Como posso garantir que os usuários VPN domésticos não salvem a senha de conexão?

Question

Como posso garantir que os usuários VPN domésticos não salvem a senha de conexão?

#1 resposta do (1 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

4

Estamos usando uma VPN PPTP no Windows RAS / Server 2003.

Temos usuários que verificam a correção do antivírus e, depois da verificação, concedem acesso à VPN. Não usamos um applet do CMAK, apenas fornecemos aos usuários instruções sobre como configurar seu dispositivo doméstico para se conectar à VPN.

Minha pergunta é como podemos garantir que eles não salvem a senha da VPN quando salvarem a conexão? Existe algum método para auditá-lo? Podemos lembrar os usuários, mas se eles já configuraram a VPN, não é muito provável que eles realmente sigam e alterem as configurações.

Um método que funciona para o XP é mais importante, mas também suporta o OS X e o Windows 7 / Vista. Eu estaria disposto a mudar nossa VPN para uma nova solução e distribuir um conectóide se essa é a única maneira real de fazê-lo.

Edit: Eu devo apontar duas coisas: nós não podemos realmente usar a autenticação de 2 fatores. Além disso, eu entendo que provavelmente não há uma maneira perfeita de garantir isso. Nossos usuários não são maliciosos, mas são preguiçosos. Se eu conseguir identificar até 90% dos usuários que estão salvando a senha e depois negar acesso a eles até que consertem, isso é o suficiente para mim.

vpn pptp windows-server-2003

por Quinten 25.04.2012 / 20:55

3 respostas

1

Semelhante a resposta de Bryan a YubiKey tem um baixo custo por dispositivo (US $ 25 por um, menos a granel) e o software YubiRadius é gratuito (eles só cobram para suporte). Basta configurar o servidor radius e fazer com que sua VPN use isso para autenticar os usuários.

Isso funcionará da mesma maneira que o token RSA Secure ID funciona, de modo que eles tenham um dispositivo físico que gere uma senha única e, se não tiverem o dispositivo com eles, não poderão efetuar login.

por 25.04.2012 / 22:06

0

Estritamente falando, isso não responde à sua pergunta, mas acredito que essa abordagem alternativa deve ser uma solução adequada para você.

Implemente um sistema que requeira autenticação de dois fatores para suas conexões VPN, usando um dispositivo como RSA secureID .

O usuário ainda pode deixar seu SecureID ao lado de seu PC doméstico, mas esses dispositivos geralmente exigem que um PIN seja inserido (que o usuário memoriza e não pode ser armazenado em cache), além dos dígitos exibidos no dispositivo.

Existe um vídeo do youtube que demonstra isso .

por 25.04.2012 / 21:50

Tags vpn pptp windows-server-2003

frequente "erro SNMP" com Cactos Regra Apache Mod_rewrite funcionando em um servidor, mas não em outro

score 1 · Accepted Answer

Eu também executo uma VPN com o Windows Server e o RRAS. Minha recomendação é usar o CMAK (Kit de Administração do Gerenciador de Conexões) para criar instaladores de clientes VPN. Não é muito trabalho e faz o que você quer - permite que você personalize as opções da tela VPN e, entre outras coisas, permite que você remova a capacidade de salvar / lembrar a senha do usuário. Eu faço isso sozinho.

O CMAK abrange XP, Vista e Windows 7 (embora sejam instaladores separados com base na arquitetura (32/64 bits) e na versão do sistema operacional, e devem ser criados a partir da versão apropriada do servidor correspondente a cada cliente. O Server 2003, o Vista seria o Server 2008, o Windows 7 seria o Server 2008 R2) É um pouco trabalhoso, mas uma vez criados eles geralmente não mudam.

Quanto aos usuários existentes, diga-lhes para manter a capacidade de VPN de seus PCs domésticos, você tem um novo cliente VPN que eles precisam para começar a usar.

Não é à prova de balas (um usuário ainda pode criar manualmente uma conexão PPTP no Windows), mas ainda é uma melhoria em relação a cada usuário que tenha a caixa de seleção salvar senha diretamente na frente deles. Ele também deve salvar o trabalho manual de ter que percorrer os usuários através da configuração de uma nova conexão vpn a cada vez no futuro. Eles só precisam do instalador certo, digitar seu nome de usuário e senha e se conectar.

Isso não resolve o caso do OS X, e não é uma garantia verdadeira, mas pelo menos melhora a situação. Eu consideraria usar o CMAK se você ficar com o Windows RRAS. Se você decidir mudar para outra tecnologia, por favor deixe um comentário sobre ela - eu ficaria curioso.

O comentário de uSlackr é válido - se você não controla o hardware, não há garantia.