Lassen Sie Domänencomputer nicht miteinander kommunizieren

Unsere Domain besteht aus rund 60 Computern. Ich wurde beauftragt sicherzustellen, dass Windows 10-Workstations nicht miteinander kommunizieren können. Mein Manager hat mich gebeten, statische Routen zu erstellen, damit Computer nur mit den Netzwerkdruckern, dem Dateiserver und dem DC kommunizieren und auf das Internet zugreifen können.

Da sich alle diese Computer im selben Netzwerk befinden, glaube ich nicht, dass statische Routen verhindern werden, dass sich diese Computer sehen. Was ist der beste Weg, um Computern in der Domäne zu ermöglichen, Netzwerkressourcen zu verwenden, aber nicht direkt miteinander zu kommunizieren?

Wenn Sie einen Switch haben, der dies unterstützt, können Sie mithilfe von "geschützten Ports" für Kabelverbindungen oder "Client-Isolation" für Zugriffspunkte in Wi-Fi den Datenverkehr zwischen Hosts im selben Layer-2-Netzwerk eliminieren.

Dies stammt beispielsweise aus dem Cisco Switch- Handbuch:

Geschützte Ports verfügen über folgende Funktionen: Ein geschützter Port leitet keinen Datenverkehr (Unicast, Multicast oder Broadcast) an einen anderen Port weiter, der ebenfalls ein geschützter Port ist. Der Datenverkehr kann nicht zwischen geschützten Ports auf Schicht 2 weitergeleitet werden. Nur Steuerverkehr, wie z. B. PIM-Pakete, wird weitergeleitet, da diese Pakete von der CPU verarbeitet und in der Software weitergeleitet werden. Der gesamte Datenverkehr zwischen geschützten Ports muss über ein Layer 3-Gerät weitergeleitet werden.

Wenn Sie also nicht beabsichtigen, Daten zwischen ihnen zu übertragen, müssen Sie keine Maßnahmen ergreifen, sobald sie "geschützt" sind.

Das Weiterleitungsverhalten zwischen einem geschützten Port und einem nicht geschützten Port wird wie gewohnt fortgesetzt.

Ihre Clients können geschützt sein, DHCP-Server, Gateway usw. können sich an ungeschützten Ports befinden.

Update 27-07-2017
Wie @sirex hervorhob, werden geschützte Ports den Datenverkehr zwischen diesen nicht stoppen , wenn Sie mehr als einen Switch haben, der nicht gestapelt ist, was bedeutet, dass es sich praktisch NICHT um einen einzelnen Switch handelt .

Hinweis: Einige Switches (wie in der Private VLAN Catalyst Switch-Unterstützungsmatrix angegeben) unterstützen derzeit nur die PVLAN Edge-Funktion. Der Begriff "geschützte Ports" bezieht sich auch auf diese Funktion. PVLAN Edge-Ports unterliegen einer Einschränkung, die die Kommunikation mit anderen geschützten Ports auf demselben Switch verhindert. Geschützte Ports an separaten Switches können jedoch miteinander kommunizieren.

In diesem Fall benötigen Sie isolierte private VLAN- Ports:

In einigen Situationen müssen Sie die Layer 2 (L2) -Konnektivität zwischen Endgeräten auf einem Switch verhindern, ohne die Geräte in verschiedenen IP-Subnetzen zu platzieren. Dieses Setup verhindert die Verschwendung von IP-Adressen. Private VLANs (PVLANs) ermöglichen die Isolation von Geräten im selben IP-Subnetz auf Schicht 2. Sie können einige Ports auf dem Switch so einschränken, dass nur bestimmte Ports erreicht werden, an die ein Standardgateway, ein Sicherungsserver oder ein Cisco LocalDirector angeschlossen sind.

Wenn sich PVLAN über mehrere Switches erstreckt, sollten VLAN-Amtsleitungen zwischen den Switches Standard-VLAN- Ports sein.

Sie können PVLANs mithilfe von Amtsleitungen über Switches erweitern. Trunk-Ports übertragen Datenverkehr von regulären VLANs sowie von primären, isolierten und Community-VLANs. Cisco empfiehlt die Verwendung von Standard-Trunk-Ports, wenn beide Switches, für die Trunking durchgeführt wird, PVLANs unterstützen.

Wenn Sie Cisco-Benutzer sind, können Sie anhand dieser Matrix feststellen , ob Ihre Switches die von Ihnen benötigten Optionen unterstützen.

Sie könnten dies tun, wenn Sie etwas so Schreckliches tun würden, als 1 Subnetz pro Client zu erstellen. Dies wäre ein Management-Albtraum.

Die Windows-Firewall mit den entsprechenden Richtlinien hilft dabei. Sie könnten so etwas wie Domain Isolation tun, aber noch restriktiver. Sie können Regeln pro Organisationseinheit mit den Servern in einer Organisationseinheit und den Arbeitsstationen in einer anderen durchsetzen. Sie sollten auch sicherstellen, dass sich Drucker (und Server) nicht im selben Subnetz wie die Workstations befinden, um dies zu vereinfachen.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

In Bezug auf Netzwerkdrucker - Sie könnten dies noch einfacher machen, wenn Sie das direkte Drucken nicht zulassen, die Drucker jedoch als gemeinsam genutzte Warteschlangen von einem Druckserver aus hosten. Dies war aus mehreren Gründen seit langem eine gute Idee.

Kann ich fragen, was das eigentliche Geschäftsziel ist? Soll es helfen, Malware-Ausbrüche zu verhindern? Wenn Sie das Gesamtbild / die Ziellinie im Auge behalten, können Sie die Anforderungen definieren, sodass dies immer Teil Ihrer Frage sein sollte.

Wenn Sie jede Arbeitsstation an einen bestimmten Benutzer binden können, können Sie nur diesem Benutzer den Zugriff auf diese Arbeitsstation erlauben.

Es handelt sich um eine Domänenrichtlinieneinstellung: Melden Sie sich lokal richtig an.

Dies hindert den Benutzer nicht daran, zur nächsten Arbeitsstation zu gehen und sein Kennwort einzugeben, um auf das von ihm angegebene Gerät zuzugreifen. Es ist jedoch leicht zu erkennen.

Dies betrifft auch nur Windows-bezogene Dienste, sodass auf einen Webserver auf den Computern weiterhin zugegriffen werden kann.