Protokół IPsec jest strukturą otwartych standardów zapewniających poufną, bezpieczną komunikację w sieciach IP dzięki wykorzystaniu usług zabezpieczeń kryptograficznych. Implementacja protokołu IPsec w systemie Microsoft Windows jest oparta na standardach opracowanych przez grupę roboczą Internet Engineering Task Force (IETF) IPsec.
Protokół IPsec ustanawia zaufanie i zabezpieczenia od źródłowego adresu IP do docelowego adresu IP. Jedyne komputery, których konfiguracja musi uwzględniać obecność zabezpieczeń ruchu, to komputer nadawczy i odbiorczy. Każdy z tych komputerów obsługuje zabezpieczenia po swojej stronie, zakładając, że nośnik, za którego pośrednictwem odbywa się komunikacja, nie jest zabezpieczony. Komputery odpowiedzialne tylko za przekazywanie danych od miejsca źródłowego do docelowego nie muszą obsługiwać protokołu IPsec, chyba że między dwoma komunikującymi się komputerami stosowane jest filtrowanie pakietów oparte na zaporze lub translacja adresów sieciowych (NAT, network address translation).
Do tworzenia, edytowania oraz przypisywania zasad protokołu IPsec na komputerach lokalnych i zdalnych służy przystawka Zasady zabezpieczeń IP.
 | Uwaga |
Celem tej dokumentacji jest dostarczenie informacji umożliwiających poznanie przystawki Zasady zabezpieczeń IP i korzystanie z niej. Dokumentacja nie obejmuje zagadnień związanych z projektowaniem i wdrażaniem zasad. |
Zasady IPsec - informacje
Zasady IPsec służą do konfigurowania usług zabezpieczeń IPsec. Zasady zapewniają zróżnicowane poziomy ochrony odpowiednie dla różnych typów ruchu w większości istniejących sieci. Zasady IPsec można tak skonfigurować, aby spełniały wymagania zabezpieczeń komputera, jednostki organizacyjnej, domeny, witryny lub przedsiębiorstwa globalnego. Przystawka Zasady zabezpieczeń IP dostępna w tej wersji systemu Windows umożliwia definiowanie zasad IPsec dla komputerów za pośrednictwem obiektów zasad grupy (w przypadku komputerów należących do domeny) lub na komputerach lokalnych albo zdalnych.
 | Ważne |
Przystawka Zasady zabezpieczeń IP może być użyta do tworzenia zasad IPsec, które można stosować na komputerach z systemem Windows Vista i nowszymi wersjami systemu Windows, ale w przystawce tej nie są używane nowe algorytmy zabezpieczeń i inne nowe funkcje dostępne w systemie Windows Vista i nowszych wersjach systemu Windows. Aby utworzyć zasady IPsec dla tych komputerów, należy użyć przystawki Zapora systemu Windows z zaawansowanymi zabezpieczeniami. Przy użyciu przystawki Zapora systemu Windows z zaawansowanymi zabezpieczeniami nie można utworzyć zasad, które można zastosować do wcześniejszych wersji systemu Windows. |
Zasada IPsec składa się z ogólnych ustawień zasad protokołu IPsec oraz z reguł. Ogólne ustawienia zasad IPsec są stosowane niezależnie od tego, jakie reguły skonfigurowano. Obejmują one nazwę zasad, ich opis dla celów administracyjnych, ustawienia wymiany kluczy oraz metody wymiany kluczy. Jedna lub większa liczba reguł IPsec określa, jakie typy ruchu ma sprawdzać protokół IPsec, jak ruch ma być traktowany i jak ma być uwierzytelniany element równorzędny protokołu IPsec. Reguły umożliwiają również określenie innych ustawień.
Po utworzeniu zasad można je stosować na poziomie domeny, witryny, jednostki organizacyjnej i komputera lokalnego. Jednocześnie może być aktywna na komputerze tylko jedna zasada. Zasady rozpowszechnianie i stosowane przy użyciu obiektów zasad grupy zastępują zasady lokalne.
Zadania przystawki Zasady IPsec
W tej sekcji opisano kilka najbardziej typowych zadań, które można wykonać przy użyciu przystawki Zasady zabezpieczeń IP.
