AD workgroup запрет на авторизацию! как осуществить? - Автомобилист за компьютером

Мойша

Забанен

На форуме 13 лет Сообщения: 11 Откуда: Хогвартс Авто: 11196

# 23 Сентября 2011 11:43

AD, контроллер AD WinServer 2008, режим работы домена настроен как 2003, остальные ПК - XP.
Встал вопрос сетевой безопасности, а именно:
Как запретить компам не входящим в домен подключаться к ресурсам типа \\comp001 и т.п., нужно сделать так что б даже окно авторизации не появлялось, а тупо писалось, что не найден сетевой путь или типо того?
GPO вывернул на изнанку-виндовым клинтам удалось запретить доступ, но вот из под Линукса все равно идет запрос авторизации...((
Как победить?
Установка тунелей IPsec между авторизованным в AD клинтом и сервером - решение не для моего случая!
Чё делать не знаю...Google отказался мне помочь! cry

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 23 Сентября 2011 15:19

ну чё никто не поможет?

genich

На форуме 16 лет Сообщения: 7962 Откуда: Бутово

# 23 Сентября 2011 20:38

Mord_vin
поможет. Вкладка "безопасность" на шаре поможет. И яндекс.

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 23 Сентября 2011 22:47

genich писал(а):

поможет. Вкладка "безопасность" на шаре поможет. И яндекс.

у меня в сети более 200 шар... так что, только через ГПО, но вот как и где я ошибся не пойму....

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 23 Сентября 2011 22:48

genich писал(а):

И яндекс.

Мойша писал(а):

Google отказался мне помочь!

Serge!

На форуме 20 лет Сообщения: 11692 Откуда: Рязань Авто: kia rio

# 24 Сентября 2011 00:45

вообще да, линю пофиг на формальности, запрос авторизации и вперед. А в чем криминал? Не знаешь пароля - идешь лесом...

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 24 Сентября 2011 00:59

Serge! писал(а):

А в чем криминал? Не знаешь пароля - идешь лесом...
_________________

ЭЭЭ,не в этом дело!
А если я знаю пароль и могу авторизоваться!
Смотри как можно тиснуть инфу:
1. Пользователь №1 имеет доступ к шаре с "черной бухгалтерией", доступ к почте и флешкам у него заблочен, НО! он приносит ноут вставляет пачкорт в сеть набирает в командной строке \\сервер\черные базы 1с\ и у него появляется окно АВТОРИЗАЦИИ он вводит свою учетку в домене и вуаля, можно копировать любую инфу без следно... теперь понял о чем я?

genich

На форуме 16 лет Сообщения: 7962 Откуда: Бутово

# 24 Сентября 2011 01:06

Mord_vin
а нафига так шар много?
У меня просто 2 хранилища на 12 и 4 Тб. И там уже по безопасности все настроено. Плюс хранилища сами из АД берут учетки и безопасность ставят.

Mord_vin писал(а):

Пользователь №1 имеет доступ к шаре с "черной бухгалтерией", доступ к почте и флешкам у него заблочен, НО! он приносит ноут вставляет пачкорт в сеть набирает в командной строке \\сервер\черные базы 1с\ и у него появляется окно АВТОРИЗАЦИИ он вводит свою учетку в домене и вуаля, можно копировать любую инфу без следно... теперь понял о чем я?

а чтоб такой фигни не было, поднимаю на McAfee DLP-систему. И усе. Ни аськами-агентами, ни принтерами, ничем не вынесешь.
Плюс, виртуальные машины.
А по теме, на самые важные шары доступ ручками через безопасность, а на остальные пофиг. Раз их так много, значит там мало ценного.

genich

На форуме 16 лет Сообщения: 7962 Откуда: Бутово

# 24 Сентября 2011 01:07

А, и по организации приказом запрет на личную оргтехнику с ознакомлением каждого под роспись и штрафом при нарушении.

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 24 Сентября 2011 11:00

genich
то что ты написал, это КОМПЛЕКС МЕР по информационной безопасности, а не решение конкретной задачи, все что ты написал давно действует,
если пользователь-инсайдер то

genich писал(а):

запрет на личную оргтехнику с ознакомлением каждого под роспись и штрафом при нарушении

не прокатит.

genich писал(а):

а нафига так шар много?

у меня более 800 ПК, 3 терминальных сервера и 1200 пользователей .

genich писал(а):

McAfee DLP-систему

это деньги и большие, столько мне не дадут - платный софт ваше не рассматриваю.

Мне необходимо решить проблему с помощью GPO, но я же говорю, что где то ошибся, т.к. виндовым машинам доступ заблочен, а вот линуксовым запретить не удается, и я не пойму почему.... Pardon

Serge!

На форуме 20 лет Сообщения: 11692 Откуда: Рязань Авто: kia rio

# 24 Сентября 2011 11:07

После вот этого:

Mord_vin писал(а):

у меня более 800 ПК, 3 терминальных сервера и 1200 пользователей

Вот это:

Цитата:

платный софт ваше не рассматриваю.

вызывает как минимум удивление supercool

Как конкретно через GPO бы блокируешь вендовые машины?

