Bei IPsec handelt es sich um Rahmenbedingungen offener Standards zum Sicherstellen der privaten, sicheren Kommunikation über IP-Netzwerke mithilfe von kryptografischen Sicherheitsdiensten. Die Implementierung von IPSec in Microsoft Windows beruht auf Standards, die von der IPSec-Arbeitsgruppe der IETF (Internet Engineering Task Force) entwickelt wurden.
IPSec stellt Vertrauen und Sicherheit von einer Quell-IP-Adresse zu einer Ziel-IP-Adresse her. Die einzigen beiden Computer, die Informationen zur Sicherung des Datenverkehrs benötigen, sind der sendende und der empfangende Computer. Es wird davon ausgegangen, dass das zur Kommunikation verwendete Medium nicht sicher ist, daher ist jeder der beiden Computer für die Sicherheit an seinem jeweiligen "Ende" verantwortlich. Computer, die Daten von der Quelle zum Ziel nur weiterleiten, müssen IPSec nicht unterstützen, sofern keine firewallähnliche Paketfilterung oder Netzwerkadressenübersetzung (Network Address Translation, NAT) zwischen den beiden Computern stattfindet.
Mit dem IP-Sicherheitsrichtlinien-Snap-In können Sie IPSec-Richtlinien auf diesem Computer und Remotecomputern erstellen, bearbeiten und zuweisen.
 | Hinweis |
Diese Dokumentation soll die Informationen bereitstellen, die erforderlich sind, um das IP-Sicherheitsrichtlinien-Snap-In verstehen und verwenden zu können. Informationen zum Entwerfen und Bereitstellen von Richtlinien sind in dieser Dokumentation nicht enthalten. |
Informationen zu IPSec-Richtlinien
IPSec-Richtlinien werden zum Konfigurieren von IPSec-Sicherheitsdiensten verwendet. Die Richtlinien bieten unterschiedliche Schutzebenen für die meisten Arten von elektronischem Datenverkehr in fast allen vorhandenen Netzwerken. Sie können IPSec-Richtlinien so konfigurieren, dass sie die Sicherheitsanforderungen eines Computers, einer Organisationseinheit, einer Domäne, eines Standorts oder einer globalen Organisation erfüllen. Sie können das in dieser Version von Windows bereitgestellte IP-Sicherheitsrichtlinien-Snap-In verwenden, um IPsec-Richtlinien für Computer über Gruppenrichtlinienobjekte (für Domänenmitglieder) oder auf dem lokalen Computer oder für Remotecomputer zu definieren.
 | Wichtig |
Mithilfe des IP-Sicherheitsrichtlinien-Snap-Ins können IPsec-Richtlinien erstellt werden, die auf Computer unter Windows Vista und neueren Versionen von Windows angewendet werden können. Dieses Snap-In unterstützt jedoch nicht die Verwendung neuer Sicherheitsalgorithmen und anderer neuer Features, die unter Windows Vista und neueren Versionen von Windows verfügbar sind. Verwenden Sie das Windows-Firewall mit erweiterten Sicherheitseinstellungen-Snap-In, um IPsec-Richtlinien für diese Computer zu erstellen. Mit dem Windows-Firewall mit erweiterten Sicherheitseinstellungen-Snap-In können keine Richtlinien erstellt werden, die auf frühere Versionen von Windows angewendet werden können. |
Eine IPSec-Richtlinie besteht aus allgemeinen IPSec-Richtlinieneinstellungen und -Regeln. Allgemeine IPSec-Richtlinieneinstellungen sind unabhängig davon gültig, welche Regeln konfiguriert werden. In diesen Einstellungen werden der Name der Richtlinie, ihre Beschreibung für administrative Zwecke sowie die Einstellungen und Methoden für den Austausch von Schlüsseln festgelegt. Eine oder mehrere IPSec-Regeln, in denen neben anderen Einstellungen festgelegt ist, welche Arten von Datenverkehr von IPSec geprüft werden, wie Datenverkehr zu behandeln ist und wie ein IPSec-Peer authentifiziert wird.
Nach dem Erstellen können die Richtlinien auf die Domäne, den Standort, die Organisationseinheit und auf lokaler Ebene angewendet werden. Auf einem Computer kann jeweils nur eine Richtlinie aktiv sein. Richtlinien, die mithilfe von Gruppenrichtlinienobjekten verteilt und angewendet werden, setzen lokale Richtlinien außer Kraft.
Aufgaben des IP-Sicherheitsrichtlinien-Snap-Ins
In diesem Abschnitt werden einige der häufigsten Aufgaben aufgeführt, die Sie mithilfe des IP-Sicherheitsrichtlinien-Snap-Ins ausführen können.
