Compartilhar via

Recursos de segurança de VPN

Contentores e VPN baseados em Hyper-V

O Windows suporta diferentes tipos de contentores baseados em Hyper-V, como Microsoft Defender Application Guard e Área Restrita do Windows. Quando utiliza uma solução de VPN não Microsoft, os contentores baseados em Hyper-V poderão não conseguir ligar-se facilmente à Internet e poderão ser necessárias alterações de configuração para resolve problemas de conectividade.

Por exemplo, leia sobre a solução para o Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client Administrator Guide: Connectivity issues with VM-based subsystems (Guia do Administrador do Cliente de Mobilidade Segura Cisco AnyConnect: Problemas de conectividade com subsistemas baseados em VMs).

Filtros de Tráfego

Os Filtros de Tráfego permitem às organizações decidir que tráfego é permitido para a rede empresarial com base na política. Os administradores de TI podem utilizar Filtros de Tráfego para aplicar regras de firewall específicas da interface à Interface de VPN.

Existem dois tipos de regras de Filtro de Tráfego:

  • As regras baseadas na aplicação consistem numa lista de aplicações que podem ser marcadas para permitir apenas o tráfego proveniente das aplicações para a interface VPN
  • As regras baseadas no tráfego consistem em políticas de 5 cadeias de identificação (portas, endereços, protocolo) que podem ser especificadas para permitir apenas que o tráfego correspondente às regras percorra a interface VPN

Podem existir conjuntos de regras ligadas por OU. Em cada conjunto, podem existir regras baseadas em aplicações e regras baseadas no tráfego.
Todas as propriedades dentro do conjunto estão ligadas por E. As regras podem ser aplicadas ao nível por aplicação ou por dispositivo.

Por exemplo, um administrador de TI pode definir regras que especifiquem:

  • Uma Aplicação de RH tem permissão para passar pela VPN e aceder apenas à porta 4545
  • As aplicações Finanças podem passar pela VPN e aceder apenas aos intervalos de IP Remoto de 10.10.0.40 - 10.10.0.201 na porta 5889
  • Todas as outras aplicações no dispositivo só podem aceder às portas 80 ou 443

Configurar filtros de tráfego

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

A imagem seguinte mostra a interface para configurar as regras de tráfego numa política de configuração do Perfil VPN com Microsoft Intune.

Criação de perfis VPN a partir de Microsoft Intune centro de administração.

VPN de Bloqueio

Um perfil de VPN configurado com Bloqueio garante que o dispositivo permita apenas o tráfego de rede pela interface VPN. Ele possui os seguintes recursos:

  • O sistema tenta manter sempre a VPN ligada
  • O utilizador não consegue desligar a ligação VPN
  • O utilizador não pode eliminar ou modificar o perfil VPN
  • O perfil VPN LockDown utiliza a ligação de túnel forçado
  • Se a ligação VPN não estiver disponível, o tráfego de rede de saída será bloqueado
  • Só é permitido um perfil VPN LockDown num dispositivo

Observação

Para VPN incorporada, a VPN LockDown só está disponível para o tipo de ligação Internet Key Exchange versão 2 (IKEv2).

Cuidado

Tenha cuidado ao implementar a VPN LockDown, uma vez que a ligação resultante não poderá enviar ou receber qualquer tráfego de rede sem que a ligação VPN seja estabelecida.