"Изолированные" подсети

Случается, что требования к защите информации создают трудно разрешимые ситуации. Так например, в одной организации перед администратором была поставлена следующая задача: группа пользователей (руководители) должна получать некоторую информацию в виде распечаток на принтере от другой группы (подчиненные), а также иметь возможность доступа к информации на компьютерах подчиненной группы. При этом подчиненная группа не должна иметь доступ к информации в группе руководителей, а также видеть компьютеры этой группы в сетевом окружении.

Как наиболее надежный вариант решения такой задачи, можно предложить организацию двух доменных сетей, соединенных маршрутизатором. Для организации печати при этом можно применять принт-серверы, доступные для всех пользователей... Но задачу необходимо было решить без приобретения дополнительного оборудования.

При кажущейся на первый взгляд относительной простоте задачи решить ее, не выходя за рамки обычной структуры локальной сети, вы, вероятнее всего, не сможете. Но с определенным допуском на уровень защиты информации, а также на некоторые неудобства при пользовании отдельными сетевыми сервисами, проблема может быть решена без дополнительных затрат, если... компьютеры группы руководителей исключить из домена. При этом сами коммуникации и физическая структура сети не изменятся, а логически сеть преобразуется в две.

Компьютеры, выведенные из домена, должны войти в состав рабочей группы, имя которой не должно совпадать с именем домена. IP-адреса этих компьютеров могут соответствовать адресам из диапазона зарезервированных адресов (см. главу 1).

Для обеспечения доступа к принтерам, подключенным к рабочим станциям группы руководителей, необходимо выполнить несколько изменений в настройках этих рабочих станций. Откройте Локальная Политика Безопасности | Локальные политики | Параметры безопасности.

На рис. 4.6 приведены два варианта соответствующего окна настроек, изображение которого получено на разных рабочих станциях, а вид зависит от индивидуальных предпочтений пользователя и варианта локализации ОС. В этом окне следует найти три параметра, перечисленные ниже.

Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей (Network access: Sharing and security model for local accounts).

Рис. 4.6. Окно Локальные параметры безопасности (Local Security Settings)

  Сетевой доступ: не разрешать перечисление учетных записей SAM (Security Accounts Manager) и общих ресурсов анонимными пользователями (Network access: Do not allow anonymous enumeration of SAM accounts and shares).

  Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями (Network access: Do not allow anonymous enumeration of SAM accounts).

SAM (Security Accounts Manager) — защищенная база данных, в которой хранится информация о пользовательских учетных записях

Для первого из этих параметров следует установить значение Классический (Classic), а для двух других — Отключен.

Дополнительно на рабочих станциях группы руководителей необходимо включить учетную запись Гость, установив для нее пустой пароль и назначив ресурсы общего доступа.

Теперь рабочие станции группы руководителей не будут видны в сетевом окружении других рабочих станций. Но возможность использовать какой-либо разрешенный ресурс или принтер, подключенный к рабочей станции группы руководителей, будет предоставлена всем рабочим станциям сети1.

Ресурсы рабочих станций группы подчиненных могут быть доступны группе руководителей. С этой целью потребуется лишь авторизоваться в домене. Для подключения общих ресурсов компьютеры необходимо найти через средство поиска компьютеров по IP-адресу либо стандартными средствами Windows подключить сетевой диск, указав вместо имени компьютера его IP-адрес.

Для подключения ресурсов с рабочих станций, входящих в домен, следует использовать Подключение под другим именем (рис. 4.7). Выбрав эту ссылку, вы увидите окно (рис. 4.8) с приглашением ввести имя пользователя и пароль.