Uma máquina virtual é um segundo computador inteiro rodando numa janela do primeiro, com o próprio sistema operacional, o próprio navegador e, crucialmente, nenhum dos filtros que você montou no host. Uma área de trabalho remota é a mesma ideia por um fio: você está olhando uma máquina sem filtro em outro lugar, exibida na sua tela. Os dois entregam a uma pessoa cuidadosa um ambiente limpo em que o bloqueio do host nunca entrou. Soa avançado, e os passos estão a uma busca de distância, então é uma rota real que vale fechar. A boa notícia é que o host ainda controla duas coisas que a VM não escapa, o que é instalado e o que renderiza na tela física, que é onde a TKO’T segura, de graça. Defesa apenas, nomeando a rota só para fechá-la.

Por que uma VM começa limpa

Uma VM ou emulador roda um sistema operacional separado que não sabe nada das suas restrições no host, o mesmo problema de independência de uma conta de usuário nova levado ao extremo: um sistema novo, navegador novo, nenhum filtro herdado. Uma área de trabalho remota é pior num sentido, porque a máquina sem filtro nem é sua, é um PC alugado ou remoto que você só está vendo. Os filtros de rede no host podem ou não cobrir a VM dependendo de como ela se conecta, e o software dentro da VM é invisível para a maioria dos bloqueadores no nível do host. Então a briga se move para os dois pontos de estrangulamento que o host de fato controla.

Como bloquear a internet de máquinas virtuais para não acessar sites escondidos

Você bloqueia a internet das máquinas virtuais nos dois pontos que o host mantém, não tentando filtrar dentro da VM. O primeiro é o que é instalado: uma VM, emulador ou cliente de área de trabalho remota tem que ser instalado para rodar, e uma conta padrão, sem administrador no host não consegue instalar esse software sem a senha de administrador guardada em outro lugar. Esse é o fechamento mais limpo: sem software de VM, sem VM. No Windows, a fronteira da conta padrão faz o trabalho; num Mac, a mesma conta diária sem administrador. Como a TKO’T cobre Mac e iPhone, num PC com Windows essa rota nativa é a defesa. Bloqueie também as categorias de área de trabalho remota e PC na nuvem no DNS, para uma máquina remota baseada em navegador não poder ser alcançada.

O segundo ponto é o que renderiza na tela. Se a VM roteia pela rede do host, um filtro de DNS fixado no host ainda se aplica a ela, mesmo quando um navegador tenta o próprio DNS cifrado e você fixou o resolvedor, então bloquear o acesso à internet da VM no firewall do host, ou simplesmente filtrar o DNS do host que a VM herda, cobre o caso conectado à rede. Trave esses ajustes para não poderem ser mudados de uma conta padrão.

Por que travar a instalação fecha quase tudo

Dos dois pontos de estrangulamento, o da instalação é o que faz o trabalho mais pesado por menos esforço. Uma VM, um emulador, um cliente de área de trabalho remota: todos são programas que precisam ser instalados antes de existir, e numa conta sem administrador nenhum deles pode ser instalado sem a senha que outra pessoa guarda. Isso fecha a versão da rota que quase todo mundo de fato usa, porque a maioria das pessoas não tem uma VM já montada esperando, elas iriam instalar uma no impulso. Tirar a autoridade de instalar transforma esse impulso de dez segundos numa parede.

É o mesmo motivo de a conta sem administrador ser a primeira coisa de toda a fortaleza do aparelho: ela não fecha uma porta, fecha uma categoria inteira de portas, a VM junto com o navegador novo, o software de boot externo e o cliente remoto, todos com a mesma única mudança. Você não precisa prever qual ambiente limpo alguém montaria; você remove a permissão que monta qualquer um deles.

A tela do host é o ponto que a VM não esconde

Seja o que for que roda dentro da VM ou transmite da máquina remota, ainda tem que aparecer no seu monitor físico, e uma camada de tela no aparelho host julga essa janela como qualquer outra, fechando-a quando conteúdo explícito renderiza. A VM não consegue esconder a saída da tela do host, porque o host é o que está desenhando os pixels. É a mesma razão pela qual a camada de tela vence proxies e túneis: a rota muda, o resultado renderizado não. Ela não precisa estar dentro da VM, porque o conteúdo tem que aparecer na tela do host para ser visto.

O teto honesto é o de uma rota de usuário avançado: alguém com direitos de administrador, uma segunda máquina física, ou um PC remoto sem filtro que controla, ainda contorna controles no nível do host, ferramenta nenhuma para isso. Mas a conta sem administrador fecha a rota de instalação que 99 por cento disso de fato usa, a camada de tela cobre o que renderiza, e o DNS cobre as VMs conectadas à rede, que juntos transformam um bypass rápido de ambiente limpo em algo lento, deliberado e que exige recursos que um desejo não tem. Como em toda porta lateral, a meta é mais lento que a onda, não um cofre, e a resistência a violação mantém o arranjo de pé numa noite ruim.

Perguntas frequentes (FAQ)

Como bloquear o acesso à internet em máquinas virtuais para não burlar meu PC host?

Três movimentos: rode o host como conta padrão, sem administrador, para o software de VM não poder ser instalado sem uma senha de administrador guardada em outro lugar, fixe o filtro de DNS do host para uma VM que usa a rede do host continuar filtrada, e apoie na camada de tela do host, que julga a janela da VM como qualquer outro conteúdo renderizado. A detecção de tela da TKO’T fecha a janela da VM em conteúdo explícito, não importa os ajustes da própria VM.

Por que meu bloqueador não funciona dentro de uma máquina virtual?

Porque uma VM é um sistema operacional separado que nunca herdou os filtros do seu host, tem o próprio navegador e ajustes, invisíveis para a maioria dos bloqueadores no nível do host. O conserto não é filtrar dentro da VM, mas usar os pontos de estrangulamento que o host mantém: impedir o software da VM de ser instalado, filtrar a rede do host que a VM usa, e deixar a camada de tela do host julgar a janela da VM no monitor físico.

Como paro uma área de trabalho remota para um computador sem filtro?

Bloqueie as categorias de área de trabalho remota e de PC na nuvem no DNS do aparelho protegido para a máquina remota não poder ser alcançada, e rode uma conta padrão para o cliente de área de trabalho remota não poder ser instalado. A camada de tela do host é a rede de segurança, já que a tela da máquina remota ainda renderiza no seu monitor e pode ser julgada e fechada ali como qualquer outra janela.

Um bloqueador de tela vê o que acontece dentro de uma VM?

Ele vê a janela da VM, que é o que importa: o host desenha a saída da VM na sua tela física, então uma camada de tela no host avalia essa janela e a fecha quando conteúdo explícito renderiza, não importa a filtragem da própria VM. Ela não precisa estar dentro da VM, porque o conteúdo tem que aparecer na tela do host para ser visto.

Uma VM não é técnica demais para ser um risco de bypass real?

É uma rota de usuário avançado, mas os passos estão a uma busca de distância, então funciona como um bypass real para quem está motivado o bastante, e vale fechar porque o fechamento é barato: uma conta sem administrador no host para a instalação num movimento, o que cobre quase toda instância real. Uma máquina totalmente remota que alguém controla é o caso mais difícil, e é aí que o teto honesto e a rede de segurança da tela se aplicam.