你们如何处理承包商/非员工的 VPN 访问

Question 1

我们在顾问 OU 中创建一个具有指定登录时间的帐户，除非在特殊情况下他们需要更长时间的访问。

他们的密码和其他人一样在第一次登录时就会更改。

顾问的笔记本电脑被放在一个 VLAN 上，该 VLAN 只能访问有限的互联网，不能访问内联网。要访问我们 LAN 上的任何内容，他们使用我们的 SSL VPN，并且只能连接到他们所负责的项目所使用的服务器。

通常，顾问会使用我们提供的笔记本电脑，如果没有，他们将获得我们所需的 AV 软件，否则 VPN 连接将失败。

Answer

我们在顾问 OU 中创建一个具有指定登录时间的帐户，除非在特殊情况下他们需要更长时间的访问。

他们的密码和其他人一样在第一次登录时就会更改。

顾问的笔记本电脑被放在一个 VLAN 上，该 VLAN 只能访问有限的互联网，不能访问内联网。要访问我们 LAN 上的任何内容，他们使用我们的 SSL VPN，并且只能连接到他们所负责的项目所使用的服务器。

通常，顾问会使用我们提供的笔记本电脑，如果没有，他们将获得我们所需的 AV 软件，否则 VPN 连接将失败。

Question 2

我们有几个 pcf 文件，其中只包含允许他们工作的特定服务器。他们在 AD 中的帐户通常被禁用，当需要使用它们时，我们会激活这些帐户，但将它们设置为在他们认为应该完成时过期。

帐户只能通过有效来源的电子邮件激活，所有请求和操作都在帮助台。对我们来说效果很好

Answer

我们有几个 pcf 文件，其中只包含允许他们工作的特定服务器。他们在 AD 中的帐户通常被禁用，当需要使用它们时，我们会激活这些帐户，但将它们设置为在他们认为应该完成时过期。

帐户只能通过有效来源的电子邮件激活，所有请求和操作都在帮助台。对我们来说效果很好

Question 3

我会使用双因素身份验证。除了用户名和密码外，他们还必须拥有一个物理设备。

来自的电子令牌/SafeWord 设备阿拉丁对于物理设备部分来说，它们工作得很好，而且如果它们丢失或者承包商没有归还，它们的价格相对便宜。

在后端，如果它们在您的防火墙上执行任何工作，我将使用 radius 服务器或 TACACS 服务器。

Answer

我会使用双因素身份验证。除了用户名和密码外，他们还必须拥有一个物理设备。

来自的电子令牌/SafeWord 设备阿拉丁对于物理设备部分来说，它们工作得很好，而且如果它们丢失或者承包商没有归还，它们的价格相对便宜。

在后端，如果它们在您的防火墙上执行任何工作，我将使用 radius 服务器或 TACACS 服务器。

Question 4

我们要求拥有外部设备的承包商使用 SSL-VPN 来访问内部资源，仅此而已。办公室内不允许使用任何外部设备，实验室区域除外，他们可以在实验室内将外部设备插入网络，在有限的时间内访问互联网 - 但不允许访问内部网络。

如果我们向他们发放了笔记本电脑，他们将受到与其他员工相同的所有规则的约束，但他们的帐户会定期过期，并且必须由授权经理重新授权。

Answer

我们要求拥有外部设备的承包商使用 SSL-VPN 来访问内部资源，仅此而已。办公室内不允许使用任何外部设备，实验室区域除外，他们可以在实验室内将外部设备插入网络，在有限的时间内访问互联网 - 但不允许访问内部网络。

如果我们向他们发放了笔记本电脑，他们将受到与其他员工相同的所有规则的约束，但他们的帐户会定期过期，并且必须由授权经理重新授权。

相关内容