Brug disse indstillinger til at angive, hvordan brugerkontoen på peercomputeren godkendes. Du kan også angive, at computeren skal have et computertilstandscertifikat. Den anden godkendelsesmetode udføres af AuthIP (Authenticated IP) i en udvidet version af hovedtilstandsfasen for IPsec-forhandlinger.
Du kan angive flere metoder, der skal bruges til denne godkendelse. Der gøres forsøg på at udføre metoderne i den rækkefølge, du angiver. Den første metode, der lykkes, bruges.
Du kan finde flere oplysninger om godkendelsesmetoderne i denne dialogboks under
 | Sådan åbnes dialogboksen |
Når du ændrer standardindstillinger for hele systemet:
- Klik på Windows Firewall med avanceret sikkerhedspolitik i navigationsruden i MMC-snap'in-en Windows Firewall med avanceret sikkerhed, og klik derefter på Egenskaber for Windows Firewall i Oversigt.
- Klik på fanen IPsec-indstillinger, og klik derefter på Tilpas under IPsec-standardindstillinger.
- Vælg Avanceret under Godkendelsesmetode, og klik derefter på Tilpas.
- Vælg en metode under Anden godkendelse, og klik derefter på Rediger eller Tilføj.
- Klik på Windows Firewall med avanceret sikkerhedspolitik i navigationsruden i MMC-snap'in-en Windows Firewall med avanceret sikkerhed, og klik derefter på Egenskaber for Windows Firewall i Oversigt.
Når du opretter en ny regel for forbindelsessikkerhed:
- Højreklik på Regler for forbindelsessikkerhed i MMC-snap-in'en Windows Firewall med avanceret sikkerhed, og klik derefter på Ny regel.
- Vælg en type på siden Regeltype - dog ikke typen Godkendelsesundtagelse.
- Vælg Avanceret på siden Godkendelsesmetode, og klik derefter på Tilpas.
- Vælg en metode under Anden godkendelse, og klik derefter på Rediger eller Tilføj.
- Højreklik på Regler for forbindelsessikkerhed i MMC-snap-in'en Windows Firewall med avanceret sikkerhed, og klik derefter på Ny regel.
Når du ændrer en eksisterende sikkerhedsregel:
- Klik på Regler for forbindelsessikkerhed i navigationsruden i MMC-snap-in'en Windows Firewall med avanceret sikkerhed.
- Dobbeltklik på den regel for forbindelsessikkerhed, du vil ændre.
- Klik på fanen Godkendelse.
- Klik på Avanceret under Metode, og klik derefter på Tilpas.
- Vælg en metode under Anden godkendelse, og klik derefter på Rediger eller Tilføj.
- Klik på Regler for forbindelsessikkerhed i navigationsruden i MMC-snap-in'en Windows Firewall med avanceret sikkerhed.
Bruger (Kerberos V5)
Du kan bruge denne metode til at godkende en bruger, der er logget på en fjerncomputer, som er medlem af samme domæne, eller som er medlem af forskellige domæner, der har et tillidsforhold. Den bruger, der er logget på, skal have en domænekonto, og computeren skal være medlem af et domæne i den samme skov.
Bruger (NTLMv2)
NTLMv2 er en alternativ metode til at godkende en bruger, der er logget på en fjerncomputer, som er en del af det samme domæne, eller som er i et domæne, som har en tillidsrelation til domænet på den lokale computer. Brugerkontoen og computeren skal være tilsluttet domæner, der er en del af den samme skov.
Brugercertifikat
Brug et offentligt nøglecertifikat i de situationer, som omfatter kommunikation med eksterne forretningspartnere eller computere, der ikke kører godkendelsesprotokollen Kerberos version 5. Dette kræver, at der er konfigureret mindst et rodnøglecenter, der er tillid til, som du kan få adgang til via netværket, og at klientcomputerne har et tilknyttet computercertifikat. Du kan bruge denne metode, når brugere ikke er medlem af samme domæne eller er medlem af forskellige domæner uden et gensidigt tillidsforhold, og Kerberos version 5 ikke kan bruges.
Signaturalgoritme
Angiv den signaturalgoritme, der bruges til at sikre certifikatet kryptografisk.
RSA (standard)
Markér denne indstilling, hvis certifikatet er signeret med RSA-krypteringsalgoritmen med en offentlig nøgle.
ECDSA-P256
Markér denne indstilling, hvis certifikatet er signeret med ECDSA (Elliptic Curve Digital Signature Algorithm) med en nøglestyrke på 256 bit.
ECDSA-P384
Markér denne indstilling, hvis certifikatet er signeret med ECDSA med en nøglestyrke på 256 bit.
Typen af certifikatlager
Angiv certifikattypen ved at identificere det lager, hvor certifikatet findes.
Rodnøglecenter (standard)
Markér denne indstilling, hvis certifikatet blev udstedt af et rodnøglecenter og gemmes i certifikatlageret Rodnøglecentre, der er tillid til på den lokale computer.
Mellemliggende nøglecenter
Markér denne indstilling, hvis certifikatet blev udstedt af et mellemliggende nøglecenter og gemmes i certifikatlageret Mellemliggende nøglecentre på den lokale computer.
Aktivér certifikattilknytning til konto
Når du aktiverer IPsec-certifikattilknytning til konto, knytter IKE- (Internet Key Exchange) og AuthIP-protokollerne et brugercertifikat til en brugerkonto i et Active Directory-domæne eller en skov, og der hentes derefter et adgangstoken, som omfatter listen over brugersikkerhedsgrupper. Denne proces sikrer, at certifikatet fra en IPsec-peer svarer til en aktiv brugerkonto i domænet, og at certifikatet er et certifikat, der skal bruges af brugeren.
