我们即将为我们的组织推出一款新的 VPN 解决方案。我们在 SonicWALL 的 SSL-VPN 中看到的一个优点是 NetExtender 的精简版、基于浏览器的解决方案。
有人有这方面的经验吗?我特别担心的是,至少在测试期间,Windows 7 会提示输入管理员凭据来安装 ActiveX NetExtender 插件,这是在 Windows 域环境中安装任何东西的标准。但这是否意味着我必须进入并在所有将在现场使用 VPN 的域笔记本电脑上安装客户端?他们实际上无法像广告中说的那样简单地访问网站并运行客户端?顺便说一句,我们使用的是 SonicWALL NSA 3500 设备。
我们确实有 ManageEngine 的 Desktop Central,它可以推出软件安装,但通常必须采用 .MSI 包的形式。
除了攻击我组织的所有计算机之外,还有其他解决方案吗?
答案1
NetExtender 既不是精简版,也不是基于浏览器的。没有管理员权限就无法部署,也无法通过 GPO 部署,因为它需要安装未签名的网络驱动程序:
就我个人而言,我发现安全供应商竟然愿意销售一种需要培训用户忽略鲜红色安全警告的产品,这有点令人不安。
你可能可以通过以下方式解决这个问题禁用驱动程序签名,但我没有测试过这种方法。在整个域范围内允许使用未签名的驱动程序确实不是解决单个供应商有问题的产品的合适方法。
比较炒作与现实:
SonicWall 的说法在他们的营销网站上关于安装 NetExtender:
NetExtender 不是胖客户端。它将瘦客户端透明地推送到客户端的台式机或笔记本电脑上,并自动安装,以方便实现更广泛的访问。
SonicWall 的说法在他们的支持网站上关于安装 NetExtender(节选):
要首次安装 NetExtender 客户端,用户必须以管理员权限登录 PC。必须在 Internet Explorer 上启用下载和运行脚本 ActiveX 文件。建议您将 SSL-VPN 服务器的 URL 或域名添加到 Internet Explorer 的受信任站点列表中。这将简化安装 NetExtender 和登录的过程,减少您收到的安全警告数量。
在我看来,“透明”并不是描述这一过程的正确词语。
答案2
我曾经使用过 GPO。可能值得研究一下。