Windows
需要限制 VPN 使用者訪問所有網路資源…SQL 除外
我有兩個承包商需要訪問我們的 SQL LOB 應用程序。他們將通過 VPN 連接到通過 DC 上的 RADIUS 進行身份驗證的路由器。現在,有問題的兩台伺服器都是 DC。創建的使用者是安全組的成員 - VPN 使用者。附加到該組的唯一安全權限是撥入訪問。
在紙面上,這應該是直截了當的。美中不足的是,這些伺服器上可能有 75% 的共享權限包括經過身份驗證的使用者的完全訪問權限。不要問為什麼,不,目前沒有機會糾正這個問題。
SQL 存在於 DC2 上,但客戶端軟體上的 ODBC 設置否定了對域身份驗證的任何需求。所以,我需要做的就是阻止這些 VPN 使用者瀏覽網路以獲取共享並訪問它們。
我曾嘗試在 DC 安全策略中設置“拒絕從網路訪問”,但這似乎沒有幫助。
有關資訊:兩台伺服器都是 W2003 SP2 標準。客戶端將使用 XP/Vista。
射線
也許將它們添加到共享位於伺服器上的驅動器上的安全規則中?拒絕規則總是優先於任何基於允許的規則。
有沒有機會在 DMZ 而不是 LAN 上終止 VPN?如果是這樣,那麼您可以通過埠 1433 上的 DMZ -> LAN 到您的 SQL 伺服器打一個洞。
如果是我,我不希望任何人的電腦不是由我公司維護的人在我公司的網路上。因此,將它們放在自己的 DMZ 中的原因。如果他們感染了病毒,或者是垃圾郵件機器人網路的一部分並開始通過 VPN 隧道從您的 Internet 連接發送垃圾郵件怎麼辦。對於偏執的人來說,有很多可怕的場景。:-)