Ezekkel a beállításokkal megadhatja a társszámítógép hitelesítésének módját. A fő hitelesítési módszer az IPsec-egyeztetések alapmódú fázisban van végrehajtva.

Több módszer is megadható a fő hitelesítéshez. A módszerekre az Ön által meghatározott sorrendben történik kísérlet. Az első sikeres módszer lesz használatban.

További információt a párbeszédpanelen elérhető hitelesítési módszerekről a Windows rendszerben támogatott IPsec-algoritmusokat és -módszereket ismertető cikkben (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?linkid=129230) találhat.

A párbeszédpanel elérése
  • A teljes rendszerre kiterjedő alapértelmezett beállítások módosításakor:

    1. A Fokozott biztonságú Windows tűzfal MMC beépülő modul lapján, az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.

    2. Kattintson az IPsec-beállítások fülre, és az IPsec-alapértelmezések területen kattintson a Testreszabás gombra.

    3. A Hitelesítési módszer területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.

    4. A Fő hitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.

  • Új kapcsolatbiztonsági szabály létrehozásakor:

    1. A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a jobb gombbal a Kapcsolatbiztonsági szabályok elemre, majd kattintson az Új szabály parancsra.

    2. A Szabály típusa lapon jelölje ki bármelyik típust a Hitelesítési mentesség kivételével.

    3. A Hitelesítési módszer lapon válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.

    4. A Fő hitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.

  • Meglévő kapcsolatbiztonsági szabály módosításakor:

    1. A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a Kapcsolatbiztonsági szabályok lehetőségre.

    2. Kattintson duplán a módosítani kívánt kapcsolatbiztonsági szabályra.

    3. Kattintson a Hitelesítés fülre.

    4. A Módszer területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.

    5. A Fő hitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.

Számítógép (Kerberos V5 protokollal)

Ezzel a módszerrel olyan társszámítógépeket hitelesíthet, amelyek ugyanabban a tartományban rendelkeznek számítógépfiókokkal, vagy különböző tartományokban találhatók, de megbízhatósági kapcsolattal rendelkeznek.

Számítógép (NTLMv2)

Az NTLMv2 használata egy másik módja az olyan társszámítógépek hitelesítésének, amelyek ugyanabban a tartományban rendelkeznek számítógépfiókokkal, vagy különböző tartományokban találhatók, de megbízhatósági kapcsolattal rendelkeznek.

A következő hitelesítésszolgáltatótól (CA) származó számítógép-tanúsítvány

Használjon nyilvános kulcsú tanúsítványt azokban a helyzetekben, amelyekben külső üzleti partnerekkel vagy olyan számítógépekkel kell kommunikálnia, amelyek nem használják a Kerberos v5 hitelesítési protokollt. Ehhez az szükséges, hogy legalább egy megbízható legfelső szintű hitelesítésszolgáltató (CA) legyen beállítva vagy elérhető a hálózaton, és hogy az ügyfélszámítógépek rendelkezzenek a kapcsolódó számítógép-tanúsítvánnyal.

Aláíró algoritmus

Meghatározhatja a tanúsítvány titkosításához használt aláíró algoritmust.

RSA (alapértelmezett)

Válassza ezt a beállítást, ha a tanúsítvány az RSA nyilvános kulccsal működő titkosítási algoritmussal van aláírva.

ECDSA-P256

Válassza ezt a beállítást, ha a tanúsítvány a 256 bites kulcserősségű elliptikus görbéjű digitális aláíró algoritmussal (ECDSA) van aláírva.

ECDSA-P384

Válassza ezt a beállítást, ha a tanúsítvány 384 bites kulcserősségű ECDSA használatával van aláírva.

Tanúsítványtároló típusa

A tanúsítványtároló azonosításával határozza meg a tanúsítvány típusát.

Legfelső szintű hitelesítésszolgáltató (alapértelmezett)

Válassza ezt a beállítást, ha a tanúsítványt egy legfelső szintű hitelesítésszolgáltató adta ki, és a helyi számítógépen a megbízható legfelső szintű tanúsítvány tárolójában található.

Közbenső hitelesítésszolgáltató

Válassza ezt a beállítást, ha a tanúsítványt egy közbenső hitelesítésszolgáltató adta ki, és az a helyi számítógép Közbenső szintű hitelesítésszolgáltatók tárolójában található.

