我们在Windows RAS / Server 2003上使用PPTP VPN。
我们有用户validation反病毒修补程序,然后在validation后授予对VPN的访问权限。 我们不使用CMAK小程序,只是向用户提供configuration其家庭设备以连接到VPN的说明。
我的问题是,我们如何确保在保存连接时不保存VPN密码? 有什么方法可以审计吗? 我们可以提醒用户,但是如果他们已经build立了VPN,那么他们不太可能会实际上遵循并更改设置。
一个适用于XP的方法是最重要的,但也支持OS X和Windows 7 / Vista会很好。 我会愿意把我们的VPN切换到一个新的解决scheme,并分发一个connectoid,如果这是唯一的真正的方法来做到这一点。
编辑:我应该指出两件事情:我们不能真正负担使用双因素authentication。 另外,我知道可能没有一个完美的方法来确保它。 我们的用户不是恶意的,但他们是懒惰的。 如果我能确定90%的用户保存密码,然后拒绝他们访问,直到他们修复它,这对我来说就足够了。
我也使用Windows Server和RRAS运行VPN。 我的build议是使用CMAK(连接pipe理器pipe理工具包)创buildVPN客户端安装程序。 这不是很多的工作,它做你想做的 – 让你自定义的VPN屏幕选项,除其他外,让您删除保存/记住用户的密码的能力。 我自己做这个。
CMAK涵盖XP,Vista和Windows 7(虽然它们是基于体系结构(32/64位)和操作系统版本的独立安装程序,并且必须根据与每个客户端对应的相应服务器版本创build(对于XP,Server 2003, Vista将是Server 2008,Windows 7将是Server 2008 R2),这有点痛苦,但是一旦创build好了,他们通常不会经常变化。
对于现有的用户,告诉他们从家用PC上维护VPN的能力,你有一个新的VPN客户端,他们需要开始使用。
这并不是防弹的(用户仍然可以在Windows中手动创buildPPTP连接),但是与直接在其前面保存密码checkbox的每个用户相比,这仍然是一个改进。 它还应该为您节省下一步每次都必须通过configuration一个新的VPN连接走的用户的手动工作。 他们只需要正确的安装程序,键入他们的用户名和密码,然后连接。
这并没有解决OS X的情况,并不是一个真正的保证,但它至less改善了这种情况。 如果你坚持使用Windows RRAS,我会考虑使用CMAK。 如果您决定转用其他技术,请留下评论 – 我会好奇的。
uSlackr的评论是正确的 – 如果你不控制硬件,就没有保证。
与Bryan的答案类似, YubiKey每个设备的成本很低(一个25美元,批量较less), YubiRadius软件是免费的(他们只收取支持费用)。 只需设置radius服务器并使用VPN来authentication用户。
这将以与RSA Secure ID令牌相同的方式工作,以便它们具有生成一次性密码的物理设备,如果它们没有设备,则无法login。
严格地说这不能回答你的问题,但我相信这种替代方法应该是适合你的解决scheme。
通过使用诸如RSA secureID之类的设备来实现需要使用双因子身份validation的系统。
用户可能仍然将他们的SecureID留在家用PC旁边,但是这些设备通常需要inputPIN(用户记忆并且不能被caching)以及设备上显示的数字。
有一个YouTubevideo,演示了这一点 。