Просмотр темы - Доступ к домену

[Samael Профиль]

Здравствуйте.
Подскажите пожалуйста, как запретить доступ к компьютерам включенным в домен да и к самому контроллеру домена с машин не включенных в домен? Надежды на сохранность учетных данных пользователей домена нет, ибо нет у них такой мотивации. В профиле пользователя домена конечно можно указать доступ к домену с конкретной машины, но если в сети существует, допустим, два компа с одинаковыми сетевыми именами(хотя я и не уверен, что это возможно одновременно, но последовательно - это факт) один из которых включен в домен, а другой пренадлежит рабочей группе, то доступ возможен с обоих компов, но в чем тогда, извините, заключается принцип включения машин в домен, если, для получения к нему доступа, используя чужую учетную запись, в нем вообще нет необходимости. Сеть построена на неуправляемых коммутаторах, так что использовать SNMP нет возможности.
Может есть какие службы на CD, позволяющие идентифицировать именно комп а не пользователя или еще что?
Перерыл кучу литературы - бесполезно.
Заранее благодарен.

[domovoy]

Samael

[Harry33 Профиль СайтICQ]

Samael
Здесь действительно есть некоторые трудности. Доступ разграничивается на уровне ресурсов и приложений.
В политиках же все построено аналогичным образом. Т.е. если пользователь имеет необходимые права, то AD по большому счету плевать откуда ломиться этот самый пользователь.
Дополнительный уровень безопасности можно обеспечить внедрив сервер сертификатов и настроив политики на использовании этих самых сертификатов при каждом соединении, причем сертификат можно выдать как пользователю, так и машине и службе, при этом неавторизованные (не имеющие сертификат машины) установить связь с ресурсами, требующими таковые сертификаты - не смогут.

Относительно необходимости домена....
Позволь возразить.... если разворачивается доменная структура, то станций, находящихся вне домена по окончании развертывания системы не должно остаться по определению.

[Samael Профиль]

Уважаемый Harry33, по поводу Вашего возражения... Если домен создается на предприятиии - Вы совершенно правы. Но у меня несколько другая ситуация: домашний езернет-провайдинг. Доступ к активному оборудыванию ограничен, но что, например, помешает юзерам поставить в точке подключения абонентов коммутатор и входить под одним ником с нескольких машин, а потом делить на всех абонплату? Ходить проверять оконцовки каждый день тоже ведь не будешь. А на счет сертификатов мысль хорошая, может подскажете ресурс какой по этой теме, а то своих знаний мало, и где взять программную часть сервера или он уже в Win 2003 Server встроен?

И еще вопрос. При первом входе в домен с машины в него включеной, если поставить галочку "Запомнить пароль", то следующий раз вход будет произведен автоматич. Если первое подключение делает админ домена, юзеры не будут знать свои учетные имена и пароли. С виду все просто и надежно - вход в домен привязан к конкретной машине, нечто похожее на сертификаты. Но нет ли таких прог, типа dialupass, ворующих пароли к инету, которые бы легко выдавали учетные данные пользователя домена?

[GifteD]

Samael В твоем случае зачем тогда вообще организовывать домен??? Если тебе не нужно управлять хостами конечных пользователей? Существует к примеру практика VPN. Для этого необязательно строить домен. Также если ты будешь предоставлять услуги по различным FTP серверам.
Может в твоем случае стоить обратить внимание на существующие системы биллинга. Привязывать трафик к пользователь, можно по MAC адресу сетевой карты. Хотя, есть мнение, что привязка MAC адресов в Windows практически не работает.

[Samael Профиль]

GifteD К сожалению, существуют проги, которые меняют МАС-и. Конечно можно делать привязку к аппаратуре компа в целом, но я таких прог не встречал

[Harry33 Профиль СайтICQ]

Samael
"На коленках" качественную систему биллинга сложно собрать из имеющихся компонентов. Практически всегда можно найти пути обхода. И сервер сертификатов тут тоже не панацея, выход из такой ситуации можно найти. Твоя система учета все же должна базироваться на MAC адресах машин. В конце концов если взять за основу утверждение, что в рамках сети 2 машины с одинаковыми MAC адресами работать нормально не будут, то проблемой подмены MAC адреса можно пренебреч. Все равно в каждый момент времени в сети будет существовать только один потребитель трафика со своим адресом.
Оконцовку проверять нет никакого смысла, просто есть перечень MAC всех твоих клиентов. "Жесткую" привязку MAC-IP осуществляеш на DHCP сервере (согласен - муторно и много телодвижений зато дает определенные гарантии). Дальше как нормальный человек работаеш с граничениями и биллингом по IP.
Мало того основная масса домашних сетей так и работает.
Предложенный вариант имеет свои плюсы и минусы, но, одновременно, является самым простым в реализации.
Дополнительной защитой может являтся возможность пользователей управлять разрешениями своей учетной записи включая и выключая доступ к интернету самостоятельно.

[GifteD]

Samael
Даже больше того, карту можно перевести в режим когда у неё не будет MAC адреса. По поводу такого софта, к сожалению не на windows.
Остальное написал Harry33

[Samael Профиль]

Harry33 По поводу привязки МАС-IP, идея хорошая, на практике не пробовал, собираюсь, будут вопросы - задам, а вопрос с биллингом по IP остается открытым ( сеть на неуправляемых коммутаторах). Ведь не все пакеты проходят через сервер, как быть в этом случае? Как считать трафик, если это вообще возможно?
Хочу выразить искреннюю благодарность людям, принявшим участие в обсуждении данных вопросов, а так же организаторам сайта.

[Samael Профиль]

И еще, ранее заданный вопрос: на сколько безопасен (для провайдера сети) метод "Запомнить пароль" при входе в домен (см. выше)?