web-dev-qa-db-ja.com

共有フォルダへのアクセスを特定のコンピュータ/ IPに制限する

ネットワーク内の特定のコンピューターへの共有フォルダーアクセスを制限するようにサーバーを構成する方法[DNSおよびADSの役割がインストールされているユーザーアカウントが作成/構成されている]。

Sol-1:ここで提案されたソリューション https://superuser.com/questions/629099/how-to-block-an-ip -address-from-a-network-share 「Windowsセキュリティモデルは、IPごとではなく、ユーザーごとにアクセスを制限する」として機能しません

Sol-2:ここで提案されている別のソリューション: https://support.managed.com/kb/a482/block-an-ip -or-ip-range-using-windows-ip-security-policy.aspx その結果、接続しているコンピューター/ IPを完全にブロックしているため、特定のコンピューター(共有フォルダーへのアクセスをブロックするように指定されている)はADSユーザーのログオンしようとしたときの資格情報。

詳細

目標

会社のネットワーク上のADSユーザー(数は約30人)に制限なしでインターネットを閲覧し、好きなものをダウンロードしてもらいたいが、会社のデータをクラウドにアップロードすることは禁止している。

状況

このニーズを満たすために、

  • ADSセットアップでドメインサーバーをホストしました。それをMAIN-SERVERと呼びます。

  • ユーザーのコンピューターはどれもインターネットに接続されていませんが、すべてLAN接続されています。

  • ユーザーは、LAN上の自分のコンピューターからフォルダーを共有することはできません。

  • インターネットに接続され、MAIN-SERVER(2枚のネットワークカードがあります)にも接続されている別のサーバー(NET-MACHINEと呼びます)を配置しました。インターネットを閲覧したいすべてのユーザーは、ADS資格情報を使用してリモートデスクトップ経由でNET-MACHINEに接続できます。

現在、ユーザーは何かをダウンロードして「自分の」コンピューターで使用したい場合があるため、NET-MACHINEには共有フォルダーがあります。これは、NET-MACHINEマシンでは読み取り/書き込み可能ですが、ネットワーク経由で共有フォルダーとしてアクセスする場合は読み取り専用です。

チャレンジ

ユーザーは、同僚とデータを共有したい場合があります。そのため、ネットワーク上のすべてのユーザーが読み書きできる共有フォルダーがMAIN-SERVERにあります。さて、これが興味深いことです。MAIN-SERVER上のこの共有フォルダーは、制限したいNET-MACHINEにもアクセスできます。ユーザーがRDPを使用してNET-MACHINEにログインすると、MAIN-SERVERの共有フォルダーにアクセスできなくなります。

リクエスト

  1. 私はこのコンピュータネットワークの初心者なので、アップロードを制限すると同時にユーザーにネットサーフィンの完全な自由を与えるためにユーザーを管理する他の信頼できるアプローチを見つけたら、コメントしてください。

  2. NET-MACHINEがMAIN-SERVERの共有フォルダーにアクセスするように制限する方法

networkingsecuritywindows-server-2008-r2
1
Pavan G R

あなたのコメントに応えて:

私が保護したいデータが機密性の高い財務数値を伴うある種のビジネス行為である場合、あなたのコメントは有効です。しかし、プログラマーがソフトウェアソースファイルをプライベートクラウドストレージ(通常は1000以上のファイル)にアップロードするのを保護したいソフトウェア会社のためにそれを行っていると考えてください。

とReacesへの返信でのあなたのコメント:

この質問を投稿する前に、回答で指摘したリンクを確認しましたが、Windowsセキュリティモデルでは、IPごとではなく、ユーザーごとのアクセスが制限されていることがわかりました。投稿は私をあまり助けませんでした。ネットで検索したところ、support.managed.com/kb/a482 /…が見つかりましたが、NET-MACHINEがMAIN-SERVERにアクセスするのを完全に制限しています。

はい、そうです。あなたは彼らがインターネットを閲覧している間彼らのMAIN-SERVERファイルにアクセスすることを望まない。 MAIN-SERVERは、機密性の高いソースファイルの大規模なダンプグラウンドのようです。 NET-MACHINEを介してMAIN-SERVERからファイルをアップロードしないようにする方法は、権限またはIPのいずれかによってNET-MACHINEがMAIN-SERVERと通信するのをブロックすることです。

Cheekaleekや他のコメント提供者に同意します。あなたが欲しいのは、本当にある種の データ損失防止ソフトウェア です。 (新しい会社に引っ越す前に、そのうちの1つに取り組んでいた友人がいました。彼はそれを「自分のユーザーに対する中間者攻撃」と熱狂的に呼んでいました。しかし、それは重要です。ものはあなたの敷地を離れません...それよりも強制されていないポリシー、IMHOよりも優れています。)

また、MAIN-SERVERシェアについても質問します。 (申し訳ありません。)プログラマーはファイルを互いに共有したいと思っています。許してください、しかし私はそうではなかった小さな会社で働いていました-あなたソース管理を使用していますよね?つまり、ネットワーク共有で共有している何千ものファイルが他の方法で何であるかを把握しようとしています。そうでない場合は、おそらくそのようなものも設定する必要があります。

4
Katherine Villyard