Limita l'accesso alle condivisioni sul fileserver in base alla sottorete del client

1

Recentemente ho segmentato una rete e gli unici host accessibili da ogni sottorete sono l'AD-Server e il fileserver. Ora voglio limitare l'accesso a condivisioni specifiche su quei server a un elenco di sottoreti. Ad esempio, le cartelle del progetto non devono essere accessibili dalla rete del laboratorio.

Sembra che questo non sia possibile con le funzionalità offerte da Windows Server 2012. Posso limitare l'accesso alla porta 445 tramite subnet, ma non è quello che voglio. Ho bisogno di un modo per filtrare a livello di protocollo o sth. come quello. C'è un modo all'avanguardia per farlo?

    
posta davidb 31.10.2016 - 11:24
fonte

3 risposte

1

Dato che stai parlando di un server AD e di una soluzione allo stato dell'arte, ricorda che: usa gruppi di utenti per la sicurezza, non i gruppi di macchine. Ci sono molte ragioni per questo:

  • è il modo in cui la sicurezza è implementata su Windows almeno da Windows NT 3.5
  • Lo spoofing IP è banale per un utente che dispone di un account amministrativo su una macchina
  • gli utenti dovrebbero essere educati a pensare di essere identificati dal loro account, non dalla macchina che usano, e che le autorizzazioni siano concesse agli esseri umani non alle macchine
  • la protezione inter-network o inter-macchina è una funzione sicurezza e non una autorizzazione.
  • ... probabilmente molti altri
risposta data 01.12.2016 - 13:27
fonte
1

Non è possibile configurare l'accesso alle singole condivisioni in base agli intervalli IP, il massimo che si può fare è limitare l'accesso a SMB nel suo complesso. Per questo, è possibile utilizzare Windows Firewall con sicurezza avanzata per modificare l'ambito della regola Condivisione file e stampanti (SMB-in) per il profilo di rete appropriato per consentire connessioni SMB in entrata specifiche dalle subnet appropriate Perché non utilizzare i gruppi di utenti? Separare il gruppo di utenti per ciascuna sottorete e assegnargli un accesso appropriato.

    
risposta data 31.10.2016 - 11:54
fonte
1

Sembra che tu stia tentando di garantire la riservatezza dei tuoi dati, quindi suppongo anche che tu abbia stabilito un dominio AD. Implementare gruppi di sicurezza nelle autorizzazioni di condivisione offrirebbe un controllo molto migliore su queste unità di condivisione e consentirebbe una maggiore flessibilità e scalabilità, se necessario, in futuro.

Supponendo che il tuo annuncio sia già stato stabilito, questo utilizzerebbe un metodo di controllo dell'accesso esistente e basterà semplicemente crearlo. Se sei preoccupato per altri dipartimenti che accedono alla condivisione, potresti negare esplicitamente tutto per gli altri utenti.

    
risposta data 01.12.2016 - 10:43
fonte

Leggi altre domande sui tag