W jaki sposób prawidłowo zabezpieczyć niewielką sieć komputerową w firmie opartej na systemie Windows, gdzie mogą przebywać postronne osoby?
Odpowiedzi (3)
Zaloguj się, aby móc oceniać, komentować, odpowiadać...
-
5
Witam,
na początku warto zwrócić uwagę na dostępność sieci firmowej dla samych pracowników.
Bezpieczna sieć firmowa to najczęściej odosobniony LAN, czy intranet, gdzie dane zewnętrzne są odpowiednio filtrowane przez sprzętowy Firewall, na którym często można również skonfigurować nasz intranet (VPN).
Jeżeli chodzi o samego Windowsa, to kwestię bezpieczeństwa w większości przypadków rozwiązują konta domenowe oraz odpowiednie blokady dla pozostałych osób na komputerach podłączonych wówczas do domeny.
Jeżeli do komputerów w firmie mają mieć dostęp osoby z zewnątrz, problem rozwiązuje konto "Gość".
Jednak należy pamiętać, że zawsze najsłabszym ogniwem jest sam człowiek, należy więc odpowiednio przeszkolić personel, w jaki sposób odpowiedzialnie (bezpiecznie) używać oprogramowania.
-
2
Można ograniczyć dystrybucję adresów dhcp, o ile są potrzebne w ogóle?
Mi przychodzą sposoby fizyczne w pierwszej kolejności:
Zakaz wpinania się w sieć z własnym sprzętem. Nieużywane gniazdka sieciowe niech nie będą skrosowane na szafach, ewentualnie wyłączone porty na przełącznikach.
Jeśli chodzi o Wi-Fi, to połączenie tylko z uwierzytelnienia domenowego plus filtracja na macadresach.
Dla "gości" można hot-spota izolowanego stworzyć.
Pozdrawiam,
P.
-
2
Witam,
uzupełniając wypowiedzi, chciałbym dodać dwa rozwiązania:
1. Jeżeli w sieci firmowej masz serwer DHCP, konfigurujesz dwa zakresy sieciowe:
- pierwszy zakres ten właściwy np. 192.168.0.0 - 254, gdzie masz wpisane wszystkie adresy MAC urządzeń, które mogą pracować w sieci firmowej, i mają na "sztywno" przypisane numery IP. Pamiętaj, aby zakres obejmował taką ilość numerów IP, ile faktycznie masz w sieci.
- drugi zakres np. 10.0.0.0-254 gdzie DHCP przydziela dynamicznie adresy IP np. bez dostępu do sieci albo np. tylko do internetu bez dostepu do sieci firmowej
Efekt masz następujący: kiedy wpisze się urządzenie, jakie ma mieć dostęp do sieci firmowej, to serwer DHCP przydziela adresy z zakresu 192.168.0.0; jeżeli nie ma go na tej liście - serwer przydziela IP z zakresu 10.0.0.0.
2. Drugie rozwiązanie to skonfigurowanie reguły dostępu do sieci (NPS i NAP). Ustawiając odpowiednią regułę (kondycję) możesz zarządzać, czy ktoś ma mieć dostęp do sieci firmowej czy też nie.
Pierwsze rozwiązanie jest naprawdę banalne, jednak musisz wziąć po uwagę fakt, iż w chwili przydzielania numeru IP dane urządzenie jest już w sieci firmowej.
Pozdr.
[AS]
