我们担心我们的员工使用无线热点连接到我们的局域网。 我们使用VPN连接到我们的networking,然后他们可以使用专有应用程序传输数据。 他们所做的一些网页浏览是直接指向我们的代理服务器,因此需要先build立VPN。
所以我的问题是这样的: 我们如何最好地保证笔记本电脑从开始使用VPN到连接VPN?
在启动VPN之前,他们可以连接到一个开放的,不安全的networking许多分钟。
我们担心的不是嗅探数据(因为数据只能通过VPN发送),而是有人可以连接到笔记本电脑并在VPN连接之前妥协。
个人防火墙是一种select,但是它们需要在没有来自用户的input(并且最好是集中pipe理的)的情况下有效。
我很想知道其他人如何解决这个问题,以及他们find了什么解决scheme。
更新:
这个问题的一个隐含的部分,我没有真正问的是:你认为Windows防火墙足够强大,有适当的政策,阻止入站访问,或者你转向第三方解决scheme吗?
为工作人员安装一台笔记本电脑并通过热点进行连接是一项涉及各级安全的非常困难的任务,并且在解决scheme方面可能会非常昂贵。
如果数据对于你的networking来说非常重要,你可以尝试一下这些东西或者实现。
除了安装和运行VPN连接所需的数据包之外,您只需在每台笔记本电脑上configuration防火墙即可阻止所有networking通信(输出以及input)。
在Windows上,可以通过在Active Directory中设置GPO来轻松pipe理防火墙设置。
我认为,更具体的说,你只允许主无线接口接受来自“家”(您的VPN服务器地址池)的数据包,并拒绝所有其他传入的stream量。 然后,您将configuration防火墙,允许通过VPN设备允许所有stream量。 这听起来像你已经在VPN级别覆盖适当的过滤。
如前所述 – 由ADpipe理的Windows防火墙将会执行。 此外,你想本地pipe理员帐户密码设置为强。 在我的公司,我们实施了一个全域范围的实用程序,以中心pipe理本地pipe理员密码。 而且您还希望拥有所有安全更新。
如果在VPN连接之前您只关心传入的攻击,则强制Windows防火墙启用,并阻止所有传入的通信。 这不会阻止启动入站回复的出站stream量,但它将locking任何外部启动的stream量,直到VPN连接,这似乎是您所说的关注。 如果你需要的话,其他一些答案可以进一步提高一个或多个步骤。
这是通常的方便和安全之间的妥协 – 你永远不会有两个不幸的。
我知道这不是你想要的答案 – 但我认为这里最重要的是教育用户,也许限制/rest谁可以使用笔记本电脑,谁不使用笔记本电脑。
我假设你已经尽可能地locking了笔记本电脑的操作系统/软件,但显然这并不意味着它是安全的(只是说它更安全一些)。
看一下Windows 2008中称为networking访问保护 (NAP)的function。它允许您设置有关您的VPN允许访问您的networking的机器的状态的策略。 例如,您可以确保客户端计算机AV是最新的或者他们正确地打补丁。 有一大堆你可以为此设置的策略。 它也有隔离客户端的能力,所以你可以在允许他们进入networking之前自动修复这些东西。
这不完全回答你的问题,因为电脑已经在VPN上,但我认为这可能是最好的方法。 即将他们连接到一个孤立的networking,确保他们通过检查,然后给他们完全访问。
一些VPN客户端能够执行这样的策略。 Check Point VPN客户端在2000/2001年左右添加了此function。