Работает сервер CIFS (вне моего прямого контроля). Он принимает только входящие соединения от другого рассматриваемого сервера, работающего на Windows Server 2012 R2, но, кроме того, сервер CIFS (кажется) не заботится о другом управлении доступом.
Теперь на этом втором сервере (сервере Windows) есть несколько пользователей. Некоторые из этих пользователей должны иметь возможность подключаться к серверу CIFS. Некоторым другим пользователям вообще нельзя разрешать доступ к нему.
Как я могу безопасно ограничить доступ к серверу CIFS с сервера Windows? Я попытался заблокировать доступ к портам, необходимым для подключения к (любому) серверу CIFS через брандмауэр Windows, но этот брандмауэр не поддерживает исходящие правила только для подмножества пользователей, поэтому я могу либо заблокировать доступ для всех пользователей, либо вообще ни одного .
Я бы предпочел не устанавливать сторонний брандмауэр и не блокировать доступ с использованием IP-адреса сервера CIFS, поскольку не гарантируется, что его IP-адрес сервера CIFS никогда не изменится.
Похоже, вы пытаетесь обойти политическую проблему с помощью технического решения.
«Правильный» (IMHO) способ сделать это - перестать пытаться взломать правила исходящего брандмауэра для конкретного пользователя и просто реализовать надлежащую безопасность на основе пользователей / групп непосредственно на файловом сервере, чтобы не иметь значения, откуда приходят пользователи. Только назначенные пользователи могут получить доступ к ресурсам.
Политические препятствия, мешающие вам реализовать надлежащую безопасность файлового сервера, - это то, на что вам следует приложить усилия. Если не считать этого, вероятно, будет столь же эффективным создание «официальной политики», согласно которой только пользователи X могут использовать файловый сервер. И к любому, кто уличен в нарушении политики, будут предприняты соответствующие действия.