Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > Microsoft Windows

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 14 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

UTM-решение для бизнеса: межсетевой экран, антивирусы, прокси-сервер, VPN, ids/ips, https-фильтрация. Собственные сетевые сервисы, ip-телефония

загрузка...
Ответ
 
Опции темы Language
Старый 12.06.2007, 20:29   #1
Неактивный пользователь
 
Пол:Мужской
Регистрация: 02.06.2006
Адрес: Россия
Сообщений: 60
Репутация: 211
По умолчанию Изоляция терминального сервера

Имеется сеть. В сети:
40 рабочих станций: WinXP SP2, KAVclient, StatWinclient, DeviceLockclient (находятся под полным контролем).
2 ноутбука: WinXP SP2 и Vista (контроль не возможен).
1 шлюз: WinXP SP2, KWF, KMS.
1 главный сервер: Win2k3 SP2, AD, GP, DNS, KAVserver, StatWinserver, DeviceLockserver.
1 терминальный сервер: Win2k3 SP2, 1С, Office2k3.
1 управляемый коммутатор 2-го уровня D-Link 3550.
Необходимо
1. Все пользователи имели выход в интернет.
2. Ничего нельзя было вынести из терминального сервера за пределы офиса.
Путь решения, который Я вижу:
1. Создать два VLAN'a, добавив в один из них два ноутбука и шлюз, а в другой все рабочии станции, оба сервера и шлюз.
2. Запретить выход в Интернет с терминального сервера.
3. Запретить расшаривание ресурсов на рабочих станциях.
4. Запретить терминальным пользователям доступ к общим сетевым папкам.
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?
superpalych вне форума
 
Ответить с цитированием Вверх
Надежный китайский посредник Taobao.com


Реклама: MSI Z370 Gaming Plusгостиница на олимпийском проспектекупить садовая мебельлокальная покраска авто в москве недорогорадиус линзы 8.5


Старый 13.06.2007, 05:45   #2
fylhtqrf
Постоялец
 
Пол:Мужской
Регистрация: 03.09.2005
Адрес: отдаленный район ссыльных каторжников
Сообщений: 243
Репутация: 42
По умолчанию Ответ: Изоляция терминального сервера

Цитата:
Сообщение от superpalych Посмотреть сообщение
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

Канечна можно - делаем тонкого клиента на thinstation - т.е. клиенты могут грузится вообще без винта. В конфиге тонкого клиента режем usb, fdd, cdrom
НО если Вы занимаетесь соображениями -чтобы нечего не вынесли вот Вам минимум два примера как можно вынести в вашей конфигурации: 1. Распечатаьт необходимые данные на принтере и вынести.
2. если есть и-нет - то ничего нестоит послать файл по мылу самому себе и затем его получти с другого компа.
3. И кстати если буферы обмена компов взаимодействуют - то можна воспользоватся копи/пасте
__________________
ВСе что мне нужно: доброе слово, теплая постель ..... и не ограниченная власть
fylhtqrf вне форума
 
Ответить с цитированием Вверх
Старый 13.06.2007, 07:34   #3
astyle
Пользователь
 
Пол:Мужской
Регистрация: 09.06.2007
Сообщений: 31
Репутация: 5
По умолчанию Ответ: Изоляция терминального сервера

- Все пользователи имели выход в инет:
или аппаратно или программно. Я не знаю что у тя за маршрутизатор, знаю про D-Link 804 - настроил на Wan подключение к интернет, а для твоей локалке он как шлюз. Кому надо прописал шлюз нужный, да и в нем самом настроек полно. Можно программно, но это прокси сервер надо ставить - кучу настроик можно прописать, пользователей можносоздавать,статистику составлять - вообщем по сравнению с 804 даст полный контроль происходящего.
- Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?
можно, предлагаю включить фильтр IP (свойства сетевых подключений - свойства tcp-ip - дополнительно - фильтрация свойство) ставим галочку и прописываем только параметр только TCP порты и добавляем порт 3389 - подключение удаленного рабочего стола.
- Ничего нельзя было вынести из терминального сервера за пределы офиса.
Надо в политиках безопасности рыскать. Можно ограничеться только оснаской настройки терминального сервера - там снять галки типа сопоставление принтеров, буферов обмена, и т.д.