Tworzenie zasady
O ile dane zasady nie mają być zastosowane tylko na jednym komputerze i jego elemencie równorzędnym IPsec, można utworzyć zestaw zasad IPsec dopasowany do całego środowiska informatycznego. Proces projektowania, tworzenia i wdrażania zasad może być złożony, w zależności od wielkości domeny, jednorodności komputerów w domenie oraz innych czynników.
Zazwyczaj proces ten przebiega następująco:
- Tworzenie list filtrów IP odpowiadających komputerom, podsieciom i innym warunkom środowiska.
- Tworzenie akcji filtrowania odpowiadających sposobowi uwierzytelniania połączeń, zapewniania integralności danych i szyfrowania danych. Akcja filtrowania może być akcją typu Zablokuj lub Zezwalaj niezależnie od innych kryteriów. Akcja Zablokuj ma wyższy priorytet niż inne akcje.
- Tworzenie zestawu zasad spełniających niezbędne wymagania filtrowania i akcji filtrowania (zabezpieczeń).
- Wdrożenie zasad korzystających z akcji filtrowania Zezwalaj i Zablokuj, a następnie monitorowanie środowiska IPsec pod kątem problemów, które mogą wymagać dopasowania zasad.
- Wdrożenie zasad korzystających z akcji filtrowania Negocjuj protokół zabezpieczeń z opcją powrotu do komunikacji w postaci zwykłego tekstu. Umożliwia to sprawdzenie działania protokołu IPsec w danym środowisku bez przerywania komunikacji.
- Usunięcie - w odpowiednich miejscach - powrotu do komunikacji w postaci zwykłego tekstu natychmiast po wprowadzeniu do zasad niezbędnych udoskonaleń. Może to spowodować, że zasady będą wymagały uwierzytelniania i zabezpieczeń przed utworzeniem połączenia.
- Monitorowanie środowiska pod kątem niedziałającej komunikacji, na którą może wskazywać nagły wzrost statystyk błędów negocjacji w trybie głównym.
 | Aby utworzyć nową zasadę IPsec: |
Kliknij prawym przyciskiem myszy węzeł Zasady zabezpieczeń IP, a następnie kliknij polecenie Utwórz zasadę zabezpieczeń IP.
W oknie Kreatora zasad zabezpieczeń IP kliknij przycisk Dalej.
Wpisz nazwę i opis (opcjonalne) zasady, a następnie kliknij przycisk Dalej.
Zaznacz pole wyboru Włącz regułę odpowiedzi domyślnej lub pozostaw je niezaznaczone, a następnie kliknij przycisk Dalej.
Uwaga Reguł odpowiedzi domyślnej można używać tylko dla zasad stosowanych na komputerach z systemami Windows XP, Windows Server 2003 i wcześniejszymi. Nowsze wersje systemu Windows nie mogą używać reguły odpowiedzi domyślnej.
Jeśli korzystasz z reguły odpowiedzi domyślnej, wybierz metodę uwierzytelniania, a następnie kliknij przycisk Dalej.
Aby uzyskać więcej informacji o regule odpowiedzi domyślnej, zobacz Reguły protokołu IPsec.
Pozostaw zaznaczone pole wyboru Edytuj właściwość, a następnie kliknij przycisk Dalej. W razie potrzeby można dodać reguły do zasady.
Dodawanie reguły do zasady lub zmienianie reguły
| Aby dodać regułę zasady: |
Kliknij prawym przyciskiem myszy zasadę IPsec, a następnie kliknij polecenie Właściwości.
Jeśli chcesz utworzyć regułę w oknie dialogowym właściwości, wyczyść pole wyboru Użyj kreatora dodawania. Aby skorzystać z kreatora, pozostaw to pole wyboru zaznaczone. Kliknij przycisk Dodaj. W poniższych instrukcjach przedstawiono sposób utworzenia reguły przy użyciu okna dialogowego.
W oknie dialogowym Właściwości nowej reguły na karcie Lista filtrów IP wybierz odpowiednią listę filtrów lub kliknij przycisk Dodaj, aby dodać nową listę filtrów. Jeśli już utworzono listy filtrów, zostaną one wyświetlone na liście Listy filtrów IP. Aby uzyskać więcej informacji o tworzeniu list filtrów i korzystaniu z nich, zobacz Listy filtrów.
Uwaga Można korzystać tylko z jednej listy filtrów dla danej reguły.
