Recursos de segurança de VPN

Contêineres baseados em Hyper-V e VPN

O Windows dá suporte a diferentes tipos de contêineres baseados em Hyper-V, como Microsoft Defender Application Guard e Área Restrita do Windows. Quando você usa uma solução VPN não Microsoft, os contêineres baseados em Hyper-V podem não ser capazes de se conectar perfeitamente à Internet, e as alterações de configuração podem ser necessárias para resolve problemas de conectividade.

Por exemplo, leia sobre a solução alternativa para Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client Administrator Guide: problemas de conectividade com subsistemas baseados em VM.

Filtros de Tráfego

Os Filtros de Tráfego permitem que as organizações decidam qual tráfego é permitido na rede corporativa com base na política. Os administradores de TI podem usar filtros de tráfego para aplicar regras de firewall específicas da interface à Interface VPN.

Há dois tipos de regras de filtro de tráfego:

  • As regras baseadas em aplicativo consistem em uma lista de aplicativos que podem ser marcados apenas para permitir o tráfego proveniente dos aplicativos para a interface VPN
  • As regras baseadas em tráfego consistem em políticas de 5 tuplas (portas, endereços, protocolo) que podem ser especificadas para permitir apenas que o tráfego correspondente às regras passe pela interface VPN

Pode haver conjuntos de regras vinculadas pelo OR. Em cada conjunto, pode haver regras baseadas em aplicativo e regras baseadas em tráfego.
Todas as propriedades dentro do conjunto são vinculadas por AND. As regras podem ser aplicadas em um nível por aplicativo ou por dispositivo.

Por exemplo, um administrador de TI pode definir regras que especificam:

  • Um aplicativo de RH tem permissão para percorrer a VPN e acessar apenas a porta 4545
  • Os aplicativos finance são permitidos por meio da VPN e acessam apenas os intervalos de IP remotos de 10.10.0.40 - 10.10.0.201 na porta 5889
  • Todos os outros aplicativos no dispositivo só podem acessar as portas 80 ou 443

Configurar filtros de tráfego

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

A imagem a seguir mostra a interface para configurar regras de tráfego em uma política de configuração de perfil vpn, usando Microsoft Intune.

Criação de perfil VPN do Microsoft Intune centro de administração.

VPN de Bloqueio

Um perfil de VPN configurado com Bloqueio garante que o dispositivo permita apenas o tráfego de rede pela interface VPN. Ele possui os seguintes recursos:

  • O sistema tenta sempre manter a VPN conectada
  • O usuário não pode desconectar a conexão VPN
  • O usuário não pode excluir ou modificar o perfil VPN
  • O perfil lockdown vpn usa conexão de túnel forçado
  • Se a conexão VPN não estiver disponível, o tráfego de rede de saída será bloqueado
  • Somente um perfil de Bloqueio vpn é permitido em um dispositivo

Observação

Para VPN interna, a VPN LockDown só está disponível para o tipo de conexão IKEv2 (Internet Key Exchange versão 2).

Cuidado

Tenha cuidado ao implantar a VPN LockDown, pois a conexão resultante não será capaz de enviar ou receber qualquer tráfego de rede sem que a conexão VPN seja estabelecida.