Как защитить паролем доступ к сетевым ресурсам win?

Question

[Владимир Кивва]

Домен. Сервер 2008к2. По-умолчанию пользователи имеют доступ в общей папке через подключенный сетевой диск, или могут зайти, введя \\server\. Как в большинстве случаев у всех это и организованно.

Но функцию прозрачной авторизации нужно выключить, точнее так: если ПК заблокировался, то больше к сетевым ресурсам попасть без отдельного ввода пароля нельзя.

1. Предлагали сделать OpenVPN до сервера по GUI+пароль без сертификата. В таком случае, как правильно организовать, чтобы была приличная скорость, и через VPN шел только трафик SMB, a не весь инет и остальное ПО?
   
   
2. Видел в домене политики, которые отключают возможность авторизации сетевых ресурсов по NTLM, но не получилось. Даже если бы получилось - на какое время доступ остается разрешенным? До выхода пользователя? Не повлияет ли это на работу групповых политик?
   

Другими словами: Пользователь А узнал пароль входа пользователя Б, сел за его ПК, попал в его окружение, но доступ к сетевым ресурсам получить не может без второго пароля.

Answer 1

[Антон]

ну поднимите NAS на виртуалке или отдельно стоящий NAS - и изголяйтесь над правами пользунов.
пысы: NAS в домен не вводить) авторизация встроенная)

Comments

[Владимир Кивва]

А идея. А зачем NAS, нельзя просто бунту взять с ACL?

[Антон]

да любую систему, которая шарит ресурсы и умеющую "считать" пользователей

[Владимир Кивва]

я тут придумал на виртуалке просто вин-машину сделать в не вводить в домен! :))

[Антон]

всё гениальное - просто)

Answer 2

[Евгений]

если ПК заблокировался, то больше к сетевым ресурсам попасть без отдельного ввода пароля нельзя.

этот момент поподробнее?

Видел в домене политики

.
Так сеть одноранговая или?

Как правило, в одноранговой сети, делают доступ к сетевым ресурсам сервера учетным записям пользователей, созданным на сервере.
На клиентских местах подключать сетевые диски с использованием логина-пароля учетной записи с сервера.
При блокировке учетной записи пользователя на сервере доступ к папке, соответственно, тоже отключится.

Comments

[Владимир Кивва]

Перечитал определение, в одноранговой все-таки может быть сервер, суть в том, что все машины независимы, если придираться у определению.

В общем, стандартная сетка 192.168.0.0\24, один контроллер домена и сколько-то машин. Когда ПК блокируется, либо по истечении какого-то периода времени по адресу \\server\ должен запрашиваться пароль. Естественно, решение хотелось бы иметь централизованное, чтобы внедрить скриптом, или политикой.

[Евгений]

Сервер то может, но когда у вас есть домен и централизованное управление машинами в домене это уже не одноранговая сеть. Однако к черту лирику. Зачем вы хотите блокировать ПК для ограничения доступа пользователю к папке? Делайте проще : ограничение доступа к сетевым ресурсам - на уровне групп пользователей, При ограничении доступа пользователю к папке (изменение членства в группе, отключение пользователя) просто закрываете все открытые под пользовательской учетной записью файлы (в случае изменения членства в группе доступа - только те, куда пользователь должен потерять доступ.). На уровне GPO отключите использование автономных файлов для всех, кому оно не понадобится. Для того, чтобы не потерять информацию, настройте в групповых политиках автосохранение документов Office. Для совсем экстренного отключения пользователя (если руководство сказало) - делайте удаленный logoff с машины, с помощью скриптов powershell или утилиты psexec.

[Владимир Кивва]

Не могу спорить, все-таки кажется, что она не одноранговая)

Когда пользователь сел на машину и залогинился, по-умолчанию у него не должно быть доступа к ресурсам сервера. А если пароль ввел - доступ получил. Так звучит моя задача. Ограничение на уровне групп пользователей это другое, оно отдельно существует.

Грубо говоря, пользователь А узнает пароль пользователя Б, садится за его ПК (не суть), но не может использовать сетевые ресурсы без второго пароля.

[Евгений]

zionkv: продолжая цепочку паранойи : а если пользователь Б узнает и второй пароль? И третий? (чем, в конце-концов пароль1 отличается от пароля2 и последующих?! особенно при применении, например, терморектального криптоанализа. Ответ : ничем.) В реальности все решается ответственностью пользователя А. за доступ к защищенной информации : Пользователь должен заботиться о том, чтобы его пароль был никому, кроме него, в том числе и администратору домена, не известен, регулярно менять его и блокировать компьютер каждый раз когда отходит от него.
Так же, есть варианты защиты документа, а не ресурса. Например в Excel можно поставить защиту на книгу\лист. Но слабое место, в любом случае - это Пользователь А. Если он выдал первый пароль (оставил на бумажке под клавиатурой\на мониторе к примеру) то ничего ему не будет мешать оставить "под ковриком" и второй пароль. Кратко резюмируя : меры о которых вы говорили не помогут. Поможет грамотная организация защиты информации, и обучение(в том числе и насильственное, с показательными порками) пользователей

[Владимир Кивва]

Комп блокируется, сетевые ресурсы отключены, нигде нет на них ярлыков. Применяется терморектальный и пользователь выдает пароль 1, а про пароль 2 никто просто не спрашивает. Теперь понятно зачем?

[Евгений]

zionkv: я свою (да и общепринятую, кмк) позицию объяснил выше. Почему это работать не будет - тоже объяснил. Удачи в изобретении велосипедов =)

[nApoBo3]

zionkv: Если пришли с терморектальным, то будут спрашивать пока все не расскажет.

[Владимир Кивва]

нельзя спрашивать о том, чего нет ведь

Answer 3

[Александр]

Сделайте скрипты на события входа и выхода пользователя.
1.Если имя пользователя локальном пк совпадает с именем пользователя на удаленном пк то выбрав модель совместного доступа как "Обычная - пользователи удостоверяются как они сами" - то можно получать доступ к ресурсам без ввода пароля.
2. Использовать Active Directory(Домен) для управления политиками и правами.

Comments

[Владимир Кивва]

Задача обратная, чтобы не было прозрачного входа. Возможно, в типах модели доступа есть какая-нибудь мне подходящая. Буду искать

[Владимир Кивва]

Ах, не пойдет. Ведь пароли будут совпадать на вход в ПК и доступ к шаре.

[Александр]

нужно просто когда пк блокируется просить ввести пароль снова или введите смарт карты для авторизации

Answer 4

[nApoBo3]

Расширяем ситуацию, пользователь а узнал оба пароля пользователя б. Что дальше? Три пароля?

Сделайте двухфакторную аутентификацию. Ключи пусть носят при себе, в компах не оставляют.
Можно даже сделать ключи с временными паролями, т.е. брелок который дает каждый раз новый пинкод.

Если нужно два пароля, поставьте не доменный файловый ресурс, и там ставьте другие пароли, но имхо это странное решение, зачем тогда домен?

Comments

[tartarelin]

это же жир

Answer 5

[Сергей]

Может я тупой? Поправьте меня если что! Итак ... сидит работает юзверь в домене и ему доступны сетевые папки с доступом именно для его учетки. Он отошел и комп автоматически заблокировался через пару минут. Тут подходит злоумышленник и вводит подсмотренный пароль юзверя и попадает в винду. Для чего что-то обнулять то? Я не могу понять. Чтоб два раза один и тот же пароль вводить?)

Comments

[Владимир Кивва]

Там про отдел К обсуждалось, потому так.