Met de module IP-beveiligingsmonitor kunt u IPSec-gegevens en het IPSec-beleid dat op deze en andere computers wordt toegepast, weergeven en controleren. Aan de hand van deze gegevens kunt u problemen met IPSec oplossen en het beleid dat u maakt, testen. Als u het IPSec-beleid wilt wijzigen, gebruikt u de module IP-beveiligingsbeleid.

Als u een beleid maakt met de module Windows-firewall met een geavanceerde beveiliging, kunt u deze regels niet bekijken met de module IP-beveiligingsmonitor. U moet het controle-item van de module Windows-firewall met een geavanceerde beveiliging gebruiken.

Opmerkingen
  • Met de IPSec-controlemodule kunt u alleen IPSec-bewaking uitvoeren op computers waarop Windows XP en hoger wordt uitgevoerd. Als u IPsec-bewaking wilt uitvoeren op een computer met Windows 2000, gebruikt u de opdracht ipsecmon.
  • Met de module IP-beveiligingsbeleid kunt u IPSec-beleid maken dat kan worden toegepast op computers waarop Windows Vista®, Windows Server® 2008 of een hogere versie van Windows wordt uitgevoerd. Deze module maakt echter geen gebruik van de nieuwe beveiligingsalgoritmen en andere nieuwe functies die beschikbaar zijn in die hogere versies. Als u IPSec-beleid wilt maken met deze nieuwe algoritmen, gebruikt u de module Windows-firewall met een geavanceerde beveiliging. Met de module Windows-firewall met een geavanceerde beveiliging kunt u geen beleid maken dat geschikt is voor eerdere versies van Windows.

Taken controleren

Hier volgt een korte opsomming van de meest voorkomende taken die u kunt uitvoeren met de IPSec-controlemodule:

Een computer toevoegen

Voordat u IPSec-bewaking kunt uitvoeren op een externe computer, moet u de computer eerst toevoegen aan de module. U moet op beheerdersniveau toegang tot de externe computer hebben om deze computer te kunnen toevoegen en IPSec-bewaking te kunnen uitvoeren.

Een computer toevoegen aan de module IP-beveiligingsmonitor

  1. Klik in de consolestructuur met de rechtermuisknop op IP-beveiligingsmonitor en klik vervolgens op Computer toevoegen.

  2. Klik in het dialoogvenster Computer toevoegen op Een andere computer, en typ de naam van de externe computer. U kunt ook op Bladeren klikken om de computer in het netwerk te zoeken.
Opmerkingen
  • Als de IPSec-services niet zijn gestart voor de computer waarop de monitor wordt uitgevoerd, wordt het serverpictogram weergegeven als niet-actieve service. Als u de IPSec-controlemodule wilt vernieuwen nadat de IPSec-services voor deze computer opnieuw zijn gestart, klikt u met de rechtermuisknop op de computer en klikt u op Opnieuw verbinding maken.
  • Op computers waarop Windows Server 2003 en hoger wordt uitgevoerd, moet u op de externe computer de registersleutel EnableRemoteMgmt instellen op 1 en de IPSec-service opnieuw starten. Als u dit niet doet, ontvangt u een bericht dat de IPSec-service niet wordt uitgevoerd. De registersleutel bevindt zich in HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\\Services\\PolicyAgent

Een specifiek filter zoeken

U kunt op twee manieren zoeken naar informatie over een specifiek filter om hiermee bijvoorbeeld problemen te kunnen oplossen: u kunt de weergave Specifieke filters sorteren om het filter te zoeken of u kunt het filter zoeken in de map voor specifieke filters van de hoofdmodus of de snelle modus.

Een filter zoeken door in de filterlijst te browsen

  1. Klik in de map Specifiek filter van de mappen Hoofdmodus of Snelle modus op de kolomkop van de eigenschap waarop u wilt zoeken. Als u nogmaals op de kolomkop klikt, wordt de lijst in omgekeerde volgorde gesorteerd.

  2. Blader door de lijst om het filter te zoeken.
Een specifiek filter zoeken met de zoekfunctie

  1. Klik onder de map Hoofdmodus of Snelle modus met de rechtermuisknop op de map Specifiek filter en klik vervolgens op Overeenkomende filters zoeken.

