我想看看其他人如何处理承包商/非员工 vpn 访问。
- 您如何配置/停用他们的帐户?
- 他们是在您的 AD 中还是在另一个帐户孤岛中?
- 您如何限制他们,使他们只能访问他们受雇从事的工作?
- 您如何管理密码?
- 他们是否被迫更改密码?
- 密码是如何提供给他们的?
- 您是否对他们的计算机使用任何形式的网络访问控制/安全扫描?
AskOverflow.Dev
我们在顾问 OU 中创建了一个帐户,该帐户已指定登录时间,除非在特殊情况下他们需要更长的访问时间。
他们的密码在第一次登录时更改,就像其他人一样。
顾问笔记本电脑被放置在一个 VLAN 上,该 VLAN 仅具有受限的 Internet 而没有 Intranet 访问。为了访问我们 LAN 上的任何内容,他们使用我们的 SSL VPN,并且被限制为只能连接到他们所在的任何项目中使用的服务器。
通常顾问会使用我们提供的笔记本电脑,如果没有,他们将获得我们需要的 AV 软件,否则 VPN 连接将失败。
我们有几个 pcf 文件,其中仅包含允许它们工作的特定服务器。他们在 AD 中拥有通常被禁用的帐户,当需要使用它们时,我们会激活这些帐户,但在他们认为应该完成时将它们设置为过期。
这些帐户只能通过来自有效来源的电子邮件激活,所有请求和操作都在帮助台中。对我们来说效果很好
我会使用两因素身份验证。除了用户名和密码之外,他们还必须拥有一个物理设备。
Aladdin的 E-token/SafeWord 设备在物理设备部分工作得很好,如果它们丢失或承包商不归还它们,它们相对便宜。
在后端,如果他们在您的防火墙上进行任何工作,我会使用 radius 服务器或 TACACS 服务器。
我们要求拥有外部设备的承包商使用 SSL-VPN 访问内部资源。在办公室,除了实验室区域外,不允许使用任何外部设备,在那里他们可以将外部设备插入网络,让他们在有限的时间内访问互联网——但不允许访问内部网络。
如果我们向他们发放笔记本电脑,他们将受到与任何其他员工相同的所有规则的约束,但他们的帐户会定期到期并且必须由授权经理重新授权。