Konfigurera nätverkssäkerhetsgrupper med taggar i Administrationscenter för Windows

  • Artikel

Gäller för: Azure Stack HCI, version 23H2 och 22H2

Gäller för: Windows Server 2025 (förhandsversion)

Viktigt!

Taggbaserade nätverkssäkerhetsgrupper i Windows Server 2025 finns i FÖRHANDSVERSION. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt innan den släpps. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Den här artikeln beskriver hur du konfigurerar nätverkssäkerhetsgrupper med nätverkssäkerhetstaggar i Administrationscenter för Windows.

Med nätverkssäkerhetstaggar kan du skapa anpassade användardefinierade taggar, koppla taggarna till nätverksgränssnitten för den virtuella datorn (VM) och tillämpa nätverksåtkomstprinciper (med nätverkssäkerhetsgrupper) baserat på dessa taggar.

Förutsättningar

Slutför följande krav för att använda nätverkssäkerhetsgrupper med taggar:

Förenkla säkerheten med nätverkssäkerhetstaggar

Med nätverkssäkerhetsgrupper kan du konfigurera åtkomstprinciper baserat på nätverkskonstruktioner som nätverksprefix och undernät. Om du till exempel vill begränsa kommunikationen mellan dina virtuella webbserverdatorer och virtuella databasdatorer måste du identifiera motsvarande nätverksundernät och skapa en princip för att neka kommunikation mellan dessa undernät. Det finns dock vissa begränsningar med den här metoden:

  • Dina säkerhetsprinciper är knutna till nätverkskonstruktioner, vilket innebär att du behöver veta vilka program som finns i specifika nätverkssegment. Att förstå nätverksinfrastrukturen och arkitekturen blir avgörande.

  • När du skapar principer för program kanske du vill återanvända dem i olika scenarier. Om din produktionswebbapp till exempel bara kan nås via port 80 från Internet och inte kan nås av andra appar i produktion eller andra miljöer, skulle du ha en liknande princip för alla nya appar. Men med nätverkssegmentering blir det nödvändigt att återskapa principer på grund av unika nätverkselement för varje app.

  • Om du inaktiverar ett gammalt program och distribuerar ett nytt inom samma nätverkssegment krävs principjusteringar.

Med nätverkssäkerhetstaggar behöver du inte längre spåra de nätverkssegment där dina program finns. Nätverkssäkerhetstaggar förenklar principhanteringen och undviker de komplexiteter som är kopplade till nätverkskonstruktioner. Nu ska vi se över exemplet med virtuella webbserver- och databasdatorer: Tagga motsvarande virtuella datorer med nätverkssäkerhetstaggar för "Webb" och "Databas" och sedan skapa en regel för att begränsa kommunikationen mellan taggarna "Web" och "Database".

Skapa nätverkssäkerhetstaggbaserade nätverkssäkerhetsgrupper

Följ dessa steg för att skapa nätverkssäkerhetstaggbaserade nätverkssäkerhetsgrupper:

  1. Skapa en eller flera nätverkssäkerhetstaggar.

  2. Tilldela en nätverkssäkerhetstagg till en virtuell dator.

  3. Skapa en nätverkssäkerhetsgrupp.

  4. Skapa en nätverkssäkerhetsregel för nätverkssäkerhetsgruppen.

  5. Använd nätverkssäkerhetsgruppen på en virtuell dator, nätverksundernät, nätverkssäkerhetstagg.

Skapa nätverkssäkerhetstaggar

  1. På startskärmen för Windows Admin Center går du till Alla anslutningar och väljer det kluster som du vill skapa nätverkssäkerhetsgruppen på.

  2. Under Verktyg rullar du ned till området Nätverk och väljer Nätverkssäkerhetsgrupper.

  3. Under Nätverkssäkerhetsgrupper väljer du fliken Nätverkssäkerhetstaggar och sedan Nytt.

  4. I fönstret Skapa nätverkssäkerhetstagg anger du ett namn för nätverkssäkerhetstaggen i fältet Namn .

    Skärmbild av fönstret Skapa nätverkssäkerhetstagg.

