто тупо взять и переставить систему я не могу - слишком много на нее навешено, раз, времени на переустановку в обрез - только ночь, это два. А за ночную работу платить мне никто не станет. Но это к делу уже не относится
Вообщем домена нет, но даже его наличие не снимает проблему, хотя и несколько уменьшает ее, согласен.

[Soft_warrior]

есть много возможностей настроить сервер и из дома - поставить VPN до офиса и терминалом настроить.

домен можно поднять и процесе работы - потребуется лишь одна перезагрузка в обед например.

все зависит от того насколько много народу работает в терминале.
и есть ли там имена юзеров вообще, они под разными именами заходят?
просто в следующий раз при авторазации в терминале будет не локальный а доменнывй пользователь. некоторые этого и не заметят.
хотя в дефолтных настройках домена плитикой безопасности отключается автоматический вход на терминальные компьютеры с пустым паролем.
нужно это сразу отключить, если таковые имеются, а лусше поставить всем пароли перед этим.
политиками можно много что запрещать. особенно это касается флеш дисков. ремапа винтов и т.д.

ведь незачем подключать свой комп если можно скопировать с/на ремапеного терминального флешь диска если он воткнут в XP

[bast]

Из дома настроить нельзя - там ЛЮБОЙ инет отсутствует как класс

Если можно поднять домен без переустановки системы - это хорошо, подумаем.

В терминале народу пока не много, но там сидят бухи, а это - смерть всему

Все юзера ходят под своими логинам и и паролями.

С пустым паролем и у меня отключено, ибо нефиг

А вот диски я ремапить запретил тоже - нафиг

[gserg]

Из дома настроить нельзя - там ЛЮБОЙ инет отсутствует как класс

Если можно поднять домен без переустановки системы - это хорошо, подумаем.

В терминале народу пока не много, но там сидят бухи, а это - смерть всему

Все юзера ходят под своими логинам и и паролями.

С пустым паролем и у меня отключено, ибо нефиг

А вот диски я ремапить запретил тоже - нафиг

Сколько всего компов в сети? И какое железо вообще.

АД можно поднять и без переустановки системы. А если есть 256 метров лишних на сервере (хотя можно и меньше), то можно поднять домен контролер вообще на VMWARE.

Работает проверенно. И потренироваться Не нужно сразу всех в АД загонять, посмотри и определись.

[aka]

Сервер входит в домен, контроллер которого живет под vmware на этом же сервере? До чего дошел прогресс... А сервер не обижается на то, что во время загрузки нет доменконтроллера?

[bast]

Компов в сети ПОКА 20 шт, ПОКА. Разношерстные, но не ниже Celeron 433. Сервер - 2xXeon 2.00 Ghz/4Gb/RAID0 - 2x80Gb SATA/RAID5 - 6x160GB SATA/2xNet 1Gbit/Server W2003 StandartEdition. Стоит эта железка аккурат в стойке вместе с упсом и свичем. Делалось все с запасом на будущее, пока деньги выделяли, т.к. планов много. Пока загрузка никакая: файловый сервер, терминальный сервер (1Сv77, 1Cv8, OpenOffice, FireFox), сервер печати и DHCP. На 1С (обоих) сидят плотно, с утра до вечера, практически без обеда. Начальство помешано на безопасности хранимой инфы, отсюда и весь сыр бор.

Вообщем все предложения записал будем рассматривать, пробововать и сообщать о результатах.

[gserg]

Сервер входит в домен, контроллер которого живет под vmware на этом же сервере? До чего дошел прогресс... А сервер не обижается на то, что во время загрузки нет доменконтроллера?

Все нормально. Никто не обижается Просто я не вникал особенно. Но у компа входящего в домен пароль остается в кеше (где-то) И он сможет загрузиться с данными последнего входа. А потом после восстановления связи с ад утянуть доменные политики. Но все это ИМХО.

Сильно не пинайте, это практическим путем выяснено. Просто сами попробуйте загрузиться со входом в домен с отключенной сетью. У меня получается