Te ustawienia służą do określenia sposobu uwierzytelniania konta użytkownika na komputerze równorzędnym. Można także wskazać, że komputer musi posiadać certyfikat komputera. Metoda drugiego uwierzytelniania jest wykonywana przez moduł Authenticated IP (AuthIP) w trybie rozszerzonym fazy trybu głównego negocjacji zabezpieczeń protokołu internetowego (IPsec).

Do korzystania z tej metody uwierzytelniania można określić klika metod. Metody są wypróbowywane w podanej kolejności. Wykorzystywana jest pierwsza metoda, która zakończy się powodzeniem.

Aby uzyskać więcej informacji na temat metod uwierzytelnienia dostępnych w tym oknie dialogowym, zobacz temat Algorytmy i metody protokołu IPsec obsługiwane w systemie Windows (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=129230).

Aby uzyskać dostęp do tego okna dialogowego
  • Podczas modyfikowania ogólnosystemowych ustawień domyślnych:

    1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w okienku nawigacji kliknij pozycję Zapora systemu Windows z zabezpieczeniami zaawansowanymi, a następnie w obszarze Ogólne kliknij pozycję Właściwości Zapory systemu Windows.

    2. Kliknij kartę Ustawienia protokołu IPSec, a następnie w obszarze Wartości domyślne IPsec kliknij przycisk Dostosuj.

    3. W obszarze Metoda uwierzytelniania wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.

    4. W obszarze Drugie uwierzytelnianie wybierz metodę, a następnie kliknij przycisk Edytuj lub Dodaj.

  • Podczas tworzenia nowej reguły zabezpieczeń połączeń:

    1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w okienku nawigacji kliknij prawym przyciskiem myszy pozycję Reguły zabezpieczeń połączeń, a następnie kliknij polecenie Nowa reguła.

    2. Na stronie Typ reguły wybierz dowolny typ oprócz Wykluczenie uwierzytelniania.

    3. Na stronie Metoda uwierzytelniania wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.

    4. W obszarze Drugie uwierzytelnianie wybierz metodę, a następnie kliknij przycisk Edytuj lub Dodaj.

  • Podczas modyfikowania istniejącej reguły zabezpieczeń:

    1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w okienku nawigacji kliknij pozycję Reguły zabezpieczeń połączeń.

    2. Kliknij dwukrotnie regułę zabezpieczeń połączeń, którą chcesz zmodyfikować.

    3. Kliknij kartę Uwierzytelnianie.

    4. W obszarze Metoda kliknij pozycję Zaawansowane, a następnie kliknij przycisk Dostosuj.

    5. W obszarze Drugie uwierzytelnianie wybierz metodę, a następnie kliknij przycisk Edytuj lub Dodaj.

Użytkownik (Kerberos V5)

Ta metoda służy do uwierzytelniania użytkownika zalogowanego na zdalnym komputerze będącego częścią tej samej domeny lub będącego w innej domenie z istniejącą relacją zaufania. Użytkownik zalogowany musi mieć konto w domenie, a komputer musi być przyłączony do domeny w tym samym lesie.

Użytkownik (NTLMv2)

NTLMv2 jest alternatywnym sposobem uwierzytelniania użytkownika zalogowanego na zdalnym komputerze stanowiącym część tej samej domeny lub znajdującym się w domenie, dla której istnieje relacja zaufania z domeną komputera lokalnego. Konto użytkownika i komputer muszą być przyłączone do domen stanowiących część tego samego lasu.

Certyfikat użytkownika

Certyfikatu klucza publicznego należy użyć w przypadku zewnętrznej komunikacji z partnerami firmy lub komputerów, na których nie ma uruchomionego protokołu uwierzytelniania Kerberos w wersji 5. Wymaga to skonfigurowania lub dostępności przez sieć co najmniej jednego zaufanego głównego urzędu certyfikacji oraz posiadania przez komputery klienckie skojarzonego certyfikatu komputera. Ta metoda jest przydatna, gdy użytkownicy nie należą do tej samej domeny lub należą do różnych domen, między którymi nie ma dwustronnej relacji zaufania i nie można użyć protokołu Kerberos w wersji 5.

