Mit diesen Einstellungen können Sie die Authentifizierung konfigurieren, die in Ihrer Umgebung erforderlich ist. Sie können die erweiterte Authentifizierung auf Regelbasis konfigurieren oder festlegen, dass sie standardmäßig für alle Verbindungssicherheitsregeln gilt.

So öffnen Sie dieses Dialogfeld

  • Führen Sie folgende Schritte aus, um das Dialogfeld zum Konfigurieren der Standardeinstellungen für den Computer zu öffnen. Diese Einstellungen gelten für alle Verbindungssicherheitsregeln, für die Standard als Authentifizierungsmethode ausgewählt wurde.

    1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.

    2. Klicken Sie auf die Registerkarte IPsec-Einstellungen.

    3. Klicken Sie unter IPsec-Standardeinstellungen auf Anpassen.

    4. Wählen Sie unter Authentifizierungsmethode die Option Erweitert aus, und klicken Sie dann auf Anpassen.

  • Führen Sie folgende Schritte aus, um das Dialogfeld beim Erstellen einer neuen Verbindungssicherheitsregel zu öffnen. Diese Einstellungen gelten nur für die Verbindungssicherheitsregel, deren Eigenschaften Sie momentan bearbeiten.

    1. Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.

    2. Wählen Sie einen Regeltyp (ausgenommen Authentifizierungsausnahme) aus.

    3. Klicken Sie im Assistenten so lange auf Weiter, bis die Seite Authentifizierungsmethode angezeigt wird.

    4. Klicken Sie auf Erweitert, und klicken Sie dann auf Anpassen.

  • Führen Sie folgende Schritte aus, um das Dialogfeld zum Konfigurieren der Einstellungen für eine bestehende Verbindungssicherheitsregel zu öffnen. Diese Einstellungen gelten nur für die Verbindungssicherheitsregel, deren Eigenschaften Sie momentan bearbeiten.

    1. Klicken Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen auf Verbindungssicherheitsregeln.

    2. Doppelklicken Sie auf die Regel, die Sie ändern möchten.

    3. Klicken Sie auf die Registerkarte Authentifizierung.

    4. Wählen Sie unter Methode die Option Erweitert aus, und klicken Sie dann auf Anpassen.

Erste Authentifizierung

Die erste Authentifizierungsmethode wird während der Hauptmodusphase der IPsec-Aushandlung (Internet Protocol Security, Internetprotokollsicherheit) verwendet. Mit dieser Authentifizierungseinstellung können Sie angeben, wie der Peercomputer authentifiziert wird.

Für diese Authentifizierung können Sie mehrere Methoden angeben. Die Methoden werden in der angegebenen Reihenfolge ausprobiert, wobei die erste erfolgreiche Methode verwendet wird.

  • Klicken Sie auf Hinzufügen, um eine Methode zur Liste hinzuzufügen.

  • Wählen Sie eine Methode aus, und klicken Sie dann auf Bearbeiten, um eine Methode zu ändern, die bereits in der Liste aufgeführt wird.

  • Wählen Sie eine Methode aus, und klicken Sie dann auf Entfernen, um eine Methode aus der Liste zu entfernen.

  • Wählen Sie eine Methode aus, und klicken Sie dann auf den Aufwärts- oder den Abwärtspfeil, um die Liste neu zu ordnen.

Weitere Informationen zu den verfügbaren ersten Authentifizierungsmethoden finden Sie unter Erste Authentifizierungsmethode hinzufügen/bearbeiten (Dialogfeld).

Erste Authentifizierung ist optional

Sie können diese Option aktivieren, wenn die erste Authentifizierung mit anonymen Anmeldeinformationen erfolgen soll. Dies ist hilfreich, wenn die zweite Authentifizierung den primären, erforderlichen Authentifizierungsmechanismus darstellt und die erste Authentifizierung nur dann erfolgt, wenn die Methode von beiden Peers unterstützt wird. Wenn beispielsweise die nur als zweite Authentifizierungsmethode verfügbare benutzerbasierte Authentifizierung mittels Kerberos, Version 5, obligatorisch sein soll, können Sie Erste Authentifizierung ist optional aktivieren und dann unter Zweite Authentifizierungsmethode die Option Benutzer (Kerberos V5) auswählen.