Na karcie Akcja filtrowania wybierz odpowiednią akcję filtrowania lub kliknij przycisk Dodaj, aby dodać nową akcję. Aby uzyskać więcej informacji o tworzeniu akcji filtrowania i korzystaniu z nich, zobacz Akcje filtrowania.
Uwaga Można korzystać tylko z jednej akcji filtrowania dla danej reguły.
Na karcie Metody uwierzytelniania wybierz odpowiednią metodę lub kliknij przycisk Dodaj, aby dodać nową metodę. Aby uzyskać więcej informacji o tworzeniu metod uwierzytelniania i korzystaniu z nich, zobacz Uwierzytelnianie przy użyciu protokołu IPsec.
Uwaga Można korzystać z wielu metod dla danej reguły. Metody są wypróbowywane w kolejności, w jakiej występują na liście. Jeśli określisz, że mają być używane certyfikaty, umieść je razem na liście w takiej kolejności, w jakiej mają być używane.
Na karcie Typ połączenia wybierz typ połączenia, którego ma dotyczyć dana reguła. Aby uzyskać więcej informacji o typach połączeń, zobacz Typ połączenia IPsec.
Jeśli używasz tunelu, na karcie Ustawienia tunelowania określ punkty końcowe. Domyślnie nie jest używany żaden tunel. Aby uzyskać więcej informacji o używaniu tuneli, zobacz Ustawienia tunelu protokołu IPsec. Reguły dotyczące tunelowania nie mogą być dublowane.
Po zakończeniu konfigurowania ustawień kliknij przycisk OK.
| Aby zmienić regułę zasady: |
Kliknij prawym przyciskiem myszy zasadę IPsec, a następnie kliknij polecenie Właściwości.
W oknie dialogowym Właściwości zasady wybierz regułę, a następnie kliknij przycisk Edytuj.
W oknie dialogowym Edycja właściwości reguły na karcie Lista filtrów IP wybierz odpowiednią listę filtrów lub kliknij przycisk Dodaj, aby dodać nową listę filtrów. Aby uzyskać więcej informacji o tworzeniu list filtrów i korzystaniu z nich, zobacz Listy filtrów.
Uwaga Dla każdej reguły można używać tylko jednej listy filtrów.
Na karcie Akcja filtrowania wybierz odpowiednią akcję filtrowania lub kliknij przycisk Dodaj, aby dodać nową listę filtrów. Aby uzyskać więcej informacji o tworzeniu akcji filtrowania i korzystaniu z nich, zobacz Akcje filtrowania.
Uwaga Dla każdej reguły można używać tylko jednej akcji filtrowania.
Na karcie Metody uwierzytelniania wybierz odpowiednią metodę lub kliknij przycisk Dodaj, aby dodać nową metodę. Aby uzyskać więcej informacji o tworzeniu metod uwierzytelniania i korzystaniu z nich, zobacz Uwierzytelnianie przy użyciu protokołu IPsec.
Uwaga Dla każdej reguły można używać kilku metod. Metody są wypróbowywane w kolejności, w jakiej występują na liście.
Na karcie Typ połączenia wybierz typ połączenia, którego ma dotyczyć dana reguła. Aby uzyskać więcej informacji o typach połączeń, zobacz Typ połączenia IPsec.
Jeśli używasz tunelu, na karcie Ustawienia tunelowania określ punkty końcowe. Domyślnie nie jest używany żaden tunel. Aby uzyskać więcej informacji o używaniu tuneli, zobacz Ustawienia tunelu protokołu IPsec.
Po zakończeniu konfigurowania ustawień kliknij przycisk OK.
Przypisywanie zasady
| Aby przypisać zasadę do komputera: |
Kliknij zasadę prawym przyciskiem myszy, a następnie kliknij polecenie Przypisz.
Uwagi - Jednocześnie do komputera może być przypisana tylko jedna zasada. Przypisanie kolejnej zasady powoduje automatyczne cofnięcie przypisania zasady bieżącej. Zasady grupy w domenie mogą spowodować przypisanie do komputera innej zasady i zignorowanie zasady lokalnej.
- Aby zasada IPsec działała w komunikacji między komputerami, należy utworzyć zdublowaną zasadę na drugim komputerze i przypisać ją do niego.
- Aby przypisać zasadę do wielu komputerów, należy użyć zasad grupy.