главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Одна из самых неприятных задач администратора — выслеживать в корпоративной сети системы, обманным путем получившие DHCP-адрес, особенно если эти системы служат источником неприятностей. К примеру, пользователь может незаконно пронести на работу беспроводной маршрутизатор или установить виртуальную машину, никак не защищенную от сетевых угроз.

    Обычно нежелательных гостей выявляют с помощью MAC-адреса, по которому можно определить тип системы. Движок DHCP в Windows Server 2008 R2 позволяет осуществлять фильтрацию по MAC-адресам. Диапазон MAC-адресов можно указать с помощью группового символа, чтобы разрешить или запретить присвоение IP-адресов в сети определенным системам.

    Допустим, нам нужно запретить присвоение IP-адресов виртуальным машинам на базе Hyper-V, VirtualPC или VirtualServer. На рис. A, показано, как это сделать с помощью фильтра. Специально для такого случая я составил список типов MAC-адресов и соответствующих им гипервизоров.

    DHCP-фильтры сокращают риск подключения к сети несанкционированных устройств
    Рисунок A.


    Разумеется, фильтрация по DHCP не дает стопроцентной гарантии — ведь многие гипервизоры и беспроводные устройства позволяют изменять MAC-адрес. Тем не менее, этот метод лишает основную массу пользователей возможности совершать в сети неблаговидные действия. Если в вашей корпоративной сети частенько появляются неразрешенные беспроводные маршрутизаторы, не помешает выяснить уникальный идентификатор организации (OUI) для Linksys, Netgear, D-Link и других наиболее распространенных марок сетевых устройств. Более строгий подход — создать фильтры не для запрещенных устройств, а для разрешенных.

    На мой взгляд, эта новая возможность DHCP очень полезна. А как считаете вы? Будете ли вы ее использовать в своих сетях? Поделитесь своим мнением в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Создание сценариев для резервирования DHCP в Windows Server 2008 с помощью утилиты Netsh
  • Установка и настройка DHCP-сервера в Windows Server 2008
  • "Улучшаем" DHCP server.
  • Настройка DHCP сервера.
  • Настройка DHCP для динамического обновления данных в Windows Server 2008
    1. #4

      На практике защита имеет смысл только при включенном белом списке, т.е. добавляем каждого юзера руками - долго и муторно...

    2. #3

      Юзер может приннести свой ноутбук где может поставить статик, он имеет право так как он не в домене.

    3. #2

      Юзер ничего не пишет, юзер не имеет таких прав, если у вас по другому, то я вас с этим поздравляю. На третий бы сервер как бы навесить такой фильтр или подобный.

    4. #1

      :(
      юзер пишет статик ип и всё. на этом все закончилось :( ацтой




    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет один минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+