Η ασφάλεια πρωτοκόλλου Internet (ασφάλεια IP) είναι ένα πλαίσιο ανοικτών προτύπων που εξασφαλίζουν ασφαλή ιδιωτική επικοινωνία μέσω δικτύων IP με χρήση κρυπτογραφικών υπηρεσιών ασφαλείας. Η εφαρμογή της ασφάλειας IP στα Microsoft Windows στηρίζεται σε πρότυπα που αναπτύχθηκαν από την ομάδα εργασίας Internet Engineering Task Force (IETF) για την ασφάλεια IP.

Η ασφάλεια ΙP εδραιώνει την εμπιστοσύνη και την ασφάλεια μεταξύ μιας διεύθυνσης IP προέλευσης και μιας διεύθυνσης IP προορισμού. Οι μόνοι υπολογιστές που πρέπει να είναι ενήμεροι σχετικά με την προστατευόμενη κυκλοφορία είναι οι υπολογιστές αποστολής και λήψης. Κάθε υπολογιστής αντιμετωπίζει τα θέματα ασφαλείας στο δικό του άκρο, θεωρώντας εκ των προτέρων ότι το μέσο διαμέσου του οποίου λαμβάνει χώρα η επικοινωνία δεν είναι ασφαλές. Οι υπολογιστές που δρομολογούν δεδομένα μόνον από την προέλευση προς τον προορισμό δεν χρειάζεται να υποστηρίζουν ασφάλεια IP, εκτός εάν μεταξύ δύο υπολογιστών εκτελείται φιλτράρισμα πακέτων με τείχος προστασίας ή μετάφραση διευθύνσεων δικτύου (ΝΑΤ).

Μπορείτε να χρησιμοποιήστε το συμπληρωματικό πρόγραμμα Πολιτικής ασφαλείας ΙΡ για να δημιουργήσετε, να επεξεργαστείτε και να εκχωρήστε πολιτικές ασφαλείας IP στον υπολογιστή σας, καθώς και σε απομακρυσμένους υπολογιστές.

Σημείωση

Σκοπός αυτών των εγγράφων τεκμηρίωσης είναι να σας προσφέρουν επαρκείς πληροφορίες σχετικά με τη χρήση του συμπληρωματικού προγράμματος Πολιτική ασφαλείας ΙΡ. Η ενημέρωση σχετικά με τη σχεδίαση και ανάπτυξη πολιτικών δεν εντάσσεται στους στόχους του εγγράφου αυτού.

Σχετικά με τις πολιτικές ασφαλείας IP

Οι πολιτικές ασφαλείας IP χρησιμοποιούνται για τη ρύθμιση των παραμέτρων των υπηρεσιών ασφαλείας IPsec. Οι πολιτικές αυτές παρέχουν διάφορα επίπεδα προστασίας για τους περισσότερους τύπους κυκλοφορίας και τα περισσότερα υπάρχοντα δίκτυα. Μπορείτε να ρυθμίσετε τις πολιτικές ασφαλείας IP, έτσι ώστε να καλύπτουν τις απαιτήσεις ασφαλείας ενός υπολογιστή, μιας οργανωτικής μονάδας (OU), ενός τομέα, μιας τοποθεσίας ή μιας παγκόσμιας εταιρείας. Μπορείτε να χρησιμοποιήσετε το συμπληρωματικό πρόγραμμα Πολιτικές ασφαλείας ΙΡ που περιλαμβάνεται σε αυτήν την έκδοση των Windows για να καθορίσετε πολιτικές ασφαλείας IP για υπολογιστές μέσω αντικειμένων Πολιτικής ομάδας (για τα μέλη του τομέα) ή στον τοπικό υπολογιστή ή για απομακρυσμένους υπολογιστές.

Σημαντικό

Το συμπληρωματικό πρόγραμμα Πολιτική ασφαλείας ΙΡ μπορεί να χρησιμοποιηθεί για τη δημιουργία πολιτικών οι οποίες εφαρμόζονται σε υπολογιστές με Windows Vista και νεότερες εκδόσεις των Windows. Ωστόσο, αυτό το συμπληρωματικό πρόγραμμα δεν χρησιμοποιεί τους νέους αλγόριθμους ασφαλείας και άλλες νέες δυνατότητες που είναι διαθέσιμες στα Windows Vista και σε νεότερες εκδόσεις των Windows. Για να δημιουργήσετε πολιτικές ασφαλείας ΙΡ για αυτούς τους υπολογιστές, χρησιμοποιήσετε το συμπληρωματικό πρόγραμμα Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας. Το συμπληρωματικό πρόγραμμα Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας δεν δημιουργεί πολιτικές που να μπορούν να εφαρμοστούν σε προηγούμενες εκδόσεις των Windows.

Μια πολιτική ασφαλείας IP περιλαμβάνει γενικές ρυθμίσεις και κανόνες πολιτικής ασφαλείας IP. Οι γενικές ρυθμίσεις πολιτικής ασφαλείας IΡ εφαρμόζονται ανεξάρτητα από τους ρυθμιζόμενους κανόνες. Αυτές οι ρυθμίσεις καθορίζουν το όνομα της πολιτικής, την περιγραφή της για διαχειριστικούς σκοπούς, καθώς και τις ρυθμίσεις και μεθόδους ανταλλαγής κλειδιών. Ένας ή περισσότεροι κανόνες ασφαλείας IP καθορίζουν τους τύπους κυκλοφορίας που πρέπει να ελέγχει η ασφάλεια IΡ, τον τρόπο αντιμετώπισης της κυκλοφορίας, τον τρόπο ελέγχου ταυτότητας ενός ομότιμου υπολογιστή IPsec και άλλες ρυθμίσεις.

Αφού δημιουργηθούν οι πολιτικές, μπορούν να εφαρμοστούν στον τομέα, την τοποθεσία, την οργανωτική μονάδα (OU) ή σε τοπικό επίπεδο. Μόνον μια πολιτική μπορεί να είναι ενεργή κάθε φορά σε κάποιον συγκεκριμένο υπολογιστή. Οι πολιτικές που διανέμονται και εφαρμόζονται με χρήση αντικειμένων Πολιτικής ομάδας έχουν προτεραιότητα έναντι των τοπικών πολιτικών.

Εργασίες του συμπληρωματικού προγράμματος Πολιτική ασφαλείας IP

Η ενότητα αυτή περιλαμβάνει ορισμένες από τις συνηθέστερες εργασίες, τις οποίες μπορείτε να εκτελέσετε με το συμπληρωματικό πρόγραμμα Πολιτικές ασφαλείας ΙΡ.

Δημιουργία πολιτικής

Εκτός εάν δημιουργείτε πολιτικές μόνον σε έναν υπολογιστή και τον ομότιμο IPsec, θα χρειαστεί πιθανώς να δημιουργήσετε ένα σύνολο πολιτικών ασφαλείας IP που ταιριάζουν με το δικό σας περιβάλλον τεχνολογιών πληροφορικής. Η διεργασία σχεδίασης, δημιουργίας και ανάπτυξης πολιτικών μπορεί να είναι πολύπλοκη, ανάλογα με το μέγεθος του τομέα σας, την ομοιομορφία των υπολογιστών του τομέα και άλλους παράγοντες.

Συνήθως, η διεργασία είναι η ακόλουθη:

  1. Δημιουργείτε λίστες φίλτρων ΙΡ που ταιριάζουν στους υπολογιστές, τα υποδίκτυα και τις συνθήκες του περιβάλλοντός σας.

  2. Δημιουργείτε ενέργειες φίλτρου που αντιστοιχούν στον τρόπο που θέλετε να γίνεται ο έλεγχος ταυτότητας των συνδέσεων, την ακεραιότητα που θα ισχύει και τα δεδομένα που θα κρυπτογραφούνται. Επίσης, ως ενέργεια φίλτρου μπορείτε να επιλέξετε είτε Αποκλεισμός είτε Παραχώρηση αδείας, ανεξάρτητα από τα άλλα κριτήρια. Η ενέργεια Αποκλεισμός έχει προτεραιότητα έναντι άλλων ενεργειών.

  3. Δημιουργείτε ένα σύνολο πολιτικών που ταιριάζουν με τις απαιτήσεις φιλτραρίσματος και ενεργειών φίλτρου (ασφαλείας) που χρειάζεστε.

  4. Κατ' αρχήν, αναπτύξτε πολιτικές με χρήση των ενεργειών φίλτρου Παραχώρηση αδείας και Αποκλεισμός, και στη συνέχεια εποπτεύστε το περιβάλλον ασφαλείας IP, για να εντοπίσετε προβλήματα που ενδεχομένως απαιτούν προσαρμογή αυτών των πολιτικών.

  5. Αναπτύσσετε τις πολιτικές με χρήση της ενέργειας φίλτρου Διαπραγμάτευση ασφαλείας, επιλέγοντας την επιστροφή στη διαγραφή των επικοινωνιών κειμένου. Αυτό σας επιτρέπει να ελέγξετε τη λειτουργία της ασφάλειας ΙΡ στο περιβάλλον σας, χωρίς να διακόψετε τις επικοινωνίες.

  6. Μόλις τελειοποιήσετε τις πολιτικές, καταργήστε την επιλογή επιστροφής στη διαγραφή επικοινωνιών κειμένου, όπου είναι απαραίτητο. Με αυτό τον τρόπο, οι πολιτικές θα απαιτούν έλεγχο ταυτότητας και ασφάλεια πριν δημιουργηθεί μια σύνδεση.

  7. Εποπτεύετε το περιβάλλον για απούσες επικοινωνίες, οι οποίες χαρακτηρίζονται από ξαφνική αύξηση των στατιστικών στοιχείων Αποτυχίας των διαπραγματεύσεων κύριας κατάστασης λειτουργίας.

Για να δημιουργήσετε μια νέα πολιτική ασφαλείας IP
  1. Κάντε κλικ με το δεξιό κουμπί του ποντικιού στον κόμβο Πολιτικές ασφαλείας ΙΡ και επιλέξτε Δημιουργία πολιτικής ασφαλείας IP.

  2. Στον Οδηγό πολιτικής ασφαλείας IP, κάντε κλικ στο κουμπί Επόμενο.

  3. Πληκτρολογήστε ένα όνομα και μια περιγραφή (προαιρετικό) της πολιτικής και στη συνέχεια κάντε κλικ στο κουμπί Επόμενο.

  4. Ενεργοποιήστε το πλαίσιο ελέγχου Ενεργοποίηση του προεπιλεγμένου κανόνα απόκρισης ή αφήστε το απενεργοποιημένο και στη συνέχεια κάντε κλικ στο κουμπί Επόμενο.

    Σημείωση

    Ο προεπιλεγμένος κανόνας απόκρισης μπορεί να χρησιμοποιηθεί μόνον σε πολιτικές για Windows XP και Windows Server 2003 και παλαιότερες εκδόσεις. Νεότερες εκδόσεις των Windows δεν μπορούν να χρησιμοποιήσουν τον προεπιλεγμένο κανόνα απόκρισης.

  5. Εάν χρησιμοποιείτε τον προεπιλεγμένο κανόνα απόκρισης, επιλέξτε μια μέθοδο ελέγχου ταυτότητας και στη συνέχεια πατήστε το κουμπί Επόμενο.

    Για περισσότερες πληροφορίες σχετικά με τον προεπιλεγμένο κανόνα απόκρισης, ανατρέξτε στην ενότητα Κανόνες ασφαλείας IP.

  6. Μην απενεργοποιείτε το πλαίσιο ελέγχου Επεξεργασία ιδιοτήτων και στη συνέχεια κάντε κλικ στο κουμπί Επόμενο. Μπορείτε να προσθέσετε στην πολιτική όσους κανόνες θεωρείτε απαραίτητους.

Προσθήκη ή αλλαγή ενός κανόνα πολιτικής

Για να προσθέσετε έναν κανόνα πολιτικής
  1. Κάντε κλικ με το δεξιό κουμπί του ποντικιού στην πολιτική ασφαλείας ΙΡ και στη συνέχεια επιλέξτε Ιδιότητες.

  2. Εάν θέλετε να δημιουργήσετε τον κανόνα στο παράθυρο διαλόγου ιδιοτήτων, απενεργοποιήστε το πλαίσιο ελέγχου Χρήση του οδηγού προσθήκης . Εάν θέλετε να χρησιμοποιήσετε τον οδηγό, μην απενεργοποιείτε το πλαίσιο ελέγχου. Κάντε κλικ στο κουμπί Προσθήκη. Οι ακόλουθες οδηγίες θα σας βοηθήσουν να δημιουργήσετε έναν κανόνα με χρήση του παράθυρου διαλόγου.

  3. Στο παράθυρο διαλόγου Ιδιότητες νέου κανόνα της καρτέλας Λίστα φίλτρων IP, επιλέξτε την κατάλληλη λίστα φίλτρων ή κάντε κλικ στο κουμπί Προσθήκη, για να προσθέσετε μια νέα λίστα φίλτρων. Εάν έχετε ήδη δημιουργήσει λίστες φίλτρων, αυτές θα εμφανιστούν στη λίστα Λίστες φίλτρων ΙΡ. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία και χρήση της λίστας φίλτρων, ανατρέξτε στην ενότητα Λίστες φίλτρων.

    Σημείωση

    Μόνο μια λίστα φίλτρων μπορεί να χρησιμοποιηθεί για κάθε κανόνα.

  4. Στην καρτέλα Ενέργεια φίλτρου, επιλέξτε την κατάλληλη ενέργεια φίλτρου ή κάντε κλικ στο κουμπί Προσθήκη για να προσθέσετε μια νέα ενέργεια φίλτρου. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία και χρήση των ενεργειών φίλτρου, ανατρέξτε στην ενότητα Ενέργειες φίλτρου.

    Σημείωση

    Μόνο μια ενέργεια φίλτρου μπορεί να χρησιμοποιηθεί για κάθε κανόνα.

  5. Στην καρτέλα Μέθοδοι ελέγχου ταυτότητας, επιλέξτε την κατάλληλη μέθοδο ή κάντε κλικ στο κουμπί Προσθήκη για να προσθέσετε μια νέα μέθοδο. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία και χρήση των μεθόδων ελέγχου ταυτότητας, ανατρέξτε στην ενότητα Έλεγχος ταυτότητας ασφαλείας IP.

    Σημείωση

    Μπορείτε να χρησιμοποιήσετε πολλές μεθόδους για κάθε κανόνα. Οι μέθοδοι επιχειρούνται με τη σειρά με την οποία εμφανίζονται στη λίστα. Εάν καθορίσετε ότι θα χρησιμοποιούνται πιστοποιητικά, τοποθετήστε τα στη λίστα με τη σειρά, με την οποία θέλετε να χρησιμοποιηθούν.

  6. Στην καρτέλα Τύπος σύνδεσης, επιλέξτε τον τύπο σύνδεσης, στον οποίο θα εφαρμοστεί ο κανόνας. Για περισσότερες πληροφορίες σχετικά με τους τύπους σύνδεσης, ανατρέξτε στην ενότητα Τύπος σύνδεσης ασφαλείας IP.

  7. Εάν χρησιμοποιείτε διοχέτευση, καθορίστε τις απολήξεις στην καρτέλα Ρυθμίσεις διοχέτευσης. Από προεπιλογή, δεν χρησιμοποιούνται διοχετεύσεις. Για περισσότερες πληροφορίες σχετικά με τη χρήση διοχετεύσεων, ανατρέξτε στην ενότητα Ρυθμίσεις διοχέτευσης ασφαλείας IP. Για τους κανόνες διοχέτευσης δεν μπορούν να δημιουργηθούν είδωλα κατοπτρισμού.

  8. Όταν ολοκληρώσετε τη διαδικασία ρύθμισης, κάντε κλικ στο κουμπί ΟΚ.

Για να αλλάξετε έναν κανόνα πολιτικής
  1. Κάντε κλικ με το δεξιό κουμπί του ποντικιού στην πολιτική ασφαλείας ΙΡ και στη συνέχεια επιλέξτε Ιδιότητες.

  2. Στο παράθυρο διαλόγου Ιδιότητες πολιτικής, επιλέξτε τον κανόνα και στη συνέχεια κάντε κλικ στο κουμπί Επεξεργασία.

  3. Στο παράθυρο διαλόγου Επεξεργασία ιδιοτήτων κανόνα της καρτέλας Λίστα φίλτρων IP, επιλέξτε την κατάλληλη λίστα φίλτρων ή κάντε κλικ στο κουμπί Προσθήκη, για να προσθέσετε μια νέα λίστα φίλτρων. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία και χρήση της λίστας φίλτρων, ανατρέξτε στην ενότητα Λίστες φίλτρων.

    Σημείωση

    Μόνο μια λίστα φίλτρων μπορεί να χρησιμοποιηθεί για κάθε κανόνα.

  4. Στην καρτέλα Ενέργεια φίλτρου, επιλέξτε την κατάλληλη ενέργεια φίλτρου ή κάντε κλικ στο κουμπί Προσθήκη για να προσθέσετε μια νέα λίστα φίλτρων. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία και χρήση των ενεργειών φίλτρου, ανατρέξτε στην ενότητα Ενέργειες φίλτρου.

    Σημείωση

    Μόνο μια ενέργεια φίλτρου μπορεί να χρησιμοποιηθεί για κάθε κανόνα.

  5. Στην καρτέλα Μέθοδοι ελέγχου ταυτότητας, επιλέξτε την κατάλληλη μέθοδο ή κάντε κλικ στο κουμπί Προσθήκη για να προσθέσετε μια νέα μέθοδο. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία και χρήση των μεθόδων ελέγχου ταυτότητας, ανατρέξτε στην ενότητα Έλεγχος ταυτότητας ασφαλείας IP.

    Σημείωση

    Μπορείτε να χρησιμοποιήσετε πολλές μεθόδους για κάθε κανόνα. Οι μέθοδοι επιχειρούνται με τη σειρά με την οποία εμφανίζονται στη λίστα.

  6. Στην καρτέλα Τύπος σύνδεσης, επιλέξτε τον τύπο σύνδεσης στον οποίο θα εφαρμοστεί ο κανόνας. Για περισσότερες πληροφορίες σχετικά με τους τύπους σύνδεσης, ανατρέξτε στην ενότηταΤύπος σύνδεσης ασφαλείας IP.

  7. Εάν χρησιμοποιείτε διοχέτευση, καθορίστε τις απολήξεις στην καρτέλα Ρυθμίσεις διοχέτευσης. Από προεπιλογή, δεν χρησιμοποιούνται διοχετεύσεις. Για περισσότερες πληροφορίες σχετικά με τη χρήση διοχετεύσεων, ανατρέξτε στην ενότητα Ρυθμίσεις διοχέτευσης ασφαλείας IP.

  8. Όταν ολοκληρώσετε τη διαδικασία ρύθμισης, κάντε κλικ στο κουμπί ΟΚ.

Εκχώρηση πολιτικής

Για να εκχωρήσετε μια πολιτική σ΄ αυτόν τον υπολογιστή
  • Κάντε κλικ με το δεξιό κουμπί του ποντικιού στην πολιτική και στη συνέχεια κάντε κλικ στην εντολή Εκχώρηση.

    Σημειώσεις
    • Μόνον μια πολιτική μπορεί να εκχωρηθεί σε έναν υπολογιστή κάθε φορά. Η εκχώρηση μιας ακόμη πολιτικής θα καταργήσει αυτόματα την τρέχουσα εκχωρηθείσα πολιτική. Η Πολιτική ομάδας του τομέα σας μπορεί να εκχωρήσει μια άλλη πολιτική σ' αυτόν τον υπολογιστή και να αγνοήσει την τοπική πολιτική.
    • Για να είναι επιτυχής η πολιτική ασφαλείας IP από υπολογιστή προς υπολογιστή, θα πρέπει να δημιουργήσετε μια πολιτική ειδώλου κατοπτρισμού στον άλλο υπολογιστή και να του εκχωρήσετε αυτή την πολιτική.
    • Για να εκχωρήσετε αυτή την πολιτική σε πολλούς υπολογιστές, χρησιμοποιήστε την Πολιτική ομάδας.

Βλ. επίσης