我期待看看其他人如何处理承包商/非员工VPN访问。
我们在指定login时间的顾问OU中创build一个帐户,除非特殊情况下他们需要的访问时间比这更长。
他们的密码在第一次login时就像其他人一样被更改。
顾问笔记本电脑放在只有受限制的互联网和内部网访问的VLAN上。 要访问我们的局域网上的任何东西,他们使用我们的SSL VPN,并限制只能连接到任何项目上使用的服务器。
通常情况下,顾问将使用我们提供的笔记本电脑,如果没有,他们将得到我们要求的AV软件或VPN连接将失败。
我们有几个pcf文件,只包含特定的服务器,他们被允许工作。 他们在AD有帐户通常是残疾人,当需要使用他们我们激活帐户,但设置他们认为他们应该完成时过期。
帐户只能通过有效来源的电子邮件激活,所有请求和操作都在帮助台中。 为我们工作得很好
我会使用双因素authentication。 一个除了用户名和密码之外还必须拥有的物理设备。
来自阿拉丁的电子令牌/ SafeWord设备对于物理设备部分工作得非常好,如果他们迷路或者承包商不归还他们,则他们相对便宜。
在后端,我会使用radius服务器或TACACS服务器,如果他们在你的防火墙上做任何工作。
我们要求具有外部设备的承包商使用SSL-VPN来访问内部资源。 在办公室里,除了可以将外部设备插入networking的实验室外,不允许有外部设备,只允许有限的时间访问互联网,但是不允许访问内部networking。
如果他们是由我们发行的笔记本电脑,除了他们的账户周期性地到期并且必须由授权的经理重新授权以外,他们遵守与任何其他员工相同的规则。