Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Resumo

Os administradores do Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) agora podem criar e gerenciar centralmente as ACLs (listas de controle de acesso) de porta do Hyper-V no VMM.

Informações adicionais

Para obter mais informações sobre o Pacote Cumulativo de Atualizações 8 para System Center 2012 R2 Virtual Machine Manager, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento Microsoft:



3096389 Pacote Cumulativo de Atualizações 8 System Center 2012 R2 Virtual Machine Manager

Glossário

Melhoramos o modelo Virtual Machine Manager objeto adicionando os novos conceitos a seguir na área de gerenciamento de rede.

  • Lista de controle de acesso de porta (ACL de porta)
    Um objeto anexado a vários primitivos de rede do VMM para descrever a segurança de rede. A ACL de porta serve como uma coleção de entradas de controle de acesso ou regras de ACL. Uma ACL pode ser anexada a qualquer número (zero ou mais) de primitivos de rede do VMM, como uma rede VM, sub-rede de VM, adaptador de rede virtual ou o próprio servidor de gerenciamento do VMM. Uma ACL pode conter qualquer número (zero ou mais) de regras de ACL. Cada primitivo de rede do VMM compatível (rede VM, sub-rede de VM, adaptador de rede virtual ou servidor de gerenciamento do VMM) pode ter uma ACL de porta anexada ou nenhuma.

  • Entrada de controle de acesso de porta ou regra de ACL
    Um objeto que descreve a política de filtragem. Várias regras de ACL podem existir na mesma ACL de porta e se aplicar com base em sua prioridade. Cada regra de ACL corresponde a exatamente uma ACL de porta.

  • Conceito Configurações
    virtual global que descreve uma ACL de porta que é aplicada a todos os adaptadores de rede virtual da VM na infraestrutura. Não há nenhum tipo de objeto separado para o global Configurações. Em vez disso, a ACL da porta Configurações global é anexada ao próprio servidor de gerenciamento do VMM. O objeto do servidor de gerenciamento do VMM pode ter uma ACL de porta ou nenhuma.

Para obter informações sobre objetos na área de gerenciamento de rede que estavam disponíveis anteriormente, consulte Virtual Machine Manager conceitos básicos do objeto de rede.

O que posso fazer com esse recurso?

Usando a interface do PowerShell no VMM, agora você pode executar as seguintes ações:

  • Defina ACLs de porta e suas regras de ACL.

    • As regras são aplicadas a portas de comutador virtual em servidores Hyper-V como "ACLs de porta estendida" (VMNetworkAdapterExtendedAcl) na terminologia do Hyper-V. Isso significa que eles só podem ser aplicados Windows Server 2012 servidores host R2 (e Hyper-V Server 2012 R2).

    • O VMM não criará as ACLs de porta Hyper-V "herdados" (VMNetworkAdapterAcl). Portanto, você não pode aplicar ACLs de porta Windows Server 2012 servidores host (ou Hyper-V Server 2012) usando o VMM.

    • Todas as regras de ACL de porta definidas no VMM usando esse recurso são com estado (para TCP). Não é possível criar regras de ACL sem estado para TCP usando o VMM.

    Para obter mais informações sobre o recurso ACL de porta estendida no Hyper-V do Windows Server 2012 R2, consulte Criar políticas de segurança com listas de Controle de Acesso de porta estendida para Windows Server 2012 R2.

  • Anexe uma ACL de porta ao global Configurações. Isso o aplica a todos os adaptadores de rede virtual da VM. Ele está disponível somente para administradores completos.

  • Anexe as ACLs de porta que são criadas a uma rede VM, sub-redes de VM ou adaptadores de rede virtual de VM. Isso está disponível para administradores completos, administradores de locatários e SSUs (usuários de autoatendimento).

  • Exibir e atualizar regras de ACL de porta configuradas na vNIC de VM individual.

  • Exclua as ACLs de porta e suas regras de ACL.

Cada uma dessas ações é abordada com mais detalhes posteriormente neste artigo.

Lembre-se de que essa funcionalidade é exposta somente por meio de cmdlets do PowerShell e não será refletida na interface do usuário do console do VMM (exceto para o estado de "Conformidade").

O que não posso fazer com esse recurso?

  • Gerenciar/atualizar regras individuais para uma única instância quando a ACL é compartilhada entre várias instâncias. Todas as regras são gerenciadas centralmente dentro de suas ACLs pai e se aplicam onde quer que a ACL esteja anexada.

  • Anexe mais de uma ACL a uma entidade.

