قفل شدن سیستم با قطع کردن کابل شبکه
دوستان عزیز سلام
ما توی ادارمون یه شبکه داریم. و اومدیم توی این شبکه دامین راه اندازی کردیم و یوزر کاربران را به حالت limite درآوردیم یعنی همان limite تحت شبکه ولی سیستم ها حداقل باید یک یوزر حالت ادمین لوکال داشته باشند (ولی اجازه استفاده از آن را ندارند یعنی اصلا رمز آن را ندارند.) خب این تا اینجای داستان.
حالا سیاست شبکه ما این هستش که کاربران اصلا نتونند کابل شبکه خودشون را قطع کنند یا از طریق یوزری که اوکال هست توی سیستم خودشون وارد بشوند.
با این سناریویی که باهاش وقتتون رو گرفتم و سرتونا درد آوردم دو تا سوال دارم که خیلی وقته خیلی در موردش تحقیق کردیم ولی در نهایت اون هدفی رو که داشتیم کامل بهش نرسیدیم.
اینیکه کاربران نتونند کابل شبکه خودشون را قطع کنند را توی دامین با پالسی حل کردیم ولی مشکل اصلی اینجاست که یه عده ای خرابکار میان و سیستمشون رو از طریق windows live بالا میارند و پسورد یوزر ادمین لوکال خودشون را عوض میکنند و کابل شبکه شون را قطع میکنند و از طریق اون وارد سیستمشون میشند و یه سری خرابکاری ها میکنند(یعنی در این حال که میخوان با ادمین لوکال وارد بشوند اگر کابل شبکشون وصل باشه ما میتونیم اونها رو پیدا کنیم و جلوشون را بگیریم.)
حالا سوال های ما اینه که:
1- چطوری اصلا نذاریم با windows live بالا بیاند؟(ما اومدیم همه گزینه های بوت بجز اولی که باید روی هارد باشد را disable کردیم و دسترسی کاربر به bios رو limit کردیم و حتی quick boot رو هم disable کردیم ولی بازم این quick boot کار میکنه و با زدن دکمه مثلا F12 گزینه های بوت رو برای کاربر نشون میده).
2- و سوال مهمتر اینه که چکار کنیم که اگر کابلشون را قطع کردند اصلا نتونند حتی بصورت لوکالی وارد بشوند؟
(دوستان باور کنید که دیگه ما مسولان فناوری اطلاعات دیگه خیلی خسته شدیم و هر روز با یه عده نفرات بحث داریم رییسمون هم میگه (معذرت میخوام) "شما عرضه تنظیم کردن سیستم ها رو ندارید مگر توی دنیای کامپیوتر کار نشد هم داریم" حالا اگر راهی سراغ دارید بگید تا هم مجموعه ما و هم بقیه کسانی که با این مدل مشکلات روبرو هستند کارشون راه بیفته)
6 پاسخ
فقط یک سوال
madatory با super mandatory فرق داره؟ و اگر فرق داره فرقشون چیه؟
دوست من واقعا ممنون
اینقدر قشنگ این متن رو نوشتی که آدم باهاتون احساس همدردی میکنه. (البته تیکه آخرش)
شما با قابلیت Mandatory آشنایی دارید؟
این قابلیت به صورتی که هست که آفلاین هم کار میکنه.
حالا یه قابلیت از 2008 به بعد اضافه شد به نام super Mandatory که دیگه قابلیت آفلاین نداره و حتی اگر بعد از authenticate اگر سرور dc قابل رویت نباشه خود به خود log off میشه.
best solution شما اینه.
ممنون ولی متاسفانه نه تنها برای ما حتی فکر میکنم برای دیگر بچه های آی تی هم واقعیت همین باشه ...
نه متاسفانه آشنایی ندارم ولی باید تحقیق کنم.
از شما آقای خانلری هم تشکر که برای ما وقت گذاشتید.
آقای pejum من یادم افتاد که mandatory چی بود فقط یه اشکال خیلی بزرگی که هست اینه که ترافیک شبکم خب خیلی بالا میره؟؟
سلام دوست عزیز ، علاوه بر راه دوست عزیزمون آقا حداد عزیز ، عرضم خدمت شما که درست میگید فقط غیر ممکنه غیر ممکنه ولی این مورد برای کاربران نیز صدق میکنه. تو متن سوالتون اشاره به کابل شبکه کردید شاید من بد متوجه منظورتون شدم ولی در ادامه کل داستان رو خدمتتون میگم.
شما توسط پروتکل 802.1x میتونید امنیت شبکه رو بالا ببرید میتونید لینک زیر رو مطالعه کنید
زمانی که کاربر ها میتونن با Mini Windows یا Windows Live بالا بیان دیگه کنترل از دست شما خارجه نه Log ها کمکتون میکنه نه سرور و نه سرویس های سرور و کاربر میتونه پسورد admin Local ریست کنه و از پورت های باز سیستمش لذت ببره و زمانی که سیستم رو ریست میکنه چه با کابل شبکه و چه بدون کابل شبکه میتونه وارد admin local خودش بشه که منطقی ترین راه برای این دست از کاربران اینه که کابل شبکه رو بکشه و با user admin local بیاد وارد ویندوز بشه تا log ای برای شما نندازه . شما راه های منظقی رو رفتید جلو و Boot رو روی هارد گذاشتید روی بایوس پسورد گذاشتید ، در کیس سیستم رو Lable بزنید و یا پلمپ کنید تا از خارج کردن باطری مادربورد نیز در امان باشید ولی دکمه f12 کل کار شما رو به هم ریخته وگرنه تمام راه کار های شما بسیار دقیق هست ، من فکر میکنم باید فکری به حال F12 کنید تا اون دیگه کار نکنه اگر مطمئن هستید از طریق مادربود نمیتونید F12 رو غیر فعال کنید پیشنهاد میکنم از روی کیبورد از کار بندازید چون من تا به حال ندیدم f12 کارایی دیگه ای داشته باشه.و اما راه دیگه ای که به ذهن میرسه اینه که کاری کنید اگر کاربری کابل شبکه اش رو قطع کرد و مجدد به سیستم زد دیگه آی پی به اون سیستم نده اینجوری میتونید کمی کنترل کنید کاربر ها رو و اونا ترس از این داشته باشن که عدم دریافت آی پی مساوی با فهمیدن ادمین های شبکه هست هرچند اگر کاربری بخواد سیستمش رو جابجا کنه یا بخواد میزش رو مرتب کنه ممکنه دلیل و توجیه بیاره که من باید سیستم رو قطع میکردم و هزار تا دلیل دیگه ولی فکر میکنم کمی امنیت شما رو تو این موضوع بالاتر ببره.
ITPRO باشید.
سلام چطوری این کارو کردی؟؟ "(اینیکه کاربران نتونند کابل شبکه خودشون را قطع کنند را توی دامین با پالسی حل کردیم)"
لطفا راهنمایی کنید
