>> ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.
> Я так понимаю вопрос как обезопасить ПК в филиалах?
> 1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.На клиентских ПК фаер это виндовый? Звучит фантастично... Хотя из принтеров у нас только сетевые, а межкомповые коннекты вроде только для сетевых папок да расшареных принтеров нужны. Надо будет взять на заметку.
> 2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.
Свичи должны из требований только поддерживать VLAN?
> 2.2)Если между вами и провайдерами туева куча свичей, а сотрудники сидят в
> одном-помещении то может рассмотреть вариант сделать свою разводку кабелем и спрятать
> всех за NAT.
Они и так за натом, с нормальным шлюзом. Свичей да многовато, в целом все кабеля свои воткнуты, но просто поток посторонних подрядчиков, клиентов и разных других довольно велик, и я не могу быть уверен что кто-то не воткнётся в сеть.
> 3)Если работаете на MS то ввести всех в домен (если не сделано
> раньше) и организовать доступ к ресурсам только доменным пользователям.
Домен не охота поднимать. Сколько с доменом имел дела, то одно то другое вылазит. Понимаю что ответят типа "не умеешь готовить", но я считаю что с ним на уровне выше среднего знаком. И 5 сайтов с отдельным BDC в каждом и опыт в чистке схемы от подохших BDC и передачи ролей имею и связку AD с самбой, но вот эти грабли которые возникают на пустом месте, периодически и с ними гемор в виде затупливания логонов у клиентов - это мне просто осточертело. Я сделал просто на самбе прописанных пользователей, и набор скриптов которые разруливают доступы этих самбовых пользователей к определённым ресурсам.