Czy można ograniczyć dostęp do serwera plików użytkownikom domeny korzystającym z komputerów należących do domeny?

Wygląda na to, że można zastosować izolację domeny, ale chciałbym rozwiązania, które nie wymaga IPsec, a ściślej mówiąc, nie wymaga IPsec na serwerze plików. Protokół IPsec, jeśli jest wykonywany w oprogramowaniu, ma duży narzut procesora, a nasze urządzenia NAS nie obsługują żadnego odciążenia.

Celem jest uniknięcie uwierzytelnienia użytkowników korzystających z niezarządzanych maszyn w celu uzyskania dostępu do zasobów sieciowych. Ochrona dostępu do sieci (NAP) i różne punkty wymuszające wyglądały obiecująco, ale nie mogłem znaleźć kuloodpornego sposobu ich użycia [który nie wymaga IPsec na serwerze plików].

Myślałem, że kiedy użytkownik domeny uzyskuje dostęp do skrzynki NAS, najpierw będzie potrzebował biletu Kerberos z AD, więc jeśli AD może w jakiś sposób zweryfikować komputer, który żądał biletu, znajduje się w domenie, mam rozwiązanie.

active-directory Chris Madden
źródło

Czy mogę zapytać, dlaczego chcesz to zrobić? Jeśli użytkownik ma już dostęp do Twojej sieci LAN i ma prawidłową nazwę użytkownika / hasło, dlaczego nie miałby móc połączyć się z serwerem plików? Jaki problem próbujesz rozwiązać?

mfinni,

Musisz to zrobić dla każdej metody dostępu, jeśli nie używasz czegoś takiego jak NAP. Dopuszczasz już niezaufane maszyny do swojej sieci LAN lub VPN. Co powstrzyma nieznaną maszynę przed próbą wykorzystania exploita, który nie wymaga uwierzytelnionego dostępu SMB? Co powstrzyma ich przed uderzeniem w wewnętrzne aplikacje internetowe?

mfinni

Czy można ograniczyć dostęp do serwera plików użytkownikom domeny korzystającym z komputerów należących do domeny?

Odpowiedzi: