Χρησιμοποιήστε αυτές τις ρυθμίσεις για να καθορίσετε τον τρόπο με τον οποίο γίνεται ο έλεγχος της ταυτότητας στον ομότιμο υπολογιστή. Η μέθοδος πρώτου ελέγχου ταυτότητας εφαρμόζεται κατά τη φάση κύριας κατάστασης λειτουργίας των διαπραγματεύσεων ασφαλείας πρωτοκόλλου Internet (IPsec).

Μπορείτε να καθορίσετε διάφορες μεθόδους χρήσης για τον πρώτο έλεγχο ταυτότητας. Οι μέθοδοι επιχειρούνται με τη σειρά που ορίζεται. Χρησιμοποιείται η πρώτη επιτυχής μέθοδος.

Για περισσότερες πληροφορίες σχετικά με τις μεθόδους ελέγχου ταυτότητας που είναι διαθέσιμες σε αυτό το παράθυρο ελέγχου, ανατρέξτε στο θέμα Αλγόριθμοι IPsec και μέθοδοι που υποστηρίζονται στα Windows (https://go.microsoft.com/fwlink/?linkid=129230).

Για να μεταβείτε σε αυτό το παράθυρο διαλόγου

  • Όταν τροποποιείτε τις προεπιλεγμένες ρυθμίσεις που ισχύουν για όλο το σύστημα:

    1. Στο συμπληρωματικό πρόγραμμα MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στο στοιχείο Επισκόπηση, κάντε κλικ στην επιλογή Ιδιότητες τείχους προστασίας Windows.

    2. Κάντε κλικ στην καρτέλα Ρυθμίσεις IPsec και, στη συνέχεια, στην επιλογή Προεπιλογές IPsec, κάντε κλικ στο στοιχείο Προσαρμογή.

    3. Στο στοιχείο Μέθοδος ελέγχου ταυτότητας, επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

    4. Στο στοιχείο Πρώτος έλεγχος ταυτότητας, επιλέξτε μια μέθοδο και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία ή Προσθήκη.

  • Όταν δημιουργείτε έναν νέο κανόνα ασφάλειας σύνδεσης:

    1. Στο συμπληρωματικό πρόγραμμα MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, κάντε δεξί κλικ στην επιλογή Κανόνες ασφάλειας σύνδεσης και στη συνέχεια κάντε κλικ στην επιλογή Νέος κανόνας.

    2. Στη σελίδα Τύπος κανόνα, κάντε κλικ στην επιλογή Εξαίρεση ελέγχου ταυτότητας.

    3. Στη σελίδα Μέθοδος ελέγχου ταυτότητας, επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

    4. Στο στοιχείο Πρώτος έλεγχος ταυτότητας, επιλέξτε μια μέθοδο και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία ή Προσθήκη.

  • Όταν τροποποιείτε έναν υπάρχοντα κανόνα ασφάλειας σύνδεσης:

    1. Στο συμπληρωματικό πρόγραμμα MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, κάντε κλικ στην επιλογή Κανόνες ασφάλειας σύνδεσης.

    2. Κάντε διπλό κλικ στον κανόνα ασφάλειας σύνδεσης που θέλετε να τροποποιήσετε.

    3. Κάντε κλικ στην καρτέλα Έλεγχος ταυτότητας.

    4. Στο στοιχείο Μέθοδος, επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

    5. Στο στοιχείο Πρώτος έλεγχος ταυτότητας, επιλέξτε μια μέθοδο και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία ή Προσθήκη.

Υπολογιστής (Kerberos V5)

Μπορείτε να χρησιμοποιήσετε αυτή τη μέθοδο για τον έλεγχο ταυτότητας ομότιμων υπολογιστών, οι οποίοι έχουν λογαριασμούς υπολογιστών στον ίδιο τομέα ή σε διαφορετικούς τομείς με σχέση αξιοπιστίας μεταξύ τους.

Υπολογιστής (NTLMv2)

Το NTLMv2 είναι ένας εναλλακτικός τρόπος ελέγχου ταυτότητας ομότιμων υπολογιστών, οι οποίοι έχουν λογαριασμούς υπολογιστών στον ίδιο τομέα ή σε διαφορετικούς τομείς με σχέση αξιοπιστίας μεταξύ τους.

Πιστοποιητικό υπολογιστή από αυτή την αρχή έκδοσης πιστοποιητικών (CA)

Χρησιμοποιήστε ένα πιστοποιητικό δημόσιου κλειδιού σε περιπτώσεις που αφορούν επικοινωνία με εξωτερικούς συνεργάτες ή υπολογιστές που δεν εκτελούν το πρωτόκολλο ελέγχου ταυτότητας Kerberos V5. Αυτό απαιτεί τη ρύθμιση τουλάχιστον μίας αξιόπιστης αρχής έκδοσης (CA) πιστοποιητικών ρίζας ή η αρχή αυτή να είναι προσβάσιμη μέσω του δικτύου και οι υπολογιστές-πελάτες να έχουν ένα σχετικό πιστοποιητικό υπολογιστή.

Αλγόριθμος υπογραφής

Καθορίστε τον αλγόριθμο υπογραφής που θα χρησιμοποιηθεί για να ασφαλιστεί κρυπτογραφικά το πιστοποιητικό.

RSA (προεπιλογή)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης δημόσιου κλειδιού RSA.

ECDSA-P256

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας αλγόριθμο ψηφιακής υπογραφής ελλειπτικής καμπύλης (ECDSA) με ισχύ κλειδιού 256 bit.

ECDSA-P384

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας ECDSA με ισχύ κλειδιού 384 bit.

Τύπος χώρου αποθήκευσης πιστοποιητικών

Καθορίστε τον τύπο του πιστοποιητικού προσδιορίζοντας τον αποθηκευτικό χώρο στον οποίο βρίσκεται το πιστοποιητικό.

Αρχή έκδοσης πιστοποιητικών ρίζας (προεπιλογή)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό εκδόθηκε από μια αρχή έκδοσης πιστοποιητικών ρίζας (CA) και έχει αποθηκευτεί στον χώρο αποθήκευσης πιστοποιητικών Αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας του υπολογιστή.

Ενδιάμεση αρχή έκδοσης πιστοποιητικών (CA)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό εκδόθηκε από μια ενδιάμεση αρχή έκδοσης πιστοποιητικών (CA) και είναι αποθηκευμένο στον χώρο αποθήκευσης πιστοποιητικών ενδιάμεσων αρχών έκδοσης πιστοποιητικών ρίζας του τοπικού υπολογιστή.

Αποδοχή μόνο πιστοποιητικών εύρυθμης λειτουργίας

Αυτή η επιλογή περιορίζει τη χρήση των πιστοποιητικών του υπολογιστή σε εκείνα που έχουν επισημανθεί ως πιστοποιητικά εύρυθμης λειτουργίας. Τα πιστοποιητικά εύρυθμης λειτουργίας εκδίδονται από μια αρχή έκδοσης πιστοποιητικών (CA) για την υποστήριξη της ανάπτυξης προστασίας πρόσβασης στο δίκτυο (NAP). Η προστασία πρόσβασης στο δίκτυο (NAP) σας δίνει τη δυνατότητα να καθορίσετε και να ενισχύσετε τις πολιτικές εύρυθμης λειτουργίας έτσι ώστε οι υπολογιστές που δεν συμμορφώνονται με τις πολιτικές του δικτύου, όπως είναι οι υπολογιστές χωρίς λογισμικό προστασίας από ιούς ή αυτοί που δεν έχουν τις τελευταίες ενημερωμένες εκδόσεις του λογισμικού, είναι λιγότερο πιθανό να έχουν πρόσβαση στο δίκτυό σας. Για να υλοποιήσετε τη ΝΑΡ πρέπει να ρυθμίσετε τις σχετικές παραμέτρους τόσο στο διακομιστή όσο και στους υπολογιστές πελάτες. Η Διαχείριση υπολογιστή-πελάτη NAP, ένα συμπληρωματικό πρόγραμμα της Κονσόλας διαχείρισης της Microsoft (MMC), σας βοηθά να ρυθμίσετε τις παραμέτρους της ΝΑΡ στους υπολογιστές πελάτες. Για περισσότερες πληροφορίες, ανατρέξτε στη βοήθεια του βοηθητικού προγράμματος MMC του NAP. Για να χρησιμοποιήσετε τη μέθοδο πρέπει να έχετε ρυθμίσει έναν διακομιστή ΝΑΡ στον τομέα.

Ενεργοποίηση πιστοποιητικού για αντιστοίχιση λογαριασμού

Όταν ενεργοποιείτε την αντιστοίχιση πιστοποιητικού σε λογαριασμό IPsec, τα πρωτόκολλα ανταλλαγής κλειδιού Internet (IKE) και Έλεγχος ταυτότητας IP (AuthIP) σχετίζουν (αντιστοιχούν) ένα πιστοποιητικό υπολογιστή σε έναν λογαριασμό υπολογιστή σε έναν τομέα ή δάσος υπηρεσίας καταλόγου Active Directory και στη συνέχεια ανακτούν ένα διακριτικό πρόσβασης το οποίο περιλαμβάνει τη λίστα των ομάδων ασφάλειας υπολογιστών. Αυτή η διαδικασία διασφαλίζει ότι το πιστοποιητικό που παρέχεται από τον ομότιμο υπολογιστή IPsec αντιστοιχεί σε έναν ενεργό λογαριασμό υπολογιστή στον τομέα και ότι το πιστοποιητικό είναι κατάλληλο να χρησιμοποιείται από τον υπολογιστή.

Η αντιστοίχιση πιστοποιητικού σε λογαριασμό μπορεί να χρησιμοποιηθεί μόνο για λογαριασμούς υπολογιστών που είναι στο ίδιο δάσος με τον υπολογιστή που πραγματοποιεί την αντιστοίχιση. Με τη διαδικασία αυτή ο έλεγχος ταυτότητας είναι αυστηρότερος από ότι μια απλή αποδοχή κάθε έγκυρης αλυσίδας πιστοποιητικών. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε αυτήν τη δυνατότητα για να περιορίσετε την πρόσβαση σε υπολογιστές που είναι στο ίδιο δάσος. Ωστόσο, η αντιστοίχιση πιστοποιητικού σε λογαριασμό δεν διασφαλίζει ότι επιτρέπεται η πρόσβαση IPsec σε έναν συγκεκριμένο αξιόπιστο υπολογιστή.

Η αντιστοίχιση πιστοποιητικού σε λογαριασμό είναι ιδιαίτερα χρήσιμη αν το πιστοποιητικό προέρχεται από υποδομή δημόσιου κλειδιού (PKI) η οποία δεν είναι ενσωματωμένη στην ανάπτυξη υπηρεσιών τομέα υπηρεσίας καταλόγου Active Directory (AD DS), όπως στην περίπτωση όπου οι συνεργάτες αποκτούν τα πιστοποιητικά τους από παρόχους εκτός της Microsoft. Μπορείτε να ρυθμίσετε τη μέθοδο ελέγχου ταυτότητας πολιτικής IPsec για αντιστοίχιση πιστοποιητικών σε έναν λογαριασμό υπολογιστή τομέα για μια συγκεκριμένη αρχής έκδοσης (CA) πιστοποιητικών ρίζας. Μπορείτε επίσης να αντιστοιχίσετε όλα τα πιστοποιητικά από μία αρχή έκδοσης πιστοποιητικών (CA) σε έναν λογαριασμό υπολογιστή. Η διαδικασία αυτή επιτρέπει τη χρήση του ελέγχου ταυτότητας πιστοποιητικού IKE για περιορισμό των δασών στα οποία επιτρέπεται πρόσβαση IPsec σε ένα περιβάλλον όπου υπάρχουν πολλά δάση και κάθε ένα πραγματοποιεί αυτόματη εγγραφή σε μια ενιαία εσωτερική αρχή έκδοσης πιστοποιητικών ρίζας CA. Αν η διαδικασία αντιστοίχισης πιστοποιητικού σε λογαριασμό δεν ολοκληρωθεί σωστά, ο έλεγχος ταυτότητας θα αποτύχει και οι συνδέσεις που προστατεύονται από IPsec θα αποκλειστούν.

Ήδη κοινόχρηστο κλειδί (δεν συνιστάται)

Μπορείτε να χρησιμοποιήσετε ήδη κοινόχρηστα κλειδιά για να εκτελέσετε έλεγχο ταυτότητας. Πρόκειται για ένα κοινόχρηστο, απόρρητο κλειδί που συμφωνήθηκε εκ των προτέρων από δύο χρήστες. Για να χρησιμοποιήσουν αυτό το ήδη κοινόχρηστο κλειδί, τα δύο μέρη πρέπει να ρυθμίσουν με μη αυτόματο τρόπο τις παραμέτρους ασφαλείας IP. Κατά τη διαπραγμάτευση ασφαλείας, οι πληροφορίες κρυπτογραφούνται με το κοινόχρηστο κλειδί πριν τη μετάδοση, και αποκρυπτογραφούνται με το ίδιο κλειδί στην απόληξη παραλαβής. Εάν ο παραλήπτης μπορεί να αποκρυπτογραφήσει τις πληροφορίες, οι ταυτότητες θεωρούνται ελεγμένες.

Προσοχή
  • Η μεθοδολογία του ήδη κοινόχρηστου κλειδιού εξυπηρετεί σκοπούς διαλειτουργικότητας και συμμόρφωσης με τα πρότυπα της ασφαλείας ΙΡ. Χρησιμοποιείτε το ήδη κοινόχρηστο κλειδί μόνον για έλεγχο. Η τακτική χρήση του ελέγχου ταυτότητας με ήδη κοινόχρηστο κλειδί δεν συνιστάται, καθώς το κλειδί είναι αποθηκευμένο χωρίς προστασία στην πολιτική ασφαλείας ΙΡ.
  • Εάν ένα ήδη κοινόχρηστο κλειδί χρησιμοποιηθεί για έλεγχο ταυτότητας κύριας κατάστασης λειτουργίας, δεν είναι δυνατή η χρήση του δεύτερου ελέγχου ταυτότητας.

Βλ. επίσης

Πίνακας περιεχομένων