Не разрешать доменным компьютерам общаться друг с другом

Наш домен состоит из около 60 компьютеров. Мне было поручено убедиться, что рабочие станции Windows 10 не могут общаться друг с другом. Мой менеджер попросил меня создать статические маршруты, чтобы компьютеры могли обмениваться данными только с сетевыми принтерами, файловым сервером, DC и выходить в Интернет.

Поскольку все эти компьютеры находятся в одной сети, я не верю, что статические маршруты будут мешать этим компьютерам видеть друг друга. Каков наилучший способ разрешить компьютерам в домене использовать сетевые ресурсы, но не общаться напрямую друг с другом?

Если у вас есть коммутатор, который поддерживает его, «защищенные порты» для кабельных соединений или «изоляция клиента» для точек доступа по Wi-Fi могут помочь вам исключить трафик между хостами в одной сети уровня 2.

Например, это от руководства коммутатора Cisco :

Защищенные порты имеют следующие функции: Защищенный порт не перенаправляет трафик (одноадресный, многоадресный или широковещательный) на любой другой порт, который также является защищенным портом. Трафик данных не может быть перенаправлен между защищенными портами на уровне 2; только управляющий трафик, такой как пакеты PIM, пересылается, потому что эти пакеты обрабатываются ЦП и пересылаются программно. Весь трафик данных, проходящий между защищенными портами, должен передаваться через устройство уровня 3.

Поэтому, если вы не собираетесь передавать данные между ними, вам не нужно предпринимать действия, когда они «защищены».

Переадресация между защищенным портом и незащищенным портом происходит как обычно.

Ваши клиенты могут быть защищены, DHCP-сервер, шлюз и т. Д. Могут находиться на незащищенных портах.

Обновление
27-07-2017 Как указывал @sirex, если у вас есть более одного коммутатора, который не является стеком, то есть фактически это НЕ один коммутатор, защищенные порты не будут останавливать трафик между ними .

Примечание. Некоторые коммутаторы (как указано в таблице поддержки коммутатора Catalyst для Private VLAN) в настоящее время поддерживают только функцию PVLAN Edge. Термин «защищенные порты» также относится к этой функции. Пограничные порты PVLAN имеют ограничение, запрещающее связь с другими защищенными портами на том же коммутаторе. Однако защищенные порты на отдельных коммутаторах могут взаимодействовать друг с другом.

В этом случае вам понадобятся изолированные частные порты VLAN :

В некоторых ситуациях необходимо предотвратить подключение уровня 2 (L2) между конечными устройствами на коммутаторе без размещения устройств в разных IP-подсетях. Эта настройка предотвращает потерю IP-адресов. Частные VLAN (PVLAN) обеспечивают изоляцию на уровне 2 устройств в одной IP-подсети. Вы можете ограничить некоторые порты на коммутаторе, чтобы они достигали только определенных портов, к которым подключен шлюз по умолчанию, сервер резервного копирования или Cisco LocalDirector.

Если PVLAN охватывает несколько коммутаторов, соединительные линии VLAN между коммутаторами должны быть стандартными портами VLAN .

Вы можете расширить PVLAN между коммутаторами с использованием соединительных линий. Магистральные порты передают трафик от обычных VLAN, а также от первичных, изолированных и локальных VLAN. Cisco рекомендует использовать стандартные магистральные порты, если оба коммутатора, которые проходят транкинг, поддерживают PVLAN.

Если вы являетесь пользователем Cisco, вы можете использовать эту матрицу, чтобы увидеть, поддерживают ли ваши коммутаторы нужные вам опции.

Вы могли бы сделать это, если бы вы сделали что-то столь же ужасное, как make 1 подсеть на клиента. Это был бы кошмар управления.

Брандмауэр Windows с соответствующими политиками поможет в этом. Вы можете сделать что-то вроде доменной изоляции, но еще более ограничительным. Вы можете применять правила для OU с серверами в одном OU и рабочими станциями в другом. Вы также хотели бы убедиться, что принтеры (и серверы) не находятся в той же подсети, что и рабочие станции, чтобы сделать это проще.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Что касается сетевых принтеров - вы могли бы сделать это еще проще, если бы вы не разрешали прямую печать, а размещали принтеры как общие очереди с сервера печати. Это было хорошей идеей в течение длительного времени по нескольким причинам.

Могу я спросить, какова реальная бизнес-цель этого? Это поможет предотвратить вспышки вредоносных программ? Запоминание общей картины / финишной черты помогает определить требования, поэтому это всегда должно быть частью вашего вопроса.

Если вы можете привязать каждую рабочую станцию ​​к определенному пользователю, вы сможете разрешить доступ к этой рабочей станции только этому пользователю.

Это параметр политики домена: вход в систему локально правильно.

Это не мешает пользователю перейти на ближайшую рабочую станцию ​​и ввести свой пароль для доступа к назначенному ему компьютеру, но его легко обнаружить.

Кроме того, это влияет только на службы, связанные с Windows, поэтому веб-сервер на машинах будет по-прежнему доступен.