4 votes

Mene avatar

Refuser l'accès à l'adaptateur réseau dans Windows

Demandé el 3 de Mars, 2012
Quand la question a-t-elle été
1423 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai mis en place un réseau de maintenance via OpenVPN. Cependant, lorsque je me connecte à un ordinateur (par exemple via un bureau à distance) et qu'une autre personne l'utilise en même temps, je dois soit accepter qu'elle puisse accéder au VPN une fois que j'ai établi la connexion, soit la forcer à se déconnecter.

Les deux sont sous-optimaux.

Est-il possible de définir des ACLs sur les NICs ? Ou de désactiver l'accès au réseau pour un certain utilisateur ? J'en ai besoin sur XP et 7, mais une solution qui ne fonctionne que pour l'un d'entre eux est déjà une grosse amélioration.

Demandé el 3 de Mars, 2012 par Mene

Réponses

Trop de publicités?

1voto

S.J. Lim avatar
S.J. Lim Points 123

La réponse courte est non. Il n'y a rien d'intégré dans Windows pour faire cela.

Pourrait-on écrire quelque chose pour le faire ? Absolument. Vous le feriez en écrivant un pilote de périphérique qui accroche les appels Winsock, détermine d'où ils viennent via le propriétaire du processus, et ensuite détermine s'il autorise l'appel à se poursuivre.

Bien sûr, je doute que vous vouliez faire ça. Pour vous rassurer, rien de tel n'existe sur Linux ou OS X non plus. Le problème est que le code réseau se fait généralement via des appels système, et au niveau du noyau, le système d'exploitation n'est pas conscient des "utilisateurs". Si votre code ring 0, vous pouvez faire n'importe quoi.

Répondu el 8 de Mars, 2012 par S.J. Lim (123 Points )

0voto

SecurityMatt avatar
SecurityMatt Points 3110

Malheureusement, les ACL ne peuvent pas être appliquées aux périphériques ou aux parties de la pile réseau telles que les flux TCP/UDP/Raw. Il s'agit d'un problème connu de Windows, et nous espérons qu'il sera résolu dans une prochaine version.

En attendant, le mieux que vous puissiez faire est de prendre le contrôle total de la machine lorsque vous utilisez le VPN, ou de choisir de ne pas utiliser le VPN lorsque quelqu'un d'autre est connecté sur la machine.

Répondu el 5 de Mars, 2012 par SecurityMatt (3110 Points )

0voto

Adam M-W avatar
Adam M-W Points 523

Bien que ce ne soit probablement pas ce que vous souhaitez en raison de l'espace disque supplémentaire élevé, une solution de contournement pourrait consister à exécuter le logiciel VPN et les programmes que vous utilisez qui nécessitent le VPN dans une machine virtuelle fonctionnant en tant qu'utilisateur local, de sorte que vous seul ayez accès à la connexion VPN.

Répondu el 8 de Mars, 2012 par Adam M-W (523 Points )

0voto

Robert avatar
Robert Points 6617

Je vois deux possibilités :

  1. Utilisez une machine virtuelle qui fonctionne dans votre session utilisateur et utilisez cette VM comme client OpenVPN. L'accès réseau au serveur OpenVPN et au réseau cible ne serait alors possible qu'à partir de la VM - donc uniquement par vous.

  2. Une autre possibilité (je ne l'ai pas testée) est d'utiliser le pare-feu de Windows. Si vous utilisez Windows 7, vous pouvez bloquer le trafic réseau vers le réseau OpenVPN en spécifiant sa plage d'adresses IP. Ensuite, vous autorisez explicitement les applications dont vous avez besoin. Bien sûr, ces outils devraient être configurés par des ACL de système de fichiers de manière à ce que vous soyez le seul à pouvoir les exécuter.

Répondu el 9 de Mars, 2012 par Robert (6617 Points )

0voto

LawrenceC avatar
LawrenceC Points 70381

OpenVPN a des fonctions qui vous permettent :

  • utiliser des certificats côté client afin de savoir qui se connecte à l'extrémité du serveur OpenVPN
  • attribuer une adresse IP fixe pour un certificat côté client donné.
  • et d'autres choses basées sur le certificat côté client.

Dans ce cas, vous pouvez délivrer un certificat côté client à l'utilisateur, puis mettre en œuvre des politiques de pare-feu côté serveur et empêcher l'utilisateur d'accéder à des ressources auxquelles il n'a pas besoin d'accéder.

Répondu el 9 de Mars, 2012 par LawrenceC (70381 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X