Обеспечение доступа VPN от пользовательских машин (домашний офис)
Согласно документам Microsoft Exhange 2010:
Системные сообщения не обрабатываются агентами правил.
Эта информация не перечислена в эквивалентных документах на 2007, но я предполагаю, что 2007 имеет те же ограничения. К сожалению, похоже, что наши желаемые правила невозможно реализовать.
Я был бы, ненавидят для предоставления клиентов VPN в освобожденном уровне 3 такого сценария (и) доступ к моей сети. Кроме любых инструментов прикладного уровня, которые Вы собираетесь использовать, я был бы очень драконовским на уровне 3, о том, с чем могут "говорить" удаленные клиенты VPN.
Если Вы волнуетесь по поводу нападений протокольного уровня на свой файловый сервер, Вы могли бы думать о представлении файлового сервера через WebDAV по шлюзу SSL. WebDAV является спорным более "auditable" протокол, чем SMB и большинство версий Windows и много файлов доступа дескриптора дистрибутивов Linux через WebDAV очень хорошо.
С точки зрения классической "конфиденциальности, доступности, целостность" нападает против Вашего файлового сервера этими клиентами VPN, я думаю, что Вы собираетесь испытать затруднения при нахождении решения "для чудодейственного средства". Принятие эти машины "принадлежат" третьим лицам (вредоносное программное обеспечение, и т.д.), необходимо предположить, что клавиатурные перехватчики могли присутствовать (таким образом допущение потребности в функциональности одноразового пароля в доверенном устройстве). Что-либо пользователь будет иметь права на доступ (изменяют, и т.д.) будет доступно вредоносному программному обеспечению на этих машинах также.
Учитывая то, как мало я доверял бы лично принадлежавшим компьютерам, я буду лоббировать трудный для того, чтобы предоставить доступ пользователей VPN, чтобы вычислить ресурсы, размещенные на доверяемых компьютерах по протоколу "тонкого клиента" - X-окна, RDP, PCoIP, и т.д., и потребовать, чтобы они использовали аппаратный ключ для входа в систему одноразового пароля. Это все еще не прекрасно (так как данные могли быть введены в или выйтись поток протокола тонкого клиента злонамеренным третьим лицом), но это сохраняет прямой доступ к данным далеко от удаленных клиентских компьютеров.
Что-то как SSL Juniper, VPN идет с компонентом Windows, названным менеджером по Windows Secure Access, который не является вполне прокси или брандмауэром, но он позволяет Вам указать приложения (и хеши MD5, чтобы гарантировать, что это действительно - приложение), и исходные места назначения и порты.
Это может быть опцией для материала IM.
Доли файла являются хитрой как ровным использованием такого компонента, у Вас все еще есть диск или доступ UNC в Windows, наименьшее я не знаю о способе ограничить его только для чтения на уровне VPN.
Завися, в каком количестве доступа они нуждаются, одна опция состояла бы в том, чтобы использовать веб-компонент доступа к файлу VPN, тот способ, которым у них есть доступ к файлам, но использованию веб-интерфейса, никакого доступа SMB.
Также с коммерческой VPN Вы получаете средства проверки хоста, таким образом, можно передать под мандат это, машины должны иметь AV, и это должно быть актуально, и если это не, возвратитесь и попробуйте еще раз при соблюдении правил.
У нас есть многочисленные люди, соединяющиеся удаленно от их собственных ПК. Мы используем версию для предприятий Winfrasoft (http://www.winfrasoft.com/vpnq.htm), который проверяет клиент на необходимые патчи безопасности, текущее антивирусное программное обеспечение, отключенное совместное использование соединения, и т.д.