确保 HyperV VM 仅使用 GPO 的专用网络

确保 HyperV VM 仅使用 GPO 的专用网络

我所在组织的开发人员希望在他们的工作站上托管开发虚拟机。他们希望完全控制虚拟机。

允许此类机器访问公司网络违反公司政策。

有没有办法强制 HyperV 主机仅使用专用网络,以便安全部门允许此类虚拟机?例如使用 GPO?

答案1

我会在网络层面解决这个问题,而不是使用 GPO,同时为开发人员提供一些指导。我更喜欢这种方法,而不是在网络线路上为工作站提供多个 VLAN。

一般步骤如下:

  • 工作站的交换机端口将配置为每个交换机端口仅允许一个 MAC。
  • 交换机端口将启用 MAC 粘性并设置适当的时间,以便允许的 MAC 是计算机启动时首次显示的 MAC。
  • 将此设置告知您的开发人员,并提供说明帮助他们在其机器上配置私有 HyperV 虚拟化网络,以便它不会试图访问外部资源。

如果您拥有用于我建议的 MAC 相关部分的 Cisco Catalyst 设备,您可以按照以下步骤操作:

  1. 将默认的 cisco-desktop Smartport Macro 复制到一个新的,将其命名为类似lockdown-desktop的名称。创建新宏时,添加“交换机端口安全 mac 地址粘性“ 对它来说。
  2. 将宏应用到开发人员的交换机端口。

相关内容