  • Aplique ACLs de porta a vNICs (adaptadores de rede virtual) na partição pai do Hyper-V (sistema operacional de gerenciamento).

  • Crie regras de ACL de porta que incluem protocolos no nível de IP (que não sejam TCP ou UDP).

  • Aplique ACLs de porta a redes lógicas, sites de rede (definições de rede lógica), vLANs de sub-rede e outros primitivos de rede do VMM que não foram listados anteriormente.

Como fazer usar o recurso?

Definindo novas ACLs de porta e suas regras de ACL de porta

Agora você pode criar ACLs e suas regras de ACL diretamente no VMM usando cmdlets do PowerShell.

Criar uma nova ACL

Os seguintes novos cmdlets do PowerShell são adicionados:

New-SCPortACL –Name <string> [–Description <string>]

–Name: Name of the port ACL

–Description: Description of the port ACL (optional parameter)

Get-SCPortACL

Retrieves all the port ACLs

–Name: Optionally filter by name

–ID: Optionally filter by ID

Sample commands

New-SCPortACL -Name Samplerule -Description SampleDescription 


$acl = Get-SCPortACL -Name Samplerule



Definir regras de ACL de porta para a ACL de porta

Cada ACL de porta consiste em uma coleção de regras de ACL de porta. Cada regra contém parâmetros diferentes.

  • Nome

  • Descrição

  • Tipo: Entrada/Saída (a direção na qual a ACL será aplicada)

  • Ação: Permitir/Negar (a ação da ACL, para permitir o tráfego ou bloquear o tráfego)

  • SourceAddressPrefix:

  • SourcePortRange:

  • DestinationAddressPrefix:

  • DestinationPortRange:

  • Protocolo: TCP/Udp/Any (Observação: não há suporte para protocolos no nível de IP em ACLs de porta definidas pelo VMM. Eles ainda têm suporte nativo pelo Hyper-V.)

  • Prioridade: 1 a 65535 (o menor número tem prioridade mais alta). Essa prioridade é relativa à camada na qual ela é aplicada. (Mais informações sobre como as regras de ACL são aplicadas com base na prioridade e o objeto ao qual a ACL está anexada segue.)

Novos cmdlets do PowerShell adicionados

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Saída> -Action <Permitir | Negar> -Priority <uint16> -Protocol <Tcp | Udp | Qualquer> cadeia de caracteres [-SourceAddressPrefix <: IPAddress | IPSubnet>] [-SourcePortRange <cadeia de caracteres:X|X-Y| Qualquer>] [-DestinationAddressPrefix <cadeia de caracteres: IPAddress | IPSubnet>] [-DestinationPortRange <cadeia de caracteres:X|X-Y| Qualquer>]

Get-SCPortACLrule

recupera todas as regras de ACL de porta.

  • Nome: opcionalmente filtrar por nome

  • ID: opcionalmente filtrar por ID

  • PortACL: opcionalmente filtrar por ACL de porta

Comandos de exemplo 

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 


New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 


New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 


New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Anexando e desanexando ACLs de porta



As ACLs podem ser anexadas ao seguinte:

  • Configurações globais (aplica-se a todos os adaptadores de rede da VM. Somente administradores completos podem fazer isso.)

  • Rede VM (administradores/administradores de locatário/SSUs completos podem fazer isso.)

  • Sub-rede de VM (administradores/administradores de locatários/SSUs completos podem fazer isso.)

  • Adaptadores de rede virtual (administradores/administradores de locatários/SSUs completos podem fazer isso.)

Configurações globais

Essas regras de ACL de porta se aplicam a todos os adaptadores de rede virtual da VM na infraestrutura.

Os cmdlets existentes do PowerShell foram atualizados com novos parâmetros para anexar e desanexar ACLs de porta.

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

  • PortACL: novo parâmetro opcional que define a ACL de porta especificada para configurações globais.

  • RemovePortACL: novo parâmetro opcional que remove qualquer ACL de porta configurada das configurações globais.

Get-SCVMMServer: retorna a ACL de porta configurada no objeto retornado.

Comandos de exemplo 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 


Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL

Rede VM


Essas regras serão aplicadas a todos os adaptadores de rede virtual da VM conectados a essa rede VM.

Os cmdlets existentes do PowerShell foram atualizados com novos parâmetros para anexar e desanexar ACLs de porta.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite especificar uma ACL de porta para a rede VM durante a criação.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite definir uma ACL de porta para a rede VM.