Csak állapottanúsítványok elfogadása

Ez a beállítás korlátozza a használható számítógépes tanúsítványok körét azokra, amelyek állapottanúsítványokként vannak megjelölve. Az állapottanúsítványokat a hitelesítésszolgáltatók a Hálózatvédelem (NAP) támogatásával adják ki. A NAP lehetőséget nyújt állapotházirendek definiálására és érvényesítésére annak érdekében, hogy kevesebb eséllyel férhessenek hozzá a hálózathoz a hálózati házirendeknek nem megfelelő számítógépek, például a vírusvédelmi szoftverrel vagy a legújabb szoftverfrissítésekkel nem rendelkező számítógépek. A NAP megvalósításához a NAP-beállításokat a kiszolgáló és ügyfélszámítógépeken egyaránt konfigurálni kell. A NAP-ügyfélkezelő egy Microsoft Management Console (MMC) beépülő modul, amely segíti a NAP-beállítások ügyfélszámítógépeken történő konfigurálását. További információt a NAP MMC beépülő modul súgójában találhat. A módszer használatához egy NAP-kiszolgálóval kell rendelkezni a tartományban.

Tanúsítvány fiókhoz rendelésének engedélyezése

Az IPsec tanúsítvány-fiók társítás engedélyezése esetén az IKE és az AuthIP protokoll számítógéptanúsítványt társít egy Active Directory-tartományban vagy -erdőben található számítógépfiókhoz, majd lekér egy hozzáférési jogkivonatot, amely tartalmazza a számítógép-biztonsági csoportok listáját. Ez a folyamat biztosítja, hogy az IPsec-társ által ajánlott tanúsítvány megfelel a tartományban levő aktív számítógépfióknak, és hogy a tanúsítvány az, amelyet annak a számítógépnek használnia kell.

A tanúsítvány-fiók társítás csak olyan számítógépfiókok esetében használható, amelyek ugyanabban a tartományban találhatók, mint a társítást végrehajtó számítógép. Ez sokkal erősebb hitelesítést biztosít, mint ha egyszerűen elfogadna egy érvényes tanúsítványláncot. Ezzel a funkcióval például korlátozhatja az azonos erdőn belüli számítógépek hozzáférését. A tanúsítvány-fiók társítás azonban nem garantálja, hogy egy adott megbízható számítógép megkapja az IPsec-hozzáférést.

A tanúsítvány-fiók társítás akkor különösen hasznos, ha a tanúsítványok egy olyan nyilvános kulcsokra épülő infrastruktúrából (PKI) származnak, amely nincs integrálva az Active Directory tartományi szolgáltatásokkal (AD DS), például ha az üzleti partnerei nem Microsoft-szolgáltatótól szerzik be a tanúsítványaikat. Az IPsec házirend-hitelesítési módszerét úgy is beállíthatja, hogy egy adott legfelső szintű hitelesítésszolgáltató esetében a tanúsítványokat egy tartományi számítógépfiókhoz társítsa. Arra is lehetősége van, hogy az egy adott kiállító hitelesítésszolgáltatótól származó összes tanúsítványt egy számítógépfiókhoz társítsa. Ez lehetővé teszi az IKE-alapú tanúsítványhitelesítés használatát annak korlátozására, hogy mely erdők számára biztosítható IPsec-hozzáférés egy több erdőt tartalmazó környezetben, ahol mindegyik egyetlen belső legfelső szintű hitelesítésszolgáltatótól igényel automatikusan tanúsítványt. Ha a tanúsítvány-fiók társítás folyamatát nem végzik el megfelelően, a hitelesítés sikertelen lesz, és az IPsec által védett kapcsolatok blokkolva lesznek.

Előmegosztott kulcs (nem ajánlott)

Az előmegosztott kulcsok hitelesítéshez használhatók. Ez olyan megosztott titkos kulcs, amelyben a két felhasználó előzetesen megegyezett. Az előmegosztott kulcs használatához mindkét félnek saját kezűleg kell beállítania az IPsec protokollt. A biztonsági egyeztetések során az információ a megosztott kulcs használatával az adatátvitel előtt titkosításra kerül, és ugyanazzal a megosztott kulccsal lesz visszafejtve a fogadás végén. Ha a fogadó az információt vissza tudja fejteni, az identitások hitelesítettnek tekinthetők.

Figyelem!
  • Az előmegosztott kulcson alapuló módszert az IPsec-szabványokkal való együttműködés céljára tervezték. Az előmegosztott kulcs csak tesztelési célokra használható. Az előmegosztott kulcsokkal történő hitelesítés normál használata nem ajánlott, mert a hitelesítési kulcs nem védett állapotban tárolódik az IPsec házirendben.
  • Ha egy előmegosztott kulcsot alapmódú hitelesítésre használ, a gyorshitelesítés nem használható.

Lásd még


Tartalom