Ezekkel a beállításokkal megadhatja, hogy a társszámítógép felhasználói fiókját milyen módon hitelesítse a rendszer. Azt is megadhatja, hogy a számítógépnek számítógép-állapot tanúsítvánnyal kell rendelkeznie. A második hitelesítési módszert az AuthIP protokoll hajtja végre az IPsec-egyeztetések alapmódú fázisának kiterjesztett módjaként.
Több módszer is megadható a hitelesítés használatához. A módszerekre az Ön által meghatározott sorrendben történik kísérlet. Az első sikeres módszer lesz használatban.
További információt a párbeszédpanelen elérhető hitelesítési módszerekről
A párbeszédpanel elérése |
A teljes rendszerre kiterjedő alapértelmezett beállítások módosításakor:
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul navigációs ablaktábláján kattintson a Fokozott biztonságú Windows tűzfal elemre, majd az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.
- Kattintson az IPsec-beállítások fülre, és az IPsec-alapértelmezések területen kattintson a Testreszabás gombra.
- A Hitelesítési módszer területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
- A Gyorshitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul navigációs ablaktábláján kattintson a Fokozott biztonságú Windows tűzfal elemre, majd az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.
Új kapcsolatbiztonsági szabály létrehozásakor:
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul navigációs ablaktábláján kattintson a jobb gombbal a Kapcsolatbiztonsági szabályok elemre, majd az Új szabály parancsra.
- A Szabály típusa lapon jelölje ki bármelyik típust a Hitelesítési mentesség kivételével.
- A Hitelesítési módszer lapon válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
- A Gyorshitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul navigációs ablaktábláján kattintson a jobb gombbal a Kapcsolatbiztonsági szabályok elemre, majd az Új szabály parancsra.
Meglévő biztonsági szabály módosításakor:
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul navigációs ablaktábláján kattintson a Kapcsolatbiztonsági szabályok elemre.
- Kattintson duplán a módosítani kívánt kapcsolatbiztonsági szabályra.
- Kattintson a Hitelesítés fülre.
- A Módszer területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
- A Gyorshitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul navigációs ablaktábláján kattintson a Kapcsolatbiztonsági szabályok elemre.
Felhasználó (Kerberos V5 protokollal)
Ezzel a módszerrel hitelesíthetők azok a felhasználók, amelyek a tartományhoz tartozó távoli számítógépre, vagy olyan más tartományhoz tartozó számítógépre vannak bejelentkezve, amellyel megbízható a kapcsolat. A bejelentkezett felhasználónak rendelkeznie kell tartományfiókkal, és a számítógépnek olyan tartományhoz kell kapcsolódnia, amely ugyanabban az erdőben található.
Felhasználó (NTLMv2)
Az NTLMv2 segítségével másképpen is hitelesíthető a helyi számítógéppel azonos vagy azzal megbízhatósági kapcsolatban álló tartományban található távoli számítógépre bejelentkezett felhasználó. A felhasználói fióknak és a számítógépnek olyan tartományokhoz kell csatlakoznia, amelyek ugyanazon erdőnek a részei.
Felhasználói tanúsítvány
Használjon nyilvános kulcsú tanúsítványt azokban a helyzetekben, amelyekben külső üzleti partnerekkel vagy olyan számítógépekkel kell kommunikálnia, amelyek nem használják a Kerberos v5 hitelesítési protokollt. Ehhez az szükséges, hogy legalább egy megbízható legfelső szintű hitelesítésszolgáltató (CA) legyen beállítva vagy legyen elérhető a hálózaton, és hogy az ügyfélszámítógépek rendelkezzenek a kapcsolódó számítógép-tanúsítvánnyal. Ez a módszer akkor hasznos, ha a felhasználók nem ugyanabban a tartományban vannak, vagy különböző, kétirányú megbízhatósági kapcsolattal nem rendelkező tartományokban találhatók, így a Kerberos v5 hitelesítési protokoll nem használható.
Aláíró algoritmus
Meghatározhatja a tanúsítvány titkosításához használt aláíró algoritmust.
RSA (alapértelmezett)
Válassza ezt a beállítást, ha a tanúsítvány az RSA nyilvános kulccsal működő titkosítási algoritmussal van aláírva.