-RemovePortACL: novo parâmetro opcional que remove qualquer ACL de porta configurada da rede VM.

Get-SCVMNetwork: retorna a ACL de porta configurada no objeto retornado.

Comandos de exemplo

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 


Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL


Sub-rede da VM



Essas regras serão aplicadas a todos os adaptadores de rede virtual da VM conectados a essa sub-rede de VM.

Os cmdlets existentes do PowerShell foram atualizados com um novo parâmetro para anexar e desanexar ACLs de porta.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite especificar uma ACL de porta para a sub-rede da VM durante a criação.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite definir uma ACL de porta para a sub-rede da VM.

-RemovePortACL: novo parâmetro opcional que remove qualquer ACL de porta configurada da sub-rede da VM.

Get-SCVMSubnet: retorna a ACL de porta configurada no objeto retornado.

Comandos de exemplo 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 


Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL


VM virtual network adapter (vmNIC)



Os cmdlets existentes do PowerShell foram atualizados com novos parâmetros para anexar e desanexar ACLs de porta.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite especificar uma ACL de porta para o adaptador de rede virtual durante a criação de uma nova vNIC.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite definir uma ACL de porta para o adaptador de rede virtual.

-RemovePortACL: novo parâmetro opcional que remove qualquer ACL de porta configurada do adaptador de rede virtual.

Get-SCVirtualNetworkAdapter: retorna a ACL de porta configurada no objeto retornado.

Comandos de exemplo 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 


Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL


Aplicando regras de ACL de porta

Quando você atualiza as VMs depois de anexar as ACLs de porta, percebe que o status das VMs é exibido como "Não Compatível" na exibição de Máquina Virtual do workspace do Fabric. (Para alternar para o modo de exibição de Máquina Virtual, primeiro você precisa navegar até o nó Redes Lógicas ou o nó Comutadores Lógicos do workspace do Fabric). Lembre-se de que a atualização da VM ocorre automaticamente em segundo plano (de acordo com o agendamento). Portanto, mesmo que você não atualize as VMs explicitamente, elas entrarão em um estado não compatível eventualmente.



texto alternativoneste ponto, as ACLs de porta ainda não foram aplicadas a VMs e seus adaptadores de rede virtual relevantes. Para aplicar as ACLs de porta, você precisa disparar um processo conhecido como correção. Isso nunca acontece automaticamente e deve ser iniciado explicitamente mediante solicitação do usuário.

Para iniciar a correção, clique em Corrigir na Faixa de Opções ou execute o Repair-SCVirtualNetworkAdapter cmdlet. Não há alterações específicas na sintaxe do cmdlet para esse recurso.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter> A

correção dessas VMs as marcará como em conformidade e garantirá que as ACLs de porta estendida sejam aplicadas. Lembre-se de que as ACLs de porta não se aplicarão a nenhuma VM no escopo até que você as corrija explicitamente.

Exibindo regras de ACL de porta

Para exibir as regras de ACLs e ACL, você pode usar os cmdlets do PowerShell a seguir.

Novos cmdlets do PowerShell adicionados



Recuperar o conjunto de parâmetros acLs

da porta 1. Para obter todos ou por nome: Get-SCPortACL parâmetro [-Name <>]

Conjunto de parâmetros 2. Para obter por ID: Get-SCPortACL -Id <> [-Name <>]

Recuperar regras de ACL

de porta Conjunto de parâmetros 1. Todo ou por nome: Get-SCPortACLrule parâmetro [-Name <>]

Conjunto de parâmetros 2. Por ID: Get-SCPortACLrule -Id <>

Parâmetro definido 3. Por objeto ACL: Get-SCPortACLrule –PortACL <NetworkAccessControlList>

Atualizando regras de ACL de porta

Quando você atualiza a ACL que está anexada aos adaptadores de rede, as alterações são refletidas em todas as instâncias de adaptador de rede que usam essa ACL. Para uma ACL que está anexada a uma sub-rede de VM ou rede VM, todas as instâncias de adaptador de rede conectadas a essa sub-rede são atualizadas com as alterações.

Observe que a atualização de regras de ACL em adaptadores de rede individuais é executada em paralelo em um esquema de melhor esforço de uma tentativa. Os adaptadores que não podem ser atualizados por nenhum motivo são marcados como "em conformidade com a segurança", e a tarefa termina com uma mensagem de erro informando que os adaptadores de rede não foram atualizados com êxito. "Em conformidade com a segurança" aqui refere-se a uma incompatibilidade nas regras de ACL esperadas versus reais. O adaptador terá um estado de conformidade "Não compatível" junto com mensagens de erro relevantes. Consulte a seção anterior para obter mais informações sobre como corrigir máquinas virtuais não compatíveis.

