Negar acesso ao adaptador de rede no Windows

Eu configurei uma rede de manutenção via OpenVPN. No entanto, quando eu faço login em um computador (por exemplo, através da área de trabalho remota) e outra pessoa o está usando ao mesmo tempo, aceito que ela pode acessar a VPN assim que estabeleço a conexão ou preciso forçá-la a sair.

Ambos são sub-ótimos.

É possível definir ACLs para NICs? Ou de outra forma desabilitar o acesso à rede para um determinado usuário? Eu preciso disso no XP e no 7, mas uma solução que só funciona para um deles já é um grande aprimoramento.

A resposta curta é não. Não há nada embutido no Windows para fazer isso.

Poderia algo ser escrito para fazer isso? Absolutamente. Você faria isso escrevendo um driver de dispositivo que ligasse as chamadas winsock, determinasse de onde elas vinham através do proprietário do processo e determinasse se elas permitiriam que a chamada prosseguisse.

Claro, duvido que você queira fazer isso. Apenas para fazer você se sentir melhor, nada disso está no Linux ou no OS X. O problema é que o código de rede geralmente é feito por meio de chamadas do sistema e, no nível do kernel, o sistema operacional não está ciente dos "usuários". Se o seu anel de código 0, você pode fazer qualquer coisa.

Infelizmente, as ACLs não podem ser aplicadas a dispositivos ou partes da pilha da Rede, como fluxos TCP / UDP / Raw. Este é um problema conhecido no Windows e, esperamos, será abordado em uma versão futura.

Enquanto isso, o melhor que você pode fazer é assumir o controle total da caixa enquanto estiver usando a VPN ou optar por não usar a VPN quando outra pessoa estiver conectada na máquina.

Embora isso provavelmente não seja o que você deseja devido à alta sobrecarga de espaço em disco, uma alternativa poderia ser executar o software e os programas VPN que você usa que exigem a VPN em uma máquina virtual executando como seu usuário local, para que somente você ter acesso à conexão VPN.

Eu vejo duas possibilidades:

1. Use uma máquina virtual que seja executada em sua sessão de usuário e use essa VM como cliente OpenVPN. O acesso de rede ao servidor OpenVPN e à rede de destino só seria possível a partir da VM - portanto, apenas por você.

2. Outra possibilidade pode ser (não ter testado) para usar o Firewall do Windows. Caso você esteja usando o Windows 7, poderá bloquear o tráfego de rede para a rede OpenVPN, especificando seu intervalo de IP. Depois disso, você permite explicitamente esses aplicativos necessários. É claro que essas ferramentas teriam que ser configuradas por ACLs de sistema de arquivos de uma maneira que só você pode executá-las.

O OpenVPN possui recursos que permitem:

• usar certificados do lado do cliente para saber quem está se conectando ao final do servidor OpenVPN
• atribuir um endereço IP fixo para um dado certificado do lado do cliente.
• e outras coisas com base no certificado do lado do cliente.

Sendo assim, você pode fornecer um certificado do lado do cliente para o usuário e, em seguida, implementar políticas de firewall no lado do servidor e impedir que o usuário acesse recursos que não precisam acessar.