Изоляция пк в домене ad с помощью выдачи сертификатов?
Решил я озадачиться ИБ в домене и встал вопрос: а как бы мне изолировать trust машины от not trust.
Собственно вопрос:
Как и что необходимо сделать в домене, чтобы реализовать такую схему:
1. Ввод нового пк в домен - он попадает в контейнер Computers
2. Создать второй контейнер, условно «trusted computers”
3. Перенеся ПК из “Computers” в “trusted computers”, пк получает доменный сертификат и по-сути может пользоваться всеми благами доменной структуры (разумеется в рамках групп безопасности к которой относится его УЗ)
4. ПК, что вводится в домен обязан иметь возможность соединиться с этим доменом, но без сертификата на ПК не иметь доступа куда-либо еще, кроме как попытки получить тот самый сертификат.
Что необходимо поднять и как настроить? Поделитесь линками или опытом такой реализации.
Из того, что нашел на просторах сети:
Изоляция с помощью IPsec, но возможно есть что-то еще.
1. Доменный центр сертификации. Выдавать сертификаты для компьютеров в группе Trusted Computers через механизм Autoenroll.
2. Network Policy Server и сетевая политика, которая даёт доступ дальше в сеть при наличии компа в группе Trusted Computers и соответствующего компьютерного сертификата
Кажется мне это вряд ли получится. Чисто технический это реализуется через 802.11x. Разделить ПК по планам и включать во vlan по результату аутентификации на nps. Но, уже на этапе ввода ПК в домен вам потребуется значительная часть доменных сервисов, т.е. вы не сможете их ограничить, иначе вы не сможете ввести ПК в домен.
nApoBo3, в таком варианте полностью согласен.
WPA-Enterprise получает сертификат только при подключении по линку и после уже через радиус авторизируется в сети по сертификату.
А можно ли что-то подобное провернуть только по физическому линку? Заранее благодарю.
Роман Безруков, Как я понял, это как раз то, что я задал в предыдущем ответе nApoBo3, верно?
Собственно закрываем (отключаем) линки на свичах, которые не используются.
Когда выходит новый пользователь, группа ТП подготавливает машину с активного Линка (доступ к dhcp не будет закрыт при отсутствии сертификата на машину?), после подготовки машины, ввода ее в домен и переноса в «trusted computers нужно активировать линк на свиче. Пользователь вводит свои креды и уже получает личный сертификат.
Проще говоря, получается что нужно выдавать сертификат для машины и пользователя который на ней работает, чтобы а) машина имела доступ к сети и б) пользователь имел доступ к данным.
Получается, что если somebody захочет постучаться к DC, FS и т.д. он не сможет этого сделать по вышеописанным причинам, верно? (Если вдруг найдет способ получить доступ к физ. линку)
Прошу прощения за сумбур, возможно намудрил сильно, но очень надеюсь на Ваш ответ!
Аутентификация 802.1x пропускает только пакеты 802.1x до того как прошла аутентификация. Т.е. если у вас ПК уже в домене и уже имеет сертификат, то он сможет пройти аутентификацию 802.1x и порт перейдет в обычный режим работы. Если ПК не может пройти аутентификацию, то порт по факту для него будет эквивалентен выключенному и ввести домен или получить сертификат вы на ПК не сможете.
Создайте OU "Non_Trusted_Computers", переопределите Computers на этот OU через redircmp, создайте политику GPO, которая будет запрещать все, что вы хотите запретить и примените ее к OU "Non_Trusted_Computers".
Простой
Средний