На своем опыте - как что не придумывай, а ЛОГИ надо вести всего!
astyle вне форума
 
Ответить с цитированием Вверх
Старый 13.06.2007, 09:44   #4
axlwor
Постоялец
 
Пол:Мужской
Регистрация: 07.10.2005
Сообщений: 760
Репутация: 165
По умолчанию Ответ: Изоляция терминального сервера

дежа вю
всмысле в глазах двоится. пойду еще посмотрю, где еще разместили этот пост
axlwor вне форума
 
Ответить с цитированием Вверх
Старый 13.06.2007, 10:58   #5
superpalych
Неактивный пользователь
 
Пол:Мужской
Регистрация: 02.06.2006
Адрес: Россия
Сообщений: 60
Репутация: 211
По умолчанию Ответ: Изоляция терминального сервера

Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
Канечна можно - делаем тонкого клиента на thinstation - т.е. клиенты могут грузится вообще без винта. В конфиге тонкого клиента режем usb, fdd, cdrom

Это вообще другая конфигурация сети. На терминальном серверу будут только серкретная документация.
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
НО если Вы занимаетесь соображениями -чтобы нечего не вынесли вот Вам минимум два примера как можно вынести в вашей конфигурации: 1. Распечатаьт необходимые данные на принтере и вынести.

Для этого есть отдельные программы, например Printer Activity Monitor.
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
2. если есть и-нет - то ничего нестоит послать файл по мылу самому себе и затем его получти с другого компа.

А для этого у меня припосён Kerio Winroute FireWall.
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
3. И кстати если буферы обмена компов взаимодействуют - то можна воспользоватся копи/пасте

Насколько я помню, в терминале этого нет (или отключено по умолчанию).

Цитата:
Сообщение от astyle Посмотреть сообщение
- Все пользователи имели выход в инет:
или аппаратно или программно. Я не знаю что у тя за маршрутизатор

Я же написал, Kerio Winroute Firewall? a D-Link-3550 - управляемый коммутатор.
Цитата:
Сообщение от astyle Посмотреть сообщение
знаю про D-Link 804 - настроил на Wan подключение к интернет, а для твоей локалке он как шлюз. Кому надо прописал шлюз нужный, да и в нем самом настроек полно. Можно программно, но это прокси сервер надо ставить - кучу настроик можно прописать, пользователей можносоздавать,статистику составлять - вообщем по сравнению с 804 даст полный контроль происходящего.

KWF именно это и делает.
Цитата:
Сообщение от astyle Посмотреть сообщение
- Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?
можно, предлагаю включить фильтр IP (свойства сетевых подключений - свойства tcp-ip - дополнительно - фильтрация свойство) ставим галочку и прописываем только параметр только TCP порты и добавляем порт 3389 - подключение удаленного рабочего стола.
- Ничего нельзя было вынести из терминального сервера за пределы офиса.

Проблема в том, что:
1. Я, как администратор безопасности, должен иметь обычный доступ к терминальному серверу.
2. С него должна быть разрешена печать.
3. Пользователи при подключении должны проходить аутентификацию в домене, поднятом на другом сервере.
Цитата:
Сообщение от astyle Посмотреть сообщение
Надо в политиках безопасности рыскать. Можно ограничеться только оснаской настройки терминального сервера - там снять галки типа сопоставление принтеров, буферов обмена, и т.д.

Вот я и думаю, что кто-нибудь уже сталкивался с подобной ситуацией, и знает, как решить подобную проблему.

Цитата:
Сообщение от astyle Посмотреть сообщение
На своем опыте - как что не придумывай, а ЛОГИ надо вести всего!

На это нет времени.

