В нашем домене около 60 компьютеров. Мне было поручено убедиться, что рабочие станции Windows 10 не могут взаимодействовать друг с другом. Мой менеджер попросил меня создать статические маршруты, чтобы компьютеры могли взаимодействовать только с сетевыми принтерами, файловым сервером, контроллером домена и выходить в Интернет.
Поскольку все эти компьютеры находятся в одной сети, я не думаю, что статические маршруты помешают этим компьютерам видеть друг друга. Как лучше всего разрешить компьютерам в домене использовать сетевые ресурсы, но не общаться напрямую друг с другом?
Если у вас есть коммутатор, который поддерживает это, «защищенные порты» для кабельных подключений или «изоляция клиента» для точек доступа в Wi-Fi могут помочь вам устранить трафик между хостами в одной сети уровня 2.
Например, это из Коммутатор Cisco руководство:
Защищенные порты обладают следующими функциями: Защищенный порт не пересылает трафик (одноадресный, многоадресный или широковещательный) на любой другой порт, который также является защищенным портом. Трафик данных не может быть перенаправлен между защищенными портами на уровне 2; пересылается только управляющий трафик, такой как пакеты PIM, потому что эти пакеты обрабатываются ЦП и пересылаются программно. Весь трафик данных, проходящий между защищенными портами, должен перенаправляться через устройство уровня 3.
Поэтому, если вы не собираетесь передавать данные между ними, вам не нужно предпринимать никаких действий, если они «защищены».
Пересылка между защищенным портом и незащищенным портом продолжается как обычно.
Ваши клиенты могут быть защищены, DHCP-сервер, шлюз и т. Д. Могут находиться на незащищенных портах.
Обновление 27-07-2017
Как отметил @sirex, если у вас есть несколько коммутаторов, которые не объединены в стек, что означает, что они фактически НЕ являются одним коммутатором, защищенные порты не остановит движение между этими.
Примечание. Некоторые коммутаторы (как указано в таблице поддержки коммутаторов Catalyst для частных VLAN) в настоящее время поддерживают только функцию PVLAN Edge. Термин «защищенные порты» также относится к этой функции. Порты PVLAN Edge имеют ограничение, которое предотвращает обмен данными с другими защищенными портами на том же коммутаторе. Однако защищенные порты на отдельных коммутаторах могут связываться друг с другом.
Если это так, вам понадобится Изолированная частная VLAN порты:
В некоторых ситуациях необходимо предотвратить подключение на уровне 2 (L2) между конечными устройствами на коммутаторе без размещения устройств в разных IP-подсетях. Эта настройка предотвращает потерю IP-адресов. Частные сети VLAN (PVLAN) позволяют изолировать на уровне 2 устройства в одной IP-подсети. Вы можете ограничить некоторые порты на коммутаторе для доступа только к определенным портам, к которым подключен шлюз по умолчанию, резервный сервер или Cisco LocalDirector.
Если PVLAN охватывает несколько коммутаторов, магистрали VLAN между коммутаторами должны быть стандартный VLAN порты.
Вы можете расширить PVLAN на коммутаторы с помощью соединительных линий. Магистральные порты переносят трафик из обычных VLAN, а также из первичных, изолированных и общественных VLAN. Cisco рекомендует использовать стандартные транковые порты, если оба коммутатора, которые проходят транкинг, поддерживают PVLAN.
Если вы пользователь Cisco, вы можете использовать эта матрица чтобы узнать, поддерживают ли ваши коммутаторы нужные вам параметры.
Вы могли бы сделать это, если бы сделали что-то столь же ужасное, как создание одной подсети для каждого клиента. Это был бы кошмар для менеджмента.
Брандмауэр Windows с соответствующими политиками поможет в этом. Вы можете сделать что-то вроде изоляции домена, но еще более ограничительно. Вы можете применять правила для каждого подразделения, с серверами в одном подразделении и рабочими станциями в другом. Вы также должны убедиться, что принтеры (и серверы) не находятся в той же подсети, что и рабочие станции, чтобы сделать это проще.
https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx
Что касается сетевых принтеров - вы могли бы сделать это еще проще, если бы не разрешили прямую печать, а разместили принтеры как общие очереди с сервера печати. Долгое время это было хорошей идеей по нескольким причинам.
Могу я спросить, какова настоящая бизнес-цель этого? Помогает ли это предотвратить вспышки вредоносных программ? Сохранение общей картины / финишной черты помогает определить требования, поэтому это всегда должно быть частью вашего вопроса.
Если вы можете привязать каждую рабочую станцию к определенному пользователю, вы можете разрешить только этому пользователю доступ к этой рабочей станции.
Это параметр политики домена: локальный вход в систему правильно.
Это не мешает пользователю перейти на ближайшую рабочую станцию и ввести свой пароль для доступа к его / ее назначенному компьютеру, но это легко обнаруживается.
Также это влияет только на службы, связанные с Windows, поэтому веб-сервер на машинах по-прежнему будет доступен.