我有兩個承包商需要存取我們的 SQL LOB 應用程式。他們將透過 VPN 連接到路由器,該路由器透過 DC 上的 RADIUS 進行身份驗證。現在,有問題的兩台伺服器都是 DC。建立的使用者是安全群組 - VPN 使用者的成員。附加到該群組的唯一安全權限是撥入存取。
從紙面上看,這應該很簡單。美中不足的是,這些伺服器上大約 75% 的共享權限包括經過身份驗證的用戶的完全存取權限。不要問為什麼,不,目前沒有機會糾正這個問題。
SQL 存在於 DC2 上,但用戶端軟體上的 ODBC 設定不需要網域身份驗證。因此,我所需要做的就是阻止這些 VPN 用戶瀏覽網路以獲取共享並存取它們。
我嘗試在 DC 安全性策略中設定“拒絕網路存取”,但這似乎沒有幫助。
資訊:兩台伺服器都是 W2003 SP2 標準。客戶將使用 XP/Vista。
TIA
答案1
也許將它們添加到伺服器上共享所在的驅動器的安全規則中?拒絕規則始終推翻任何基於允許的規則。
答案2
是否有機會在 DMZ 而非 LAN 中終止 VPN?如果是這樣,那麼您可以透過連接埠 1433 上的 DMZ -> LAN 打一個洞到您的 SQL 伺服器。
如果是我,我不會希望任何人的電腦不是由我公司維護的在我公司的網路上。這就是將它們放在自己的 DMZ 中的原因。如果他們感染了病毒,或者是垃圾郵件機器人網路的一部分,並開始透過 VPN 隧道向您的 Internet 連線發送垃圾郵件,該怎麼辦?對於偏執狂來說,有很多可怕的場景。 :-)
答案3
讓您的 VPN 解決方案只允許 SQL 連接埠通過?
答案4
感謝大家。我能夠採用的唯一方法是為該用戶授予所有共享的拒絕權限。有點痛苦,但可以說沒有時間重新發明輪子