现在,我们组织中的所有开发人员都有笔记本电脑,所以他们可以在家工作,或者提供下class时间的支持。 不幸的是,我们的笔记本电脑硬件规格是商用笔记本电脑的规格,我们试图让他们从2GB升级到4GB。
我正在为我们的开发人员寻求更好的“开发人员级”机器,并寻求能够在家中继续访问的选项。
我们一直在寻找的一个select是提供一个补充上网本,locking允许RDP到他们的桌面,但希望能够让开发者只需从他们的家用电脑VPN和通过RDP访问他们的桌面。
然而,我们的组织对访问我们的networking有什么限制,并且(目前)要求只允许公司拥有和控制的设备访问。 这个推理是合理的。 。 。 他们希望确保在我们的networking上引入的任何东西都有足够的病毒保护,并且要确保公司机密/隐私数据不会处于不受控制的环境中。
我想知道的是,有没有办法为我们的开发者提供安全的RDP访问? 我们有一个SecurID基础设施已经到位。 如果可能的话,请帮助我聪明地与我们的基础设施提供商交谈,看看我们是否能够实现这一目标。
这取决于您的VPN基础设施。 一般情况下,如果您可以在防火墙设备后面终止VPN,该防火墙设备具有足够的可configuration性,可以限制VPN clinetstream量,那么您就可以开展业务了。
例如,我在一个基于Linux的防火墙后面的一个客户站点终止一个Microsoft PPTP VPN。 有iptables规则允许VPN服务器访问局域网上的RADIUS服务器和规则允许VPN客户端RDP访问各种局域网子网。 从VPN客户端进入LAN的所有其余stream量都被丢弃。
我对这个configuration非常满意。 我不担心VPN客户端计算机上的恶意软件进入我的局域网(至less现在还没有……)最终有人会写一个有针对性的攻击,使用RDP协议的辅助通道function向远端做恶意的事情结束,或loggingRDP会话内的击键或屏幕数据等)
多发一点关于你用什么来终止你的VPN,具体来说,我们可能会更有帮助。 最终,关键是能够在打到你的局域网之前,在“堵塞点”检查解封的VPNstream量。
另一个select是为开发人员提供一个虚拟机,例如由您的IT团队configuration的VirtualBox。 允许虚拟机访问VPN。 您可以尝试限制VM中的出站stream量,只允许通过VPN的RDP。 (当然这最后的想法超出了我的能力:-))