我想看看其他人如何处理承包商/非员工 VPN 访问。
- 您如何配置/停用他们的帐户?
- 他们是在你的 AD 中还是在另一个帐户库中?
- 您如何限制他们,使他们只能访问他们受雇从事的工作?
- 您如何管理密码?
- 他们被迫更改密码吗?
- 密码是如何提供给他们的?
- 您是否对他们的计算机使用任何形式的网络访问控制/安全扫描?
答案1
我们在顾问 OU 中创建一个具有指定登录时间的帐户,除非在特殊情况下他们需要更长时间的访问。
他们的密码和其他人一样在第一次登录时就会更改。
顾问的笔记本电脑被放在一个 VLAN 上,该 VLAN 只能访问有限的互联网,不能访问内联网。要访问我们 LAN 上的任何内容,他们使用我们的 SSL VPN,并且只能连接到他们所负责的项目所使用的服务器。
通常,顾问会使用我们提供的笔记本电脑,如果没有,他们将获得我们所需的 AV 软件,否则 VPN 连接将失败。
答案2
我们有几个 pcf 文件,其中只包含允许他们工作的特定服务器。他们在 AD 中的帐户通常被禁用,当需要使用它们时,我们会激活这些帐户,但将它们设置为在他们认为应该完成时过期。
帐户只能通过有效来源的电子邮件激活,所有请求和操作都在帮助台。对我们来说效果很好
答案3
我会使用双因素身份验证。除了用户名和密码外,他们还必须拥有一个物理设备。
来自的电子令牌/SafeWord 设备阿拉丁对于物理设备部分来说,它们工作得很好,而且如果它们丢失或者承包商没有归还,它们的价格相对便宜。
在后端,如果它们在您的防火墙上执行任何工作,我将使用 radius 服务器或 TACACS 服务器。
答案4
我们要求拥有外部设备的承包商使用 SSL-VPN 来访问内部资源,仅此而已。办公室内不允许使用任何外部设备,实验室区域除外,他们可以在实验室内将外部设备插入网络,在有限的时间内访问互联网 - 但不允许访问内部网络。
如果我们向他们发放了笔记本电脑,他们将受到与其他员工相同的所有规则的约束,但他们的帐户会定期过期,并且必须由授权经理重新授权。