Ich möchte sehen, wie andere mit dem VPN-Zugriff von Auftragnehmern/Nicht-Mitarbeitern umgehen.
- Wie stellen Sie ihre Konten bereit/deaktivieren sie?
- Befinden sie sich in Ihrem AD oder in einem anderen Kontosilo?
- Wie schränken Sie ihre Zugriffsrechte ein, sodass sie nur auf die Aufgaben zugreifen können, für die sie eingestellt wurden?
- Wie verwalten Sie Passwörter?
- Werden sie gezwungen, ihr Passwort zu ändern?
- Wie wird ihnen das Passwort mitgeteilt?
- Nutzen Sie irgendeine Form der Netzwerkzugriffskontrolle/Sicherheitsüberprüfung ihrer Computer?
Antwort1
Wir erstellen ein Konto in einer Berater-OU mit festgelegten Anmeldezeiten, es sei denn, der Benutzer benötigt aus besonderen Gründen einen längeren Zugriff.
Ihr Passwort wird wie bei allen anderen bei der ersten Anmeldung geändert.
Der Laptop des Beraters ist in einem VLAN untergebracht, das nur eingeschränkten Internet- und keinen Intranet-Zugang hat. Um auf irgendetwas in unserem LAN zuzugreifen, verwenden sie unser SSL-VPN und können sich nur mit den Servern verbinden, die sie für ihr jeweiliges Projekt verwenden.
Normalerweise verwendet ein Berater einen von uns bereitgestellten Laptop. Andernfalls erhält er die von uns benötigte AV-Software oder die VPN-Verbindung schlägt fehl.
Antwort2
wir haben ein paar PCF-Dateien, die nur bestimmte Server enthalten, an denen sie arbeiten dürfen. Sie haben Konten in AD, die normalerweise deaktiviert sind. Wenn sie diese verwenden müssen, aktivieren wir die Konten, lassen sie aber ablaufen, wenn sie ihrer Meinung nach fertig sein sollten.
Die Konten werden nur über eine E-Mail von einer gültigen Quelle aktiviert, und alle Anfragen und Aktionen werden über den Helpdesk bearbeitet. Funktioniert für uns ganz gut
Antwort3
Ich würde eine Zwei-Faktor-Authentifizierung verwenden. Zum einen muss der Benutzer ein physisches Gerät besitzen und zusätzlich einen Benutzernamen und ein Passwort.
E-Token/SafeWord-Geräte vonAladdinfunktionieren für den physischen Geräteanteil ziemlich gut und sind relativ günstig, falls sie verloren gehen oder der Auftragnehmer ihre Geräte nicht zurückgibt.
Auf dem Backend würde ich einen Radius-Server oder TACACS-Server verwenden, falls an Ihrer Firewall gearbeitet wird.
Antwort4
Wir verlangen, dass Vertragspartner mit externer Ausrüstung SSL-VPN verwenden, um auf interne Ressourcen zuzugreifen, Punkt. Im Büro ist keine externe Ausrüstung erlaubt, mit Ausnahme eines Laborbereichs, wo sie externe Ausrüstung an ein Netzwerk anschließen können, das ihnen für begrenzte Zeiträume Internetzugang gewährt – aber es ist kein Zugriff auf das interne Netzwerk erlaubt.
Wenn sie von uns einen Laptop erhalten, unterliegen sie denselben Regeln wie alle anderen Mitarbeiter, mit der Ausnahme, dass ihre Konten regelmäßig ablaufen und von einem autorisierten Manager erneut autorisiert werden müssen.