Limite el acceso a los recursos compartidos en el servidor de archivos según la subred del cliente

1

Recientemente segmenté una red y los únicos hosts a los que se puede acceder desde cada subred son AD-Server y el servidor de archivos. Ahora quiero limitar el acceso a recursos compartidos específicos en esos servidores a una lista de subredes. Por ejemplo, las carpetas del proyecto no necesitan ser accesibles desde la red del laboratorio.

Parece que esto no es posible con las capacidades que ofrece Windows Server 2012. No puedo limitar el acceso al puerto 445 por subred, pero eso no es lo que quiero. Necesito una forma de filtrar en el nivel de protocolo o algo. como eso. ¿Existe una forma avanzada de hacer esto?

    
pregunta davidb 31.10.2016 - 11:24
fuente

3 respuestas

1

Al hablar de un servidor AD y de una solución de vanguardia, recuerde que: use grupos de usuarios por seguridad, no grupos de máquinas. Hay muchas razones para eso:

  • es la forma en que se implementa la seguridad en Windows al menos desde Windows NT 3.5
  • La suplantación de IP es trivial para un usuario que tiene una cuenta administrativa en una máquina
  • los usuarios deben ser educados para pensar que están identificados por su cuenta, no por la máquina que utilizan, y que las autorizaciones se otorgan a los seres humanos y no a las máquinas
  • la protección entre redes o entre máquinas es una característica de seguridad y no una autorización.
  • ... probablemente muchos otros
respondido por el Serge Ballesta 01.12.2016 - 13:27
fuente
1

No puede configurar el acceso a recursos compartidos individuales por rangos de IP, lo máximo que puede hacer es limitar el acceso a SMB en general. Para eso, puede usar el Firewall de Windows con seguridad avanzada para modificar el alcance de la regla Compartir archivos e impresoras (SMB-in) para el perfil de red apropiado para permitir conexiones SMB entrantes específicamente desde las subredes apropiadas. ¿Por qué no usar grupos de usuarios? Separe un grupo de usuarios para cada subred y asigne un acceso adecuado.

    
respondido por el Overmind 31.10.2016 - 11:54
fuente
1

Parece que está intentando garantizar la confidencialidad de sus datos, por lo que también asumo que tiene un dominio AD establecido. La implementación de grupos de seguridad en los permisos compartidos ofrecería un control mucho mejor sobre estas unidades compartidas y permitiría una mayor flexibilidad y escalabilidad según sea necesario en el futuro.

Suponiendo que su AD ya está establecido, esto utilizaría un método de control de acceso existente y solo se construiría sobre él. Si le preocupa que otros departamentos accedan al recurso compartido, podría negar explícitamente todo para otros usuarios.

    
respondido por el Maltomate 01.12.2016 - 10:43
fuente

Lea otras preguntas en las etiquetas