  5. (Valfritt) I fältet Typ anger du en typ för taggen. Det här fältet är användbart om du vill kategorisera taggar för enkel hantering. Du kan till exempel ha olika taggar med samma typ av "Program", till exempel SQL, Web, IOT, Sensor osv.

  6. Välj Skicka.

Tilldela nätverkssäkerhetstagg till en virtuell dator

Du kan tilldela en nätverkssäkerhetstagg till en virtuell dator när du skapar en ny virtuell dator eller efteråt när du ändrar egenskaperna för en befintlig virtuell dator.

Tilldela nätverkssäkerhetstagg när den virtuella datorn skapas

Stegvisa instruktioner för hur du skapar en ny virtuell dator finns i Skapa en ny virtuell dator.

Så här tilldelar du en nätverkssäkerhetstagg när du skapar en ny virtuell dator:

  1. På startskärmen för Windows Admin Center går du till Alla anslutningar och väljer den server eller det kluster som du vill skapa den virtuella datorn på.

  2. Under Verktyg rullar du nedåt och väljer Virtuella datorer.

  3. Under Virtuella datorer väljer du fliken Inventering , väljer Lägg till och sedan Nytt.

  4. Under Ny virtuell dator anger du ett namn för den virtuella datorn.

  5. Ange andra egenskaper för den virtuella datorn.

  6. Under Nätverk väljer du den nätverkssäkerhetstagg som du skapade tidigare i Skapa nätverkssäkerhetstagg.

    Skärmbild som visar steget för att tilldela nätverkssäkerhetstagg när du skapar en ny virtuell dator.

  7. Välj Skapa.

Tilldela nätverkssäkerhetstagg till en befintlig virtuell dator

Du kan tilldela en nätverkssäkerhetstagg till en befintlig virtuell dator genom att ändra dess inställningar. Detaljerade anvisningar om hur du ändrar inställningar för virtuella datorer finns i Ändra inställningar för virtuella datorer.

  1. Under Verktyg rullar du ned till området Nätverk och väljer Virtuella datorer.

  2. Välj fliken Inventering , välj en virtuell dator och välj sedan Inställningar.

  3. På sidan Inställningar väljer du Nätverk.

  4. Under Avsnittet Nätverkssäkerhetstagg väljer du Lägg till tagg för nätverkssäkerhet, väljer taggen nätverkssäkerhet som du skapade tidigare i Skapa nätverkssäkerhetstagg.

  5. Välj Spara nätverksinställningar.

Skapa en nätverkssäkerhetsgrupp

  1. På startskärmen för Windows Admin Center går du till Alla anslutningar och väljer det kluster som du vill skapa nätverkssäkerhetsgruppen på.

  2. Under Verktyg rullar du ned till området Nätverk och väljer Nätverkssäkerhetsgrupper.

  3. Under Nätverkssäkerhetsgrupper väljer du fliken Inventering och väljer sedan Nytt.

  4. I fönstret Nätverkssäkerhetsgrupper skriver du ett namn för nätverkssäkerhetsgruppen och väljer sedan Skicka.

    Skärmbild som visar fönstret Nätverkssäkerhetsgrupp.

  5. Under Nätverkssäkerhetsgrupper kontrollerar du att etableringstillståndet för den nya nätverkssäkerhetsgruppen visar Lyckades.

Skapa en regel för nätverkssäkerhetsgruppen

När du har skapat en nätverkssäkerhetsgrupp är du redo att skapa regler för nätverkssäkerhetsgrupp. Om du vill tillämpa regler för nätverkssäkerhetsgrupper på både inkommande och utgående trafik måste du skapa två regler.

  1. På startskärmen för Windows Admin Center går du till Alla anslutningar och väljer det kluster som du vill skapa nätverkssäkerhetsgruppen på.

