Ne pas autoriser les ordinateurs du domaine à communiquer entre eux

Notre domaine comprend environ 60 ordinateurs. J'ai été chargé de m'assurer que les postes de travail Windows 10 ne peuvent pas communiquer entre eux. Mon responsable m'a demandé de créer des itinéraires statiques afin que les ordinateurs puissent uniquement communiquer avec les imprimantes réseau, le serveur de fichiers, DC et accéder à Internet.

Étant donné que tous ces ordinateurs sont sur le même réseau, je ne pense pas que les routes statiques vont empêcher ces ordinateurs de se voir. Quelle est la meilleure façon d'autoriser les ordinateurs du domaine à utiliser les ressources réseau sans communiquer directement entre eux?

Si vous avez un commutateur qui le prend en charge, les «ports protégés» pour les connexions câblées ou «l'isolement du client» pour les points d'accès sur le Wi-Fi peuvent vous aider à éliminer le trafic entre les hôtes du même réseau de couche 2.

Par exemple, c'est du manuel de commutateur de Cisco :

Les ports protégés ont les caractéristiques suivantes: Un port protégé ne transfère aucun trafic (unicast, multicast ou broadcast) vers un autre port qui est également un port protégé. Le trafic de données ne peut pas être transféré entre les ports protégés de la couche 2; seul le trafic de contrôle, tel que les paquets PIM, est transmis car ces paquets sont traités par le CPU et transmis dans le logiciel. Tout le trafic de données passant entre les ports protégés doit être transmis via un périphérique de couche 3.

Donc, si vous n'avez pas l'intention de transférer des données entre eux, vous n'avez pas besoin d'agir une fois qu'ils sont «protégés».

Le comportement de transfert entre un port protégé et un port non protégé se déroule comme d'habitude.

Vos clients peuvent être protégés, le serveur DHCP, la passerelle, etc. peuvent être sur des ports non protégés.

Mise à jour 27-07-2017
Comme l'a souligné @sirex, si vous avez plusieurs commutateurs qui ne sont pas empilés, ce qui signifie qu'ils ne sont pratiquement PAS un seul commutateur, les ports protégés n'arrêteront pas le trafic entre ceux-ci .

Remarque: Certains commutateurs (comme spécifié dans la matrice de prise en charge du commutateur Catalyst VLAN privé) ne prennent actuellement en charge que la fonction PVLAN Edge. Le terme «ports protégés» fait également référence à cette fonctionnalité. Les ports PVLAN Edge ont une restriction qui empêche la communication avec d'autres ports protégés sur le même commutateur. Cependant, les ports protégés sur des commutateurs séparés peuvent communiquer entre eux.

Si tel est le cas, vous auriez besoin de ports VLAN privés isolés :

Dans certaines situations, vous devez empêcher la connectivité de couche 2 (L2) entre les périphériques d'extrémité sur un commutateur sans placer les périphériques dans différents sous-réseaux IP. Cette configuration empêche le gaspillage des adresses IP. Les VLAN privés (PVLAN) permettent l'isolement au niveau de la couche 2 des appareils dans le même sous-réseau IP. Vous pouvez restreindre certains ports du commutateur pour atteindre uniquement des ports spécifiques auxquels une passerelle par défaut, un serveur de sauvegarde ou Cisco LocalDirector sont connectés.

Si PVLAN s'étend sur plusieurs commutateurs, les jonctions VLAN entre les commutateurs doivent être des ports VLAN standard .

Vous pouvez étendre les PVLAN sur plusieurs commutateurs à l'aide de jonctions. Les ports de jonction acheminent le trafic à partir de VLAN réguliers et également à partir de VLAN principaux, isolés et communautaires. Cisco recommande l'utilisation de ports de jonction standard si les deux commutateurs qui subissent la jonction prennent en charge les PVLAN.

Si vous êtes un utilisateur Cisco, vous pouvez utiliser cette matrice pour voir si vos commutateurs prennent en charge les options dont vous avez besoin.

Vous pouvez le faire si vous avez fait quelque chose d'aussi horrible que de créer 1 sous-réseau par client. Ce serait un cauchemar de gestion.

Le pare-feu Windows, avec les stratégies appropriées, vous y aidera. Vous pouvez faire quelque chose comme l'isolement de domaine, mais encore plus restrictif. Vous pouvez appliquer des règles par unité d'organisation, avec les serveurs dans une unité d'organisation et les postes de travail dans une autre. Vous voudrez également vous assurer que les imprimantes (et les serveurs) ne sont pas sur le même sous-réseau que les postes de travail pour simplifier les choses.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

En ce qui concerne les imprimantes réseau - vous pourriez rendre cela encore plus facile si vous n'autorisez pas l'impression directe, mais hébergez les imprimantes en tant que files d'attente partagées à partir d'un serveur d'impression. C'est une bonne idée depuis longtemps pour plusieurs raisons.

Puis-je demander quel est l'objectif commercial réel de cette opération? Est-ce pour aider à prévenir les épidémies de logiciels malveillants? Garder la vue d'ensemble / la ligne d'arrivée à l'esprit permet de définir les exigences, de sorte que cela devrait toujours faire partie de votre question.

Si vous pouvez lier chaque poste de travail à un utilisateur spécifique, vous pouvez autoriser uniquement cet utilisateur à accéder à ce poste de travail.

Il s'agit d'un paramètre de stratégie de domaine: ouvrez une session localement à droite.

Cela n'empêche pas l'utilisateur de se rendre au poste de travail le plus proche et de saisir son mot de passe pour accéder à sa machine désignée, mais il est facilement détectable.

De plus, cela n'affecte que les services liés à Windows, donc un serveur Web sur les machines serait toujours accessible.