Всем привет!
На днях столкнулся с редкой, но полезной особенностью настройкой в ViPNet администраторе. В работе с ViPNet часто приходится ограничивать действия пользователей ViPNet Client:
1. делать разные конфигурации для интернета и внутренней сети;
2. ограничивать взаимодействие с клиентом;
3. дать понять пользователю что он здесь только гость)).
Ни для кого не секрет что все хотят делать минимум действий для получения максимальной отдачи. Компания Infotecs (создатель такого "чуда" как ViPNet) позаботилась об этом добавив скрытые специальные конфигурации VPN-клиента.
Примечание 1: Роль VPN-клиент является основной ролью для ViPNet клиента на Windows. Настраивается данная роль в ViPNet Центре управления сетью. Для этого необходимо перейти во вкладку "Роли узла" в настройках клиента и открыть свойства роли VPN-клиент.
При открытии окна свойств роли VPN-клиент, мы видим следующие варианты полномочий: максимальные, средние, минимальные и специальные.
Разберёмся для начала со стандартными полномочиями в данной роли.
Примечание 2: Да, я знаю что есть отдельный документ с описанием данных ролей, но я сам его искал пол часа и поэтому считаю, что его распространение в массы обязательно.
Минимальные привилегии накладывают рад ограничений для пользователей:
1. При запуске компьютера, вход в ViPNet Client становится обязательным (нет возможности отменить);
2. Запрещен просмотр и редактирование фильтров открытой и защищённой сети;
3. Запрещено вносить изменения в настройки приложения;
4. Запрещена настройка конфигураций, кроме переключения между уже созданными;
5. Запрещено отключать защиту и шифрование IP-трафика. Блокировка IP-трафика при этом доступна.
Средние привилегии почти не отличаются от минимальных - разрешили только менять параметры в разделе "Защищённая сеть" в настройках приложения.
Максимальные привилегии дают пользователю полный доступ к просмотру настроек клиента.
А теперь разберём что за специальные привилегии есть у данной роли.
Первая на очереди - конфигурация с кодовым названием "3". Она представляет из себя утрированную версию минимальных полномочий:
1. В окне приложения отображается только список узлов;
2. Запрещена смена пользователя - только смена пароля на случайны и смена способа аутентификации;
3. Запрещена возможность отключать защиту и блокировать трафик;
4. Недоступен пункт "Сервис";
5. Транспортный модуль работает в скрытом режиме.
А теперь вишенка на торте - специальная конфигурация полномочий "h" (дать бы премию тому, кто придумал обозначение этих конфигураций).
Полномочия включают в себя разделение по конфигурациям клиента на "Интернет" и "Внутреннюю сеть".
В конфигурации внутренняя сеть имеют место быть следующие ограничения:
1. Автоматически создаётся дополнительный раздел в фильтрах открытой сети, который включает правило блокировки любой открытый трафик, кроме DHCP;
2. В окне программы отсутствуют разделы сетевые фильтры, группы объектов, статистика и журналы;
3. В главном меню присутствуют только пункты файл и справка. В пункте файл отсутствует возможность сменить пользователя.
В конфигурации интернет имеются ограничения:
1. Автоматически создаётся дополнительный раздел в фильтрах защищённой сети, блокирующие доступ к любой защищённый трафик;
2. В окне приложения отсутствует раздел защищённая сеть.
Итак, если ты такой же ленивый человек как и я, то данные специальные полномочия помогут тебе настроить ограничения на скорую руку ещё на стадии создания клиента.
Надеюсь данная информация когда-нибудь пригодится. Полное описание ролей можно найти в документе "Классификация полномочий. Приложение к документации ViPNet CUSTOM 4.х"
