VPN-Sicherheitsfeatures

Hyper-V-basierte Container und VPN

Windows unterstützt verschiedene Arten von Hyper-V-basierten Containern, z. B. Microsoft Defender Application Guard und Windows-Sandbox. Wenn Sie eine nicht von Microsoft stammende VPN-Lösung verwenden, können die Hyper-V-basierten Container möglicherweise keine nahtlose Verbindung mit dem Internet herstellen, und Konfigurationsänderungen sind möglicherweise erforderlich, um Konnektivitätsprobleme zu beheben.

Lesen Sie beispielsweise die Problemumgehung für Cisco AnyConnect VPN: Cisco AnyConnect Secure Mobility Client Administrator Guide: Connectivity issues with VM-based subsystems( Cisco AnyConnect Secure Mobility Client Administrator Guide: Connectivity issues with VM-based subsystems).

Datenverkehrsfilter

Mithilfe von Datenverkehrsfiltern können Organisationen basierend auf der Richtlinie entscheiden, welcher Datenverkehr in das Unternehmensnetzwerk zugelassen wird. IT-Administratoren können Datenverkehrsfilter verwenden, um schnittstellenspezifische Firewallregeln auf die VPN-Schnittstelle anzuwenden.

Es gibt zwei Arten von Datenverkehrsfilterregeln:

  • App-basierte Regeln bestehen aus einer Liste von Anwendungen, die so gekennzeichnet werden können, dass nur Datenverkehr von den Apps zur VPN-Schnittstelle zugelassen wird.
  • Datenverkehrsbasierte Regeln bestehen aus Fünf-Tupel-Richtlinien (Ports, Adressen, Protokoll), die angegeben werden können, damit nur Datenverkehr, der den Regeln entspricht, über die VPN-Schnittstelle geleitet werden kann.

Es können Regelsätze vorhanden sein, die mit OR verknüpft sind. In jedem Satz können App-basierte Regeln und datenverkehrsbasierte Regeln vorhanden sein.
Alle Eigenschaften innerhalb des Satzes sind durch AND verknüpft. Die Regeln können auf App- oder Geräteebene angewendet werden.

Beispielsweise könnte ein IT-Administrator Regeln definieren, die Folgendes angeben:

  • Eine HR-App darf das VPN durchlaufen und nur auf Port 4545 zugreifen.
  • Die Finanz-Apps dürfen über das VPN nur auf die Remote-IP-Adressbereiche von 10.10.0.40 bis 10.10.0.201 über Port 5889 zugreifen.
  • Alle anderen Apps auf dem Gerät können nur auf die Ports 80 oder 443 zugreifen.

Konfigurieren von Datenverkehrsfiltern

Informationen zur XML-Konfiguration finden Sie unter VPN-Profiloptionen und VPNv2-CSP.

Die folgende Abbildung zeigt die Schnittstelle zum Konfigurieren von Datenverkehrsregeln in einer VPN-Profilkonfigurationsrichtlinie mit Microsoft Intune.

VPN-Profilerstellung über Microsoft Intune Admin Center.

VPN-Sperrmodus

Ein mit Sperrmodus konfiguriertes VPN-Profil schützt das Gerät, indem nur Netzwerkdatenverkehr über die VPN-Schnittstelle zugelassen wird. Es verfügt über die folgenden Features:

  • Das System versucht, das VPN immer verbunden zu halten.
  • Der Benutzer kann die VPN-Verbindung nicht trennen.
  • Der Benutzer kann das VPN-Profil nicht löschen oder ändern.
  • Das VPN LockDown-Profil verwendet eine erzwungene Tunnelverbindung.
  • Wenn die VPN-Verbindung nicht verfügbar ist, wird ausgehender Netzwerkdatenverkehr blockiert.
  • Auf einem Gerät ist nur ein VPN LockDown-Profil zulässig.

Hinweis

Für integriertes VPN ist LockDown-VPN nur für den Verbindungstyp Internet Key Exchange Version 2 (IKEv2) verfügbar.

Achtung

Seien Sie beim Bereitstellen von LockDown-VPN vorsichtig, da die resultierende Verbindung keinen Netzwerkdatenverkehr senden oder empfangen kann, ohne dass die VPN-Verbindung hergestellt wurde.