需要限制 VPN 使用者訪問所有網路資源…SQL 除外

我有兩個承包商需要訪問我們的 SQL LOB 應用程序。他們將通過 VPN 連接到通過 DC 上的 RADIUS 進行身份驗證的路由器。現在，有問題的兩台伺服器都是 DC。創建的使用者是安全組的成員 - VPN 使用者。附加到該組的唯一安全權限是撥入訪問。

在紙面上，這應該是直截了當的。美中不足的是，這些伺服器上可能有 75% 的共享權限包括經過身份驗證的使用者的完全訪問權限。不要問為什麼，不，目前沒有機會糾正這個問題。

SQL 存在於 DC2 上，但客戶端軟體上的 ODBC 設置否定了對域身份驗證的任何需求。所以，我需要做的就是阻止這些 VPN 使用者瀏覽網路以獲取共享並訪問它們。

我曾嘗試在 DC 安全策略中設置“拒絕從網路訪問”，但這似乎沒有幫助。

有關資訊：兩台伺服器都是 W2003 SP2 標準。客戶端將使用 XP/Vista。

射線

也許將它們添加到共享位於伺服器上的驅動器上的安全規則中？拒絕規則總是優先於任何基於允許的規則。

有沒有機會在 DMZ 而不是 LAN 上終止 VPN？如果是這樣，那麼您可以通過埠 1433 上的 DMZ -> LAN 到您的 SQL 伺服器打一個洞。

如果是我，我不希望任何人的電腦不是由我公司維護的人在我公司的網路上。因此，將它們放在自己的 DMZ 中的原因。如果他們感染了病毒，或者是垃圾郵件機器人網路的一部分並開始通過 VPN 隧道從您的 Internet 連接發送垃圾郵件怎麼辦。對於偏執的人來說，有很多可怕的場景。:-)

引用自：https://serverfault.com/questions/106363