3. 技术

由于很多人已经熟悉 openVPN，这看起来是个好主意。然而，openVPN 本身并不足够。人们能够工作的最方便方式是能够直接连接到他们已有的桌面。这里的所有用户都运行 Windows XP (tm) 或 Windows 2000 (tm)，这表明 rdesktop 是一个解决方案。但是 rdesktop 无法穿透防火墙，并且我们不会为该流量打开防火墙，因为它太难保障安全。添加 openVPN 可以提高安全性，但在我们的实施范围内会遇到以下问题

1. 我们必须在每个内部桌面和每个外部客户端机器（在家中、网吧或任何地方）上设置 openVPN 服务器，因此这将非常耗费 IT 时间，并且通常为每个用户的单独设置进行设置和工作会很麻烦。
2. 如果您允许直接远程会话（即使通过 openVPN），您会遇到几个潜在的安全风险。
   1. 外部客户端框上的键盘记录器
   2. 通过现在已打开并暴露在互联网上的 VPN 端口直接攻击内部 Windows(tm) 框。
   3. 客户端框上的病毒、间谍软件和其他恶意软件通过已建立的 VPN 连接感染内部工作场所桌面（以及与之连接的任何其他桌面）。
   4. 在组织内多个不安全的桌面上的多个桌面存储私钥。 拥有该密钥访问权限的人（为了建立 VPN 连接，该密钥需要位于内部机器上）可能会允许未经授权的密钥生成。
3. 只有由 IT 服务人员设置的特定外部机器才能连接和使用资源，而实际期望的是授权用户可以从任何地方访问。

为了消除上述安全问题，并使未来的系统维护难度降低，我建议创建一个 Linux Live CD，它可以启动，登录到连接外部和内部网络的 openVPN 服务器，然后使用 rdesktop 自动打开个人的内部桌面。