ECDSA-P256
Válassza ezt a beállítást, ha a tanúsítvány a 256 bites kulcserősségű elliptikus görbéjű digitális aláíró algoritmussal (ECDSA) van aláírva.
ECDSA-P384
Válassza ezt a beállítást, ha a tanúsítvány 256 bites kulcserősségű ECDSA használatával van aláírva.
Tanúsítványtároló típusa
A tanúsítványtároló azonosításával határozza meg a tanúsítvány típusát.
Legfelső szintű hitelesítésszolgáltató (alapértelmezett)
Válassza ezt a beállítást, ha a tanúsítványt egy legfelső szintű hitelesítésszolgáltató adta ki, és a helyi számítógépen a megbízható legfelső szintű tanúsítvány tárolójában található.
Közbenső hitelesítésszolgáltató
Válassza ezt a beállítást, ha a tanúsítványt egy közbenső hitelesítésszolgáltató adta ki, és az a helyi számítógép Közbenső szintű hitelesítésszolgáltatók tárolójában található.
Tanúsítvány fiókhoz rendelésének engedélyezése
Az IPsec tanúsítvány-fiók társítás engedélyezése esetén az IKE és az AuthIP protokoll felhasználói tanúsítványt társít egy Active Directory-tartományban vagy -erdőben található felhasználói fiókhoz, majd lekér egy hozzáférési jogkivonatot, amely tartalmazza a felhasználói biztonsági csoportok listáját. Ez a folyamat biztosítja, hogy az IPsec-társ által ajánlott tanúsítvány megfelel a tartományban levő aktív felhasználói fióknak, és hogy a tanúsítvány az, amelyet annak a felhasználónak használnia kell.
A tanúsítvány-fiók társítás csak olyan felhasználói fiókok esetében használható, amelyek ugyanabban a tartományban találhatók, mint a társítást végrehajtó számítógép. Ez sokkal erősebb hitelesítést biztosít, mint ha egyszerűen elfogadna egy érvényes tanúsítványláncot. Ezzel a funkcióval például korlátozhatja az azonos erdőn belüli felhasználók hozzáférését. A tanúsítvány-fiók társítás azonban nem garantálja, hogy egy adott megbízható felhasználó megkapja az IPsec-hozzáférést.
A tanúsítvány-fiók társítás akkor különösen hasznos, ha a tanúsítványok egy olyan nyilvános kulcsokra épülő infrastruktúrából (PKI) származnak, amely nincs integrálva az Active Directory tartományi szolgáltatásokkal (AD DS), például ha az üzleti partnerei nem Microsoft-szolgáltatótól szerzik be a tanúsítványaikat. Az IPsec házirend-hitelesítési módszerét úgy is beállíthatja, hogy egy adott legfelső szintű hitelesítésszolgáltató esetében a tanúsítványokat egy tartományi felhasználói fiókhoz társítsa. Arra is lehetősége van, hogy az egy adott kiállító hitelesítésszolgáltatótól származó összes tanúsítványt egy felhasználói fiókhoz társítsa. Ez lehetővé teszi a tanúsítványhitelesítés használatát annak korlátozására, hogy mely erdők számára biztosítható IPsec-hozzáférés egy több erdőt tartalmazó környezetben, ahol mindegyik egyetlen belső legfelső szintű hitelesítésszolgáltatótól igényel automatikusan tanúsítványt. Ha a tanúsítvány-fiók társítás folyamatát nem végzik el megfelelően, a hitelesítés sikertelen lesz, és az IPsec által védett kapcsolatok blokkolva lesznek.
Számítógép-állapot tanúsítvány
Ezzel a beállítással megadhatja, hogy csak olyan számítógépet lehessen hitelesíteni ezzel a kapcsolatbiztonsági szabállyal, amely a megadott hitelesítésszolgáltatótól származó és a Hálózatvédelem (NAP) állapottanúsítványaként megjelölt tanúsítvánnyal rendelkezik. A NAP lehetőséget nyújt állapotházirendek definiálására és érvényesítésére annak érdekében, hogy kevesebb eséllyel férhessenek hozzá a hálózathoz a hálózati házirendeknek nem megfelelő számítógépek, például a vírusvédelmi szoftverrel vagy a legújabb szoftverfrissítésekkel nem rendelkező számítógépek. A NAP megvalósításához a NAP-beállításokat a kiszolgáló és ügyfélszámítógépeken egyaránt konfigurálni kell. További információt a NAP MMC beépülő modul súgójában találhat. A módszer használatához egy NAP-kiszolgálóval kell rendelkezni a tartományban.
