Freigeben über

Konfigurieren von Netzwerksicherheitsgruppen mit Tags im Windows Admin Center

  • Artikel

Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2

Gilt für: Windows Server 2025 (Vorschau)

Wichtig

Tagbasierte Netzwerksicherheitsgruppen in Windows Server 2025 befinden sich in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

In diesem Artikel wird beschrieben, wie Sie Netzwerksicherheitsgruppen mit Netzwerksicherheitstags in Windows Admin Center konfigurieren.

Mit Netzwerksicherheitstags können Sie benutzerdefinierte benutzerdefinierte Tags erstellen, diese Tags an Ihre VM-Netzwerkschnittstellen anfügen und Netzwerkzugriffsrichtlinien (mit Netzwerksicherheitsgruppen) basierend auf diesen Tags anwenden.

Voraussetzungen

Führen Sie die folgenden Voraussetzungen aus, um Netzwerksicherheitsgruppen mit Tags zu verwenden:

Vereinfachen der Sicherheit mit Netzwerksicherheitstags

Mit Netzwerksicherheitsgruppen können Sie Zugriffsrichtlinien basierend auf Netzwerkkonstrukten wie Netzwerkpräfixen und Subnetzen konfigurieren. Wenn Sie beispielsweise die Kommunikation zwischen Ihren Webserver-VMs und Datenbank-VMs einschränken möchten, müssen Sie die entsprechenden Netzwerksubnetze identifizieren und eine Richtlinie erstellen, um die Kommunikation zwischen diesen Subnetzen zu verweigern. Bei diesem Ansatz gibt es jedoch einige Einschränkungen:

  • Ihre Sicherheitsrichtlinien sind an Netzwerkkonstrukte gebunden, was bedeutet, dass Sie wissen müssen, welche Anwendungen sich in bestimmten Netzwerksegmenten befinden. Das Verständnis Ihrer Netzwerkinfrastruktur und -architektur wird entscheidend.

  • Beim Erstellen von Richtlinien für Anwendungen sollten Sie sie in verschiedenen Szenarien wiederverwenden. Wenn Ihre Produktionsweb-App beispielsweise nur über Port 80 aus dem Internet erreicht werden kann und von anderen Apps in Produktions- oder anderen Umgebungen nicht erreicht werden kann, verfügen Sie für jede neue App über eine ähnliche Richtlinie. Bei der Netzwerksegmentierung wird das Erneute Erstellen von Richtlinien jedoch aufgrund eindeutiger Netzwerkelemente für jede App erforderlich.

  • Wenn Sie eine alte Anwendung außer Betrieb setzen und ein neues innerhalb desselben Netzwerksegments bereitstellen, sind Richtlinienanpassungen erforderlich.

Mit Netzwerksicherheitstags müssen Sie die Netzwerksegmente, in denen Ihre Anwendungen gehostet werden, nicht mehr nachverfolgen. Netzwerksicherheitstags vereinfachen die Richtlinienverwaltung und vermeiden die Komplexitäten im Zusammenhang mit Netzwerkkonstrukten. Lassen Sie uns das Beispiel mit Webserver- und Datenbank-VMs überdenken: Markieren Sie die entsprechenden virtuellen Computer mit "Web" und "Datenbank"-Netzwerksicherheitstags, und erstellen Sie dann eine Regel, um die Kommunikation zwischen "Web" und "Datenbank"-Tags einzuschränken.

Erstellen von netzwerksicherheitstagsbasierten Netzwerksicherheitsgruppen

Führen Sie die folgenden Schritte aus, um netzwerksicherheitstagsbasierte Netzwerksicherheitsgruppen zu erstellen:

  1. Erstellen Sie mindestens eine Netzwerksicherheitstags.

  2. Weisen Sie einem virtuellen Computer ein Netzwerksicherheitstag zu.

  3. Erstellen einer Netzwerksicherheitsgruppe

  4. Erstellen Sie eine Netzwerksicherheitsregel für die Netzwerksicherheitsgruppe.

  5. Wenden Sie die Netzwerksicherheitsgruppe auf einen virtuellen Computer, ein Netzwerksubnetz, ein Netzwerksicherheitstag an.

Erstellen von Netzwerksicherheitstags

  1. Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf dem Sie die Netzwerksicherheitsgruppe erstellen möchten.

