我想看看其他人如何處理承包商/非員工 VPN 訪問。
- 您如何配置/停用他們的帳戶?
- 它們是在您的 AD 中還是在另一個帳戶孤島中?
- 您如何限制他們,使他們只能訪問他們受僱從事的工作?
- 您如何管理密碼?
- 他們是否被迫更改密碼?
- 密碼是如何提供給他們的?
- 您是否對他們的電腦使用任何形式的網路存取控制/安全掃描?
答案1
我們在顧問 OU 中建立一個帳戶,該帳戶指定了登入時間,除非在特殊情況下需要比該時間更長的存取時間。
他們的密碼在第一次登入時會像其他人一樣更改。
顧問筆記型電腦放置在一個 VLAN 中,該 VLAN 只能存取受限的 Internet,不能存取 Intranet。為了存取我們 LAN 上的任何內容,他們使用我們的 SSL VPN,並且受到限制,只能連接到他們所在專案所使用的伺服器。
通常,顧問會使用我們提供的筆記型電腦,如果沒有,他們將獲得我們所需的 AV 軟體,否則 VPN 連線將失敗。
答案2
我們有幾個 pcf 文件,其中僅包含允許它們工作的特定伺服器。他們在 AD 中擁有通常被停用的帳戶,當需要使用它們時,我們會啟動帳戶,但在他們認為應該完成時將它們設定為過期。
這些帳戶只能透過來自有效來源的電子郵件激活,所有請求和操作均在幫助台中進行。對我們來說效果很好
答案3
我會使用雙重身份驗證。除了使用者名稱和密碼之外,他們還必須擁有一種實體設備。
電子令牌/SafeWord 設備來自阿拉丁對於實體設備部分來說效果很好,而且如果它們丟失或承包商不歸還它們,它們的價格相對便宜。
在後端,如果它們在您的防火牆上執行任何工作,我將使用 Radius 伺服器或 TACACS 伺服器。
答案4
我們要求擁有外部設備的承包商使用 SSL-VPN 存取內部資源。在辦公室裡,不允許使用任何外部設備,除了實驗室區域,他們可以將外部設備插入網絡,從而在有限的時間內訪問互聯網,但不允許訪問內部網絡。
如果我們向他們發放筆記型電腦,他們將受到與任何其他員工相同的規則的約束,但他們的帳戶會定期過期並且必須由授權經理重新授權。