  2. Under Verktyg rullar du ned till området Nätverk och väljer Nätverkssäkerhetsgrupper.

  3. Under Nätverkssäkerhetsgrupper väljer du fliken Inventering och väljer sedan den nätverkssäkerhetsgrupp som du skapade tidigare i Skapa en nätverkssäkerhetsgrupp.

  4. Under Nätverkssäkerhetsregel väljer du Ny.

  5. I fönstret Nätverkssäkerhetsregel till höger anger du följande information:

    Fält Beskrivning
    Namn Regelns namn.
    Prioritet Regelns prioritet. Acceptabla värden är 101 till 65000. Ett lägre värde anger en högre prioritet.
    Typer Typ av regel. Den här regeltypen kan vara Inkommande eller Utgående.
    Protokoll Protokoll som matchar antingen ett inkommande eller utgående paket. Acceptabla värden är Alla, TCP och UDP.
    Source Välj Nätverkssäkerhetstagg.

    Obs! Du kan antingen välja ett adressprefix eller en nätverkssäkerhetstagg, men inte båda.
    Typ av källsäkerhetstagg (Valfritt) Välj en typ för taggen.
    Källsäkerhetstagg Välj en nätverkssäkerhetstagg som du skapade tidigare i Skapa nätverkssäkerhetstagg.
    Källportintervall Ange källportintervallet som ska matcha ett inkommande eller utgående paket. Du kan ange * för att ange alla källportar.
    Mål Välj Nätverkssäkerhetstagg.

    Obs! Du kan antingen välja ett adressprefix eller en nätverkssäkerhetstagg, men inte båda. Källan och målet kan vara olika.
    Typ av målsäkerhetstagg (Valfritt) Välj en typ för taggen.
    Målsäkerhetstagg Välj en nätverkssäkerhetstagg som du skapade tidigare i Skapa nätverkssäkerhetstagg.
    Målportintervall Ange målportintervallet som ska matcha ett inkommande eller utgående paket. Du kan ange * för att ange alla målportar.
    Åtgärder Om ovanstående villkor matchas anger du antingen för att tillåta eller blockera paketet. Acceptabla värden är Tillåt och Neka.
    Loggning Ange antingen för att aktivera eller inaktivera loggning för regeln. Om loggning är aktiverat loggas all trafik som matchas av den här regeln på värddatorerna.

  6. Välj Skicka.

Använda nätverkssäkerhetsgrupp

Du kan använda en nätverkssäkerhetsgrupp för att:

Tillämpa nätverkssäkerhetsgrupp på en nätverkssäkerhetstagg

När du tillämpar en nätverkssäkerhetsgrupp på en nätverkssäkerhetstagg gäller reglerna för nätverkssäkerhetsgruppen för alla virtuella datornätverksgränssnitt som är associerade med den nätverkssäkerhetstaggen.

Följ dessa steg för att tillämpa en nätverkssäkerhetsgrupp på en nätverkssäkerhetstagg via Administrationscenter för Windows:

  1. På startskärmen för Windows Admin Center går du till Alla anslutningar och väljer det kluster som du vill använda nätverkssäkerhetsgruppen på.

  2. Under Verktyg rullar du ned till området Nätverk och väljer Nätverkssäkerhetsgrupper.

  3. Under Nätverkssäkerhetsgrupper väljer du fliken Nätverkssäkerhetstaggar .

  4. Välj den nätverkssäkerhetstagg som du vill redigera och välj sedan Inställningar.

  5. I fönstret Redigera nätverkssäkerhetstagg för den markerade taggen väljer du den nätverkssäkerhetsgrupp som du vill använda för nätverkssäkerhetstaggen.

    Skärmbild som visar hur du tillämpar en befintlig nätverkssäkerhetsgrupp på en nätverkssäkerhetstagg.

  6. Välj Skicka.

Nästa steg

Relaterad information finns också: