我们担心我们的员工会使用无线热点连接到我们的局域网。我们使用 VPN 连接到我们的网络,然后他们可以使用专有应用程序传输数据。他们进行的少量网页浏览被定向到我们的代理服务器,因此需要先建立 VPN。
我的问题是这样的:从启动笔记本电脑到建立 VPN 连接,我们如何才能最好地保护笔记本电脑的安全?
在启动 VPN 之前,他们可能会连接到开放的、不安全的网络几分钟。
我们担心的并不是数据嗅探(因为数据只能通过 VPN 发送),而是有人可以在 VPN 连接之前连接到笔记本电脑并对其进行入侵。
个人防火墙是一种选择,但它们必须有效没有来自用户的输入(最好是集中管理)。
我有兴趣知道其他人是如何解决这个问题以及他们找到了什么解决方案。
更新:
我并没有真正问到的这个问题的一个隐含部分是:您是否认为 Windows 防火墙足够强大,具有合适的策略来阻止入站访问,或者您是否求助于第三方解决方案?
答案1
确保员工的笔记本电脑安全并通过热点连接是一项非常困难的任务,涉及各个级别的安全性,并且解决方案的成本可能非常高昂。
如果数据在您的网络中非常重要,这是显而易见的,您可以尝试这些方法或实现。
- 通过加密和锁定系统来保护物理驱动器,不允许运行任何脚本或安装任何程序。
- 定期推送经过测试的安全更新。
- 保持防火墙规则严格并允许用户禁用。
- 鼓励用户或教育用户(最重要的)仅使用或通过安全网络进行连接。还可以通过电子邮件或消息等方式教育他们有关威胁的信息。
- 使用远程 vpn 策略禁用本地网络(几乎所有地方都看到过这种做法),以便数据不能传递到任何其他网络。
- 如果成本不是问题而数据是最重要的,那么应该使用上述实现将笔记本电脑做成瘦客户端,并使用 citrix 或 xen 演示服务器连接到远程终端并在安全环境下工作。
答案2
您只需在每台笔记本电脑上配置一个防火墙,以阻止所有网络流量(输出和输入),除了安装和运行 VPN 连接所需的数据包。
在 Windows 上,可以通过在 Active Directory 中设置 GPO 轻松管理防火墙设置。
答案3
我认为更具体地说,您只允许主无线接口接受来自“主”(您的 VPN 服务器地址池)的数据包,并拒绝所有其他传入流量。然后,您将配置防火墙以允许所有流量通过 VPN 设备。听起来您已经在 VPN 级别进行了适当的过滤。
答案4
如果您只担心在 VPN 连接之前传入的攻击,请强制启用 Windows 防火墙,无一例外地阻止所有传入流量。这不会阻止发起入站回复的出站流量,但它会锁定任何外部发起的流量,直到 VPN 连接,这似乎是您所关心的问题。如果您需要,这里的其他一些答案会进一步采取一个或多个步骤。