我们正在使用 openvpn 来提供从 XP 返回工作的访问权限。我们使用 AD 策略来确保 XP 防火墙在域外时启动,在域内时关闭。使用 openvpn,你最终会得到一个新的网络接口,当你离开域并且 vpn 恢复工作时,XP 会“找到域,但我也在非域网络上,所以防火墙打开”。
但是,我发现我们可以使用 netsh 在 openvpn 接口上完全禁用防火墙:
echo firewall set opmode mode = DISABLE interface = "name of openvpn interface" | netsh
这很棒:这意味着当我们的用户在家/酒店时,他们的防火墙已启动 - 但通过 vpn 进行的远程访问是双向的。
然后出现了 Win7(让我们假装 Vista 不存在——不太难!)。“域”和“其他”的概念已经一去不复返了,现在是“域”、“家庭/工作”和“公共”——而且你不能禁用每个接口的防火墙。它比 XP 复杂得多,顺便说一句,我看到很多家庭用户因此完全禁用了 Win7 防火墙 - 哎呀!
无论如何,我的问题是,如何复制 XP 下的功能?如何编写 Win7 脚本以在 openvpn 接口上完全禁用防火墙,但在其他接口上照常进行?我所追求的最终结果是我们(IS 组、AV 服务器、漏洞扫描仪)可以在他们在酒店/家里/等时远程访问该盒子 - 就像他们在公司 LAN 上一样。我需要一个脚本,因为我使用 GUI 的经验表明,否则我们将需要一个 10 页的屏幕快照文档供我们的帮助台人员使用!
我们拥有自己的 CA,多年来我们一直使用它来创建数百个服务器证书和数千个客户端证书。CA 证书本身是 1024 位,它签署的证书是 1024 位
由于我们与使用的外部证书存在某种关系,赛门铁克一直向我们发送有关“现在更改为 2048 位证书”的电子邮件,这让我很担心。
十月会发生什么?操作系统供应商会推出禁用自己与 1024 位证书交互能力的软件更新吗?如果是这样,我们就会遇到严重的问题,因为我们必须尽快更换数千个证书
为新的 2048 位证书替换客户端证书和 CA 证书本身将是一场手动噩梦。最初,除 Windows 之外的所有平台都必须手动完成(感谢 Microsoft 提供 GPO!),因此此更改是否需要我们也替换 CA,或者让现有的 1024 位 CA 证书签署 2048 位客户端/服务器证书就足够了“解决”这个问题