Убедитесь, что виртуальная машина HyperV использует только частную сеть с использованием GPO.
Разработчики в моей организации хотели бы размещать виртуальные машины разработки на своих рабочих станциях. Им нужен полный контроль над виртуальной машиной. Это противоречит политике компании.
Разрешение таким машинам доступа к сети компании противоречит политике компании.
Есть ли способ заставить хост HyperV использовать только частные сети, чтобы система безопасности разрешила такие виртуальные машины? Например, с использованием объектов групповой политики?
Я бы решил это на уровне сети, а не с помощью объектов групповой политики, вместе с некоторыми рекомендациями для ваших разработчиков. Я предпочитаю этот метод вместо того, чтобы снабжать рабочие станции несколькими виртуальными локальными сетями на своих сетевых линиях.
Общие шаги будут следующими:
- Порты коммутатора для рабочих станций будут настроены так, чтобы разрешать только один MAC на каждый порт коммутатора.
- Коммутатор Для портов будет включена фиксация MAC-адресов и установлена на надлежащее длительное время, так что разрешенный MAC - это тот, который компьютер впервые представляет при загрузке.
- Сообщите своим разработчикам об этой настройке с инструкциями, которые помогут им настроить частный виртуализированный HyperV сеть на своей машине, чтобы она не пыталась получить доступ к внешним ресурсам.
Если у вас есть оборудование Cisco Catalyst для частей моей рекомендации, связанных с MAC, вы должны сделать это следующим образом:
- Скопируйте cisco- Desktop Macro Smartport на новый , назовите это как-то вроде lockdown-desktop. При создании нового макроса добавьте к нему " MAC-адрес безопасности порта коммутатора ".
- Примените макрос к портам коммутатора ваших разработчиков.