none
Microsoft VPN: come far richiedere la password a ogni connessione dell'utente (configurazione server) RRS feed

  • Domanda

  • Ciao a tutti,
    ho la necessità di configurare un server di accesso remoto (VPN) su un Windows Server 2008 R2. Il pre-requisito del cliente finale è quello di far si che a ogni connessione sia richiesto all'utente di inserire la sua password. Gli utenti sono utenti di un dominio active directory. La configurazione deve essere fatta server side. Qualcuno di voi sa se si può fare? Se si come? Qualche guida o post che lo spieghi?

    Grazie per il supporto
    Davide

    giovedì 7 giugno 2012 16:09

Risposte

  • Dubito fortemente che sia possibile trovare una soluzione perchè, se anche lato NPS forzo la richiesta della password, lato client, se la password è salvata localmente sul client e rimane sempre la stessa, di fatto, il client fornirà la password al server che gli consentirà di entrare.

    La strada non è questa perchè non esista nulla che rimuova la password sul client se non lo fa quel dipendente nel momento che crea l'accesso vpn.

    L'unica soluzione è utilizzare qualcosa che garantisca l'accesso "one shot" tipo l'uso di un token ma, in ambito Microsoft non c'è nulla che faccia questo, almeno per quanto ne so io mentre di soluzioni di terze parti che usano il token ce ne sono a iosa.

    Forse sarebbe una proposta da fare ai team di sviluppo di Windows Server. ;-)

     

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Davide Vernole venerdì 8 giugno 2012 07:29
    venerdì 8 giugno 2012 07:25
    Moderatore

Tutte le risposte

  • Non capisco...

    Vuoi impedire il salvataggio della password vpn?


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    giovedì 7 giugno 2012 19:04
    Moderatore
  • Ciao Davide, benvenuto ;-)

    di fatto quando configuri un server di dominio come endpoint di una vpn le credenziali sono sempre necessarie per poter ottenere l'accesso che viene verificato su Active Directory tramite quelle che erano RRAS policy ora NPS policy.

    Il punto però è che lato client, quando configuri un accesso vpn, di fatto salvi le credenziali per non doverle ridigitare tutte le volte (esattamente come fai con un account di posta elettronica per evitare di ridigitare la password tutte le volte che consulti la posta).

    E' vero pure che, lato server, l'amministratore può sempre revocare o cambiare la password ad un account di dominio se l'obiettivo è quello di garantire l'immediato blocco di un determinato accesso.

    In sintesi, la richiesta della password tutte le volte (oltre ad essere scomoda) è un'operazione che si può fare agendo solo sui clients configurati utilizzando qualche gabbola stile questa

    http://www.derkeiler.com/Mailing-Lists/securityfocus/focus-ms/2004-08/0057.html

    che ha il limite di non essere molto efficace con utenti un po' esperti.

    Se non era ciò che cercavi, spiega meglio, ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 8 giugno 2012 06:54
    Moderatore
  • Ciao Edo,

    intanto grazie della risposta. Purtroppo sto cercando una soluzione patch a una cattiva abitudine di alcuni dipendenti della società che mi ha chiesto questa cosa. Alcuni dipendenti vanno dai clienti, usano le loro credenziali sui PC dei clienti per collegarsi in VPN. Salvano tali credenziali associandole alla connessione VPN creata e di fatto lasciano in mano al cliente un canale di accesso alla rete aziendale. Prescindo da tutte le considerazioni più che lecite che si possono fare in merito alla scarsa intelligenza di queste persone. Ciò nonostante, se voglio togliermi dalle scatole l'appliance Junniper per far spazio ai prodotti MS devo superare questo limite. Concordo che sia più comodo salvare le credenziali ma non nello scenario che ti descrivevo poco fa. Mi chiedevo non c'è modo di forzare tramite NPS la richiesta delle credenziali ignorando il passaggio delle stesse in modo automatico? Tempo fa avevo chiesto la stessa cosa a Pier Giorgio Malusardi e mi aveva detto che si poteva fare. Non mi ha più mandato i link alla documentazione per farlo e non riesco più a contattarlo (per i motivi che si sanno). Per questo ho pensato di provare qui.

    Se riuscite a trovare una soluzione mi aiutate a scalzare Junniper ;-)

    P.S.
    La strada dell'impostazione client non è una strada perseguibile.

    venerdì 8 giugno 2012 07:13
  • Dubito fortemente che sia possibile trovare una soluzione perchè, se anche lato NPS forzo la richiesta della password, lato client, se la password è salvata localmente sul client e rimane sempre la stessa, di fatto, il client fornirà la password al server che gli consentirà di entrare.

    La strada non è questa perchè non esista nulla che rimuova la password sul client se non lo fa quel dipendente nel momento che crea l'accesso vpn.

    L'unica soluzione è utilizzare qualcosa che garantisca l'accesso "one shot" tipo l'uso di un token ma, in ambito Microsoft non c'è nulla che faccia questo, almeno per quanto ne so io mentre di soluzioni di terze parti che usano il token ce ne sono a iosa.

    Forse sarebbe una proposta da fare ai team di sviluppo di Windows Server. ;-)

     

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Davide Vernole venerdì 8 giugno 2012 07:29
    venerdì 8 giugno 2012 07:25
    Moderatore
  • Ciao Edo,

    ok ne prendo atto e lascio che il cliente si tenga Junniper ;-)


    Davide

    venerdì 8 giugno 2012 07:29
  • grazie del feedback, ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 8 giugno 2012 07:53
    Moderatore
  • Una soluzione MS potrebbe essere usare OTP

    http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-add-two-factor-authentication-to-nps

    La siscurezza aumenta, ma le cose si complicano... :)

    Ciao Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    venerdì 8 giugno 2012 08:52
    Moderatore