Не дозволяйте доменним комп'ютерам спілкуватися один з одним

Наш домен складається з близько 60 комп'ютерів. Мені доручено переконатися, що робочі станції Windows 10 не можуть спілкуватися між собою. Мій менеджер попросив створити статичні маршрути, щоб комп'ютери могли спілкуватися лише з мережевими принтерами, файловим сервером, постійним струмом та доступом до Інтернету.

Оскільки всі тези комп'ютерів працюють в одній мережі, я не вірю, що статичні маршрути не дозволять цим комп'ютерам бачити один одного. Який найкращий спосіб дозволити комп'ютерам домену використовувати мережеві ресурси, але не спілкуватися безпосередньо між собою?

Якщо у вас є комутатор, який його підтримує, "захищені порти" для кабельних з'єднань або "клієнтська ізоляція" для точок доступу в Wi-Fi можуть допомогти вам усунути трафік між хостами в одній мережі Layer-2.

Наприклад, це посібник з комутаторів Cisco :

Захищені порти мають такі функції: захищений порт не пересилає жодного трафіку (одноадресна передача, багатоадресна передача чи трансляція) на будь-який інший порт, який також є захищеним портом. Трафік даних не може передаватися між захищеними портами на рівні 2; передається лише керуючий трафік, наприклад PIM-пакети, тому що ці пакети обробляються процесором і передаються програмно. Весь трафік даних, що проходить між захищеними портами, повинен передаватися через пристрій рівня 3.

Тож якщо ви не збираєтесь передавати дані між ними, вам не потрібно вживати заходів, як тільки вони будуть "захищені".

Поведінка переадресації між захищеним портом і незахищеним портом проходить як завжди.

Ваші клієнти можуть бути захищені, DHCP-сервер, шлюз тощо можуть бути незахищеними портами.

Оновлення 27-07-2017
Як зазначав @sirex, якщо у вас є більше одного перемикача, який не є складеним, це означає, що вони практично НЕ єдиний комутатор, захищені порти не зупинять трафік між ними .

Примітка. Деякі комутатори (як зазначено в матриці підтримки приватного VLAN-каталізатора) підтримують лише функцію PVLAN Edge. Термін "захищені порти" також відноситься до цієї особливості. Порти PVLAN Edge мають обмеження, яке перешкоджає спілкуванню з іншими захищеними портами на тому ж комутаторі. Однак захищені порти на окремих комутаторах можуть спілкуватися один з одним.

У такому випадку вам знадобляться Ізольовані приватні порти VLAN :

У деяких ситуаціях потрібно запобігти підключенню рівня 2 (L2) між кінцевими пристроями на комутаторі без розміщення пристроїв у різних підмережах IP. Ця настройка запобігає марно витраченню IP-адрес. Приватні VLAN (PVLAN) дозволяють ізолювати на другому рівні пристроїв у тій самій підмережі IP. Ви можете обмежити деякі порти на комутаторі, щоб дістатись лише до певних портів, у яких доданий шлюз за замовчуванням, сервер резервного копіювання або доданий Cisco LocalDirector.

Якщо PVLAN охоплює декілька комутаторів, магістралі VLAN між комутаторами повинні бути стандартними портами VLAN .

Ви можете розширити PVLAN через комутатори за допомогою магістралей. Магістральні порти здійснюють трафік від звичайних VLAN, а також від первинних, ізольованих та спільних VLAN. Cisco рекомендує використовувати стандартні порти магістралі, якщо обидва комутатори, які проходять транкінг, підтримують PVLAN.

Якщо ви користувач Cisco, ви можете використовувати цю матрицю, щоб дізнатися, чи підтримують ваші комутатори потрібні варіанти.

Ви можете це зробити, якби зробили щось таке жахливе, як зробити 1 підмережу на клієнта. Це був би кошмар управління.

У цьому допоможе брандмауер Windows з відповідною політикою. Ви можете зробити щось на кшталт Ізоляції домену, але ще більш обмежувального. Ви можете застосовувати правила на один ОУ, із серверами в одному ОУ та робочими станціями в іншому. Ви також хочете переконатися, що принтери (і сервери) не в тій самій підмережі, що і робочі станції, щоб зробити це простіше.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Щодо мережевих принтерів - ви могли б зробити це ще простіше, якщо ви не дозволили безпосередньо друкувати, але розмістили принтери як спільні черги з сервера друку. Це було давно хорошою ідеєю з кількох причин.

Чи можу я запитати, яка реальна бізнес-мета цього? Чи це допоможе запобігти спалахам шкідливих програм? Зважаючи на велику картину / фінішну лінію, це допомагає визначити вимоги, тому це завжди повинно бути частиною вашого питання.

Якщо ви можете прив’язати кожну робочу станцію до конкретного користувача, ви можете дозволити лише цьому користувачу отримати доступ до цієї робочої станції.

Це налаштування політики домену: вхід локально право.

Це не заважає користувачеві зайти до найближчої робочої станції та ввести свій пароль для доступу до призначеної машини, але це легко виявити.

Також це стосується лише служб Windows, тому веб-сервер на машинах все ще буде доступний.