  2. Selecteer in het dialoogvenster Overeenkomende filters zoeken de gewenste criteria en klik op Zoeken.

    Opmerking

    Met de optie Alleen de beste treffers zoeken vindt u slechts één treffer: het resultaat dat het beste beantwoordt aan de criteria. Als u het gewenste filter niet vindt, zoekt u nogmaals met de optie Alle treffers zoeken. Met de bron- en doelkeuze Elk wordt niet gezocht naar elke bron of elk doel. Met deze keuze wordt de bron of het doel 'Elk' gezocht, zoals vermeld in de lijstweergave Specifiek filter.

Zoeken naar signalen van mogelijke aanvallen

De statistieken die door de IPSec-controlemodule worden verzameld en weergegeven, kunnen een prima hulpmiddel zijn bij het zoeken naar mogelijke aanvallen tegen deze computer of andere computers die u aan de module hebt toegevoegd. Deze informatie bevindt zich in de map Statistieken van zowel de map Hoofdmodus als de map Snelle modus. Zie Hoofdmodus controleren of Snelle modus controleren voor meer informatie over de beschikbare statistieken.

Beveiligingskoppelingen bekijken

Een beveiligingskoppeling (SA, security association) is de combinatie van een onderhandeld(e) sleutel, beveiligingsprotocol en beveiligingsparameterindex (SPI, security parameters index). Samen bepalen deze de beveiliging waarmee de communicatie tussen verzender en ontvanger wordt beschermd. Door naar de beveiligingskoppelingen voor deze computer te kijken, kunt u onder meer bepalen welke computers met deze computer zijn verbonden en welk type gegevensintegriteit en versleuteling wordt gebruikt voor deze verbinding.

Deze informatie kan nuttig zijn bij het testen van IPSec-beleid en bij het oplossen van toegangsproblemen.

Overige instellingen wijzigen

U kunt instellen dat de informatie van de module automatisch moet worden vernieuwd. U kunt ook opgeven hoe vaak deze informatie wordt vernieuwd en of IP-adressen of DNS-namen in de weergaven zichtbaar zijn.

Automatisch vernieuwen configureren

  1. Klik onder de map IPSec-controlemodule met de rechtermuisknop op het knooppunt van de computer en klik op Eigenschappen.

  2. Schakel in het dialoogvenster Eigenschappen van de computer het selectievakje Automatisch vernieuwen inschakelen in.

  3. Typ het gewenste interval als u de frequentie wilt wijzigen waarmee de informatie wordt vernieuwd.

    Opmerking

    Standaard is automatisch vernieuwen ingeschakeld met een interval van 45 seconden. Wanneer u de informatie te vaak automatisch laat vernieuwen, kunnen er prestatieproblemen ontstaan, met name wanneer u via de module meerdere computers controleert en u DNS-naamomzetting hebt ingeschakeld.
IP-adressen weergeven als DNS-namen

  1. Klik met de rechtermuisknop op het knooppunt van de computer in de IPSec-controlemodule en klik op Eigenschappen.

  2. Schakel in het dialoogvenster Eigenschappen het selectievakje DNS-naamomzetting inschakelen in en klik op OK.

    Opmerkingen
    • DNS-naamomzetting is niet standaard ingeschakeld. DNS-naamomzetting werkt alleen in de snelle-modusweergave Specifiek Filter en in de weergave Beveiligingskoppelingen van zowel de hoofdmodus als de snelle modus.
    • DNS-naamomzetting kan de prestaties nadelig beïnvloeden als in deze weergave veel items moeten worden omgezet.
    • Als u de DNS-naam uit het IP-adres wilt afleiden, moeten in uw DNS-infrastructuur de juiste reverse-domeinnamen en pointerbronrecords (PTR) zijn geconfigureerd. PTR-bronrecords kunnen handmatig of met een dynamische DNS-update worden geconfigureerd. Als u de NetBIOS-computernaam van een computer wilt afleiden uit het IP-adres, moet NetBIOS over TCP/IP op de computer zijn ingeschakeld.

Aanvullende naslaginformatie

Inhoudsopgave