Novo cmdlet do PowerShell adicionado

Set-SCPortACL -PortACL <PortACL> [-Name <Name>] [-Description <description>]

Set-SCPortACLrule -PortACLrule> <PortACLrule> [-Name <name>] [-Description <string>] [-Type <PortACLRuleDirection> {Inbound | Outbound}] [-Action <PortACLRuleAction> {Allow | Deny}] [-SourceAddressPrefix <string>] [-SourcePortRange <string>] [-DestinationAddressPrefix <string>] [-DestinationPortRange <string>] [-Protocol <PortACLruleProtocol> {Tcp | Udp | Any}]

Set-SCPortACL: altera a descrição da ACL da porta.

  • Descrição: atualiza a descrição.


Set-SCPortACLrule: altera os parâmetros de regra de ACL da porta.

  • Descrição: atualiza a descrição.

  • Tipo: atualiza a direção na qual a ACL é aplicada.

  • Ação: atualiza a ação da ACL.

  • Protocolo: atualiza o protocolo ao qual a ACL será aplicada.

  • Prioridade: atualiza a prioridade.

  • SourceAddressPrefix: atualiza o prefixo do endereço de origem.

  • SourcePortRange: atualiza o intervalo de portas de origem.

  • DestinationAddressPrefix: atualiza o prefixo do endereço de destino.

  • DestinationPortRange: atualiza o intervalo de portas de destino.

Excluindo ACLs de porta e regras de ACL de porta

Uma ACL só poderá ser excluída se não houver dependências anexadas a ela. As dependências incluem a rede VM/sub-rede da VM/adaptador de rede virtual/configurações globais anexadas à ACL. Quando você tentar excluir uma ACL de porta usando o cmdlet do PowerShell, o cmdlet detectará se a ACL de porta está anexada a qualquer uma das dependências e gerará mensagens de erro apropriadas.

Removendo ACLs de porta

Novos cmdlets do PowerShell foram adicionados:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Removendo regras de ACL de porta

Novos cmdlets do PowerShell foram adicionados:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule> Lembre-se de que a

exclusão de uma sub-rede de VM/adaptador de rede/rede VM remove automaticamente a associação com essa ACL.

Uma ACL também pode ser desassociada da sub-rede da VM/adaptador de rede/rede da VM alterando o respectivo objeto de rede do VMM. Para fazer isso, use o cmdlet Set junto com a opção -RemovePortACL, conforme descrito nas seções anteriores. Nesse caso, a ACL de porta será desanexada do respectivo objeto de rede, mas não será excluída da infraestrutura do VMM. Portanto, ele pode ser reutilizados posteriormente.

Alterações fora de banda em regras de ACL

Se estamos fazendo alterações fora de banda (OOB) em regras de ACL da porta do comutador virtual hyper-V (usando cmdlets nativos do Hyper-V, como Add-VMNetworkAdapterExtendedAcl), a Atualização da VM mostrará o adaptador de rede como "Em conformidade com a segurança". O adaptador de rede pode ser corrigido do VMM, conforme descrito na seção "Aplicando ACLs de porta". No entanto, a correção substituirá todas as regras de ACL de porta definidas fora do VMM pelas que são esperadas pelo VMM.

Prioridade de regra de ACL de porta e precedência de aplicativo (avançado)

Principais conceitos



Cada regra de ACL de porta em uma ACL de porta tem uma propriedade chamada "Priority". As regras são aplicadas em ordem com base em sua prioridade. Os princípios principais a seguir definem a precedência de regras:

  • Quanto menor o número de prioridade, maior será a precedência. Ou seja, se várias regras de ACL de porta se contradissem, a regra com prioridade mais baixa vencerá.

  • A Ação de Regra não afeta a precedência. Ou seja, ao contrário das ACLs NTFS (por exemplo), aqui não temos um conceito como "Negar sempre tem precedência sobre Permitir".

  • Na mesma prioridade (mesmo valor numérico), não é possível ter duas regras com a mesma direção. Esse comportamento impede uma situação hipotética na qual se pode definir as regras "Negar" e "Permitir" com prioridade igual, pois isso resultaria em ambiguidade ou conflito.

