我所在组织的开发人员希望在他们的工作站上托管开发虚拟机。他们希望完全控制虚拟机。
允许此类机器访问公司网络违反公司政策。
有没有办法强制 HyperV 主机仅使用专用网络,以便安全部门允许此类虚拟机?例如使用 GPO?
答案1
我会在网络层面解决这个问题,而不是使用 GPO,同时为开发人员提供一些指导。我更喜欢这种方法,而不是在网络线路上为工作站提供多个 VLAN。
一般步骤如下:
- 工作站的交换机端口将配置为每个交换机端口仅允许一个 MAC。
- 交换机端口将启用 MAC 粘性并设置适当的时间,以便允许的 MAC 是计算机启动时首次显示的 MAC。
- 将此设置告知您的开发人员,并提供说明帮助他们在其机器上配置私有 HyperV 虚拟化网络,以便它不会试图访问外部资源。
如果您拥有用于我建议的 MAC 相关部分的 Cisco Catalyst 设备,您可以按照以下步骤操作:
- 将默认的 cisco-desktop Smartport Macro 复制到一个新的,将其命名为类似lockdown-desktop的名称。创建新宏时,添加“交换机端口安全 mac 地址粘性“ 对它来说。
- 将宏应用到开发人员的交换机端口。