Modification du profil de réseau Windows de «DomainAuthenticated» à Public

J'ai un domaine joint à Windows Server 2012 R2 sur lequel est installé le logiciel client OpenVPN 2.3.13. Lorsque la connexion VPN est active, la connexion "Ethernet 2" (interface TAP) est placée dans la catégorie Réseau de domaine aux côtés de la carte réseau LAN principale par NLA. Idéalement, je veux pouvoir attribuer l'interface VPN à la catégorie Public. J'ai essayé via PowerShell, mais obtenez constamment cette erreur:

Impossible de définir NetworkCategory pour l'une des raisons possibles suivantes: ne pas exécuter PowerShell elevated; la NetworkCategory ne peut pas être modifiée de «DomainAuthenticated»; les modifications de NetworkCategory initiées par l'utilisateur sont empêchées en raison du paramètre de stratégie de groupe «Stratégies de gestionnaire de liste de réseaux». À la ligne: 1 caractère: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 est le numéro d'interface de "Ethernet 2"

Il convient de noter que j'exécute cette commande dans une session PowerShell élevée et que j'ai essayé toutes les stratégies GPO disponibles, mais l'erreur est constamment levée. La plupart des informations sur NLA suggèrent que le basculement entre privé et public devrait fonctionner, mais DomainAuthenicated semble un peu différent.

La méthode de registre n'a pas de profil réel pour Ethernet 2, elle ne peut donc pas être modifiée de cette façon non plus.

Est-il possible de forcer l'adaptateur TAP à être public? La connexion OpenVPN elle-même ne remplace pas la passerelle par défaut de la carte réseau principale et utilise le sous-réseau 10.0.0.0/8. Le fait que j'utilise route-nopullet remplace les routes peut être une partie du problème avec la façon dont NLA détecte les réseaux.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

La raison principale de devoir attribuer le profil public est pour les règles de pare-feu, j'ai du mal à empêcher certaines applications d'utiliser uniquement l'interface VPN, être capable d'écrire des règles de pare-feu basées sur le profil réseau semble fonctionner mieux dans ce cas, j'ai essayé écrire des règles basées sur l'adresse IP locale mais cela n'a pas fonctionné.

— James White
source

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

- Cela semblerait impliquer que les modifications initiées par l'utilisateur sont empêchées via la stratégie de groupe. Afin d'autoriser les modifications initiées par l'utilisateur, l'objet de stratégie de groupe doit être configuré pour autoriser cela. Avez-vous localisé le domaine GP où il est configuré?

— joeqwerty

@joeqwerty J'ai examiné le GPO localement et via le domaine dans Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies du gestionnaire de liste de réseaux, aucun des paramètres ne permet le changement.

— James White

Il semble que votre compte élevé ne dispose pas du droit de modifier la catégorie réseau. Vous devrez peut-être l'ajouter ou supprimer / assouplir une restriction. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Mais il semble que vous ne pouvez définir les objets d'autorisation utilisateur que pour les réseaux «non identifiés».

— Xalorous

Aussi,

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

n'est-ce pas là tout l'intérêt du VPN? Si vous souhaitez augmenter la sécurité des utilisateurs VPN, définissez leurs paramètres plus haut dans la DomainAuthenticatedcatégorie, et encore plus haut dans Public.

— Xalorous

J'ai essayé de modifier cet objet de stratégie de groupe, il ne permet toujours pas le changement, à la fois localement et via la stratégie de domaine et en cours d'exécution, gpupdate /forceje ne peux pas contourner cette erreur, quels que soient les paramètres que je modifie.

— James White

Réponses:

Ce qui suit utilisera WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— Tim Haintz
source

Désolé, j'ai la même erreur. Il s'agit de l'erreur si vous essayez de la définir sur DomainAuthenticated.

— Tim Haintz

Set-CimInstance: impossible de définir NetworkCategory sur «DomainAuthenticated». Ce type NetworkCategory sera défini automatiquement lors de l'authentification sur un réseau de domaine. À la ligne: 1 caractère: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Définir -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— Tim Haintz

Malheureusement, je reçois toujours la même erreur en ce qui concerne les stratégies de domaine bloquant la modification, car j'exécute en tant qu'administrateur PowerShell comme auparavant. Dans ce cas, j'essaie d'éloigner Ethernet 2 de la définition de DomainAuthenicated, mais il semble que dans mon cas, cela soit forcé et ne puisse pas être modifié.

— James White

@Pandorica, comme vous l'avez mentionné, il semble qu'une fois que vous avez rejoint un domaine, NetworkCategory est verrouillé dans DomainAuthenticated.

— Tim Haintz

J'ai également rencontré cet article dans mes recherches. Dans la plupart des cas, cependant, cela semble être l'inverse de ce que j'essaie de réaliser, en passant de plutôt qu'à DomainAuthenicated. Je vais peut-être devoir accepter que ce n'est probablement pas possible.

— James White

Supprimer les adresses de l'adaptateur «public» de la liste des adresses d'écoute de votre serveur DNS ferait l'affaire.

— Edu Schol
source

Consultez la troisième option "Utilisation du pare-feu" sur cette page: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Vous pouvez empêcher le profil de réseau DomainAuthenticated en utilisant le pare-feu Windows pour créer une règle sortante pour bloquer le service Windows "Network Location Awareness". Assurez-vous de spécifier l'adresse IP locale de l'adaptateur VPN dans la règle afin qu'elle n'affecte pas les autres adaptateurs. L'adaptateur VPN doit maintenant être classé comme profil de réseau "public".

— user474264
source