Учили. Последние лет 5 2FA must have, но не на сиськах. Разве что через внешний радиус. »

Ну это может в ССNA, в IT Essentials всё по старому.

Ну это может в ССNA, в IT Essentials всё по старому. »
Да не суть, главное что двухфактор секурнее, чем смена паролей. Его правда юзеры не любят, но иногда можно заставить, ну или хардварные ключи купить.
Кстати, некоторое время назад PCI DSS убрали требование смены паролей при наличии двухфактора. Точно не помню в какой редакции, давно аудитом не занимался.

Можно попробовать воспользоваться RemoteFX технологией используя Hyper-V 2016 »

Ну может и можно. Но ведь его убрали из-за проблем с безопасностью. Зачем самому лишнюю дыру делать?

двухфактор секурнее, чем смена паролей. »
Бесспорно. Но пока не дорос.

Насчёт выхода в Интернет, я использую PfSense и такие вещи лучше держать на железе, а не в виртуалке. »

О. Прикольная штука и даже Open Source, в отличии от Kerio Control. А мануал для чайников по настройке есть? А то только на Хабре нашел, шестилетней давности.

А мануал для чайников по настройке есть? »
Он не нужен, там всё делается через веб-интерфейс, а там всё просто для тех, кто хотя бы начала акакдемии циски изучил и сдал.

Он не нужен, там всё делается через веб-интерфейс, а там всё просто для тех, кто хотя бы начала акакдемии циски изучил и сдал. »
Ну вот, сразу мордой об стол)

Ну вот, сразу мордой об стол) »
Документация подробная есть https://docs.netgate.com/pfsense/en/latest/

Из документации:

"Выбор оборудования

Использование операционных систем с открытым исходным кодом с непроверенным оборудованием может привести к возникновению аппаратно-программных конфликтов. Настройка оборудования и устранение неполадок предлагают советы по решению различных проблем.

Предотвращение аппаратных головных болей

Используйте Подлинное Оборудование Netgate
Лучше всего использовать оборудование из магазина Netgate. Оборудование Netgate было разработано для того, чтобы гарантировать, что конкретные аппаратные платформы были тщательно протестированы и валидированы.

Поиск опыта других

Опыт других людей является ценным источником знаний, которые можно найти, исследуя совместимость программного и аппаратного обеспечения pfSense в Интернете, особенно на форуме Netgate"

https://docs.netgate.com/pfsense/en/latest/hardware/selection.html

Исходя из вашего опыта использования, что бы порекомендовали из железа?

По паролям - лучший пароль кусочек стишка, а не куча знаков, букв, цифр и регистров. »
Вот здесь большой-большой плюс.

Периодическая смена пароля - так себе решение. »
А здесь минус :(.

А здесь минус »
С чего бы минус? Если кусочек стишка длиннее 15 символов, то его поломать можно только с использованием социальной инженерии, баги и дыры в ОС в этом случае в расчёт не идут, так как при наличии дыры абсолютно неважно сколько раз на день юзеры меняют пароль. Проблема периодичности смены пароля лежит чисто в социальной области - юзеры ленивы и не любят запоминать что-то новое, поэтому новый пароль будет тем-же стишком и очередной цифрой в конце, при этом на вторую или третью замену длинного пароля люди сразу придумают лайфхак в виде хранения исходного пароля в блокноте. Плюс к этому стоит вопрос периода смены - 30, 60, 90, 120 дней, сколько в год таких замен паролей нормально для безопасности, для юзеров и для компании в целом? Ведь если запретить хранение паролей в блокноте (если вдруг кто-то такой умный и смог это реализовать) то набор длинного пароля в 10-15% случаев проходит не сразу и тогда юзеры начинают тревожит ИТ-отдел из-за заблокированной учётки или забытой последней цифрой в новом старом пароле.

Именно из-за того, что:
поломать можно »
Потому плановые периодические смены паролей таки необходимы. Иначе единожды скомпроментированная учётная запись будет использоваться вечно.

Согласен, я неправ.

Если кусочек стишка длиннее 15 символов, то его поломать можно только с использованием социальной инженерии, баги и дыры в ОС в этом случае в расчёт не идут, так как при наличии дыры абсолютно неважно сколько раз на день юзеры меняют пароль. »
Воот! И смысл тогда гемороиться со сменой паролей?