Цитата:
Сообщение от axlwor Посмотреть сообщение
дежа вю
всмысле в глазах двоится. пойду еще посмотрю, где еще разместили этот пост

Лучше бы по существу ответил.
superpalych вне форума
 
Ответить с цитированием Вверх
Старый 13.06.2007, 12:55   #6
fylhtqrf
Постоялец
 
Пол:Мужской
Регистрация: 03.09.2005
Адрес: отдаленный район ссыльных каторжников
Сообщений: 243
Репутация: 42
По умолчанию Ответ: Изоляция терминального сервера

По поводу PrintActivitiMonitor - что он делает ? следит за тем кто какой док распечатал или что ? Если да то - опять копи-пасте из одного документа в другой - и нет проблем. можно элементарно срисовать ручкой и листочком с экрана. Можно экран сфоткать. Я уже бился - с похожей проблемой - она не решается компьютерным путем - тока административным - кто документ взял под роспись документ отдал под роспись (в переводе на компьютер - под роспись дали права - забрали права).
По поводу Kerio и прочего (у меня у самого ISA 2004 стоит) - ставим прогу помоему Hamachi или чтото похожее на клиентской машине (для некоторых не нужны админовские права даже - вот вчем ужас то) - организуем ВПН канал - до офиц сайта ЧЕРЕЗ ПРОКСИК и лазеем по и-нету через впн канал - и попробуй отследить где собака порылась ! Канечно Фсе это можно удавть с пом проксика - но поробуй сначала поймай нужную прогу а затем и сайт.
А копи -пасте между клиентом и терминалом у меня например по умолчанию - там опция в настройках терминала - разрешить взаимодействие с буфером обмена
__________________
ВСе что мне нужно: доброе слово, теплая постель ..... и не ограниченная власть
fylhtqrf вне форума
 
Ответить с цитированием Вверх
Старый 13.06.2007, 13:03   #7
superpalych
Неактивный пользователь
 
Пол:Мужской
Регистрация: 02.06.2006
Адрес: Россия
Сообщений: 60
Репутация: 211
По умолчанию Ответ: Изоляция терминального сервера

Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
По поводу PrintActivitiMonitor - что он делает ? следит за тем кто какой док распечатал или что ? Если да то - опять копи-пасте из одного документа в другой - и нет проблем. можно элементарно срисовать ручкой и листочком с экрана. Можно экран сфоткать. Я уже бился - с похожей проблемой - она не решается компьютерным путем - тока административным - кто документ взял под роспись документ отдал под роспись (в переводе на компьютер - под роспись дали права - забрали права).

PAM фиксирует текст распечатанного документа (в новых версиях).
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
По поводу Kerio и прочего (у меня у самого ISA 2004 стоит) - ставим прогу помоему Hamachi или чтото похожее на клиентской машине (для некоторых не нужны админовские права даже - вот вчем ужас то) - организуем ВПН канал - до офиц сайта ЧЕРЕЗ ПРОКСИК и лазеем по и-нету через впн канал - и попробуй отследить где собака порылась ! Канечно Фсе это можно удавть с пом проксика - но поробуй сначала поймай нужную прогу а затем и сайт.

А зачем разрешать лишние протоколы? HTTP - обязательный минимум.
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
А копи -пасте между клиентом и терминалом у меня например по умолчанию - там опция в настройках терминала - разрешить взаимодействие с буфером обмена

Понял, отрублю.
superpalych вне форума
 
Ответить с цитированием Вверх
Старый 13.06.2007, 13:46   #8
fylhtqrf
Постоялец
 
Пол:Мужской
Регистрация: 03.09.2005
Адрес: отдаленный район ссыльных каторжников
Сообщений: 243
Репутация: 42
По умолчанию Ответ: Изоляция терминального сервера

на лишние протоколы - оно через ХТТП и работает это хамачи организует через ХТТП траффик ВПН. по поводу опятьже - фиксируемости что печатали - берем документ - открываем его шеснадцатиричным редактором - и печатаем КОДЫ - и опа - PAM - фиксирует что печатали коды а не текст а еще круче засунуть документ в архив и распечатать - шеснадцатиричные коды архива а потом через сканер распознать и вогнать в компот. Если чел имеет доступ к данным не под роспись на бумаге - он эти данные утащит без ответственно. А вот если под роспись -то хотябы будет знать что по шапке получит - даже если не зафиксируют факт утаскивания данных.
Кстати ни что не мешает (канечна если разбирается чел) написать прогу которая по RDP - протоколу пересылает файл на клиентский компот -Вот исчто одна дыра. Всте таки - думай в сторону административного решения и не полность компьютерного. Да и вообще счас телефоны с хорошим разрешением - сфоткал с экрана и гудбай.
__________________
ВСе что мне нужно: доброе слово, теплая постель ..... и не ограниченная власть
fylhtqrf вне форума
 
