我们在 Windows RAS/Server 2003 上使用 PPTP VPN。
我们让用户验证防病毒补丁,然后在验证后授予对 VPN 的访问权限。我们不使用 CMAK 小程序,我们只向用户提供有关如何配置其家庭设备以连接到 VPN 的说明。
我的问题是,我们如何确保他们在保存连接时不会保存 VPN 密码?有没有什么方法可以审计它?我们可以提醒用户,但如果他们已经设置了 VPN,他们实际上不太可能遵循并更改设置。
适用于 XP 的方法最为重要,但支持 OS X 和 Windows 7/Vista 也不错。如果这是唯一可行的方法,我愿意将我们的 VPN 切换到新解决方案并分发连接。
编辑:我应该指出两点:我们真的负担不起使用双因素身份验证。另外,我知道可能没有完美的方法来确保这一点。我们的用户不是恶意的,但他们很懒惰。如果我能识别出 90% 保存密码的用户,然后拒绝他们访问,直到他们修复问题,这对我来说就足够了。
答案1
我还使用 Windows Server 和 RRAS 运行 VPN。我建议使用 CMAK(连接管理器管理工具包)来创建 VPN 客户端安装程序。这不需要做太多工作,而且可以满足您的要求 - 允许您自定义 VPN 屏幕选项,除其他功能外,还允许您删除保存/记住用户密码的功能。我自己就是这么做的。
CMAK 涵盖 XP、Vista 和 Windows 7(尽管它们是基于体系结构(32/64 位)和操作系统版本的单独安装程序,并且必须从与每个客户端相对应的适当服务器版本创建。(对于 XP、Server 2003,Vista 将是 Server 2008,Windows 7 将是 Server 2008 R2)。这有点麻烦,但是一旦创建它们,它们通常不会经常更改。
对于现有用户,告诉他们保留从家用电脑使用 VPN 的能力,您有一个他们需要开始使用的新 VPN 客户端。
它并非万无一失(用户仍可以在 Windows 中手动创建 PPTP 连接),但与每个用户直接在他们面前设置保存密码复选框相比,它仍然是一种改进。它还可以为您节省每次引导用户配置新 VPN 连接的手动工作。他们只需要正确的安装程序,输入用户名和密码,然后连接即可。
这并不能解决 OS X 问题,也不能保证一定能解决,但至少可以改善情况。如果您坚持使用 Windows RRAS,我会考虑使用 CMAK。如果您决定改用其他技术,请留下评论 - 我很好奇。
uSlackr 的评论是正确的——如果你不控制硬件,就没有任何保证。
答案2
如同Bryan 的回答这YubiKey每台设备的成本较低(每台 25 美元,批量购买更便宜),YubiRadius软件是免费的(他们只收取支持费用)。只需设置 radius 服务器并让您的 VPN 使用该服务器来验证用户身份即可。
其工作方式与 RSA 安全 ID 令牌相同,因此他们拥有一个可生成一次性密码的物理设备,如果他们没有该设备,他们就无法登录。
答案3
严格来说,这并没有回答你的问题,但我相信这种替代方法应该是适合您的解决方案。
实施一个需要对 VPN 连接进行双因素身份验证的系统,使用诸如RSA 安全 ID。
用户可能仍会将其 SecureID 留在家用电脑旁边,但这些设备通常需要输入 PIN(用户记住并且无法缓存)以及设备上显示的数字。
有一个YouTube 视频演示了这一点。