ป้องกันผู้ใช้ที่เป็นผู้ดูแลระบบจากการกำหนด IP คงที่ซ้ำให้กับเวิร์กสเตชัน


13

ฉันจะป้องกันผู้ใช้ที่เป็นผู้ดูแลระบบบนเครื่องของตนเองจากการกำหนด IP ให้กับอะแดปเตอร์เครือข่ายที่ใช้งานบนเซิร์ฟเวอร์ด้วยตนเองได้อย่างไร ผู้ใช้บางคนทำสิ่งนี้และทำให้เกิดปัญหา IP ซ้ำที่ทำให้โหนดต่างๆในกลุ่มของฉันหยุดทำงาน


1
คุณใช้อะไรกับ DHCP Windows? ลินุกซ์? อื่น ๆ อีก? คุณจะต้องการสร้างกลุ่มสำหรับ DHCP และยกเว้น IP ที่คุณใช้สำหรับเซิร์ฟเวอร์ของคุณ
colealtdelete

คำถามของคุณไม่ค่อยชัดเจนบางทีอาจเป็นเพราะภาษาอังกฤษไม่ใช่ภาษาแรกของคุณ? ฉันแก้ไขมันเพื่อให้เข้าใจง่ายขึ้นเล็กน้อย
MDMarra

4
@mdcp ไม่มีทาง ไม่ใช่ถ้าผู้ใช้เป็นผู้ดูแลระบบในท้องถิ่น และไม่ใช่ถ้าเครื่องไม่ได้อยู่ในโดเมน - ถ้าฉันมาที่สำนักงานของคุณด้วยแล็ปท็อปของตัวเองและเสียบกับ IP ที่ใช้งานไปแล้วและคุณไม่ได้ทำอะไรที่ Layer-2 เพื่อป้องกันความเสียหาย (เช่น 802.1x, NAC, ฯลฯ ) จากนั้นฉันเพิ่งเคาะสิ่งอื่นออกจากเครือข่าย
mfinni

2
ฉันอยากรู้จริงๆ - ทำไมผู้คนถึงทำเช่นนี้?
Richard Terrett

1
หากผู้ใช้ของคุณตั้งค่าที่อยู่ IP คงที่ในเครื่องของพวกเขาคุณต้องคิดมากว่าทำไมพวกเขาถึงทำเช่นนั้น ในเกือบทุกกรณีจะมีปัญหาพื้นฐานที่คุณควรแก้ไข เมื่อเครือข่ายของคุณ (รวมถึงสิ่งต่าง ๆ เช่น DNS) ทำงานอย่างถูกต้องเครือข่ายของคุณไม่ควรมีเหตุผล กล่าวอีกนัยหนึ่งคุณต้องแก้ไขอะไรเพื่อลบสาเหตุของพวกเขาและทำให้สิ่งนี้ไม่ใช่ปัญหา
John Gardeniers

คำตอบ:


25
  1. มีซับเน็ตแยกต่างหาก (และควรเป็น VLAN แยกต่างหาก) สำหรับเซิร์ฟเวอร์ของคุณ การทำเช่นนี้ช่วยลดปัญหาการทับซ้อน "โดยบังเอิญ" ได้

  2. ใช้การพิสูจน์ตัวตนระดับ NAC หรือระดับพอร์ตและให้ที่อยู่ที่กำหนด DHCP เป็นข้อกำหนดเบื้องต้นของการตรวจสอบสุขภาพ

  3. อย่าให้ผู้ใช้ของคุณเป็นผู้ดูแลระบบในเครื่องของพวกเขา :)


1
+1 จากทั้งหมดข้างต้น =]
Chris S

9
ไม่มีวิธีใดที่จะป้องกันคนที่มีผู้ดูแลระบบท้องถิ่นบนเครื่องจากการกำหนดที่อยู่ IP ที่ใช้งานอยู่แล้ว, ช่วงเวลา เพราะพวกเขาเป็นเจ้าของเครื่องจักรพวกเขาสามารถพูดในสิ่งที่พวกเขาต้องการ สิ่งที่คุณทำได้คือ จำกัด ความเสียหาย - ซึ่งถ้าคุณใช้ NAC หรือคล้ายกันมันสามารถจำกัดความเสียหายลงเหลือ 0
mfinni

2

คุณสามารถเรียกใช้สคริปต์โดยใช้นโยบายกลุ่มเพื่อตั้งค่าอะแดปเตอร์เครือข่ายให้ใช้ DHCP

ตัวอย่างเช่น: http://social.technet.microsoft.com/Forums/zh/winserverGP/thread/b1616b2f-6353-45fb-a258-8ea9e14b5e8f

ดูเหมือนว่าอาจมีนโยบายกลุ่มเพื่อปิดใช้งานการตั้งค่าเครือข่าย: วิธีปิดการตั้งค่า Tcp / Ip ใน windows 7 ผ่าน GPO


2

ลองเปิดใช้งานการดักฟัง DHCP อุปกรณ์ทุกชิ้นที่เชื่อมต่อกับสวิตช์จะต้องออกคำขอ DHCP และรับการตอบกลับที่ถูกต้องจากเซิร์ฟเวอร์ DHCP ที่เชื่อถือได้ของคุณก่อนจึงจะสามารถใช้เครือข่ายได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.