VPN-Sicherheitsfeatures
Hyper-V-basierte Container und VPN
Windows unterstützt verschiedene Arten von Hyper-V-basierten Containern, z. B. Microsoft Defender Application Guard und Windows-Sandbox. Wenn Sie eine nicht von Microsoft stammende VPN-Lösung verwenden, können die Hyper-V-basierten Container möglicherweise keine nahtlose Verbindung mit dem Internet herstellen, und Konfigurationsänderungen sind möglicherweise erforderlich, um Konnektivitätsprobleme zu beheben.
Lesen Sie beispielsweise die Problemumgehung für Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client Administrator Guide: Connectivity issues with VM-based subsystems( Cisco AnyConnect Secure Mobility Client Administrator Guide: Connectivity issues with VM-based subsystems).
Datenverkehrsfilter
Mithilfe von Datenverkehrsfiltern können Organisationen basierend auf der Richtlinie entscheiden, welcher Datenverkehr in das Unternehmensnetzwerk zugelassen wird. IT-Administratoren können Datenverkehrsfilter verwenden, um schnittstellenspezifische Firewallregeln auf die VPN-Schnittstelle anzuwenden.
Es gibt zwei Arten von Datenverkehrsfilterregeln:
- App-basierte Regeln bestehen aus einer Liste von Anwendungen, die so gekennzeichnet werden können, dass nur Datenverkehr von den Apps zur VPN-Schnittstelle zugelassen wird.
- Datenverkehrsbasierte Regeln bestehen aus Fünf-Tupel-Richtlinien (Ports, Adressen, Protokoll), die angegeben werden können, damit nur Datenverkehr, der den Regeln entspricht, über die VPN-Schnittstelle geleitet werden kann.
Es können Regelsätze vorhanden sein, die mit OR verknüpft sind. In jedem Satz können App-basierte Regeln und datenverkehrsbasierte Regeln vorhanden sein.
Alle Eigenschaften innerhalb des Satzes sind durch AND verknüpft. Die Regeln können auf App- oder Geräteebene angewendet werden.
Beispielsweise könnte ein IT-Administrator Regeln definieren, die Folgendes angeben:
- Eine HR-App darf das VPN durchlaufen und nur auf Port 4545 zugreifen.
- Die Finanz-Apps dürfen über das VPN nur auf die Remote-IP-Adressbereiche von 10.10.0.40 bis 10.10.0.201 über Port 5889 zugreifen.
- Alle anderen Apps auf dem Gerät können nur auf die Ports 80 oder 443 zugreifen.
Konfigurieren von Datenverkehrsfiltern
Informationen zur XML-Konfiguration finden Sie unter VPN-Profiloptionen und VPNv2-CSP.
Die folgende Abbildung zeigt die Schnittstelle zum Konfigurieren von Datenverkehrsregeln in einer VPN-Profilkonfigurationsrichtlinie mit Microsoft Intune.
VPN-Sperrmodus
Ein mit Sperrmodus konfiguriertes VPN-Profil schützt das Gerät, indem nur Netzwerkdatenverkehr über die VPN-Schnittstelle zugelassen wird. Es verfügt über die folgenden Features:
- Das System versucht, das VPN immer verbunden zu halten.
- Der Benutzer kann die VPN-Verbindung nicht trennen.
- Der Benutzer kann das VPN-Profil nicht löschen oder ändern.
- Das VPN LockDown-Profil verwendet eine erzwungene Tunnelverbindung.
- Wenn die VPN-Verbindung nicht verfügbar ist, wird ausgehender Netzwerkdatenverkehr blockiert.
- Auf einem Gerät ist nur ein VPN LockDown-Profil zulässig.
Hinweis
Für integriertes VPN ist LockDown-VPN nur für den Verbindungstyp Internet Key Exchange Version 2 (IKEv2) verfügbar.
Achtung
Seien Sie beim Bereitstellen von LockDown-VPN vorsichtig, da die resultierende Verbindung keinen Netzwerkdatenverkehr senden oder empfangen kann, ohne dass die VPN-Verbindung hergestellt wurde.