SQL LOB 애플리케이션에 액세스해야 하는 두 명의 계약자가 있습니다. VPN을 통해 DC의 RADIUS를 통해 인증하는 라우터에 연결됩니다. 이제 문제의 두 서버는 DC입니다. 생성된 사용자는 보안 그룹 - VPN 사용자의 구성원입니다. 이 그룹에 연결된 유일한 보안 권한은 전화 접속 액세스입니다.
서류상으로는 이는 간단해야 합니다. 문제는 이러한 서버에 대한 공유 권한의 75%에 인증된 사용자에 대한 전체 액세스가 포함될 수 있다는 것입니다. 이유를 묻지 마세요. 현재로서는 이 문제를 수정할 기회가 없습니다.
SQL은 DC2에 있지만 클라이언트 소프트웨어의 ODBC 설정으로 인해 도메인 인증이 필요하지 않습니다. 따라서 나에게 필요한 것은 VPN 사용자가 네트워크에서 공유를 탐색하고 액세스하는 것을 막는 것뿐입니다.
DC 보안 정책에서 "네트워크 액세스 거부" 설정을 시도했지만 이것이 도움이 되지 않은 것 같습니다.
정보: 두 서버 모두 W2003 SP2 Standard입니다. 클라이언트는 XP/Vista를 사용하게 됩니다.
티아
답변1
아마도 공유가 서버에 있는 드라이브의 보안 규칙에 추가할 수 있을까요? 거부 규칙은 항상 모든 허용 기반 규칙보다 우선합니다.
답변2
LAN 대신 DMZ에서 VPN을 종료할 수 있습니까? 그렇다면 포트 1433의 DMZ -> LAN을 통해 SQL 서버에 구멍을 뚫을 수 있습니다.
저라면 회사 네트워크에서 회사가 관리하지 않는 컴퓨터를 소유한 사람을 원하지 않을 것입니다. 따라서 그들을 자신들의 DMZ에 두는 이유가 됩니다. 바이러스에 감염되거나 스팸봇 네트워크의 일부이고 VPN 터널을 통해 인터넷 연결 밖으로 스팸을 보내기 시작하면 어떻게 될까요? 편집증적인 사람에게는 무서운 시나리오가 많이 있습니다. :-)
답변3
VPN 솔루션이 SQL 포트만 허용하도록 만드시겠습니까?
답변4
모두 감사합니다. 내가 사용할 수 있는 유일한 방법은 이 사용자의 모든 공유에 대해 거부 권한을 부여하는 것이었습니다. 약간의 고통이 있었지만 말하자면 바퀴를 다시 발명할 시간이 없었습니다.