Ich habe zwei Vertragspartner, die Zugriff auf unsere SQL LOB-Anwendung benötigen. Sie werden sich über VPN mit einem Router verbinden, der sich über RADIUS auf dem DC authentifiziert. Die beiden betreffenden Server sind DCs. Die erstellten Benutzer sind Mitglieder einer Sicherheitsgruppe – VPN-Benutzer. Die einzigen Sicherheitsrechte, die dieser Gruppe zugeordnet sind, sind Einwahlzugriffe.
Auf dem Papier sollte das ganz einfach sein. Der Haken an der Sache ist, dass vielleicht 75 % der Freigabeberechtigungen auf diesen Servern Vollzugriff für authentifizierte Benutzer beinhalten. Fragen Sie nicht, warum, und nein, es gibt im Moment keine Möglichkeit, das zu korrigieren.
SQL läuft auf DC2, aber die ODBC-Einstellungen der Client-Software machen eine Domänenauthentifizierung überflüssig. Ich muss also nur verhindern, dass diese VPN-Benutzer das Netzwerk nach Freigaben durchsuchen und darauf zugreifen.
Ich habe versucht, in der DC-Sicherheitsrichtlinie „Zugriff vom Netzwerk verweigern“ einzustellen, aber das hat anscheinend nicht geholfen.
Zur Information: Beide Server sind W2003 SP2 Standard. Die Clients verwenden XP/Vista.
TIA
Antwort1
Fügen Sie sie vielleicht den Sicherheitsregeln auf den Laufwerken hinzu, auf denen die Freigaben auf den Servern gespeichert sind? Verweigerungsregeln haben immer Vorrang vor Zulassungsregeln.
Antwort2
Gibt es eine Möglichkeit, das VPN in einer DMZ statt im LAN zu beenden? Wenn ja, könnten Sie ein Loch durch die DMZ -> LAN auf Port 1433 zu Ihrem SQL-Server schlagen.
Ich selbst würde niemanden in meinem Firmennetzwerk haben wollen, dessen Computer nicht von meiner Firma gewartet wird. Deshalb habe ich sie in eine eigene DMZ gesteckt. Was, wenn sie sich einen Virus einfangen oder Teil eines Spambot-Netzwerks sind und anfangen, Spam über den VPN-Tunnel über Ihre Internetverbindung zu versenden? Es gibt viele beängstigende Szenarien für einen paranoiden Menschen. :-)
Antwort3
Soll Ihre VPN-Lösung nur den SQL-Port durchlassen?
Antwort4
Vielen Dank an alle. Die einzige Methode, die ich anwenden konnte, war, diesem Benutzer Verweigerungsrechte für alle Freigaben zu erteilen. Das war ein bisschen mühsam, aber ich hatte keine Zeit, das Rad sozusagen neu zu erfinden.