Tenho dois contratados que precisam de acesso ao nosso aplicativo SQL LOB. Eles se conectarão via VPN a um roteador que autentica via RADIUS no DC. Agora, os dois servidores em questão são DCs. Os usuários criados são membros do Grupo de Segurança - Usuários VPN. Os únicos direitos de segurança associados a este grupo são o acesso por discagem.
No papel, isso deve ser simples. O problema é que talvez 75% das permissões de compartilhamento nesses servidores incluam acesso total para usuários autenticados. Não pergunte por que e não, não há chance de corrigir isso no momento.
O SQL reside no DC2, mas as configurações de ODBC no software cliente eliminam qualquer necessidade de autenticação de domínio. Então, tudo que preciso é impedir que esses usuários VPN naveguem na rede em busca de compartilhamentos e acessem-nos.
Tentei definir "Negar acesso da rede" na Política de Segurança DC, mas isso aparentemente não ajudou.
Para informações: Ambos os servidores são W2003 SP2 Standard. Os clientes usarão XP/Vista.
TIA
Responder1
Talvez adicioná-los às regras de segurança nas unidades onde os compartilhamentos residem nos servidores? As regras de negação sempre anulam quaisquer regras baseadas em permissão.
Responder2
Alguma chance de encerrar a VPN em uma DMZ na LAN? Nesse caso, você pode abrir um buraco na DMZ -> LAN na porta 1433 para o seu servidor SQL.
Se fosse eu, não iria querer ninguém cujo computador não fosse mantido pela minha empresa na rede da minha empresa. Daí a razão para colocá-los em sua própria DMZ. E se eles pegarem um vírus ou fizerem parte de uma rede de spambot e começarem a enviar spam pelo túnel VPN da sua conexão com a Internet? Existem muitos cenários assustadores para uma pessoa paranóica. :-)
Responder3
Faça com que sua solução VPN permita apenas a passagem da porta SQL?
Responder4
Obrigado a todos. O único método que consegui empregar foi emitir direitos de negação em todos os compartilhamentos para este usuário. Um pouco chato, mas não houve tempo para reinventar a roda, por assim dizer