  • Um conflito é definido como duas ou mais regras com a mesma prioridade e mesma direção. Um conflito poderá ocorrer se houver duas regras de ACL de porta com a mesma prioridade e direção em duas ACLs que são aplicadas em níveis diferentes e se esses níveis se sobrepõem parcialmente. Ou seja, pode haver um objeto (por exemplo, vmNIC) que esteja dentro do escopo de ambos os níveis. Um exemplo comum de sobreposição é uma rede VM e uma sub-rede de VM na mesma rede.

Aplicando várias ACLs de porta a uma única entidade 

Como as ACLs de porta podem se aplicar a diferentes objetos de rede do VMM (ou em níveis diferentes, conforme descrito anteriormente), um único adaptador de rede virtual (vmNIC) de VM pode se enquadrar no escopo de várias ACLs de porta. Nesse cenário, as regras de ACL de porta de todas as ACLs de porta são aplicadas. No entanto, a precedência dessas regras pode ser diferente, dependendo de várias novas configurações de ajuste fino do VMM mencionadas posteriormente neste artigo.

Configurações do Registro

Essas configurações são definidas como valores Dword Windows Registro sob a seguinte chave no servidor de gerenciamento do VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Configurações
Esteja ciente de que todas essas configurações afetarão o comportamento das ACLs de porta em toda a infraestrutura do VMM.

Prioridade de regra de ACL de porta efetiva

Nesta discussão, descreveremos a precedência real das regras de ACL de porta quando várias ACLs de porta forem aplicadas a uma única entidade como Prioridade de Regra Efetiva. Lembre-se de que não há nenhuma configuração ou objeto separado no VMM para definir ou exibir a Prioridade de Regra Efetiva. Ele é calculado no runtime.

Há dois modos globais em que a Prioridade de Regra Efetiva pode ser calculada. Os modos são alternados pela configuração do Registro:

PortACLAbsolutePriority
Os valores aceitáveis para essa configuração são 0 (zero) ou 1, em que 0 indica o comportamento padrão.

Prioridade relativa (comportamento padrão)

Para habilitar esse modo, defina a propriedade PortACLAbsolutePriority no registro como um valor de 0 (zero). Esse modo também se aplicará se a configuração não estiver definida no Registro (ou seja, se a propriedade não for criada).

Nesse modo, os seguintes princípios se aplicam além dos principais conceitos descritos anteriormente:

  • A prioridade dentro da mesma ACL de porta é preservada. Portanto, os valores de prioridade definidos em cada regra são tratados como relativos dentro da ACL.

  • Quando você aplica várias ACLs de porta, suas regras são aplicadas em buckets. As regras da mesma ACL (anexada a um determinado objeto) são aplicadas juntas dentro do mesmo bucket. A precedência de buckets específicos depende do objeto ao qual a ACL de porta está anexada.

  • Aqui, todas as regras definidas na ACL de configurações globais (independentemente de sua própria prioridade, conforme definido na ACL de porta) sempre têm precedência sobre as regras definidas na ACL que é aplicada à vmNIC e assim por diante. Em outras palavras, a separação de camadas é imposta.


Por fim, a Prioridade de Regra Efetiva pode ser diferente do valor numérico que você define nas propriedades da regra de ACL de porta. Veja a seguir mais informações sobre como esse comportamento é imposto e como você pode alterar sua lógica.

  1. A ordem na qual três níveis "específicos do objeto" (ou seja, vmNIC, sub-rede de VM e rede VM) têm precedência podem ser alterados.

    1. A ordem das configurações globais não pode ser alterada. Ele sempre tem maior precedência (ou ordem = 0).

    2. Para os outros três níveis, você pode definir as seguintes configurações como um valor numérico entre 0 e 3, em que 0 é a precedência mais alta (igual às configurações globais) e 3 é a precedência mais baixa:

      • PortACLVMNetworkAdapterPriority (o padrão é 1)

      • PortACLVMSubnetPriority (o padrão é 2)

      • PortACLVMNetworkPriority (o padrão é 3)

    3. Se você atribuir o mesmo valor (0 a 3) a essas várias configurações do Registro ou se atribuir um valor fora do intervalo de 0 a 3, o VMM fará failback para o comportamento padrão.

  2. A maneira como essa ordenação é imposta é que a Prioridade de Regra Efetiva seja alterada para que as regras de ACL definidas em um nível superior recebam prioridade mais alta (ou seja, um valor numérico menor). Quando a ACL efetiva é calculada, cada valor de prioridade de regra relativa é "aumentado" pelo valor específico do nível ou "etapa".

