Chaque règle définit la liste des méthodes d’authentification. Chaque méthode d’authentification définit les impératifs en matière de vérification des identités lors des communications auxquelles la règle associée s’applique. Les méthodes sont tentées par chaque homologue dans l’ordre dans lequel elles apparaissent dans la liste. Les deux homologues doivent avoir au moins une méthode d’authentification commune, sinon la communication échoue. En créant des méthodes d’authentification multiples, vous augmentez les possibilités de trouver une méthode commune à deux ordinateurs.
 | Remarques |
L’ordre de ces méthodes est également important car seule la première méthode courante est tentée ; si elle ne parvient pas à effectuer l’authentification, aucune autre méthode de la liste n’est tentée, même si celles-ci auraient réussi. |
Méthodes d’authentification
Quel que soit le nombre de méthodes d’authentification configurées, une seule peut être spécifiée entre deux ordinateurs. Si plusieurs règles s’appliquent à une même paire d’ordinateurs, vous devez configurer la liste des méthodes d’authentification dans ces règles afin de permettre aux deux ordinateurs d’utiliser la même. Par exemple, si une règle définie entre deux ordinateurs spécifie uniquement le protocole Kerberos pour l’authentification et ne filtre que les données TCP et qu’une autre règle prescrit l’authentification par certificat uniquement et filtre les données UDP uniquement, l’authentification échoue. La configuration des méthodes d’authentification s’effectue au moyen de l’onglet Méthodes d’authentification des feuilles de propriétés Modifier les propriétés de la règle ou Ajouter des propriétés de la règle.
- Le protocole d’authentification Kerberos version 5 est le service d’authentification par défaut. Cette méthode peut être utilisée pour tous les ordinateurs exécutant le protocole d’authentification Kerberos V5 qui sont membres du même domaine ou de domaines approuvés. Cette méthode est utile pour l’isolation de domaine utilisant la sécurité IP (IPsec).
- Il est conseillé d’utiliser un certificat de clé publique en cas d’accès à Internet, d’accès distant à des ressources de l’entreprise, de communications avec des partenaires commerciaux externes ou avec des ordinateurs n’exécutant pas le protocole de sécurité Kerberos V5. Dans ce cas, au moins une Autorité de certification de confiance doit avoir été configurée. Cette version de Windows prend en charge les certificats X.509 version 3, y compris les certificats générés par des autorités de certification commerciales.
- Une clé pré-partagée peut être spécifiée. Il s’agit d’une clé secrète, partagée, définie de concert par deux utilisateurs. Cette clé est simple d’utilisation et ne requiert pas que le client exécute le protocole d’authentification Kerberos V5 ou dispose d’un certificat de clé publique. Les deux parties doivent configurer manuellement IPsec de manière à utiliser cette clé pré-partagée. C’est une méthode simple pour authentifier des ordinateurs autonomes ou tous les ordinateurs qui n’utilisent pas le protocole d’authentification Kerberos V5. La clé pré-partagée n’est destinée qu’à la protection de l’authentification ; elle n’est pas utilisée pour l’intégrité ou le chiffrement des données.
 | Important |
Elle est stockée en texte clair et n’est pas considérée comme une méthode sécurisée. Les clés pré-partagées doivent être utilisées à des fins de test uniquement. |