Recursos de segurança de VPN

Contêineres baseados em Hyper-V e VPN

O Windows dá suporte a diferentes tipos de contêineres baseados em Hyper-V. Esse suporte inclui, mas não se limita a, Microsoft Defender Application Guard e Área Restrita do Windows. Quando você usa soluções VPN de terceiros, esses contêineres baseados em Hyper-V podem não ser capazes de se conectar perfeitamente à Internet. Alterações de configuração adicionais podem ser necessárias para resolver problemas de conectividade.

Por exemplo, para obter mais informações sobre uma solução alternativa para a VPN Cisco AnyConnect, consulte Cisco AnyConnect Secure Mobility Client Administrator Guide: problemas de conectividade com subsistemas baseados em VM.

Integração da Proteção de Informações do Windows (WIP) com a VPN

O Windows Proteção de Informações fornece recursos que permitem a separação e a proteção dos dados corporativos contra a divulgação em dispositivos da empresa e de propriedade pessoal, sem exigir alterações adicionais nos ambientes ou nos próprios aplicativos. Além disso, quando usada com o RMS (Rights Management Services), a WIP pode ajudar a proteger dados corporativos localmente.

O nó EdpModeId no CSP (Provedor de Serviços de Configuração VPNv2) permite que um cliente VPN Windows 10 ou Windows 11 se integre ao WIP, estendendo sua funcionalidade para dispositivos remotos. Os cenários de caso de uso da WIP incluem:

  • Funcionalidade básica: criptografia de arquivos e bloqueio de acesso a arquivos
  • Imposição da política de experiência do usuário: restringir operações de copiar/colar, arrastar e soltar e compartilhamento
  • Imposição da política de rede da WIP: proteger os recursos de intranet via rede corporativa e VPN
  • Imposição da política de rede: proteger recursos de nuvem do SMB e da Internet via rede corporativa e VPN

O valor de EdpModeId é uma ID de empresa. A pilha de rede procurará essa ID no token do aplicativo para determinar se deve a VPN deve ser disparada para esse aplicativo específico.

Além disso, ao se conectar com a WIP, o administrador não precisa especificar as regras AppTriggerList e TrafficFilterList separadamente nesse perfil (a menos que uma configuração mais avançada seja necessária) porque as políticas da WIP e as listas de aplicativos entram em vigor automaticamente.

Saiba mais sobre a Proteção de Informações do Windows

Filtros de Tráfego

Os filtros de tráfego dão a empresas a possibilidade de decidir qual tráfego é permitido na rede corporativa baseada em política. Os administradores de rede podem usar filtros de tráfego para adicionar efetivamente regras de firewall específicas da interface na Interface VPN. Há dois tipos de regras de filtro de tráfego:

  • Regras baseadas em aplicativo. Com regras baseadas em aplicativo, uma lista de aplicativos pode ser marcada para permitir que apenas o tráfego proveniente desses aplicativos acesse a interface VPN.
  • Regras baseadas em tráfego. As regras baseadas em tráfego são políticas de 5 tuplas (portas, endereços, protocolo) que podem ser especificadas para permitir que apenas o tráfego correspondente a essas regras examine a interface VPN.

Talvez haja vários conjuntos de regras vinculados por OU. Em cada conjunto, talvez haja regras baseadas em aplicativo e regras baseadas em tráfego. Todas as propriedades no conjunto serão vinculadas por E. Além disso, essas regras podem ser aplicadas por aplicativo ou por dispositivo.

Por exemplo, um administrador pode definir regras que especifiquem:

  • O aplicativo Contoso HR deve ter permissão para passar pela VPN e acessar somente a porta 4545.
  • Os aplicativos financeiros da Contoso têm permissão para acessar a VPN e acessar apenas os intervalos de IP remotos de 10.10.0.40 - 10.10.0.201 na porta 5889.
  • Todos os outros aplicativos no dispositivo devem ser capazes de acessar somente as portas 80 ou 443.

Configurar filtros de tráfego

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

A imagem a seguir mostra a interface para configurar regras de tráfego em uma política de configuração de perfil vpn, usando Microsoft Intune.

Adicione uma regra de tráfego.

VPN de Bloqueio

Um perfil de VPN configurado com Bloqueio garante que o dispositivo permita apenas o tráfego de rede pela interface VPN. Ele possui os seguintes recursos:

  • O sistema tenta manter a VPN conectada em todos os momentos.
  • O usuário não pode desconectar a conexão VPN.
  • O usuário não pode excluir ou modificar o perfil da VPN.
  • O perfil de VPN de Bloqueio usa conexão de encapsulamento forçada.
  • Se a conexão VPN não estiver disponível, o tráfego de rede de saída será bloqueado.
  • Somente um perfil de VPN de Bloqueio é permitido em um dispositivo.

Observação

Para VPN interna, a VPN LockDown só está disponível para o tipo de conexão IKEv2 (Internet Key Exchange versão 2).

Implante esse recurso com cuidado, pois a conexão resultante não será capaz de enviar ou receber qualquer tráfego de rede sem que a VPN esteja conectada.

Tópicos relacionados