  3. O valor específico do nível é a "etapa" que separa níveis diferentes. Por padrão, o tamanho da "etapa" é 10000 e é definido pela seguinte configuração do Registro:

    PortACLLayerSeparation

  4. Isso significa que, nesse modo, qualquer prioridade de regra individual dentro da ACL (ou seja, uma regra que é tratada como relativa) não pode exceder o valor da seguinte configuração:

    PortACLLayerSeparation (por padrão, 10000)

Exemplo de configuração

Suponha que todas as configurações tenham seus valores padrão. (Eles são descritos anteriormente.)

  1. Temos uma ACL que está anexada à vmNIC (PortACLVMNetworkAdapterPriority = 1).

  2. A prioridade efetiva para todas as regras definidas nessa ACL é aumentado em 10000 (valor PortACLLayerSeparation).

  3. Definimos uma regra nessa ACL que tem uma prioridade definida como 100.

  4. A prioridade efetiva para essa regra seria 10000 + 100 = 10100.

  5. A regra terá precedência sobre outras regras dentro da mesma ACL para a qual a prioridade é maior que 100.

  6. A regra sempre terá precedência sobre todas as regras definidas nas ACLs anexadas na rede da VM e no nível da sub-rede da VM. (Isso é verdade porque eles são considerados níveis "inferiores").

  7. A regra nunca terá precedência sobre as regras definidas na ACL de configurações globais.

Vantagens desse modo

  • Há melhor segurança em cenários multilocatário porque as regras de ACL de porta definidas pelo administrador do Fabric (no nível global do Configurações) sempre terão precedência sobre todas as regras definidas pelos próprios locatários.

  • Quaisquer conflitos de regra de ACL de porta (ou seja, ambiguidades) são impedidos automaticamente devido à separação de camadas. É muito fácil prever quais regras serão eficazes e por quê.

Cuidado com esse modo

  • Menos flexibilidade. Se você definir uma regra (por exemplo, "Negar todo o tráfego para a porta 80") nas configurações globais, nunca poderá criar uma isenção mais granular dessa regra em uma camada inferior (por exemplo, "Permitir a porta 80 somente nesta VM que executa um servidor Web legítimo").

Prioridade relativa

Para habilitar esse modo, defina a propriedade PortACLAbsolutePriority no registro como um valor de 1.

Nesse modo, os seguintes princípios se aplicam além dos conceitos principais descritos anteriormente:

  • Se um objeto estiver dentro do escopo de várias ACLs (por exemplo, rede VM e sub-rede de VM), todas as regras definidas em quaisquer ACLs anexadas serão aplicadas em ordem unificada (ou como um único bucket). Não há separação de nível nem "bater" qualquer coisa.

  • Todas as prioridades de regra são tratadas como absolutas, exatamente como são definidas em cada prioridade de regra. Em outras palavras, a prioridade efetiva para cada regra é a mesma definida na própria regra e não é alterada pelo mecanismo do VMM antes de ser aplicada.

  • Todas as outras configurações do Registro descritas na seção anterior não têm efeito.

  • Nesse modo, qualquer prioridade de regra individual em uma ACL (ou seja, uma prioridade de regra que é tratada como absoluta) não pode exceder 65535.

Exemplo de configuração

  1. Na ACL de configurações globais, você define uma regra cuja prioridade é definida como 100.

  2. Na ACL anexada à vmNIC, você define uma regra cuja prioridade é definida como 50.

  3. A regra definida no nível da vmNIC tem precedência porque tem uma prioridade mais alta (ou seja, um valor numérico menor).

Vantagens desse modo

  • Mais flexibilidade. Você pode criar isenções "one-off" das regras de configurações globais em níveis inferiores (por exemplo, sub-rede de VM ou vmNIC).

Cuidado com esse modo

  • O planejamento pode se tornar mais complexo porque não há separação de nível. E pode haver uma regra em qualquer nível que substitua outras regras definidas em outros objetos.

  • Em ambientes multilocatário, a segurança pode ser afetada porque um locatário pode criar uma regra no nível da sub-rede da VM que substitui a política definida pelo administrador do Fabric no nível de configurações globais.

  • Conflitos de regra (ou seja, ambiguidades) não são eliminados automaticamente e podem ocorrer. O VMM pode evitar conflitos apenas no mesmo nível de ACL. Ele não pode evitar conflitos entre ACLs anexadas a objetos diferentes. Em casos de conflito, como o VMM não pode corrigir o conflito automaticamente, ele interromperá a aplicação das regras e gerará um erro.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×