Fonctionnalités de sécurité VPN

Conteneurs basés sur Hyper-V et VPN

Windows prend en charge différents types de conteneurs Hyper-V, tels que Protection d'application Microsoft Defender et Bac à sable Windows. Lorsque vous utilisez une solution VPN non-Microsoft, les conteneurs Hyper-V peuvent ne pas être en mesure de se connecter en toute transparence à Internet, et des modifications de configuration peuvent être nécessaires pour résoudre les problèmes de connectivité.

Par exemple, consultez la solution de contournement du VPN Cisco AnyConnect : Guide de l’administrateur du client Cisco AnyConnect Secure Mobility : Problèmes de connectivité avec les sous-systèmes basés sur des machines virtuelles.

Filtres de trafic

Les filtres de trafic permettent aux organisations de décider du trafic autorisé dans le réseau d’entreprise en fonction de la stratégie. Les administrateurs informatiques peuvent utiliser des filtres de trafic pour appliquer des règles de pare-feu spécifiques à l’interface VPN.

Il existe deux types de règles de filtre de trafic :

  • Les règles basées sur les applications se composent d’une liste d’applications qui peuvent être marquées pour autoriser uniquement le trafic provenant des applications vers l’interface VPN
  • Les règles basées sur le trafic se composent de stratégies à 5 tuples (ports, adresses, protocole) qui peuvent être spécifiées pour autoriser uniquement le trafic correspondant aux règles à passer par l’interface VPN

Il peut y avoir des ensembles de règles liés par OR. Dans chaque ensemble, il peut y avoir des règles basées sur l’application et des règles basées sur le trafic.
Toutes les propriétés du jeu sont liées par AND. Les règles peuvent être appliquées au niveau de l’application ou de l’appareil.

Par exemple, un administrateur informatique peut définir des règles qui spécifient :

  • Une application RH est autorisée à passer par le VPN et à accéder uniquement au port 4545
  • Les applications Finance sont autorisées à utiliser le VPN et à accéder uniquement aux plages d’adresses IP distantes de 10.10.0.40 à 10.10.0.201 sur le port 5889
  • Toutes les autres applications sur l’appareil peuvent uniquement accéder aux ports 80 ou 443

Configurer des filtres de trafic

Pour la configuration XML, voir Options de profil VPN et Fournisseur de services de configuration (CSP) VPNv2.

L’image suivante montre l’interface permettant de configurer les règles de trafic dans une stratégie de configuration de profil VPN, à l’aide de Microsoft Intune.

Création d’un profil VPN à partir Microsoft Intune centre d’administration.

Verrouillage VPN

Un profil VPN configuré avec verrouillage sécurise l’appareil pour autoriser uniquement le trafic réseau via l’interface VPN. Il présente les fonctionnalités suivantes :

  • Le système tente de toujours maintenir le VPN connecté
  • L’utilisateur ne peut pas déconnecter la connexion VPN
  • L’utilisateur ne peut pas supprimer ou modifier le profil VPN
  • Le profil VPN LockDown utilise une connexion de tunnel forcé
  • Si la connexion VPN n’est pas disponible, le trafic réseau sortant est bloqué
  • Un seul profil VPN LockDown est autorisé sur un appareil

Remarque

Pour le VPN intégré, le VPN lockdown est disponible uniquement pour le type de connexion IKEv2 (Internet Key Exchange version 2).

Attention

Soyez prudent lors du déploiement du VPN lockdown, car la connexion résultante ne pourra pas envoyer ou recevoir de trafic réseau sans que la connexion VPN soit établie.