No permita que las computadoras de dominio se comuniquen entre sí

Nuestro dominio consta de alrededor de 60 computadoras. Me encargaron asegurarme de que las estaciones de trabajo con Windows 10 no puedan comunicarse entre sí. Mi gerente me pidió que creara rutas estáticas para que las computadoras solo puedan comunicarse con las impresoras de red, el servidor de archivos, DC y acceder a Internet.

Dado que todas estas computadoras están en la misma red, no creo que las rutas estáticas eviten que estas computadoras se vean entre sí. ¿Cuál es la mejor manera de permitir que las computadoras en el dominio utilicen los recursos de la red, pero no se comuniquen directamente entre sí?

Si tiene un conmutador que lo admite, los 'puertos protegidos' para las conexiones cableadas o el 'aislamiento del cliente' para los puntos de acceso en Wi-Fi pueden ayudarlo a eliminar el tráfico entre los hosts en la misma red de capa 2.

Por ejemplo, esto es del manual del switch Cisco :

Los puertos protegidos tienen estas características: un puerto protegido no reenvía ningún tráfico (unidifusión, multidifusión o difusión) a ningún otro puerto que también sea un puerto protegido. El tráfico de datos no se puede reenviar entre puertos protegidos en la capa 2; solo el tráfico de control, como los paquetes PIM, se reenvía porque estos paquetes son procesados ​​por la CPU y reenviados en el software. Todo el tráfico de datos que pasa entre puertos protegidos debe reenviarse a través de un dispositivo de Capa 3.

Entonces, si no tiene la intención de transferir datos entre ellos, no necesita tomar medidas una vez que estén 'protegidos'.

El comportamiento de reenvío entre un puerto protegido y un puerto no protegido continúa como de costumbre.

Sus clientes pueden estar protegidos, el servidor DHCP, la puerta de enlace, etc. pueden estar en puertos desprotegidos.

Actualización 27-07-2017
Como señaló @sirex, si tiene más de un conmutador que no está apilado, lo que significa que prácticamente NO es un solo conmutador, los puertos protegidos no detendrán el tráfico entre ellos .

Nota: Algunos conmutadores (como se especifica en la matriz de compatibilidad del conmutador VLAN Catalyst privado) actualmente solo admiten la función PVLAN Edge. El término "puertos protegidos" también se refiere a esta característica. Los puertos de PVLAN Edge tienen una restricción que impide la comunicación con otros puertos protegidos en el mismo conmutador. Sin embargo, los puertos protegidos en conmutadores separados pueden comunicarse entre sí.

Si ese es el caso, necesitaría puertos VLAN privados aislados :

En algunas situaciones, debe evitar la conectividad de capa 2 (L2) entre dispositivos finales en un conmutador sin colocar los dispositivos en diferentes subredes IP. Esta configuración evita el desperdicio de direcciones IP. Las VLAN privadas (PVLAN) permiten el aislamiento en la capa 2 de dispositivos en la misma subred IP. Puede restringir algunos puertos en el conmutador para llegar solo a puertos específicos que tengan una puerta de enlace predeterminada, un servidor de respaldo o un Cisco LocalDirector conectado.

Si PVLAN abarca varios conmutadores, las troncales de VLAN entre los conmutadores deben ser puertos VLAN estándar .

Puede extender las PVLAN a través de conmutadores con el uso de troncales. Los puertos troncales transportan el tráfico de las VLAN regulares y también de las VLAN primarias, aisladas y comunitarias. Cisco recomienda el uso de puertos troncales estándar si ambos conmutadores que se someten a enlaces troncales son compatibles con PVLAN.

Si es usuario de Cisco, puede usar esta matriz para ver si sus conmutadores admiten las opciones que necesita.

Podría hacer esto si hiciera algo tan horrible como hacer 1 subred por cliente. Esta sería una pesadilla administrativa.

El Firewall de Windows, con las políticas apropiadas, ayudará con esto. Podría hacer algo como Aislamiento de dominio, pero aún más restrictivo. Puede aplicar reglas por unidad organizativa, con los servidores en una unidad organizativa y las estaciones de trabajo en otra. También querrá asegurarse de que las impresoras (y los servidores) no estén en la misma subred que las estaciones de trabajo para simplificar esto.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Con respecto a las impresoras de red: podría hacer esto aún más fácil si no permitiera la impresión directa, pero alojara las impresoras como colas compartidas desde un servidor de impresión. Esta ha sido una buena idea durante mucho tiempo por múltiples razones.

¿Puedo preguntar cuál es el objetivo comercial real de esto? ¿Es para ayudar a prevenir brotes de malware? Tener en cuenta el panorama general / la línea de meta ayuda a definir los requisitos, por lo que siempre debe ser parte de su pregunta.

Si puede vincular cada estación de trabajo a un usuario específico, puede permitir que solo ese usuario acceda a esa estación de trabajo.

Es una configuración de directiva de dominio: iniciar sesión localmente a la derecha.

Esto no impide que el usuario vaya a la estación de trabajo más cercana e ingrese su contraseña para acceder a su máquina designada, pero es fácilmente detectable.

Además, esto solo afecta a los servicios relacionados con Windows, por lo que un servidor web en las máquinas aún sería accesible.