Последний раз редактировалось: Serge! (24 Сентября 2011 11:18), всего редактировалось 1 раз

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 24 Сентября 2011 11:15

Serge! писал(а):

вызывает как минимум удивление

а, что конкретно тебя удивляет? видимо ты не понял! я не рассматриваю платный софт конкретно для решения затыкания информационной бреше в конкретном описанном случае.

Serge!

На форуме 20 лет Сообщения: 11692 Откуда: Рязань Авто: kia rio

# 24 Сентября 2011 11:21

Mord_vin писал(а):

Serge! писал(а):

вызывает как минимум удивление

а, что конкретно тебя удивляет? видимо ты не понял! я не рассматриваю платный софт конкретно для решения затыкания информационной бреше в конкретном описанном случае.

ну если окажется, что халявными штатными/бесплатными способами этого сделать качественно не получится, для серьезной сетки не грех и денюшек потратить.

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 24 Сентября 2011 11:31

Serge! писал(а):

ну если окажется, что халявными штатными/бесплатными способами этого сделать качественно не получится, для серьезной сетки не грех и денюшек потратить.

Можно решить эту проблему поднятием IP Sec между клиентами сети а AD, но при таком раскладе необходимо будет менять архитектуру Автоматизированной системы в целом - если я это скажу своему сис.админу у него будет психологическая катастрофа!!! ROFL

, я в это году на безопасность (FireWall, idp/ips, web content filter, antivirus, программа по аудиту AD потратил около 1 500 000 рублей) не дадут мне больше недег....освоиный бюджет был расчитан на 3 года, если я ген.диру или начальнику по ИТ скажу что нужно есчо бабло - меня уволят Pardon

Serge!

На форуме 20 лет Сообщения: 11692 Откуда: Рязань Авто: kia rio

# 24 Сентября 2011 11:33

Mord_vin
Повторю вопрос:
Как конкретно через GPO бы блокируешь вендовые машины?
Я к чем, если в АД разрешить доступ по сети только списку компов это в твоем случае работает?

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 24 Сентября 2011 11:42

Serge! писал(а):

Как конкретно через GPO бы блокируешь вендовые машины?
_________________

запреты для гостей и анонимного входа и для виндовых машин это работает, т.к. пользователи на ПК находящиеся не в домене и в случает их подключения в сеть олицетворяются как гости, либо как анонимы - и это работает, но как олицитворяется линуксовый клиент??? Я НИКГДЕ этого не могу найти.... cry

Единственное что осталось попробовать, это как вариант (и странно что я о нем забыл) это на вкладке Назначение прав пользователя-Доступ к компьютеру из сети установить - Domain Computers

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 24 Сентября 2011 11:44

Serge! писал(а):

Я к чем, если в АД разрешить доступ по сети только списку компов это в твоем случае работает?

и ты тоже написал.
мыслЯ пришла одновременно! hehe

genich

На форуме 16 лет Сообщения: 7962 Откуда: Бутово

# 25 Сентября 2011 01:40

Mord_vin
тяжело тебе. Сочувствую просто.
А так да, онли Домэин ПК. Но...ноуты предприятия есть? У нас некоторые в домене...Хотя и ликвидируем.

Mord_vin писал(а):

genich
то что ты написал, это КОМПЛЕКС МЕР по информационной безопасности, а не решение конкретной задачи, все что ты написал давно действует,
если пользователь-инсайдер то
genich писал(а):
запрет на личную оргтехнику с ознакомлением каждого под роспись и штрафом при нарушении
не прокатит.

genich писал(а):
а нафига так шар много?

у меня более 800 ПК, 3 терминальных сервера и 1200 пользователей .

genich писал(а):
McAfee DLP-систему

это деньги и большие, столько мне не дадут - платный софт ваше не рассматриваю.

Мне необходимо решить проблему с помощью GPO, но я же говорю, что где то ошибся, т.к. виндовым машинам доступ заблочен, а вот линуксовым запретить не удается, и я не пойму почему.... Pardon

а тут да, есть противоречия.
Про кол-во ПК и терминалы пофиг, я писал про хранилища сетевые. Ну да, стоят как Калина или Приора, но стоят того.
А почему запрет не прокатит? На личные хрени. У нас охрана бдит. И премии есть, чтоб лишать. Если мозга нет у людей.
Вообще на домен особо не рассчитываем. Там даже сменные носители не всегда отрабатывают.

genich

На форуме 16 лет Сообщения: 7962 Откуда: Бутово

# 25 Сентября 2011 01:41

Кстати, Мордвин, это клона твоего забанили что ли? Тему кто создал?

Mord_vin

На форуме 15 лет Сообщения: 1133 Откуда: Шамбала Авто: ИС-3 и Т-34

# 25 Сентября 2011 02:14

genich писал(а):

Кстати, Мордвин, это клона твоего забанили что ли? Тему кто создал?

вот тут почитай http://www.autolada.ru/viewtopic.php?t=290557&highlight=

Показать сообщения:

Перейти:

ИНФОРМАЦИЯ ПО ИКОНКАМ И ВОЗМОЖНОСТЯМ