  2. Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.

  3. Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Netzwerksicherheitstags" und dann "Neu" aus.

  4. Geben Sie im Bereich "Netzwerksicherheitstag erstellen" im Feld "Name" einen Namen für das Netzwerksicherheitstag ein.

    Screenshot des Bereichs

  5. (Optional) Geben Sie im Feld "Typ " einen Typ für das Tag ein. Dieses Feld ist nützlich, wenn Sie Kategorien für eine einfache Verwaltung kategorisieren möchten. Sie können z. B. unterschiedliche Tags mit demselben Typ "Application" haben, z. B. SQL, Web, IOT, Sensor usw.

  6. Klicken Sie auf Senden.

Zuweisen eines Netzwerksicherheitstags zu einem virtuellen Computer

Sie können einem virtuellen Computer entweder beim Erstellen einer neuen VM oder beim Ändern der Eigenschaften einer vorhandenen VM ein Netzwerksicherheitstag zuweisen.

Zuweisen eines Netzwerksicherheitstags während der Erstellung eines virtuellen Computers

Schrittweise Anleitungen zum Erstellen eines neuen virtuellen Computers finden Sie unter Erstellen eines neuen virtuellen Computers.

So weisen Sie beim Erstellen einer neuen VM ein Netzwerksicherheitstag zu:

  1. Wählen Sie auf der Startseite von Windows Admin Center unter Alle Verbindungen den Server oder Cluster aus, auf oder in dem Sie die VM erstellen möchten.

  2. Scrollen Sie unter Tools nach unten, und wählen Sie Virtuelle Computer aus.

  3. Wählen Sie unter "Virtuelle Computer" die Registerkarte "Inventar" aus, wählen Sie "Hinzufügen" und dann "Neu" aus.

  4. Geben Sie in das Feld Neuer virtueller Computer einen Namen für Ihre VM ein.

  5. Geben Sie andere Eigenschaften für den virtuellen Computer ein.

  6. Wählen Sie unter "Netzwerk" das zuvor erstellte Netzwerksicherheitstag unter "Netzwerksicherheitstag erstellen" aus.

    Screenshot des Schritts zum Zuweisen eines Netzwerksicherheitstags beim Erstellen eines neuen virtuellen Computers.

  7. Klicken Sie auf Erstellen.

Zuweisen eines Netzwerksicherheitstags zu einer vorhandenen VM

Sie können einem vorhandenen virtuellen Computer ein Netzwerksicherheitstag zuweisen, indem Sie seine Einstellungen ändern. Ausführliche Anweisungen zum Ändern von VM-Einstellungen finden Sie unter Ändern von VM-Einstellungen.

  1. Scrollen Sie unter Tools zum Bereich Netzwerk, und wählen Sie die Option Virtuelle Computer aus.

  2. Wählen Sie die Registerkarte Bestand, eine VM und dann die Option Einstellungen aus.

  3. Klicken Sie auf der Seite Einstellungen auf Netzwerke.

  4. Wählen Sie im Abschnitt "Netzwerksicherheitstag " die Option "Netzwerksicherheitstag hinzufügen" aus, wählen Sie das zuvor erstellte Netzwerksicherheitstag in der Kategorie "Netzwerksicherheit erstellen" aus.

  5. Wählen Sie " Netzwerkeinstellungen speichern" aus.

Erstellen einer Netzwerksicherheitsgruppe

  1. Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf dem Sie die Netzwerksicherheitsgruppe erstellen möchten.

  2. Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.

  3. Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Bestand" und dann "Neu" aus.

  4. Geben Sie im Bereich "Netzwerksicherheitsgruppen " einen Namen für die Netzwerksicherheitsgruppe ein, und wählen Sie dann "Absenden" aus.

    Screenshot des Bereichs

  5. Überprüfen Sie unter "Netzwerksicherheitsgruppen", ob der Bereitstellungsstatus der neuen Netzwerksicherheitsgruppe "Erfolgreich" angezeigt wird.

Erstellen einer Netzwerksicherheitsgruppen-Regel

Nachdem Sie eine Netzwerksicherheitsgruppe erstellt haben, können Sie Netzwerksicherheitsgruppenregeln erstellen. Wenn Sie Netzwerksicherheitsgruppenregeln sowohl auf eingehenden als auch auf ausgehenden Datenverkehr anwenden möchten, müssen Sie zwei Regeln erstellen.