Aláíró algoritmus
Meghatározhatja a tanúsítvány titkosításához használt aláíró algoritmust.
RSA (alapértelmezett)
Válassza ezt a beállítást, ha a tanúsítvány az RSA nyilvános kulccsal működő titkosítási algoritmussal van aláírva.
ECDSA-P256
Válassza ezt a beállítást, ha a tanúsítvány a 256 bites kulcserősségű elliptikus görbéjű digitális aláíró algoritmussal (ECDSA) van aláírva.
ECDSA-P384
Válassza ezt a beállítást, ha a tanúsítvány 384 bites kulcserősségű ECDSA használatával van aláírva.
Tanúsítványtároló típusa
A tanúsítványtároló azonosításával határozza meg a tanúsítvány típusát.
Legfelső szintű hitelesítésszolgáltató (alapértelmezett)
Válassza ezt a beállítást, ha a tanúsítványt egy legfelső szintű hitelesítésszolgáltató adta ki, és a helyi számítógépen a megbízható legfelső szintű tanúsítvány tárolójában található.
Közbenső hitelesítésszolgáltató
Válassza ezt a beállítást, ha a tanúsítványt egy közbenső hitelesítésszolgáltató adta ki, és az a helyi számítógép Közbenső szintű hitelesítésszolgáltatók tárolójában található.
Tanúsítvány fiókhoz rendelésének engedélyezése
Az IPsec tanúsítvány-fiók társítás engedélyezése esetén az IKE és az AuthIP protokoll tanúsítványt társít egy Active Directory-tartományban vagy -erdőben található felhasználói vagy számítógépfiókhoz, majd lekér egy hozzáférési jogkivonatot, amely tartalmazza a biztonsági csoportok listáját. Ez a folyamat biztosítja, hogy az IPsec-társ által ajánlott tanúsítvány megfelel a tartományban levő aktív számítógép- vagy felhasználói fióknak, és hogy a tanúsítvány az, amelyet annak a fióknak használnia kell.
A tanúsítvány-fiók társítás csak olyan felhasználói fiókok esetében használható, amelyek ugyanabban a tartományban találhatók, mint a társítást végrehajtó számítógép. Ez sokkal erősebb hitelesítést biztosít, mint ha egyszerűen elfogadna egy érvényes tanúsítványláncot. Ezzel a funkcióval például korlátozhatja az azonos erdőn belüli fiókok hozzáférését. A tanúsítvány-fiók társítás azonban nem garantálja, hogy egy adott megbízható fiók megkapja az IPsec-hozzáférést.
A tanúsítvány-fiók társítás akkor különösen hasznos, ha a tanúsítványok egy olyan nyilvános kulcsokra épülő infrastruktúrából (PKI) származnak, amely nincs integrálva az Active Directory tartományi szolgáltatásokkal (AD DS), például ha az üzleti partnerei nem Microsoft-tanúsítványszolgáltatótól szerzik be a tanúsítványaikat. Az IPsec házirend-hitelesítési módszerét úgy is beállíthatja, hogy egy adott legfelső szintű hitelesítésszolgáltató esetében a tanúsítványokat egy tartományi fiókhoz társítsa. Arra is lehetősége van, hogy az egy adott kiállító hitelesítésszolgáltatótól származó összes tanúsítványt egy számítógép- vagy felhasználói fiókhoz társítsa. Ez lehetővé teszi az IKE-alapú tanúsítványhitelesítés használatát annak korlátozására, hogy mely erdők számára biztosítható IPsec-hozzáférés egy több erdőt tartalmazó környezetben, ahol mindegyik egyetlen belső legfelső szintű hitelesítésszolgáltatótól igényel automatikusan tanúsítványt. Ha a tanúsítvány-fiók társítás folyamatát nem végzik el megfelelően, a hitelesítés sikertelen lesz, és az IPsec által védett kapcsolatok blokkolva lesznek.