He configurado correctamente una VPN de función de servicio de Windows. El siguiente paso es limitar el acceso a la cuenta de usuario de la sesión VPN. Se debe negar la visualización del cliente a algunas carpetas (por ejemplo: carpetas del sistema, archivos de programa, perfiles de usuarios), y otras se deben permitir. No tengo intención de utilizar Active Directory esta vez, no está habilitado.
¿Podría seleccionarse todas las carpetas compartidas y los permisos ntfs (pestaña de seguridad) con Control total o Modificar a usuarios autenticados, excepto aquellos que elijo para otorgar acceso a la cuenta de usuario estándar de Windows de conexión VPN? ¿O al revés?
¿Y eliminar el grupo de usuarios de esas carpetas con permisos compartidos y ntfs para el grupo de usuarios autenticados?
Respuesta1
Bien quizás.
Recuerde que sin la seguridad global de AD, cualquier cosa que intente controlar con ACL de archivos solo funcionará en el único servidor que implementa VPN, es decir, sin AD, solo tendrá cuentas LOCALES para la autenticación de VPN y las ACL de ARCHIVO que desea configurar.
Podría valer la pena considerar AD para esto...
Entonces, siempre que la VPN y el servidor de archivos sean la misma máquina, puedes abordarlo de esta manera, pero el mayor truco será bloquear el acceso a todo y, solo entonces, activar el acceso a lo poco que deseas que tenga acceso la VPN. (es decir, también se deben considerar configuraciones de seguridad que no son ACL, como "Atravesar directorios").
Puede encontrar una lista de verificación de alto nivel para planificar una NP de este tipo aquí: https://technet.microsoft.com/en-us/library/cc725734(v=ws.10).aspx