Certifikattilknytning til konto kan kun bruges til de brugerkonti, der findes i den samme skov som den computer, der udfører tilknytningen. Dette giver en langt stærkere godkendelse end blot at acceptere en gyldig certifikatkæde. Du kan f.eks. bruge denne funktion til at begrænse adgangen til de brugere, der findes inden for den samme skov. Certifikattilknytning til konto sikrer dog ikke, at en bestemt bruger, der er tillid til, får IPsec-adgang.
Certifikattilknytning til konto er især praktisk, hvis certifikaterne kommer fra en infrastruktur for offentlige nøgler, som ikke er integreret med din AD DS-implementering (Active Directory Domain Services), f.eks. hvis forretningspartnere får deres certifikater fra andre udbydere end Microsoft. Du kan konfigurere metoden til IPsec-politikgodkendelse til at knytte certifikater til en domænebrugerkonto for et bestemt rodnøglecenter. Du kan også knytte alle certifikater fra et udstedende nøglecenter til en brugerkonto. Dette gør det muligt at bruge certifikatgodkendelse til at begrænse, hvilke skove der tillader IPsec-adgang i et miljø, hvor der findes mange skove, og som hver udfører automatisk registrering under et enkelt internt rodnøglecenter. Hvis processen med certifikattilknytning til konto ikke fuldføres korrekt, opstår der fejl i godkendelsen, og IPsec-beskyttede forbindelser blokeres.
Computertilstandscertifikat
Brug denne indstilling til at angive, at det kun er en computer, der præsenterer et certifikat fra det angivne nøglecenter, og som er markeret som et NAP-tilstandscertifikat (Network Access Protection), der kan godkendes ved hjælp af denne regel for forbindelsessikkerhed. Ved hjælp af NAP kan du definere og gennemtvinge tilstandspolitikker, så de computere, som ikke opfylder netværkspolitikkerne, f.eks. computere uden antivirussoftware eller uden de seneste softwareopdateringer, har mindre sandsynlighed for at få adgang til netværket. Hvis du vil implementere NAP, skal du konfigurere NAP-indstillinger på både server- og klientcomputerne. Du kan finde flere oplysninger i Hjælp til MMC-snap-in'en NAP. Hvis du vil bruge denne metode, skal du have konfigureret en NAP-server i domænet.
Signaturalgoritme
Angiv den signaturalgoritme, der bruges til at sikre certifikatet kryptografisk.
RSA (standard)
Markér denne indstilling, hvis certifikatet er signeret med RSA-krypteringsalgoritmen med en offentlig nøgle.
ECDSA-P256
Markér denne indstilling, hvis certifikatet er signeret med ECDSA (Elliptic Curve Digital Signature Algorithm) med en nøglestyrke på 256 bit.
ECDSA-P384
Markér denne indstilling, hvis certifikatet er signeret med ECDSA med en nøglestyrke på 384 bit.
Typen af certifikatlager
Angiv certifikattypen ved at identificere det lager, hvor certifikatet findes.
Rodnøglecenter (standard)
Markér denne indstilling, hvis certifikatet blev udstedt af et rodnøglecenter og gemmes i certifikatlageret Rodnøglecentre, der er tillid til på den lokale computer.
Mellemliggende nøglecenter
Markér denne indstilling, hvis certifikatet blev udstedt af et mellemliggende nøglecenter og gemmes i certifikatlageret Mellemliggende nøglecentre på den lokale computer.
Aktivér certifikattilknytning til konto
Når du aktiverer IPsec-certifikattilknytning til konto, knytter IKE- og AuthIP-protokollerne et certifikat til en bruger- eller computerkonto i et Active Directory-domæne eller en skov og henter derefter et adgangstoken, som omfatter listen over sikkerhedsgrupper. Denne proces sikrer, at certifikatet fra en IPsec-peer svarer til en aktiv computer- eller brugerkonto i domænet, og at certifikatet er et certifikat, der skal bruges af kontoen.
Certifikattilknytning til konto kan kun bruges til de konti, der findes i den samme skov som den computer, der udfører tilknytningen. Dette giver en langt stærkere godkendelse end blot at acceptere en gyldig certifikatkæde. Du kan f.eks. bruge denne funktion til at begrænse adgangen til de konti, der findes inden for den samme skov. Certifikattilknytning til konto sikrer dog ikke, at en bestemt konto, der er tillid til, får IPsec-adgang.
Certifikattilknytning til konto er især praktisk, hvis certifikater kommer fra en infrastruktur for offentlige nøgler, som ikke er integreret med din AD DS-implementering, f.eks. hvis forretningspartnere får deres certifikater fra andre certifikatudbydere end Microsoft. Du kan konfigurere metoden til IPsec-politikgodkendelse til at knytte certifikater til en domænekonto for et bestemt rodnøglecenter. Du kan også knytte alle certifikater fra et udstedende nøglecenter til en computer- eller brugerkonto. Dette gør det muligt at bruge IKE-certifikatgodkendelse til at begrænse, hvilke skove der tillader IPsec-adgang i et miljø, hvor der findes mange skove, og som hver udfører automatisk registrering under et enkelt internt rodnøglecenter. Hvis processen med certifikattilknytning til konto ikke fuldføres korrekt, opstår der fejl i godkendelsen, og IPsec-beskyttede forbindelser blokeres.