如何確保家庭 VPN 使用者不保存連接密碼?
我們在 Windows RAS/Server 2003 上使用 PPTP VPN。
我們讓使用者驗證防病毒更新檔,然後在驗證後授予對 VPN 的訪問權限。我們不使用 CMAK 小程序,我們只是為使用者提供有關配置其家庭設備以連接到 VPN 的說明。
我的問題是我們如何確保他們在保存連接時不保存 VPN 密碼?有什麼方法可以審核嗎?我們可以提醒使用者,但如果他們已經設置了 VPN,那麼他們不太可能真正跟進並更改設置。
一種適用於 XP 的方法是最重要的,但同時支持 OS X 和 Windows 7/Vista 會很好。如果這是唯一真正的方法,我願意將我們的 VPN 切換到一個新的解決方案並分發一個 connectoid。
編輯:我應該指出兩件事:我們真的負擔不起使用 2 因素身份驗證。另外,我知道可能沒有完美的方法來確保它。我們的使用者沒有惡意,但他們很懶惰。如果我能辨識出 90% 的保存密碼的使用者,然後在他們修復密碼之前拒絕他們訪問,那對我來說就足夠了。
我還使用 Windows Server 和 RRAS 執行 VPN。我的建議是使用 CMAK(連接管理器管理工具包)來創建 VPN 客戶端安裝程序。這不是很多工作,它可以滿足您的需求 - 允許您自定義 VPN 螢幕選項,除其他外,還允許您刪除保存/記住使用者密碼的功能。我自己做這個。
CMAK 涵蓋 XP、Vista 和 Windows 7(儘管它們是基於體系結構(32/64 位)和作業系統版本的單獨安裝程序,並且必須從對應於每個客戶端的適當伺服器版本創建。(對於 XP、Server 2003, Vista 將是 Server 2008,Windows 7 將是 Server 2008 R2)。這有點痛苦,但一旦創建它們,它們通常不會經常更改。
至於現有使用者,告訴他們保持從他們的家庭 PC 上進行 VPN 的能力,你有一個他們需要開始使用的新 VPN 客戶端。
它不是萬無一失的(使用者仍然可以在 Windows 中手動創建 PPTP 連接),但與每個使用者直接在他們面前擁有保存密碼複選框相比,它仍然是一個改進。它還應該為您節省以後每次都必須引導使用者完成新 vpn 連接配置的手動工作。他們只需要正確的安裝程序,輸入他們的使用者名和密碼,然後連接。
這並不能解決 OS X 的情況,也不是真正的保證,但至少可以改善這種情況。如果您堅持使用 Windows RRAS,我會考慮使用 CMAK。如果您決定改用另一種技術,請對此發表評論-我會很好奇。
uSlackr 的評論成立 - 如果您不控制硬體,則無法保證。