Erstellen einer Richtlinie
Wenn Sie Richtlinien nicht nur auf einem Computer und dem entsprechenden IPSec-Peer erstellen, müssen Sie für Ihre IT-Umgebung wahrscheinlich eine Gruppe von IPSec-Richtlinien erstellen. Der Prozess des Entwerfens, Erstellens und Bereitstellens von Richtlinien kann je nach Größe der Domäne, Homogenität der Computer in der Domäne und weiteren Faktoren komplex sein.
Im Allgemeinen sieht der Prozess wie folgt aus:
- Erstellen Sie IP-Filterlisten entsprechend der Computer, Subnetze und Bedingungen in Ihrer Umgebung.
- Erstellen Sie Filteraktionen, je nachdem, wie Verbindungen authentifiziert, Datenintegrität angewendet und Daten verschlüsselt werden sollen. Bei der Filteraktion kann es sich unabhängig von anderen Kriterien auch um die Aktion Blockieren oder Zulassen handeln. Die Aktion Blockieren hat Vorrang vor allen anderen Aktionen.
- Erstellen Sie eine Gruppe von Richtlinien, die Ihren Filter- und Filteraktionsanforderungen (Sicherheitsanforderungen) entsprechen.
- Stellen Sie zunächst Richtlinien mit den Filteraktionen Zulassen und Blockieren bereit. Überwachen Sie die IPSec-Umgebung dann im Hinblick auf Probleme, die eine Anpassung dieser Richtlinien erforderlich machen könnten.
- Stellen Sie die Richtlinien mithilfe der Filteraktion Sicherheit aushandeln bereit, mit der Option, auf Klartextkommunikation zurückgreifen zu können. Auf diese Weise können Sie die Verwendung von IPSec in Ihrer Umgebung testen, ohne Kommunikationsvorgänge zu unterbrechen.
- Sobald Sie alle möglicherweise erforderlichen Verbesserungen an den Richtlinien vorgenommen haben, entfernen Sie ggf. die Aktion zum Zurückgreifen auf Klartextkommunikation. Dies führt dazu, dass die Richtlinien vor dem Erstellen einer Verbindung Authentifizierung und Sicherheit anfordern.
- Überwachen Sie die Umgebung im Hinblick auf nicht stattfindende Datenübertragungen. Ein möglicher Hinweis hierauf ist ein plötzlicher Anstieg in der Statistik für Hauptmodus-Aushandlungsfehler.
 | So erstellen Sie eine neue IPSec-Richtlinie |
Klicken Sie mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinien, und klicken Sie dann auf IP-Sicherheitsrichtlinie erstellen.
Klicken Sie im IP-Sicherheitsrichtlinien-Assistenten auf Weiter.
Geben Sie einen Namen und eine Beschreibung (optional) für die Richtlinie ein, und klicken Sie auf Weiter.
Aktivieren Sie das Kontrollkästchen Die Standardantwortregel aktivieren, oder lassen Sie es deaktiviert. Klicken Sie dann auf Weiter.
Hinweis Die Standardantwortregel kann nur für Richtlinien verwendet werden, die auf Computer unter Windows XP und Windows Server 2003 und früher angewendet werden. Die Standardantwortregel kann nicht unter höheren Versionen von Windows verwendet werden.
Wenn Sie die Standardantwortregel verwenden, wählen Sie eine Authentifizierungsmethode aus, und klicken Sie dann auf Weiter.
Weitere Informationen zur Standardantwortregel finden Sie unter IPSec-Regeln.
Lassen Sie das Kontrollkästchen Eigenschaften bearbeiten aktiviert, und klicken Sie dann auf Weiter. Sie können der Richtlinie nach Bedarf Regeln hinzufügen.
Hinzufügen oder Ändern einer Richtlinienregel
| So fügen Sie eine Richtlinienregel hinzu |
Klicken Sie mit der rechten Maustaste auf die IPSec-Richtlinie, und klicken Sie dann auf Eigenschaften.
Wenn Sie die Regel im Dialogfeld Eigenschaften erstellen möchten, aktivieren Sie das Kontrollkästchen Assistenten verwenden. Lassen Sie das Kontrollkästchen aktiviert, um den Assistenten zu verwenden. Klicken Sie auf Hinzufügen. Die folgenden Anweisungen gelten für das Erstellen einer Regel über das Dialogfeld.
Wählen Sie im Dialogfeld Eigenschaften für Neue Regel auf der Registerkarte IP-Filterliste die entsprechende Filterliste aus, oder klicken Sie auf Hinzufügen, um eine neue Filterliste hinzuzufügen. Wenn Sie bereits Filterlisten erstellt haben, werden diese in der Liste IP-Filterlisten angezeigt. Weitere Informationen zum Erstellen und Verwenden von Filterlisten finden Sie unter Filterlisten.
Hinweis Pro Regel kann jeweils nur eine Filterliste verwendet werden.