юзеры ленивы и не любят запоминать что-то новое »
Тут самое печальное то, что юзеры ленивы до такой степени, что ленятся не то что менять пароли, но и используют один и тот же в разных местах. Все известные лично мне инциденты со взломом были не брутфорсом, не с использованием дыр, а утекшей связкой логин-пароль из совершенно другого места.

Ведь если запретить хранение паролей в блокноте (если вдруг кто-то такой умный и смог это реализовать) »
Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании.

Повторю, 2FA на порядок повышает безопасность, хотя и тут возможны проблемы с утечкой - TOTP генерятся из сида, утёк сид - утёк двухфактор. Хардварные ключи в этом плане понадёжнее, но их тоже надо внедрять, обучать юзеров, юзеры их будут забывать дома, терять и всё такое. Но в любом случае, без 2FA сегодня нет жизни.

Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании. »

Пользуюсь KeePass, лежит на флешке. Подключаю только когда надо ввести (если вдруг забыл) пароль. Из недостатков - надо куда-то бекапить базу, на случай смерти флешки. Постепенно перехожу на архаику - бумажная записная книжка.

надо куда-то бекапить базу, на случай смерти флешки »
Оно ж шифрованное, в последних версиях аж AES512. Бекапить можно куда угодно, хоть в облако, главное не пролюбить пароль или ключ.

Воот! И смысл тогда гемороиться со сменой паролей? »
Смысл таковой (http://forum.oszone.net/post-2962913.html#post2962913).

Все известные лично мне инциденты со взломом были не брутфорсом, не с использованием дыр, а утекшей связкой логин-пароль из совершенно другого места. »
Так таких 99.9% случаев.

Есть же парольные менеджеры. Хотя, п о своему опыту, даже айтишники их часто не признают или вообще не знают о существовании. »
А смысл их в чём? Скомпроментировать все логины/пароли зараз? :)

Смысл таковой. »
Каковой?
Так таких 99.9% случаев. »
И?
А смысл их в чём? Скомпроментировать все логины/пароли зараз? »
Я давно знаю, что вы не большого ума, но тут не стану помогать, попытайтесь подумать сами.

Каковой? »
Ыыыы…
Именно из-за того, что:
поломать можно »
Потому плановые периодические смены паролей таки необходимы. Иначе единожды скомпроментированная учётная запись будет использоваться вечно.»
И? »
Социальной инженерии и банальному рас3.14…йству без разницы, насколько сложен пароль.

Я давно знаю, что вы не большого ума, но тут не стану помогать, попытайтесь подумать сами. »
Ну, как знаете. Я своё мнение озвучил: профукали один пароль:
главное не пролюбить пароль или ключ. »
— считай, профукали все.

P.S. Зазнайство — грех, коллега.

Ну хорошо. С паролями разобрались)
Если есть сервер с такими лицензиями:

WinSvrSTDCore 2019 SNGL OLP 16Lic NL CoreLic 1
WinSvrCAL 2019 SNGL OLP NL UsrCAL 15
WinRmtDsktpSrvcsCAL 2019 SNGL OLP NL UsrCAL 15

и контроллер домена на другой железке, какую нужно на него покупать лицензию, и нужно ли?

И второе. Для контроллера домена по железу какие требования?

Насчёт не выноса информации - есть только один вариант :)
1. Все юзеры работают в офисе.
2. При входе в офис у них изымаются все устройства умеющие снимать фото-видео и любые устройства имеющие возможность хранить информацию, даже пресловутые mp3-плееры.
3. Всех юзеров при входе и при выходе обыскивают (смотрим видео обыска заключенных).
4. На всей площади офиса используются видеокамеры.
5. Постоянная замена охраны, чтоб не было сговора.
6. В офисе нет Интернета.
7. При выходе из офиса у юзера изымаются любые бумаги и материалы на которых можно записать вручную любыми ручками или карандашами.

По поводу реальной организации работы, то на железо ставится WinServ с роль Терминального сервера и всё. Домен не нужен, информация будет всё равно сливаться, так как есть выход в Интернет и почта с CRM.