Задать вопрос
@Divest
ITшник
windows-server

Аутентификация в сети предприятия по учетной записи пользователя и компьютера в домене?

Доброго времени суток. Имеем сеть предприятия, в сети развернуты Active Directory ( режим работы домена 2012), Центр сертификации, TMG. Все более-менее хорошо работало, но обнаружилось, что к локальной сети физически могут подключиться компьютеры, которые не имеют отношения к организации. Хочется обезопасить себя и настроить доступ к ресурсам сети только для компьютеров находящихся в домене. В данный момент, подключив компьютер/ноутбук к сети(не зарегистрированный в домене предприятия), и забив учетные данные доменного пользователя, можно получить доступ к файловым хранилища (разграничение по уровню доступа имеются), к серверам баз данных. Каким образом можно запретить доступ к ресурсам сети "левым" компьютерам? Правильно ли я смотрю в сторону EAP-TLS?
  • Вопрос задан
  • 691 просмотр
1 комментарий
Подписаться 1 Оценить 1 комментарий
Решения вопроса 1
@yellowmew
Cloud infrastructure, monitoring engineer. SRE
xgu.ru/wiki/NAC#802.1X
а вообще читайте по теме Network access control и network access protection

сетевики скорее всего более подробно расскажут про настройки оборудования(или хотя бы ткнут носом где копать) - я в проекте настраивал только NAP на windows 2008 =)
Ответ написан
4 комментария
4 комментария
Пригласить эксперта
Ответы на вопрос 2
Axel_L
@Axel_L
помощник сисадмина
я бы предложил ограничиться настройками коммутатора, на запоминание мак адреса подключенного компьютера, блокирование порта при подключении компьютера с отличным маком + отключение открытых портов.
Например в коммутаторах Cisco 3750 (как организовано на нашем предприятии) на портах настроена команда
port-security
Пример конфигурации порта доступа:
interface GigabitEthernet2/0/3
 description PORT_NAME
 switchport access vlan 20
 switchport mode access
 switchport port-security ! - активация port-security
 switchport port-security mac-address sticky ! - тип мак-адреса
 switchport port-security mac-address sticky 24be.050f.ee8d ! - собственно мак


Чуть больше информации port-security

Ну и вариант, который предложил товарищ yellowmew, смотреть в направлении 802,1х, правильный, это даст более гибкие возможности управления безопасностью
Ответ написан
Комментировать
Комментировать
@Divest Автор вопроса
ITшник
Ну и IPsec собственно. Инфраструктура сети достаточна обширна, 4 филиала в соседних областях. Боюсь, что половина служб может отвалиться
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий системный администратор
Москворечье Трейдинг Москва
от 170 000 ₽
Младший системный администратор
LuckyDucky Москва
от 50 000 до 70 000 ₽
Ведущий системный администратор
U-System Воронеж
от 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Перекрасить 2 вкладыш для типографии в новый цвет
18 апр. 2024, в 15:55
500 руб./за проект
Починить лайки и удаление сторис на React Native
18 апр. 2024, в 15:52
2500 руб./за проект
Требуется переводчик на португальский
18 апр. 2024, в 15:39
500 руб./в час
Ещё заказы