我有两个承包商需要访问我们的 SQL LOB 应用程序。他们将通过 VPN 连接到通过 DC 上的 RADIUS 进行身份验证的路由器。现在,所涉及的两台服务器是 DC。创建的用户是安全组 - VPN 用户的成员。附加到此组的唯一安全权限是拨入访问。
从理论上讲,这应该很简单。美中不足的是,这些服务器上 75% 的共享权限可能包括经过身份验证的用户的完全访问权限。不要问为什么,目前也没有机会纠正这个问题。
SQL 位于 DC2 上,但客户端软件上的 ODBC 设置不需要域身份验证。因此,我所需要的只是阻止这些 VPN 用户浏览网络以查找共享并访问它们。
我尝试在 DC 安全策略中设置“拒绝网络访问”,但这似乎没有帮助。
信息:两台服务器都是 W2003 SP2 标准版。客户端将使用 XP/Vista。
短暂性脑缺血发作
答案1
也许可以将它们添加到服务器上共享所在的驱动器的安全规则中?拒绝规则总是会否决任何基于允许的规则。
答案2
有没有可能在 DMZ 而不是 LAN 上终止 VPN?如果是这样,那么您可以通过端口 1433 从 DMZ -> LAN 打通到您的 SQL 服务器。
如果是我,我不希望任何计算机不由我公司维护的人进入我公司的网络。这就是将他们放在自己的 DMZ 中的原因。如果他们感染了病毒,或者成为垃圾邮件机器人网络的一部分并开始通过 VPN 隧道从您的 Internet 连接发送垃圾邮件,该怎么办?对于偏执的人来说,有很多可怕的情况。:-)
答案3
让您的 VPN 解决方案仅允许 SQL 端口通过?
答案4
谢谢大家。我唯一能采用的方法是拒绝该用户的所有共享权限。有点麻烦,但可以说没有时间重新发明轮子了