Ответить с цитированием Вверх
Старый 14.06.2007, 07:47   #9
Iskam
ViP
 
Аватар для Iskam
 
Пол:Мужской
Регистрация: 04.05.2006
Адрес: Волжский
Сообщений: 593
Репутация: 215
По умолчанию Ответ: Изоляция терминального сервера

Вот не в ту сторону вы думаете.
Если перед фирмой реально встала проблема защиты информации, ваша задача - убедить руководство в том, что качественно такого рода проблемы решаются одним единственным способом - придётся создавать комплексную систему безопасности. Начиная с физического контроля за вносом и выносом носителей, заканчивая realtime мониторингом трафика. И за это придётся очень нихило забашлять. И заниматься этим должен не админ, а грамотный специалист по безопасности. Также есть варианты, когда сторонняя контора обеспечивает разработку и внедрение такого рода проектов. Да варианты есть, стоит только поменять угол зрения под которым вы смотрите на проблему...
А кустарная лепка из дерьма закончится тем, что конфиденциальная инфа рано или поздно покинет пределы вашей сети. И угадайте кого первого прессовать начнут?
Вам лишние девять граммов веса нужны?
Думаю, что нет.
__________________
Жаба, жаба, где твой хвост, где твоя щетина? Где твой вертикальный рост, глупая скотина?
Жаба смотрит на меня не соображая... Тюк её ботинком, тюк! Гадость-то какая!
Iskam вне форума
 
Ответить с цитированием Вверх
Старый 15.06.2007, 07:00   #10
superpalych
Неактивный пользователь
 
Пол:Мужской
Регистрация: 02.06.2006
Адрес: Россия
Сообщений: 60
Репутация: 211
По умолчанию Ответ: Изоляция терминального сервера

Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
на лишние протоколы - оно через ХТТП и работает это хамачи организует через ХТТП траффик ВПН.

Ну ты и загнул. У нас, слава богу, нет никого, кто сможеть хотя бы книжку прочитать, как это сделать.
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
по поводу опятьже - фиксируемости что печатали - берем документ - открываем его шеснадцатиричным редактором - и печатаем КОДЫ - и опа - PAM - фиксирует что печатали коды а не текст а еще круче засунуть документ в архив и распечатать - шеснадцатиричные коды архива а потом через сканер распознать и вогнать в компот.

Вспомнил, как Филл Зимерман вывез из США исходные коды программы PGP?
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
Если чел имеет доступ к данным не под роспись на бумаге - он эти данные утащит без ответственно. А вот если под роспись -то хотябы будет знать что по шапке получит - даже если не зафиксируют факт утаскивания данных.

Это понятно. Но для сведений, составляющих коммерческую тайну небольшой компании (50 ПК, 150 работников) никто не будет вводить режим.
Цитата:
Сообщение от fylhtqrf Посмотреть сообщение
Кстати ни что не мешает (канечна если разбирается чел) написать прогу которая по RDP - протоколу пересылает файл на клиентский компот -Вот исчто одна дыра. Всте таки - думай в сторону административного решения и не полность компьютерного. Да и вообще счас телефоны с хорошим разрешением - сфоткал с экрана и гудбай.

Оно и понятно, только вот скорость работы с документами эти меры снижают на несколько порядков. А разрешение на ознакомление с документами я буду задавать с помощью ACL.

Цитата:
Сообщение от Iskam Посмотреть сообщение
Вот не в ту сторону вы думаете.
Если перед фирмой реально встала проблема защиты информации, ваша задача - убедить руководство в том, что качественно такого рода проблемы решаются одним единственным способом - придётся создавать комплексную систему безопасности. Начиная с физического контроля за вносом и выносом носителей, заканчивая realtime мониторингом трафика.

