Изолирани - подмрежи

Случва се изискванията за информационна сигурност да създават трудноразрешими ситуации. Например, в една организация на администратора беше дадена следната задача: група потребители (мениджъри) трябва да получат някаква информация под формата на разпечатки на принтер от друга група (подчинени), а също така да имат достъп до информация на компютрите на подчинената група. В този случай подчинената група не трябва да има достъп до информация в групата лидери, а също така да вижда компютрите на тази група в мрежовата среда.

Като най-надеждно решение на този проблем можем да предложим организирането на две домейн мрежи, свързани с рутер. За да организирате печатането, можете да използвате сървъри за печат, достъпни за всички потребители. Но проблемът трябваше да бъде решен без закупуване на допълнително оборудване.

С привидно сравнително простата на пръв поглед задача най-вероятно няма да можете да я решите, без да излезете извън обичайната структура на локална мрежа. Но с известна толерантност към нивото на защита на информацията, както и известно неудобство при използване на отделни мрежови услуги, проблемът може да бъде решен без допълнителни разходи, ако. Изключете компютрите на лидерската група от домейна. При това самите комуникации и физическата структура на мрежата няма да се променят, но логично мрежата ще се трансформира в две.

За да се осигури достъп до принтери, свързани към работните станции на групата лидери, трябва да се направят няколко промени в настройките на тези работни станции. Отворете Local Security Policy Local Policies Security Options.

На фиг. 4.6 показва две опции за съответния прозорец за настройки, чието изображение е получено при различна работастанции, а изгледът зависи от индивидуалните предпочитания на потребителя и опцията за локализация на ОС. В този прозорец трябва да намерите трите опции, изброени по-долу.

Достъп до мрежата: модел за споделяне и сигурност за локални акаунти.

трябва

Ориз. 4.6. Прозорец с локални настройки за защита

Мрежов достъп: Не позволявайте анонимно изброяване на SAM акаунти и споделяния.

Достъп до мрежата: Не позволявайте анонимно изброяване на SAM акаунти.

SAM (Security Accounts Manager) е защитена база данни, която съхранява информация за потребителски акаунти

Първата от тези опции трябва да бъде настроена на Classic, а другите две трябва да бъдат настроени на Disabled.

Освен това на работните станции на групата мениджъри трябва да активирате акаунта за гости, като зададете празна парола за него и зададете споделени ресурси.

Сега работните станции на групата мениджъри няма да се виждат в мрежовата среда на други работни станции. Въпреки това възможността за използване на всеки разрешен ресурс или принтер, свързан към работната станция на групата мениджъри, ще бъде предоставена на всички работни станции в мрежата1.

За да свържете ресурси от работни станции, включени в домейна, използвайте Connection под друго име (фиг. 4.7). Когато изберете тази връзка, ще видите прозорец (Фигура 4.8), който ви подканва да въведете потребителско име и парола.