Alterando o perfil de rede do Windows de "DomainAuthenticated" para Public

Eu tenho um domínio ingressado na caixa do Windows Server 2012 R2 que possui o software cliente OpenVPN 2.3.13 instalado. Quando a conexão VPN está ativa, a conexão "Ethernet 2" (interface TAP) é colocada na categoria Rede de Domínio, ao lado da NIC da LAN principal da NLA. Idealmente, quero poder atribuir a interface VPN à categoria Pública. Eu tentei via PowerShell, mas receba esse erro constantemente:

Não foi possível definir a Categoria da Rede devido a um dos seguintes motivos possíveis: não executando o PowerShell elevado; a NetworkCategory não pode ser alterada de 'DomainAuthenticated'; as alterações iniciadas pelo usuário em NetworkCategory estão sendo evitadas devido à configuração de Diretiva de Grupo 'Diretivas do Gerenciador de Lista de Rede'. Na linha: 1 char: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 é o número da interface "Ethernet 2"

É importante notar que estou executando este comando em uma sessão elevada do PowerShell e tentei todas as políticas de GPO disponíveis, mas o erro é constantemente gerado. A maioria das informações sobre o NLA sugere que a alternância entre Privado e Público deve funcionar, mas o DomainAuthenicated parece um pouco diferente.

O método de registro não possui um perfil real para Ethernet 2, portanto também não pode ser alterado dessa maneira.

Existe alguma maneira de forçar o adaptador TAP a ser Público? A conexão OpenVPN em si não substitui o gateway padrão da NIC principal e usa a sub-rede 10.0.0.0/8. O fato de eu usar route-nopulle substituir as rotas pode fazer parte do problema com a maneira como o NLA detecta as redes.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

O principal motivo para a necessidade de atribuir o perfil Público é por regras de firewall. Estou com problemas para impedir que certos aplicativos usem apenas a interface VPN. Ser capaz de escrever regras de firewall baseadas em perfil de rede parece funcionar melhor nesse caso. Tentei escrever regras com base no endereço IP local, mas isso não funcionou.

— James White
fonte

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

- Isso parece implicar que as alterações iniciadas pelo usuário são impedidas por meio da Diretiva de Grupo. Para permitir alterações iniciadas pelo usuário, o GPO precisa ser configurado para permitir isso. Você localizou o domínio GP onde está configurado?

— joeqwerty

@joeqwerty Analisei o GPO localmente e via domínio em Políticas do Gerenciador de Listas de Configurações do Computador / Configurações do Windows / Configurações de Segurança / Rede, nenhuma das configurações permite a alteração.

— James White

Parece que falta à sua conta elevada o direito de alterar a categoria NetworkC. Pode ser necessário adicionar ou remover / relaxar uma restrição. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Mas parece que você só pode definir os objetos de permissão do usuário para redes 'não identificadas'.

— Xalorous

Além disso,

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

esse não é o objetivo da VPN? Se você deseja aumentar a segurança dos usuários da VPN, defina as configurações mais altas na DomainAuthenticatedcategoria e ainda mais Public.

— Xalorous

Eu tentei modificar esse GPO, que ainda não permite a alteração, localmente e por meio da diretiva de domínio e em execução gpupdate /force. Não consigo contornar esse erro, independentemente das configurações que eu altero.

— James White

Respostas:

O abaixo usará WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— Tim Haintz
fonte

Desculpe, obtive o mesmo erro. Este é o erro se você tentar defini-lo como DomainAuthenticated.

— Tim Haintz

Set-CimInstance: Não foi possível definir NetworkCategory como 'DomainAuthenticated'. Esse tipo de categoria de rede será definido automaticamente quando autenticado em uma rede de domínio. Na linha: 1 caractere: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Set -C imInstance], CimException + FullyQualifiedErrorId: MI RESULTADO 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— Tim Haintz

Infelizmente, ainda recebo o mesmo erro em relação às políticas de domínio que estão bloqueando a alteração, pois estou executando como Administrador do PowerShell como antes. Nesse caso, estou tentando afastar a Ethernet 2 de ser definida como DomainAuthenicated, mas parece que, no meu caso, isso é forçado e não pode ser alterado.

— James White

@ Pandorica, como você mencionou, parece que depois que você ingressa em um domínio, o NetworkCategory fica bloqueado no DomainAuthenticated.

— Tim Haintz

Encontrei esse artigo em minhas pesquisas também. Na maioria dos casos, no entanto, parece ser o inverso do que estou tentando alcançar, alternando entre e não para DomainAuthenicated. Talvez eu tenha que aceitar que provavelmente não é possível.

— James White

Remover os endereços do adaptador 'público' da lista de endereços de escuta do servidor DNS faria o truque.

— Edu Schol
fonte

Revise a terceira opção "Usando o firewall" nesta página: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Você pode impedir o perfil de rede autenticado pelo domínio usando o Firewall do Windows para criar uma regra de saída para bloquear o serviço "Reconhecimento do local de rede" do serviço do Windows. Certifique-se de especificar o IP local do adaptador VPN na regra para que não afete outros adaptadores. O adaptador VPN agora deve ser classificado como perfil de rede "Público".

— user474264
fonte