Архив форумов ЦИТФорума

[KotFrBursa]

Народ, помогите. Срочно нужна помощь. По поиску ничего толкового не нашел.
Есть домен win2k, в нем куча пользователей. Все аккуратно распределены по OU. Есть группа (студенты), которой через политики запрещается все. Они могут только работать с разрешенными программами и сохранять все это дело на сетевой диск.
При попытке в строке explorer набрать нечто вроде \\server политика вежливо отправляет нах (Run и cmd закрыто). Но, студенты ведь народ пронырливый, нашли таки лазейку. Открывают Paint (Notepad) и в окне "открыть" набирают \\server - все проходит, они попадают на сервер а там и в сеть.
Как закрыть эту дыру. Срочно нужна помощь. Зарание спасибо.

[Jail]

Что, неужели если Вы запрещаете в брандмауэре подсеть "Студентов" они проходят на сервер?????

[KotFrBursa]

[grf]

[San_dok]

[kin]

[KotFrBursa]

Объясняю подробнее. В административных шаблонах можно настроить запрет на доступ к определенным дискам или их сокрытие. Если скрыть диск до там написано что пользователь не сможет самостоятельно попасть на диск (т.е.набрать в строке выполнить C, но сможет обратиться к нему через программы или ярлыки. Другими словами доступ к диску ограничен, и администратору дается право назначить определенные ярлыки на необходимые ресурсы. Даже если в блокноте пользователь наберет C: он получит отказ.
Тоже самое надо настроить и с сетевыми ресурсами. Надо чтобы пользователь смог быть только там, где я ему разрешу быть. И ни где более (!).

kin Вариант с разрешением доступа по группам не проходит, так как в сети есть ПК, "хозяева" которых расшаривают музыку и фильмы для всех. Студенты пользуются этим. Само собой просить "хозяина" закрыть доступ тоже не есть решение проблемы. Всегда найдется #удак, который откроет что либо.
Короче, надо жестко ограничить пользователей, так чтобы они в принципе не могли увидеть компы в сетевом окружении и тем более на них зайти.

gif Когда они попадают на сервер то видят там сетевые ресурсы. Доступа к ним у студентов нет, и по этому они жмут кнопку "Вверх" и попадают в сетевое окружение (напоминаю(!) в политиках доступ к нему закрыт) где и видят практически все компьютеры сети. В этом и заключается проблема.

[bvvtver]

Локальные политики безопасности-> назначение прав пользователя-> Отказ в сетевом доступе

[grf]

Компы в домене.
Ко всем компам запретить доступ к компьютерам из сети для этих пользователей.
сервер в отдельный контейнер и разрешить сетевой доступ к компу
_________________
Errare humanum est

[kin]

Можно попробовать очень тупой способ, который можно легко обойти,
это отключить службу NetBios..., в сетевом окружении ничего не увидишь...

[KotFrBursa]

Мужики! Все ваши предложения касаются изменения политики для компьютера, а надо изменити политику пользователя! Компы конфигурить нельзя!

gif это переделка AD - неподходит.

kinСпасибо за идею. Как временный способ ограничения прокатит, но не устранит главной проблемы - они все равно смогут зайти на \\server или \\computer из сети.

Может дыру можно устранить скриптами?! Воткнуть применение при входе и отмену при выходе. Будут какие-нибудь идеи?

[Jail]

Дык почему же просто не оставить компы преподавателей в подсети разрешенными, а статические локальные IP компутеров студентов просто фильтровать брандмауэром, запрещая им доступ. Иль через аутентификацию Kerberos, дать ключики только преподам. Ну или на крайняк настроить Open VPN.

[KotFrBursa]

[Jail]

А помоему надо чем то жертвовать или политикой университета или безопасностью...Решать Вам. Проще не значит лучше, а идеала не бывает, как и непробиваемой защиты.

[bvvtver]

И все же

[KotFrBursa]

Jail Идея с установкой и настройкой фаервола более ли менее приемлема. Подскажи какой-нибудь "легкий" фаервол, который бы запрещал все исходящие подключения кроме тех, которые разрешены. OutPost это все равно что из пушки по воробьям - есть что по проще. Благодарю за предложенные варианты.

[KotFrBursa]

В который раз убеждаюсь, что спасение утопающих дело рук самих утопающих. Я разобрался.

На все компьютеры классов устанавливается (точнее просто копируется в системную папку) вот эта софтинка http://www.kssware.net/downloads.html. Называется просто и незатейливо IpFilter. Распространяется бесплатно и что не мало важно имеет поддержку командной строки. Вот в принципе и все(!).

На пользователя накладывается политика при входе и выходе запускать скрипты, в которых описываются все разрешенные ресурсы. Остальные по Default запрещены. Итог logon производит студент - только необходимые сервера, logon выполняет преподаватель - доступны все ресурсы сети.


P.S.
Софтина требует наличие FrameWork не ниже 2.0

[a-m-d]

[and3008]

Ну это классический спор куда пущать, а куда нет.

Твой способ показывает, что по помещению можно шастать, но для доступа в конкретный кабинет нужны для этого электронные права.

Способ с FireWall-ом позволяет не пущать вообще в здание, если нету правов.

Каждый способо имеет свои достоинства и недостатки. Спорить можно до бесконечности.

[bvvtver]

[KotFrBursa]

bvvtver Твой вариант не подходит потому, что помимо учебной сети есть еще и производственная сеть. В учебной сети я имею полные права и волен делать все что можно. В производственной я простой пользователь. Именно по этому я могу создать политику внутри своей сети, но не внутри общей.
Сети соединины, для того, чтобы преподаватели могли входить на учебные ПК со своими учетными записями, и обращаться к своим сетевым ресурсам. Соответственно и студенты войдя на машину, таким хитроумным способом выходили в сеть, где видели все ее ресурсы. Закрыть ПК преподавателей от них я не в силах. Именно по этому был выбран способ "внутренней" блокировки по IP адресам и подсетям.

[Jail]

Кстати,KotFrBursa, про файерволы.
Наиболее просто будет Kerio ServerFireWall 4.1.3 иль ещё какая версия. Потяжелее: McAfee Desktop Firewall 8.5.260 --неплохая штучка кстати, мне очень понравилась, даже помоему больше чем Outpost)))) Ещё есть кое что, например: 8Sign Firewall, Freedom Personal Firewall, F-Secure Distributed Firewall, Norton Personal Firewall, Symantec Client Firewall(лучше его не ставить, это прежосторожность...прописывается куда не поподя и убывает всё живое!), ну и многое другое. У меня настроены политики на базе брандмауэра и вроде всё нормально (пока что тьфу, тьфу). Межсетевой экран ещё надо обойти, такие спецы среди ваших студентов врятли найдутся, хотя любой хакер средней руки обойдёт брандмауэр за 15минут если очень захочется, а вот защита на уровне Оси, это может быть опасным экспериментом для Вашей безопасности.