Мы используем PPTP VPN в Windows RAS / Server 2003.
У нас есть пользователи, которые проверяют установку антивирусных программ, а затем после проверки предоставляют доступ к VPN. Мы не используем апплет CMAK, мы просто предоставляем пользователям инструкции по настройке их домашнего устройства для подключения к VPN.
У меня вопрос: как мы можем гарантировать, что они не сохранят пароль VPN при сохранении соединения? Есть ли какой-нибудь метод его аудита? Мы можем напомнить пользователям, но если они уже настроили VPN, маловероятно, что они на самом деле последуют и изменят настройки.
Наиболее важен метод, который работает для XP, но также было бы неплохо поддерживать OS X и Windows 7 / Vista. Я был бы готов переключить нашу VPN на новое решение и распространить коннектоид, если это единственный реальный способ сделать это.
Изменить: я должен указать на две вещи: мы не можем позволить себе использовать двухфакторную аутентификацию. Кроме того, я понимаю, что, вероятно, не существует идеального способа гарантировать это. Наши пользователи не злые, но ленивые. Если я смогу идентифицировать хотя бы 90% пользователей, которые сохраняют пароль, а затем отказывать им в доступе, пока они не исправят его, этого для меня достаточно.
Похожий на Брайан ответ в ЮбиКей имеет низкую стоимость устройства (25 долларов США за одно, меньше оптом) и ЮбиРадиус программное обеспечение бесплатное (они взимают плату только за поддержку). Просто настройте сервер RADIUS и пусть ваш VPN будет использовать его для аутентификации пользователей.
Это будет работать так же, как и токен RSA Secure ID, так что у них есть физическое устройство, которое генерирует одноразовый пароль, и если у них нет устройства с ними, они не могут войти в систему.
Я также использую VPN с Windows Server и RRAS. Я рекомендую использовать CMAK (пакет администрирования диспетчера подключений) для создания установщиков VPN-клиентов. Это не так уж и много работы, и он делает то, что вы хотите - позволяет настраивать параметры экрана VPN и, среди прочего, позволяет удалить возможность сохранения / запоминания пароля пользователя. Я сам это делаю.
CMAK охватывает XP, Vista и Windows 7 (хотя они являются отдельными установщиками, основанными как на архитектуре (32/64-разрядной), так и на версии ОС, и должны создаваться из соответствующей версии сервера, соответствующей каждому клиенту (для XP, Server 2003, Vista будет Server 2008, Windows 7 будет Server 2008 R2). Это несколько неприятно, но после создания они обычно меняются нечасто.
Что касается существующих пользователей, скажите им, чтобы они поддерживали возможность подключения к VPN со своих домашних компьютеров, у вас есть новый клиент VPN, который им нужно начать использовать.
Это не является пуленепробиваемым (пользователь все еще может вручную создать PPTP-соединение в Windows), но это все же улучшение по сравнению с каждым пользователем, имеющим флажок для сохранения пароля прямо перед ним. Это также должно избавить вас от ручной работы, связанной с необходимостью проводить пользователей через настройку нового VPN-соединения каждый раз в будущем. Им просто нужен правильный установщик, введите свое имя пользователя и пароль и подключитесь.
Это не решает проблему с OS X и не является настоящей гарантией, но, по крайней мере, улучшает ситуацию. Я бы подумал об использовании CMAK, если вы придерживаетесь Windows RRAS. Если вы решили перейти на другую технологию, оставьте, пожалуйста, комментарий - мне будет любопытно.
Комментарий uSlackr верен - если вы не контролируете оборудование, нет никаких гарантий.
Строго говоря, это не ответ на ваш вопрос, однако я считаю, что этот альтернативный подход должен быть подходящим решением для вас.
Внедрите систему, которая требует двухфакторной аутентификации для ваших VPN-подключений, используя такое устройство, как RSA secureID.
Пользователь может по-прежнему оставить свой SecureID рядом со своим домашним ПК, но эти устройства обычно требуют ввода ПИН-кода (который пользователь запоминает и не может быть кэширован), а также цифр, отображаемых на устройстве.