Algorytm podpisywania

Określa algorytm podpisywania używany w celu kryptograficznego zabezpieczania certyfikatu.

RSA (domyślne)

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu kryptograficznego klucza publicznego RSA.

ECDSA-P256

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu ECDSA (Elliptic Curve Digital Signature Algorithm) o kluczu 256-bitowym.

ECDSA-P384

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu ECDSA o kluczu 384-bitowym.

Typ magazynu certyfikatów

Określa typ certyfikatu, identyfikując magazyn, w którym jest zlokalizowany certyfikat.

Główny urząd certyfikacji (domyślny)

Wybierz tę opcję, jeśli certyfikat został wydany przez główny urząd certyfikacji i jest przechowywany w magazynie certyfikatów Zaufane główne urzędy certyfikacji komputera lokalnego.

Pośredni urząd certyfikacji

Wybierz tę opcję, jeśli certyfikat został wydany przez pośredni urząd certyfikacji i jest przechowywany w magazynie certyfikatów Pośrednie urzędy certyfikacji na komputerze lokalnym.

Włącz mapowania certyfikatów do kont

Po włączeniu mapowania certyfikatów IPsec do kont protokoły Internet Key Exchange (IKE) i AuthIP kojarzą (mapują) certyfikat użytkownika z kontem użytkownika w domenie lub lesie usługi Active Directory, a następnie pobierają token dostępu zawierający listę grup zabezpieczeń użytkowników. Ten proces zapewnia odpowiedniość certyfikatu oferowanego przez element równorzędny protokołu IPsec dla konta aktywnego użytkownika w domenie oraz użycie przez użytkownika właściwego certyfikatu.

Mapowania certyfikatu do konta można używać tylko dla kont użytkowników znajdujących się w tym samym lesie, co komputer wykonujący mapowanie. Zapewnia to o wiele silniejsze uwierzytelnienie, niż w przypadku gdy akceptowany jest dowolny prawidłowy łańcuch certyfikatów. Tej możliwości można na przykład użyć w celu ograniczenia dostępu do użytkowników znajdujących się w tym samym lesie. Mapowanie certyfikatu do konta nie zapewnia jednak zezwolenia określonemu zaufanemu użytkownikowi na dostęp IPsec.

Mapowanie certyfikatu do konta jest szczególnie przydatne, jeśli certyfikaty pochodzą z infrastruktury kluczy publicznych (PKI), która nie jest zintegrowana z wdrożeniem usług domenowych w usłudze Active Directory (AD DS), na przykład w sytuacji, gdy partnerzy biznesowi uzyskują certyfikaty od dostawców innych niż firma Microsoft. Metodę uwierzytelniania zasady protokołu IPsec można skonfigurować tak, aby certyfikaty były mapowane do konta użytkownika domeny dla określonego głównego urzędu certyfikacji. Można również mapować wszystkie certyfikaty od wystawiającego urzędu certyfikacji do jednego konta użytkownika. Umożliwia to użycie uwierzytelniania certyfikatu w celu ograniczenia liczby lasów mających zezwolenie na dostęp IPsec w środowiskach, w których istnieje wiele lasów i każdy z nich wykonuje autorejestrację przy udziale pojedynczego wewnętrznego głównego urzędu certyfikacji. Jeśli proces mapowania certyfikatu do konta nie zostanie wykonany prawidłowo, uwierzytelnianie się nie powiedzie, a połączenia zabezpieczone protokołem IPsec zostaną zablokowane.

