Não permita que computadores do domínio se comuniquem entre si

Nosso domínio consiste em cerca de 60 computadores. Fui encarregado de garantir que as estações de trabalho do Windows 10 não possam se comunicar. Meu gerente pediu que eu criasse rotas estáticas para que os computadores possam se comunicar apenas com as impressoras de rede, servidor de arquivos, controlador de domínio e acessar a Internet.

Como todos esses computadores estão na mesma rede, não acredito que rotas estáticas impeçam esses computadores de se verem. Qual é a melhor maneira de permitir que computadores no domínio usem recursos de rede, mas não se comuniquem diretamente entre si?

Se você tiver um switch compatível, as 'portas protegidas' para conexões com cabos ou o 'isolamento do cliente' para pontos de acesso no Wi-Fi podem ajudar a eliminar o tráfego entre hosts na mesma rede da camada 2.

Por exemplo, este é do manual do switch Cisco :

As portas protegidas possuem os seguintes recursos: Uma porta protegida não encaminha nenhum tráfego (unicast, multicast ou broadcast) para nenhuma outra porta que também seja uma porta protegida. O tráfego de dados não pode ser encaminhado entre portas protegidas na camada 2; somente o tráfego de controle, como pacotes PIM, é encaminhado porque esses pacotes são processados ​​pela CPU e encaminhados no software. Todo o tráfego de dados que passa entre portas protegidas deve ser encaminhado através de um dispositivo de Camada 3.

Portanto, se você não pretende transferir dados entre eles, não precisará tomar medidas depois que eles estiverem 'protegidos'.

O comportamento de encaminhamento entre uma porta protegida e uma porta não protegida continua como de costume.

Seus clientes podem ser protegidos, servidor DHCP, gateway etc. podem estar em portas desprotegidas.

Atualização 27-07-2017
Como o @sirex apontou, se você tiver mais de um switch que não está empilhado, o que significa que NÃO é praticamente um único switch, as portas protegidas não impedirão o tráfego entre eles .

Nota: No momento, alguns comutadores (conforme especificado na Matriz de suporte do comutador Catalyst da VLAN privada) atualmente oferecem suporte apenas ao recurso PVLAN Edge. O termo "portas protegidas" também se refere a esse recurso. As portas do PVLAN Edge têm uma restrição que impede a comunicação com outras portas protegidas no mesmo comutador. As portas protegidas em comutadores separados, no entanto, podem se comunicar.

Se for esse o caso, você precisaria de portas VLAN privadas isoladas :

Em algumas situações, é necessário impedir a conectividade da camada 2 (L2) entre os dispositivos finais em um comutador sem a colocação dos dispositivos em diferentes sub-redes IP. Essa configuração evita o desperdício de endereços IP. VLANs privadas (PVLANs) permitem o isolamento na camada 2 de dispositivos na mesma sub-rede IP. Você pode restringir algumas portas no switch para alcançar apenas portas específicas que tenham um gateway padrão, servidor de backup ou Cisco LocalDirector conectado.

Se a PVLAN estiver abrangendo vários comutadores, os troncos da VLAN entre os comutadores deverão ser portas VLAN padrão .

Você pode estender PVLANs entre switches com o uso de troncos. As portas de tronco transportam tráfego de VLANs regulares e também de VLANs primárias, isoladas e comunitárias. A Cisco recomenda o uso de portas de tronco padrão se os dois switches submetidos ao entroncamento suportarem PVLANs.

Se você é usuário da Cisco, pode usar essa matriz para verificar se seus comutadores suportam as opções necessárias.

Você poderia fazer isso se fizesse algo tão horrível como criar 1 sub-rede por cliente. Isso seria um pesadelo para a gerência.

O Firewall do Windows, com políticas apropriadas, ajudará nisso. Você poderia fazer algo como isolamento de domínio, mas ainda mais restritivo. Você pode aplicar regras por unidade organizacional, com os servidores em uma unidade organizacional e as estações de trabalho em outra. Você também deseja garantir que as impressoras (e servidores) não estejam na mesma sub-rede que as estações de trabalho para simplificar.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Em relação às impressoras de rede - você poderia facilitar ainda mais se não permitisse a impressão direta, mas hospedasse as impressoras como filas compartilhadas em um servidor de impressão. Essa é uma boa idéia há muito tempo por vários motivos.

Posso perguntar qual é o objetivo comercial real disso? É para ajudar a prevenir surtos de malware? Manter o quadro geral / a linha de chegada em mente ajuda a definir requisitos, para que sempre faça parte da sua pergunta.

Se você pode vincular cada estação de trabalho a um usuário específico, poderá permitir que apenas esse usuário acesse essa estação de trabalho.

É uma configuração de diretiva de domínio: logon localmente certo.

Isso não impede que o usuário vá para a estação de trabalho mais próxima e digite sua senha para acessar sua máquina designada, mas é facilmente detectável.

Além disso, isso afeta apenas os serviços relacionados ao Windows, portanto, um servidor da web nas máquinas ainda estaria acessível.