Non consentire ai computer di dominio di comunicare tra loro

Il nostro dominio è composto da circa 60 computer. Mi è stato assegnato il compito di assicurarmi che le stazioni di lavoro di Windows 10 non possano comunicare tra loro. Il mio manager mi ha chiesto di creare percorsi statici in modo che i computer possano comunicare solo con stampanti di rete, file server, controller di dominio e accedere a Internet.

Poiché tutti questi computer si trovano sulla stessa rete, non credo che le route statiche impediranno a questi computer di vedersi. Qual è il modo migliore per consentire ai computer del dominio di utilizzare le risorse di rete, ma di non comunicare direttamente tra loro?

Se disponi di uno switch che lo supporta, le "porte protette" per le connessioni cablate o "l'isolamento del client" per i punti di accesso sul Wi-Fi possono aiutarti a eliminare il traffico tra host nella stessa rete Layer-2.

Ad esempio, questo è dal manuale dello switch Cisco :

Le porte protette hanno queste caratteristiche: Una porta protetta non inoltra alcun traffico (unicast, multicast o broadcast) a qualsiasi altra porta che sia anche una porta protetta. Il traffico dati non può essere inoltrato tra le porte protette al Livello 2; solo il traffico di controllo, come i pacchetti PIM, viene inoltrato perché questi pacchetti vengono elaborati dalla CPU e inoltrati nel software. Tutto il traffico di dati che passa tra le porte protette deve essere inoltrato attraverso un dispositivo di livello 3.

Pertanto, se non si intende trasferire i dati tra di essi, non è necessario agire una volta che sono "protetti".

Il comportamento di inoltro tra una porta protetta e una porta non protetta procede normalmente.

I client possono essere protetti, server DHCP, gateway, ecc. Possono essere su porte non protette.

Aggiornamento 27-07-2017
Come sottolineato da @sirex, se si dispone di più di uno switch che non sono sovrapposti, il che significa che NON sono praticamente un singolo switch, le porte protette non fermeranno il traffico tra questi .

Nota: alcuni switch (come specificato nella matrice di supporto degli switch Catalyst della VLAN privata) attualmente supportano solo la funzione Edge di WLAN. Anche il termine "porte protette" si riferisce a questa funzione. Le porte PVLAN Edge hanno una limitazione che impedisce la comunicazione con altre porte protette sullo stesso switch. Le porte protette su switch separati, tuttavia, possono comunicare tra loro.

In tal caso, avresti bisogno di porte VLAN private isolate :

In alcune situazioni, è necessario impedire la connettività di livello 2 (L2) tra i dispositivi terminali su uno switch senza il posizionamento dei dispositivi in ​​diverse sottoreti IP. Questa configurazione impedisce lo spreco di indirizzi IP. Le VLAN private (PVLAN) consentono l'isolamento a livello 2 dei dispositivi nella stessa sottorete IP. È possibile limitare alcune porte sullo switch per raggiungere solo porte specifiche a cui sono collegati un gateway predefinito, un server di backup o Cisco LocalDirector.

Se PVLAN si estende su più switch, i trunk VLAN tra gli switch dovrebbero essere porte VLAN standard .

È possibile estendere le PVLAN tra gli switch con l'uso di trunk. Le porte del trunk trasportano il traffico da normali VLAN e anche da VLAN primarie, isolate e comunitarie. Cisco consiglia l'uso di porte trunk standard se entrambi gli switch sottoposti a trunking supportano le PVLAN.

Se sei un utente Cisco, puoi utilizzare questa matrice per vedere se i tuoi switch supportano le opzioni di cui hai bisogno.

Potresti farlo, se hai fatto qualcosa di orribile come creare 1 sottorete per client. Questo sarebbe un incubo di gestione.

Windows Firewall, con le politiche appropriate, ti aiuterà in questo. Potresti fare qualcosa come Domain Isolation, ma ancora più restrittivo. È possibile applicare regole per unità organizzativa, con i server in un'unità organizzativa e le stazioni di lavoro in un'altra. Dovresti anche assicurarti che le stampanti (e i server) non si trovino sulla stessa sottorete delle stazioni di lavoro per renderlo più semplice.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Per quanto riguarda le stampanti di rete, potresti renderlo ancora più semplice se non consentissi la stampa diretta, ma ospitassi le stampanti come code condivise da un server di stampa. Questa è stata una buona idea per molto tempo per diversi motivi.

Posso chiedere qual è l'obiettivo aziendale reale di questo? È utile per prevenire le epidemie di malware? Tenere presente il quadro generale / il traguardo aiuta a definire i requisiti, quindi dovrebbe sempre far parte della domanda.

Se è possibile associare ciascuna workstation a un utente specifico, si può consentire solo a quell'utente di accedere a quella workstation.

È un'impostazione dei criteri di dominio: accedere localmente a destra.

Ciò non impedisce all'utente di accedere alla workstation più vicina e immettere la propria password per accedere alla propria macchina designata, ma è facilmente rilevabile.

Inoltre, ciò influisce solo sui servizi relativi a Windows, pertanto un server Web sui computer sarebbe comunque accessibile.