Use estas configurações para especificar a maneira com a qual o computador ponto a ponto é autenticado. O método de primeira autenticação é executado durante a fase de modo principal das negociações de IPsec (segurança do Protocolo Internet).

É possível especificar vários métodos a serem usados na primeira autenticação. Eles serão usados na ordem especificada. O primeiro a obter êxito será usado.

Para obter mais informações sobre os métodos de autenticação disponíveis nessa caixa de diálogo, consulte Algoritmos e métodos IPsec suportados no Windows (A página pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=129230).

Para acessar esta caixa de diálogo
  • Ao modificar as configurações padrão de todo o sistema:

    1. No snap-in do MMC do Firewall do Windows com Segurança Avançada, em Visão geral, clique em Propriedades do Firewall do Windows.

    2. Clique na guia Configurações de IPsec e sob Padrões IPSec, clique em Personalizar.

    3. Em Método de Autenticação, selecione Avançado e clique em Personalizar.

    4. Em Primeira autenticação, selecione um método e clique em Editar ou Adicionar.

  • Ao criar uma nova regra de segurança de conexão:

    1. No snap-in do MMC do Firewall do Windows com Segurança Avançada, clique com o botão direito do mouse em Regras de Segurança de Conexão e clique em Nova Regra.

    2. Na página Tipo de regra, selecione qualquer tipo exceto Isenção de autenticação.

    3. Na página Método de Autenticação, selecione Avançado e clique em Personalizar.

    4. Em Primeira autenticação, selecione um método e clique em Editar ou Adicionar.

  • Ao modificar uma regra de segurança de conexão existente:

    1. No snap-in do MMC do Firewall do Windows com Segurança Avançada, clique em Regras de Segurança de Conexão.

    2. Clique duas vezes na regra de segurança de conexão que deseja modificar.

    3. Clique na guia Autenticação.

    4. Em Método, clique em Avançado e clique em Personalizar.

    5. Em Primeira autenticação, selecione um método e clique em Editar ou Adicionar.

Computador (Kerberos V5)

Você pode usar este método para autenticar computadores ponto a ponto que têm contas de computador no mesmo domínio ou em domínios separados e tenham uma relação de confiança.

Computador (NTLMv2)

O NTLMv2 é uma forma alternativa de autenticar computadores ponto a ponto que têm contas de computador no mesmo domínio ou em domínios separados e tenham uma relação de confiança.

Certificado de computador da autoridade de certificação (CA)

Use um certificado de chave pública em situações que incluem comunicações com parceiros comerciais externos ou computadores que não executam o protocolo de autenticação Kerberos versão 5. Isso exige que pelo menos uma CA raiz confiável esteja configurada ou acessível pela sua rede e que os computadores clientes tenham um certificado de computador associado.

Algoritmo de assinatura

Especifique o algoritmo de assinatura usado para proteger criptograficamente o certificado.

RSA (padrão)

Selecione esta opção se o certificado for assinado usando o algoritmo de criptografia da chave pública RSA.

ECDSA-P256

Selecione esta opção se o certificado for assinado usando o ECDSA (Algoritmo de assinatura digital de curva elíptica) com restrição de chave de 256 bits.

ECDSA-P384

Selecione esta opção se o certificado for assinado usando ECDSA com restrição de chave de 384 bits.

Tipo de repositório de certificados

Especifique o tipo de certificado identificando o repositório no qual o certificado está localizado.

Autoridade de Certificação Raiz (padrão)

Selecione essa opção se o certificado tiver sido emitido por uma CA raiz e estiver armazenado no repositório de certificados Autoridades de Certificação Raiz Confiáveis do computador local.

Autoridade de Certificação Intermediária

Selecione essa opção se o certificado tiver sido emitido por uma CA intermediária e estiver armazenado no repositório de certificados Autoridades de Certificação Intermediárias do computador local.

Aceitar apenas certificados de integridade

Essa opção restringe o uso de certificados de computador aos marcados como certificados de integridade. Os certificados de integridade são publicados por uma autoridade de certificação como suporte para uma implantação NAP (Proteção de Acesso à Rede). O NAP permite que você defina e aplique diretivas de integridade de modo que os computadores que não atenderem às políticas de rede, como computadores sem um software antivírus ou sem as atualizações de software mais recentes, tenham menos probabilidade de acessar sua rede. Para implementar o recurso NAP, você deve fazer as configurações de NAP nos computadores cliente e servidor. O Gerenciamento de Cliente NAP, um snap-in do Console de Gerenciamento Microsoft, ajuda a configurar o recurso NAP nos computadores cliente. Para obter mais informações, consulte a Ajuda do snap-in do MMC do NAP. Para usar esse método, você deve ter um servidor NAP configurado no domínio.

Habilitar certificado para mapeamento de conta

Ao habilitar o certificado para mapeamento de conta do IPsec, os protocolos IKE (Internet Key Exchange) e AuthIP (IP autenticado) associam (mapeiam) um certificado de computador a uma conta de computador em um domínio ou floresta do Active Directory e obtêm um token de acesso, que inclui a lista de grupos de segurança de computadores. Esse processo garante que o certificado oferecido pelo IPsec de mesmo nível corresponda à conta de um computador ativo no domínio e que o certificado seja um que deve ser usado por esse computador.

O certificado para mapeamento de conta pode ser usado apenas para contas de computadores que estejam na mesma floresta que o computador que executa o mapeamento. Isso proporciona uma autenticação muito mais forte do que simplesmente aceitar qualquer cadeia de certificado válida. Por exemplo, você pode usar esse recurso para restringir o acesso aos computadores que estejam dentro da mesma floresta. No entanto, o certificado para mapeamento de conta não garante que um computador confiável específico tenha permissão de acesso ao IPsec.

O certificado para mapeamento de conta é especialmente útil se os certificados forem provenientes de uma PKI (infraestrutura de chave pública) não integrada a sua implantação do AD DS (Serviços de Domínio Active Directory), como se os parceiros comerciais obtiverem seus certificados de fornecedores não-Microsoft. Você pode configurar o método de autenticação de política do IPsec para mapear certificados em uma conta de computador de domínio para uma CA raiz específica. Você também pode mapear todos os certificados de uma CA de emissão para uma conta de computador. Isso permite que a autenticação de certificado IKE seja usada para limitar quais florestas têm permissão de acesso do IPsec em um ambiente no qual muitas florestas existem e cada uma executa o registro automático sob uma CA raiz interna única. Se o processo de certificado para mapeamento de conta não for concluído apropriadamente, a autenticação falhará e as conexões protegidas por IPsec serão bloqueadas.

Chave pré-compartilhada (não recomendado)

Você pode usar chaves pré-compartilhadas para autenticação. A chave é secreta e compartilhada entre dois usuários de comum acordo. As duas partes devem configurar o IPsec manualmente para usar essa chave pré-compartilhada. Durante a negociação de segurança, as informações são criptografadas por meio da chave compartilhada antes da transmissão e descriptografadas com a mesma chave quando atingem o destinatário. Se o destinatário puder descriptografar as informações, as identidades serão consideradas autenticadas.

Cuidado
  • A metodologia de chave pré-compartilhada é fornecida para fins de interoperabilidade e para aderir aos padrões de IPsec. A chave pré-compartilhada deve ser usada somente para testes. O uso regular da autenticação de chave pré-compartilhada não é recomendável porque a chave de autenticação é armazenada em um estado desprotegido na diretiva IPsec.
  • Se uma chave pré-compartilhada for usada para a autenticação do modo principal, a segunda autenticação não poderá ser usada.

Consulte também


Sumário