Wählen Sie auf der Registerkarte Filteraktion die entsprechende Filteraktion aus, oder klicken Sie auf Hinzufügen, um eine neue Filteraktion hinzuzufügen. Weitere Informationen zum Erstellen und Verwenden von Filteraktionen finden Sie unter Filteraktionen.
Hinweis Pro Regel kann jeweils nur eine Filteraktion verwendet werden.
Wählen Sie auf der Registerkarte Authentifizierungsmethoden die entsprechende Methode aus, oder klicken Sie auf Hinzufügen, um eine neue Methode hinzuzufügen. Weitere Informationen zum Erstellen und Verwenden von Authentifizierungsmethoden finden Sie unter IPSec-Authentifizierung.
Hinweis Sie können mehrere Methoden pro Regel verwenden. Die Methoden werden in der Reihenfolge ausprobiert, in der sie in der Liste aufgeführt werden. Wenn Sie die Verwendung von Zertifikaten angeben, stellen Sie diese in der Liste in der Reihenfolge zusammen, in der sie verwendet werden sollen.
Wählen Sie auf der Registerkarte Verbindungstyp den Verbindungstyp aus, auf den die Regel angewendet wird. Weitere Informationen zu Verbindungstypen finden Sie unter IPSec-Verbindungstyp.
Wenn Sie einen Tunnel verwenden, geben Sie die Endpunkte auf der Registerkarte Tunneleinstellungen an. Standardmäßig wird kein Tunnel verwendet. Weitere Informationen zur Verwendung von Tunneln finden Sie unter IPSec-Tunneleinstellungen. Tunnelregeln können nicht gespiegelt werden.
Sobald alle Einstellungen vollständig sind, klicken Sie auf OK.
| So ändern Sie eine Richtlinienregel |
Klicken Sie mit der rechten Maustaste auf die IPsec-Richtlinie, und klicken Sie anschließend auf Eigenschaften.
Wählen Sie die Regel im Dialogfeld Richtlinieneigenschaften aus, und klicken Sie dann auf Bearbeiten.
Wählen Sie im Dialogfeld Regel bearbeiten – Eigenschaften auf der Registerkarte IP-Filterliste die entsprechende Filterliste aus, oder klicken Sie auf Hinzufügen, um eine neue Filterliste hinzuzufügen. Weitere Informationen zum Erstellen und Verwenden von Filterlisten finden Sie unter Filterlisten.
Hinweis Pro Regel kann nur eine Filterliste verwendet werden.
Wählen Sie auf der Registerkarte Filteraktion die entsprechende Filteraktion aus, oder klicken Sie auf Hinzufügen, um eine neue Filterliste hinzuzufügen. Weitere Informationen zum Erstellen und Verwenden von Filteraktionen finden Sie unter Filteraktionen.
Hinweis Pro Regel kann nur eine Filteraktion verwendet werden.
Wählen Sie auf der Registerkarte Authentifizierungsmethoden die entsprechende Methode aus, oder klicken Sie auf Hinzufügen, um eine neue Methode hinzuzufügen. Weitere Informationen zum Erstellen und Verwenden von Authentifizierungsmethoden finden Sie unter IPSec-Authentifizierung.
Hinweis Pro Regel können mehrere Methoden verwendet werden. Die Methoden werden in der Reihenfolge ausprobiert, in der sie in der Liste aufgeführt werden.
Wählen Sie auf der Registerkarte Verbindungstyp den Verbindungstyp aus, auf den die Regel angewendet wird. Weitere Informationen zu Verbindungstypen finden Sie unter IPSec-Verbindungstyp.
Wenn Sie einen Tunnel verwenden, geben Sie die Endpunkte auf der Registerkarte Tunneleinstellungen an. Standardmäßig wird kein Tunnel verwendet. Weitere Informationen zur Verwendung von Tunneln finden Sie unter IPSec-Tunneleinstellungen.
Klicken Sie auf OK, wenn Sie alle Einstellungen vorgenommen haben.
Zuweisen einer Richtlinie
| So weisen Sie diesem Computer eine Richtlinie zu |
Klicken Sie mit der rechten Maustaste auf die Richtlinie, und klicken Sie dann auf Zuweisen.
Hinweis - Einem Computer kann jeweils nur eine Richtlinie zugewiesen werden. Durch das Zuweisen einer weiteren Richtlinie wird die Zuweisung der aktuell zugewiesenen Richtlinie automatisch aufgehoben. Aufgrund von Gruppenrichtlinien in Ihrer Domäne wird diesem Computer u. U. eine andere Richtlinie zugewiesen und die lokale Richtlinie ignoriert.
- Damit eine IPSec-Richtlinie von Computer zu Computer erfolgreich sein kann, müssen Sie auf dem anderen Computer eine gespiegelte Richtlinie erstellen und diese Richtlinie dem Computer zuweisen.
- Um diese Richtlinie mehreren Computern zuzuweisen, verwenden Sie Gruppenrichtlinien.