Certyfikat komputera

Ta opcja służy do określania, że tylko komputer przedstawiający certyfikat od określonego urzędu certyfikacji, oznaczony jako certyfikat kondycji ochrony dostępu do sieci (NAP), może dokonać uwierzytelnienia z zastosowaniem tej reguły zabezpieczeń połączeń. Funkcja ochrony dostępu do sieci umożliwia definiowanie i wymuszanie zasad dotyczących kondycji, przez co komputery, które nie są zgodne z zasadami sieciowymi, np. komputery bez oprogramowania antywirusowego lub zainstalowanych najnowszych aktualizacji oprogramowania, mają mniejsze szanse na uzyskanie dostępu do sieci. Aby wdrożyć funkcję ochrony dostępu do sieci, należy skonfigurować ustawienia ochrony dostępu do sieci na serwerach i komputerach klienckich. Aby uzyskać więcej informacji, zobacz Pomoc przystawki Zarządzanie klientem ochrony dostępu do sieci programu MMC. Aby korzystać z tej metody, należy skonfigurować w sieci serwer ochrony dostępu do sieci.

Algorytm podpisywania

Określa algorytm podpisywania używany w celu kryptograficznego zabezpieczania certyfikatu.

RSA (domyślne)

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu kryptograficznego klucza publicznego RSA.

ECDSA-P256

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu ECDSA (Elliptic Curve Digital Signature Algorithm) o kluczu 256-bitowym.

ECDSA-P384

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu ECDSA o kluczu 384-bitowym.

Typ magazynu certyfikatów

Określa typ certyfikatu, identyfikując magazyn, w którym jest zlokalizowany certyfikat.

Główny urząd certyfikacji (domyślny)

Wybierz tę opcję, jeśli certyfikat został wydany przez główny urząd certyfikacji i jest przechowywany w magazynie certyfikatów Zaufane główne urzędy certyfikacji komputera lokalnego.

Pośredni urząd certyfikacji

Wybierz tę opcję, jeśli certyfikat został wydany przez pośredni urząd certyfikacji i jest przechowywany w magazynie certyfikatów Pośrednie urzędy certyfikacji na komputerze lokalnym.

Włącz mapowania certyfikatów do kont

Po włączeniu mapowania certyfikatów IPsec do kont protokoły IKE i AuthIP kojarzą (mapują) certyfikat użytkownika z kontem użytkownika lub komputera w domenie lub lesie usługi Active Directory, a następnie pobierają token dostępu, zawierający listę grup zabezpieczeń. Ten proces zapewnia odpowiedniość certyfikatu oferowanego przez element równorzędny protokołu IPsec dla konta aktywnego komputera lub użytkownika w domenie oraz użycie przez konto właściwego certyfikatu.

Mapowania certyfikatu do konta można używać tylko dla kont znajdujących się w tym samym lesie, co komputer wykonujący mapowanie. Zapewnia to o wiele silniejsze uwierzytelnienie, niż w przypadku gdy akceptowany jest dowolny prawidłowy łańcuch certyfikatów. Tej możliwości można na przykład użyć w celu ograniczenia dostępu do kont znajdujących się w tym samym lesie. Mapowanie certyfikatu do konta nie zapewnia jednak zezwolenia określonemu zaufanemu kontu na dostęp IPsec.

Mapowanie certyfikatu do konta jest szczególnie przydatne, jeśli certyfikaty pochodzą z infrastruktury kluczy publicznych, która nie jest zintegrowana z wdrożeniem usług domenowych w usłudze Active Directory, na przykład w sytuacji, gdy partnerzy biznesowi uzyskują certyfikaty od dostawców innych, niż firma Microsoft. Metodę uwierzytelniania zasady protokołu IPsec można skonfigurować tak, aby certyfikaty były mapowane do konta domeny dla określonego głównego urzędu certyfikacji. Można również mapować wszystkie certyfikaty od wystawiającego urzędu certyfikacji do jednego konta komputera lub użytkownika. Umożliwia to użycie uwierzytelniania certyfikatu IKE w celu ograniczenia liczby lasów mających zezwolenie na dostęp IPsec w środowiskach, w których istnieje wiele lasów i każdy z nich wykonuje autorejestrację przy udziale pojedynczego wewnętrznego głównego urzędu certyfikacji. Jeśli proces mapowania certyfikatu do konta nie zostanie wykonany prawidłowo, uwierzytelnianie się nie powiedzie, a połączenia zabezpieczone protokołem IPsec zostaną zablokowane.

Dodatkowe informacje


Spis treści