Ну уморил! Я себе еле помошника выпросил на 0,5 ставки, а ты говоришь об отдельной службе ЗИ.
Цитата:
Сообщение от Iskam Посмотреть сообщение
И за это придётся очень нихило забашлять.

Ага, догонят и ещё забашляют.
Цитата:
Сообщение от Iskam Посмотреть сообщение
И заниматься этим должен не админ, а грамотный специалист по безопасности.

С одним из дипломированных специалистов по информационной безопасности ты и имеешь честь переписываться.
Цитата:
Сообщение от Iskam Посмотреть сообщение
Также есть варианты, когда сторонняя контора обеспечивает разработку и внедрение такого рода проектов.

Аутсорсинг называется.
Цитата:
Сообщение от Iskam Посмотреть сообщение
Да варианты есть, стоит только поменять угол зрения под которым вы смотрите на проблему...

А ещё бюджет увеличить на пару порядков.
Цитата:
Сообщение от Iskam Посмотреть сообщение
А кустарная лепка из дерьма закончится тем, что конфиденциальная инфа рано или поздно покинет пределы вашей сети.

Всем специалистам по ЗИ известно, что стоимость системы защиты не должна превышать риска, который равен произведению "Вероятности утечки" на "Ущерб от разглашния".
Цитата:
Сообщение от Iskam Посмотреть сообщение
И угадайте кого первого прессовать начнут? Вам лишние девять граммов веса нужны? Думаю, что нет.

Учитывая, что ты не дал ни одного дельного совета, а только демагогией занимался, смею преlgjkj;bnm? что ты себя предлагаешь на роль такого внешнего специалиста.
superpalych вне форума
 
Ответить с цитированием Вверх
Старый 15.06.2007, 11:16   #11
fylhtqrf
Постоялец
 
Пол:Мужской
Регистрация: 03.09.2005
Адрес: отдаленный район ссыльных каторжников
Сообщений: 243
Репутация: 42
По умолчанию Ответ: Изоляция терминального сервера

Если вернуться к первому посту и вопросу в нем можно ли запретить выход в сеть с терминального компота. Да можно - первое с пом групповой политики. Второе поставить фиреволл (я например ISa server пользую -тока не для урезания терминала а наоборот для публикации терминала в и-нетете). И обязательно ограничь доступ к серверу физически.Какой из вариантов тебе интересен -расскажу
А поповоду того что Iskam - себя предлагает врядли - он просто говорит как д.б. в идеале тока ктож тот идеал видел ... но надо к этому стремиться
__________________
ВСе что мне нужно: доброе слово, теплая постель ..... и не ограниченная власть

Последний раз редактировалось fylhtqrf; 15.06.2007 в 11:19..
fylhtqrf вне форума
 
Ответить с цитированием Вверх
Старый 18.06.2007, 09:19   #12
vurdalak
Неактивный пользователь
 
Регистрация: 18.06.2007
Сообщений: 1
Репутация: 1
По умолчанию Ответ: Изоляция терминального сервера

Цитата:
Вопрос:
Можно ли пользователям ВООБЩЕ запретить выход в сеть с терминального сервера?

А кто мешает убрать МС клиента с данного сервера, или хотя бы его выключить.
Что бы не было никаких приколов, делаеться отдельная зона для терминала и разрешаеться трафик только до домена, исключительно до нужных портов и трафик на rdp при этом на терминале буфер обмена выключить, подключение клиенских принтеров отключить, обновления проводить во вне рабочее время, когда терминальные подключения запрещены.
vurdalak вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Можно ли с помощью терминального сервера сэкономить на лицензиях на ПО? Rusja1979 Windows 200x Server 35 02.07.2010 11:46
Какой Raid массив выбрать для терминального сервера(win2003) и что для этого нужно??? mope Windows 200x Server 49 29.09.2009 23:08
Не вижу выгоды от терминального сервера serviceing Windows 200x Server 9 18.10.2008 08:37
Изоляция /Isolation/ (2005) Pinochet Зарубежные фильмы 0 24.11.2006 19:51

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:53. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2018 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.19032 секунды с 10 запросами