Работа в сети Windows 10 Pro: предоставление пользователям удаленного доступа к программному обеспечению учета на ноутбуке; вопросы безопасности и концептуальные вопросы перед тестированием

Question

Я опубликовал два вопроса о ситуации, описанной в заголовке в прошлом месяце. Несмотря на то, что они были в конечном итоге помечены как «слишком широкие», закрыты и удалены, предварительные комментарии были чрезвычайно полезны в решении довольно сложной проблемы. (На самом деле, так были все многообещающие результаты поиска). Ради потомков я хотел снова опубликовать свой вопрос (надеюсь, используя больше канонического языка, чтобы не нарушать стандарт сообщества по конкретности) вместе с обоими решениями, которые я нашел.

Ситуация: пользователям в двух разных городах, использующих ноутбуки с Windows 10 Pro за стандартными сетевыми установками для высокоскоростного интернета / маршрутизатора, требуется свободный доступ к приложению базы данных учета, установленному в настоящее время на одном из компьютеров.

Ограничения: решения не могут требовать какого-либо нового оборудования или покупки какого-либо нового программного обеспечения; Более того, поскольку я буду администрировать любую систему, которая будет внедрена, она должна быть достаточно простой, чтобы ее поддерживал тот, чей опыт работы в области сетевых технологий ограничен внимательным прочтением темы «все в одном для чайников».

Вопрос: поскольку, если бы ноутбуки находились в локальной сети вместе, простое сопоставление общего диска с ноутбука, на котором запущено приложение учета, на другой, обеспечивало бы одновременный доступ (идеальная ситуация) к системе учета, которая изначально поддерживает несколько пользователей, Создание VPN, которая будет имитировать такое подключение к локальной сети, а затем подключать диск как обычно, кажется хорошей первой попыткой. Поскольку финансовые данные будут передаваться, безопасность является главной заботой: прежде чем я попытаюсь что-либо протестировать, что будет включать в себя переадресацию портов на одном из маршрутизаторов и, следовательно, очевидную угрозу безопасности, что мне нужно знать о выборе, установке и тестировании VPN программное обеспечение заблаговременно, чтобы предотвратить чрезмерное воздействие во время обучения на практике?

РЕДАКТИРОВАТЬ.

Другой вопрос: предположим, что я установил VPN-подключение и подключил диск, но приложение учета работает слишком медленно при одновременном доступе; Поскольку приложение является просто базой данных и предназначено для установки на сервере, я подозреваю, что проблема заключается в том, что оно было установлено на ноутбуке с Windows 10 Pro несколько лет назад. Я ничего не могу поделать с оборудованием или операционной системой на этом компьютере, поэтому мне нужен более быстрый способ безопасного подключения. Хотя изначально RDP предназначался для задач сетевого администрирования, он представляется возможным решением, поскольку он изначально работает с операционными системами и имеет механизм предотвращения одновременного доступа к системе. Итак, я задаю аналогичный вопрос выше, но о RDP вместо VPN: что мне нужно знать, чтобы безопасно начать тестирование?

Answer 1

Re: # 1. Собственное серверное приложение Windows 10 Pro VPN считается небезопасным для подключения компьютеров, обменивающихся финансовыми данными. openVPN считается безопасным (а также стандартным решением этой проблемы!) и, конечно, "открытым" для использования. Кроме того, последние версии распространяются вместе с установщиком Windows и графическим интерфейсом Windows, что делает его жизнеспособным решением для основных пользователей Windows, если человеку, который его настраивает, удобно работать с командной строкой и пакетными файлами.

openVPN использует определенный порт для установления зашифрованного соединения между компьютерами; открытие этого порта на главном маршрутизаторе не является небезопасным. openVPN допускает простые соединения типа «точка-точка» со статическим ключом, и их настройка относительно проста. В этой ситуации это все, что требуется. Во время тестирования вы можете использовать динамические IP-адреса, выданные интернет-провайдером каждого пользователя ноутбука. Но, чтобы все было стабильно для обычных пользователей, нужно будет использовать бесплатный сервис, такой как no-ip. Обратите внимание, что тестирование VPN или даже просто отсутствие ip в то время как позади маршрутизатора хоста даст плохие результаты!

Re: № 2. Сам RDP небезопасен для использования через Интернет: пересылка порта RDP на хост-маршрутизаторе чрезвычайно опасна. Но, поскольку у вас уже есть VPN-соединение, в этом нет необходимости: при подключении к VPN, предполагая, что пользователи могут координировать свое использование хост-ноутбука, используйте RDP от клиента к серверу. Поскольку доступ к аппаратному обеспечению / операционной системе является единичным с RDP, он должен быть намного быстрее.

Однако обратите внимание, что в этой ситуации для клиента клиента должна быть создана отдельная учетная запись на хост-ноутбуке. Настройте разрешения настолько строго, насколько это возможно, чтобы пользователь клиента не мог повредить хост. На самом деле, даже если вы просто подключаете диск через VPN, как в ситуации # 1, вам следует рассмотреть возможность создания отдельной учетной записи пользователя на хост-ноутбуке для пользователя клиента, поскольку тогда они смогут ввести эти учетные данные при попытке исследовать подключенный диск (аналогично, вы можете ограничить разрешения для этого пользователя, поэтому, если они попытаются исследовать другие места на хост-ноутбуке, они увидят только то, что допустимо, учитывая их регистрационную информацию).