Jangan izinkan komputer domain berkomunikasi satu sama lain

Domain kami terdiri dari sekitar 60 komputer. Saya telah ditugaskan untuk memastikan bahwa workstation Windows 10 tidak dapat berkomunikasi satu sama lain. Manajer saya meminta saya membuat rute statis sehingga komputer hanya dapat berkomunikasi dengan printer jaringan, server file, DC, dan mengakses Internet.

Karena semua komputer ini berada di jaringan yang sama saya tidak percaya rute statis akan mencegah komputer ini saling melihat. Apa cara terbaik untuk memungkinkan komputer di domain menggunakan sumber daya jaringan, tetapi tidak berkomunikasi secara langsung satu sama lain?

Jika Anda memiliki sakelar yang mendukungnya, 'port terproteksi' untuk koneksi kabel atau 'isolasi klien' untuk titik akses di Wi-Fi dapat membantu Anda menghilangkan lalu lintas antar host di jaringan Layer-2 yang sama.

Misalnya, ini dari manual switch Cisco :

Port yang dilindungi memiliki fitur-fitur ini: Port yang dilindungi tidak meneruskan lalu lintas apa pun (unicast, multicast, atau disiarkan) ke port lain yang juga merupakan port yang dilindungi. Lalu lintas data tidak dapat diteruskan antara port yang dilindungi di Layer 2; hanya kontrol lalu lintas, seperti paket PIM, diteruskan karena paket ini diproses oleh CPU dan diteruskan dalam perangkat lunak. Semua lalu lintas data yang lewat di antara port yang dilindungi harus diteruskan melalui perangkat Layer 3.

Jadi jika Anda tidak bermaksud untuk mentransfer data di antara mereka, Anda tidak perlu mengambil tindakan setelah mereka 'dilindungi'.

Perilaku penerusan antara port yang dilindungi dan port yang tidak dilindungi berjalan seperti biasa.

Klien Anda dapat dilindungi, server DHCP, gateway, dll. Dapat berada di porta yang tidak dilindungi.

Perbarui 27-07-2017
Seperti yang ditunjukkan oleh @sirex, jika Anda memiliki lebih dari satu sakelar yang tidak ditumpuk, artinya sakelar tersebut sebenarnya BUKAN sakelar tunggal, port yang dilindungi tidak akan menghentikan lalu lintas di antara keduanya .

Catatan: Beberapa sakelar (sebagaimana ditentukan dalam Matriks Dukungan Saklar VLAN Catalyst Swasta) saat ini hanya mendukung fitur Tepi PVLAN. Istilah "port yang dilindungi" juga merujuk ke fitur ini. Port Edge PVLAN memiliki batasan yang mencegah komunikasi dengan port lain yang dilindungi pada sakelar yang sama. Port yang dilindungi pada sakelar yang terpisah, bagaimanapun, dapat berkomunikasi satu sama lain.

Jika demikian, Anda perlu porta VLAN Private Terisolasi :

Dalam beberapa situasi, Anda perlu mencegah konektivitas Layer 2 (L2) antara perangkat akhir di sakelar tanpa penempatan perangkat di subnet IP yang berbeda. Pengaturan ini mencegah pemborosan alamat IP. Private VLAN (PVLANs) memungkinkan isolasi pada Layer 2 perangkat dalam subnet IP yang sama. Anda dapat membatasi beberapa port pada sakelar untuk hanya menjangkau port tertentu yang memiliki gateway default, server cadangan, atau Cisco LocalDirector yang terpasang.

Jika PVLAN menjangkau lebih dari beberapa switch, batang VLAN antara switch harus menjadi port VLAN standar .

Anda dapat memperluas PVLAN di seluruh sakelar dengan menggunakan batang. Port trunk membawa lalu lintas dari VLAN biasa dan juga dari VLAN primer, terisolasi, dan komunitas. Cisco merekomendasikan penggunaan port trunk standar jika kedua sakelar yang menjalani trunking mendukung PVLAN.

Jika Anda pengguna Cisco, Anda dapat menggunakan matriks ini untuk melihat apakah sakelar Anda mendukung opsi yang Anda butuhkan.

Anda bisa melakukan ini, jika Anda melakukan sesuatu yang mengerikan seperti membuat 1 subnet per klien. Ini akan menjadi mimpi buruk manajemen.

Windows Firewall, dengan kebijakan yang sesuai, akan membantu dalam hal ini. Anda dapat melakukan sesuatu seperti Isolasi Domain, tetapi bahkan lebih ketat. Anda bisa menerapkan aturan per OU, dengan server di satu OU dan workstation yang lain. Anda juga ingin memastikan bahwa printer (dan server) tidak berada di subnet yang sama dengan workstation untuk membuatnya lebih sederhana.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Mengenai printer jaringan - Anda bisa membuat ini lebih mudah jika Anda tidak mengizinkan pencetakan langsung, tetapi meng-host printer sebagai antrian bersama dari server cetak. Ini ide yang bagus sejak lama karena berbagai alasan.

Bisakah saya bertanya apa tujuan bisnis sebenarnya dari ini? Apakah ini untuk membantu mencegah wabah malware? Mempertahankan gambaran besar / garis finish dalam pikiran membantu menentukan persyaratan, sehingga harus selalu menjadi bagian dari pertanyaan Anda.

Jika Anda dapat mengikat setiap workstation dengan pengguna tertentu, Anda hanya dapat mengizinkan pengguna itu untuk mengakses workstation itu.

Ini adalah pengaturan kebijakan domain: masuk secara lokal benar.

Ini tidak mencegah pengguna untuk pergi ke stasiun kerja terdekat dan memasukkan kata sandi untuk mengakses mesin yang ditunjuknya, tetapi mudah dideteksi.

Juga ini hanya mempengaruhi layanan terkait Windows sehingga server web pada mesin masih dapat diakses.