  1. Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf dem Sie die Netzwerksicherheitsgruppe erstellen möchten.

  2. Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.

  3. Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Bestand " und dann die Zuvor erstellte Netzwerksicherheitsgruppe in "Netzwerksicherheitsgruppe erstellen" aus.

  4. Wählen Sie unter "Netzwerksicherheitsregel" "Neu" aus.

  5. Geben Sie im Bereich "Netzwerksicherheitsregel" auf der rechten Seite die folgenden Informationen an:

    Feld Beschreibung des Dataflows
    Name Name der Regel.
    Priorität Priorität der Regel. Zulässige Werte sind 101 bis 65000. Ein niedrigerer Wert gibt eine höhere Priorität an.
    Typen Der Typ der Regel. Dieser Regeltyp kann eingehend oder ausgehend sein.
    Protokoll Protokoll, das mit einem eingehenden oder ausgehenden Paket übereinstimmt. Zulässige Werte sind Alle, TCP und UDP.
    Quelle Wählen Sie "Netzwerksicherheitstag" aus.

    Hinweis: Sie können entweder ein Adresspräfix oder ein Netzwerksicherheitstag auswählen, aber nicht beides.
    Quellsicherheitstagtyp (Optional) Wählen Sie einen Typ für das Tag aus.
    Quellsicherheitstag Wählen Sie ein Zuvor erstelltes Netzwerksicherheitstag im Tag "Netzwerksicherheit erstellen" aus.
    Quellportbereich Geben Sie den Quellportbereich an, der mit einem eingehenden oder ausgehenden Paket übereinstimmt. Sie können eingeben * , um alle Quellports anzugeben.
    Ziel Wählen Sie "Netzwerksicherheitstag" aus.

    Hinweis: Sie können entweder ein Adresspräfix oder ein Netzwerksicherheitstag auswählen, aber nicht beides. Quelle und Ziel können unterschiedlich sein.
    Zielsicherheitstagtyp (Optional) Wählen Sie einen Typ für das Tag aus.
    Zielsicherheitstag Wählen Sie ein Zuvor erstelltes Netzwerksicherheitstag im Tag "Netzwerksicherheit erstellen" aus.
    Zielportbereich Geben Sie den Zielportbereich an, der mit einem eingehenden oder ausgehenden Paket übereinstimmt. Sie können eingeben * , um alle Zielports anzugeben.
    Aktionen Wenn die oben genannten Bedingungen übereinstimmen, geben Sie an, ob das Paket zugelassen oder blockiert werden soll. Zulässige Werte sind Zulassen und Verweigern.
    Logging Geben Sie an, ob die Protokollierung für die Regel aktiviert oder deaktiviert werden soll. Wenn die Protokollierung aktiviert ist, wird sämtlicher Datenverkehr, der dieser Regel entspricht, auf den Hostcomputern protokolliert.

  6. Klicken Sie auf Senden.

Netzwerksicherheitsgruppe anwenden

Sie können eine Netzwerksicherheitsgruppe auf Folgendes anwenden:

Anwenden einer Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag

Wenn Sie eine Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag anwenden, gelten die Netzwerksicherheitsgruppenregeln für alle VM-Netzwerkschnittstellen, die diesem Netzwerksicherheitstag zugeordnet sind.

Führen Sie die folgenden Schritte aus, um eine Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag über Windows Admin Center anzuwenden:

  1. Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf den Sie die Netzwerksicherheitsgruppe anwenden möchten.

  2. Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.

  3. Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Netzwerksicherheitstags " aus.

  4. Wählen Sie das Netzwerksicherheitstag aus, das Sie bearbeiten möchten, und wählen Sie dann "Einstellungen" aus.

  5. Wählen Sie im Bereich "Netzwerksicherheitstag bearbeiten" für das ausgewählte Tag die Netzwerksicherheitsgruppe aus, die Sie auf das Netzwerksicherheitstag anwenden möchten.

    Screenshot, der zeigt, wie eine vorhandene Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag angewendet wird.

  6. Klicken Sie auf Senden.

Nächste Schritte

Verwandte Informationen finden Sie außerdem unter: