استخدم هذه الإعدادات لتحديد الطريقة التي تتم بها مصادقة حساب المستخدم على الكمبيوتر النظير. كما يمكنك تحديد ضرورة أن يكون للكمبيوتر شهادة حماية خاصة به. ويتم إجراء أسلوب المصادقة الثانية بواسطة "بروتوكول IP مصادق عليه" (AuthIP) في وضع موسّع من مرحلة الوضع الأساسي الخاصة بمفاوضات "أمان بروتوكول إنترنت" (Internet Protocol security) (IPsec).
يمكنك تحديد أساليب متعددة لاستخدامها من أجل هذه المصادقة. ويتم استخدام الأساليب بالترتيب الذي تحدده. ويتم استخدام أول أسلوب ناجح.
لمزيد من المعلومات حول أساليب المصادقة المتوفرة في مربع الحوار هذا، راجع
 | الوصول إلى مربع الحوار هذا |
عند تعديل الإعدادات الافتراضية على مستوى النظام:
- في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، في جزء التنقل، انقر فوق Windows Firewall with Advanced Security، ثم في Overview، انقر فوق Windows Firewall Properties.
- انقر فوق علامة التبويب IPsec Settings، ثم أسفل IPsec defaults، انقر فوق Customize.
- أسفل Authentication Method، قم بتحديد Advanced، ثم انقر فوق Customize.
- أسفل Second authentication، قم بتحديد أسلوب، ثم انقر فوق Edit أو Add.
- في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، في جزء التنقل، انقر فوق Windows Firewall with Advanced Security، ثم في Overview، انقر فوق Windows Firewall Properties.
عند إنشاء قاعدة أمان اتصال جديدة:
- في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، في جزء التنقل، انقر بزر الماوس الأيمن فوق Connection Security Rules، ثم انقر فوق New Rule.
- في الصفحة Rule Type، قم بتحديد أي نوع بخلاف Authentication exemption.
- في الصفحة Authentication Method، قم بتحديد Advanced، ثم انقر فوق Customize.
- أسفل Second authentication، قم بتحديد أسلوب، ثم انقر فوق Edit أو Add.
- في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، في جزء التنقل، انقر بزر الماوس الأيمن فوق Connection Security Rules، ثم انقر فوق New Rule.
عند تعديل قاعدة أمان موجودة:
- في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، في جزء التنقل، انقر فوق Connection Security Rules.
- انقر نقراً مزدوجاً فوق قاعدة أمان الاتصال التي ترغب في تعديلها.
- انقر فوق علامة التبويب Authentication.
- أسفل Method، انقر فوق Advanced، ثم انقر فوق Customize.
- أسفل Second authentication، قم بتحديد أسلوب، ثم انقر فوق Edit أو Add.
- في الأداة الإضافية جدار حماية Windows مع أمان متقدم MMC، في جزء التنقل، انقر فوق Connection Security Rules.
User (Kerberos V5)
يمكنك استخدام هذا الأسلوب للمصادقة على مستخدم قام بتسجيل الدخول إلى كمبيوتر بعيد هو جزء من نفس المجال أو موجود في مجالات منفصلة تربطها علاقة ثقة. ويجب أن يتوفر لدى المستخدم الذي قام بتسجيل الدخول حساباً على المجال، كما يجب أن يكون الكمبيوتر عضواً في مجال ينتمي إلى نفس الغابة.
User (NTLMv2)
NTLMv2 هي طريقة بديلة للمصادقة على مستخدم قام بتسجيل الدخول إلى كمبيوتر بعيد هو جزء من نفس المجال، أو موجود في مجال يتميز بوجود علاقة ثقة مع مجال الكمبيوتر المحلي. يجب أن يكون كل من حساب المستخدم والكمبيوتر منضمين إلى مجالات هي جزء من نفس الغابة.
User certificate
استخدم شهادة مفتاح عام في المواقف التي تتضمن اتصالات شركاء أعمال خارجية أو أجهزة كمبيوتر لا تقوم بتشغيل الإصدار الخامس من بروتوكول المصادقة Kerberos. ويتطلب هذا تكوين CA جذر واحد موثوق به على الأقل على الشبكة أو يمكن الوصول إليه من خلالها، وأن يتوفر لدى أجهزة الكمبيوتر العميلة شهادة كمبيوتر مقترنة. ويكون هذا الأسلوب مفيداً في حالة عدم وجود المستخدمين في نفس المجال، أو في حالة وجودهم في مجالات منفصلة دون وجود علاقة ثقة ثنائية، وتعذر استخدام الإصدار الخامس من Kerberos.
Signing algorithm
حدد خوارزمية التوقيع المستخدمة لتأمين الشهادة من خلال تشفيرها.
RSA (default)
حدد هذا الخيار في حالة توقيع الشهادة باستخدام خوارزمية تشفير المفتاح العام RSA.
ECDSA-P256
حدد هذا الخيار في حالة توقيع الشهادة باستخدام خوارزمية التوقيع Elliptic Curve Digital Signature Algorithm (ECDSA) مع قوة المفتاح 256 بت.
ECDSA-P384
حدد هذا الخيار في حالة توقيع الشهادة باستخدام ECDSA مع قوة المفتاح 256 بت.
Certificate store type
حدد نوع الشهادة عن طريق تحديد المخزن الذي تكون الشهادة موجودة به.
Root CA (default)
حدد هذا الخيار إذا تم إصدار الشهادة بواسطة CA الجذر وتم تخزينها في مخزن شهادات Trusted Root Certification Authorities الخاص بالكمبيوتر المحلي.
Intermediate CA
حدد هذا الخيار إذا تم إصدار الشهادة بواسطة CA متوسط وتم تخزينها في مخزن شهادات Intermediate Certification Authorities الخاص بالكمبيوتر المحلي.
Enable certificate to account mapping
عند تمكين "تعيين الشهادة للحساب" (certificate-to-account mapping) الخاص بـ IPsec، يقوم بروتوكولي "مفتاح إنترنت التبادلي" (IKE) و AuthIP بربط (تعيين) شهادة مستخدم إلى حساب مستخدم في مجال أو غابة Active Directory، ثم يقوم باسترداد الرمز المميز للوصول، الذي يتضمن قائمة من مجموعات أمان المستخدم. تضمن هذه العملية أن تتوافق الشهادة المقدمة من نظير IPsec مع حساب مستخدم نشط في المجال، وأن هذه الشهادة هي التي يجب استخدامها بواسطة هذا المستخدم.
يمكن استخدام Certificate-to-account mapping فقط لحسابات المستخدمين الموجودة في نفس الغابة التي يوجد بها الكمبيوتر الذي يقوم بتنفيذ التعيين. ويوفر هذا مصادقة أقوى بكثير من مجرد قبول أي سلسلة شهادة صحيحة. على سبيل المثال، يمكنك استخدام هذه الإمكانية لتقييد الوصول إلى المستخدمين الموجودين في نفس الغابة. بالرغم من ذلك، لا يضمن استخدام Certificate-to-account mapping السماح لمستخدم محدد موثوق به بالحصول على وصول IPsec.
يكون استخدام Certificate-to-account mapping مفيداً خاصة إذا كانت الشهادات مقدمة من البنية التحتية للمفتاح العام (PKI) غير المتكاملة مع نشر Active Directory Domain Services (AD DS)، مثل حصول شركاء العمل على شهاداتهم من موفرين غير تابعين لـ Microsoft. يمكنك تكوين أسلوب مصادقة نهج IPsec لتعيين الشهادات لحساب مستخدم مجال خاص بـ CA جذر محدد. كما يمكنك تعيين كافة الشهادات الصادرة من CA لحساب مستخدم واحد. يسمح هذا باستخدام مصادقة الشهادة لتحديد أي الغابات التي يُسمح لها بوصول IPsec في بيئة يوجد بها العديد من الغابات حيث يقوم كل منها بتنفيذ التسجيل التلقائي ضمن مرجع مصدق جذر داخلي منفرد. وإذا لم تتم عملية استخدام certificate-to-account mapping بشكل سليم، فستفشل عملية المصادقة ويتم حظر اتصالات IPsec المحمية.
Computer health certificate
استخدم هذا الخيار لتحديد أنه يمكن فقط للكمبيوتر الذي يقدم شهادة من CA المحدد وتم وضع علامة عليه كحاصل على شهادة حماية خاصة بـ "حماية الوصول إلى الشبكة" (Network Access Protection) (NAP) المصادقة باستخدام قاعدة أمان الاتصال هذه. يُمكِّنك NAP من تعريف نُهج الحماية وفرضها، بحيث تقل فرص أجهزة الكمبيوتر التي لا تتوافق مع نهج الشبكة، مثل أجهزة الكمبيوتر التي لا تحتوي على برامج مكافحة الفيروسات أو تحديثات البرامج الأخيرة، في الوصول إلى الشبكة. لتطبيق NAP، فأنت تحتاج إلى تكوين إعدادات NAP على كل من الخادم وأجهزة الكمبيوتر العميلة. لمزيد من المعلومات، راجع تعليمات الأداة الإضافية NAP الخاصة بـ MMC. لاستخدام هذا الأسلوب، يجب إعداد خادم NAP في المجال.
Signing algorithm
حدد خوارزمية التوقيع المستخدمة لتأمين الشهادة من خلال تشفيرها.
RSA (default)
حدد هذا الخيار في حالة توقيع الشهادة باستخدام خوارزمية تشفير المفتاح العام RSA.
ECDSA-P256
حدد هذا الخيار في حالة توقيع الشهادة باستخدام خوارزمية التوقيع Elliptic Curve Digital Signature Algorithm (ECDSA) مع قوة المفتاح 256 بت.
ECDSA-P384
حدد هذا الخيار في حالة توقيع الشهادة باستخدام ECDSA مع قوة المفتاح 384 بت.
Certificate store type
حدد نوع الشهادة عن طريق تحديد المخزن الذي تكون الشهادة موجودة به.
Root CA (default)
حدد هذا الخيار إذا تم إصدار الشهادة بواسطة CA الجذر وتم تخزينها في مخزن شهادات Trusted Root Certification Authorities الخاص بالكمبيوتر المحلي.
Intermediate CA
حدد هذا الخيار إذا تم إصدار الشهادة بواسطة CA متوسط وتم تخزينها في مخزن شهادات Intermediate Certification Authorities الخاص بالكمبيوتر المحلي.
Enable certificate to account mapping
عند تمكين certificate-to-account mapping الخاص بـ IPsec، يقوم بروتوكولي "مفتاح إنترنت التبادلي" (IKE) و AuthIP بربط (تعيين) شهادة مستخدم إلى حساب مستخدم في مجال أو غابة Active Directory، ثم يقوم باسترداد الرمز المميز للوصول، الذي يتضمن قائمة من مجموعات أمان المستخدم. تضمن هذه العملية أن تتوافق الشهادة المقدمة من نظير IPsec مع حساب كمبيوتر أو حساب مستخدم نشط في المجال، وأن هذه الشهادة هي التي يجب استخدامها بواسطة هذا الحساب.
يمكن استخدام certificate-to-account mapping فقط للحسابات الموجودة في نفس الغابة التي يوجد بها الكمبيوتر الذي يقوم بتنفيذ عملية التعيين. ويوفر هذا مصادقة أقوى بكثير من مجرد قبول أي سلسلة شهادة صحيحة. على سبيل المثال، يمكنك استخدام هذه الإمكانية لتقييد الوصول إلى الحسابات الموجودة في نفس الغابة. وبالرغم من ذلك، لا يضمن استخدام Certificate-to-account mapping السماح لحساب محدد موثوق به بالحصول على وصول IPsec.
يكون استخدام Certificate-to-account mapping مفيداً خاصة إذا كانت الشهادات مقدمة من البنية التحتية للمفتاح العام (PKI) غير المتكاملة مع نشر AD DS، كأن يحصل شركاء العمل على شهاداتهم من موفري شهادات غير تابعين لـ Microsoft. ويمكنك تكوين أسلوب مصادقة نهج IPsec لتعيين الشهادات لحساب مجال خاص بـ CA جذر محدد. كما يمكنك تعيين كافة الشهادات الصادرة من CA لحساب كمبيوتر أو حساب مستخدم واحد. ويسمح ذلك باستخدام مصادقة شهادة IKE لتحديد الغابات التي يُسمح لها بوصول IPsec في بيئة يوجد بها العديد من الغابات يقوم كل منها بتنفيذ التسجيل التلقائي ضمن CA جذر داخلي واحد. وإذا لم تتم عملية استخدام certificate-to-account mapping بشكل سليم، فستفشل عملية المصادقة ويتم حظر اتصالات IPsec المحمية.