Vorsicht

Konfigurieren Sie nicht gleichzeitig die erste und die zweite Authentifizierung als optional. Das wäre gleichbedeutend damit, die Authentifizierung auszuschalten.

Zweite Authentifizierung

Mit der zweiten Authentifizierung können Sie angeben, wie der am Peercomputer angemeldete Benutzer authentifiziert wird. Sie können außerdem ein Computerintegritätszertifikat von einer bestimmten Zertifizierungsstelle angeben.

Die Methoden werden in der angegebenen Reihenfolge ausprobiert, wobei die erste erfolgreiche Methode verwendet wird.

Für diese Authentifizierung können Sie mehrere Methoden angeben.

  • Klicken Sie auf Hinzufügen, um eine Methode zur Liste hinzuzufügen.

  • Wählen Sie eine Methode aus, und klicken Sie dann auf Bearbeiten, um eine Methode zu ändern, die bereits in der Liste aufgeführt wird.

  • Wählen Sie eine Methode aus, und klicken Sie dann auf Entfernen, um eine Methode aus der Liste zu entfernen.

  • Wählen Sie eine Methode aus, und klicken Sie dann auf den Aufwärts- oder den Abwärtspfeil, um die Liste neu zu ordnen.

Hinweis
  • Sie dürfen entweder nur benutzer- oder nur computerbasierte Authentifizierungsmethoden verwenden.
  • Wenn Sie für die erste Authentifizierungsmethode einen vorinstallierten Schlüssel verwenden, können Sie die zweite Authentifizierungsmethode nicht verwenden, unabhängig davon, wo diese in der Liste aufgeführt ist.

Weitere Informationen zu den verfügbaren zweiten Authentifizierungsmethoden finden Sie unter Zweite Authentifizierungsmethode hinzufügen/bearbeiten (Dialogfeld).

Zweite Authentifizierung ist optional

Sie können diese Option aktivieren, um anzugeben, dass die zweite Authentifizierung, falls möglich, erfolgen soll, dass die Verbindung jedoch auch beim Scheitern der zweiten Authentifizierung nicht blockiert wird. Dies ist hilfreich, wenn die erste Authentifizierung den primären, erforderlichen Authentifizierungsmechanismus darstellt und die zweite Authentifizierung optional ist, aber bevorzugt verwendet werden soll, wenn die Methode von beiden Peers unterstützt wird. Wenn beispielsweise die computerbasierte Authentifizierung mittels Kerberos, Version 5, obligatorisch sein soll und, sofern möglich, die benutzerbasierte Authentifizierung mit Kerberos, Version 5, verwendet werden soll, können Sie Computer (Kerberos V5) als erste Authentifizierung und auswählen und dann Benutzer (Kerberos V5) als zweite Authentifizierung auswählen und hier das Kontrollkästchen Zweite Authentifizierung ist optional aktivieren.

Vorsicht

Konfigurieren Sie nicht gleichzeitig die erste und die zweite Authentifizierung als optional. Das wäre gleichbedeutend mit der Deaktivierung der Authentifizierung.

Wichtig
  • Wenn Sie den Tunnelmodus verwenden und Zweite Authentifizierung ist optional aktivieren, wird die daraus resultierende IPsec-Richtlinie als ausschließlich IKE-basierte Richtlinie implementiert; authentifiziertes IP (AuthIP) wird in diesem Fall nicht verwendet. Alle unter Zweite Authentifizierung angegebenen Authentifizierungsmethoden werden ignoriert.
  • Für eine Regel im Transportmodus werden die zweiten Authentifizierungsmethoden weiterhin wie erwartet verwendet.

Siehe auch

Inhaltsverzeichnis