我们担心我们的员工使用无线热点连接到我们的局域网。我们使用 VPN 连接到我们的网络,然后他们可以使用专有应用程序传输数据。他们所做的少量网页浏览都是针对我们的代理服务器的,因此需要先建立 VPN。
所以我的问题是:从笔记本电脑启动到建立 VPN 连接,我们如何最好地保护笔记本电脑?
在启动 VPN 之前,它们可能会连接到一个开放的、不安全的网络几分钟。
我们关心的不是对数据的嗅探(因为数据只会通过 VPN 发送),而是有人可能会在 VPN 连接之前连接到笔记本电脑并破坏它。
个人防火墙是一种选择,但它们需要在没有用户输入的情况下有效(最好集中管理)。
我很想知道其他人如何解决这个问题以及他们找到了哪些解决方案。
更新:
这个问题的一个隐含部分我并没有真正问过:您是否认为 Windows 防火墙足够强大,具有适当的策略,可以阻止入站访问,或者您是否求助于第三方解决方案?
为员工保护笔记本电脑并通过热点连接是一项非常艰巨的任务,涉及各个级别的安全性,并且在解决方案方面可能非常昂贵。
如果数据在您的网络中很重要,那么您可以尝试这些事情或实现。
您只需在每台笔记本电脑上配置防火墙,即可阻止所有网络流量(输出和输入),但挂载和运行 VPN 连接所需的数据包除外。
在 Windows 上,可以通过在 Active Directory 中设置 GPO 轻松管理防火墙设置。
我认为更具体地说,您将只允许主无线接口接受来自“家”(您的 VPN 服务器地址池)的数据包,并拒绝所有其他传入流量。然后,您将配置防火墙以允许所有流量通过 VPN 设备。听起来您已经在 VPN 级别进行了适当的过滤。
如前所述 - 由 AD 管理的 Windows 防火墙就可以了。此外,您希望将本地管理员帐户密码设置为强密码。在我的公司,我们实现了一个域范围的实用程序,可以集中管理本地管理员密码。而且您还希望对它们进行所有安全更新。
如果您只关心连接 VPN 之前的传入妥协,请强制启用 Windows 防火墙,无一例外地阻止所有传入流量。这不会阻止发起入站回复的出站流量,但它会锁定任何外部发起的流量,直到 VPN 连接,这似乎是您所关注的问题。如果您需要,此处的其他一些答案将进一步采取一个或多个步骤。
这是便利性和安全性之间通常的妥协——不幸的是,你永远不能同时拥有这两者。
我知道这不是您想要的答案 - 但我认为这里最重要的是教育用户,也许限制/限制谁可以使用笔记本电脑,谁不可以。
我假设您已经尽可能多地锁定笔记本电脑操作系统/软件,但显然这并不意味着它是安全的(只是它更安全一点)。
看一下 Windows 2008 中称为网络访问保护(NAP) 的功能,它可以让您设置有关允许进入 VPN 的计算机状态的策略,然后才能完全访问您的网络。例如,您可以确保客户端计算机的 AV 是最新的或它们已正确修补。您可以为此设置一大堆策略。它还具有隔离客户端的能力,因此您可以在允许它们进入网络之前自动修复这些问题。
这并不能完全回答您的问题,因为计算机已经在 VPN 上,但我认为这可能是最好的方法。即将他们连接到一个隔离的网络,确保他们通过检查,然后给他们完全访问权限。
一些 VPN 客户端能够执行这样的策略。Check Point VPN 客户端在 2000/2001 年左右添加了此功能。