O IPsec é uma estrutura de padrões abertos que assegura a proteção de comunicações privadas em redes IP através do uso de serviços de segurança criptográfica. A implementação de IPsec do Microsoft Windows baseia-se em padrões desenvolvidos pelo grupo de trabalho sobre IPSec da IETF (Internet Engineering Task Force).
O IPsec estabelece confiabilidade e segurança de um endereço IP de origem para um endereço IP de destino. Os únicos que devem ter conhecimento do tráfego protegido são os computadores do remetente e do destinatário. Cada computador controla a segurança em sua respectiva extremidade, pressupondo que o meio através do qual se dá a comunicação não é seguro. Os computadores que somente roteiam dados da origem para o destino não precisam dar suporte a IPSec, a menos que a filtragem de pacotes do tipo firewall ou que a NAT (conversão de endereços de rede) seja executada entre os dois computadores.
Você pode usar o snap-in Diretiva de Segurança IP para criar, editar e atribuir diretivas IPsec neste computador e em computadores remotos.
 | Observação |
O objetivo desta documentação é fornecer informações suficientes para que você entenda e use o snap-in Diretiva de Segurança IP. Informações sobre como projetar e implantar diretivas estão além do escopo desta documentação. |
Sobre diretivas IPsec
As diretivas IPsec são usadas para configurar serviços de segurança IPsec. As diretivas oferecem níveis variados de proteção para a maior parte dos tipos de tráfego na maioria das redes existentes. Você pode configurar diretivas IPsec para atender aos requisitos de segurança de um computador, OU (unidade organizacional), domínio, site ou empresa global. Você pode utilizar o snap-in Diretivas de Segurança IP fornecido nessa versão do Windows para definir diretivas IPsec para computadores através de objetos de Diretivas de Grupo (para membros de domínio) ou no computador local, ou ainda, para computadores remotos.
 | Importante |
O snap-in Diretiva de Segurança IP pode ser usado para criar diretivas IPsec aplicáveis a computadores que executam o Windows Vista e versões posteriores do Windows, mas ele não utiliza os novos algoritmos de segurança e outros recursos novos disponíveis no Windows Vista e versões posteriores do Windows. Para criar diretivas IPsec para esses computadores, use o snap-in Firewall do Windows com Segurança Avançada. O snap-in Firewall do Windows com Segurança Avançada não cria diretivas que podem ser aplicadas a versões anteriores do Windows. |
Uma diretiva IPsec consiste em regras e configurações gerais da diretiva IPsec. São aplicáveis configurações gerais de diretiva IPsec, independentemente das regras configuradas. Essas configurações determinam o nome da diretiva, sua descrição para fins administrativos, configurações e métodos de troca de chaves. Uma ou mais regras IPsec determinam os tipos de tráfego que o protocolo que deve examinar, como o tráfego é tratado, como autenticar um ponto IPsec, além de outras configurações.
Após a criação das diretivas, é possível aplicá-las no nível de domínio, site, OU e local. Apenas uma diretiva por vez pode ficar ativa no computador. As diretivas distribuídas e aplicadas usando-se objetos de diretiva de grupo substituem as diretivas locais.
Tarefas do snap-in Diretiva IPsec
Esta seção inclui algumas das tarefas mais comuns que você pode realizar com o snap-in Diretivas de Segurança IP.
Criando uma diretiva
A menos que você esteja criando diretivas em um único computador e no respectivo ponto IPsec, provavelmente terá de criar um conjunto de diretivas IPsec adequadas para o seu ambiente de TI. O processo de projetar, criar e implantar diretivas pode ser complexo, dependendo do tamanho do domínio, da homogeneidade dos computadores do domínio e de outros fatores.
Normalmente o processo ocorre da seguinte forma:
- Crie listas de filtros IP que sejam adequadas para os computadores, as sub-redes e as condições do seu ambiente.
- Crie ações de filtro que correspondam ao modo como você deseja que as conexões sejam autenticadas, que a integridade de dados seja aplicada e que os dados sejam criptografados. A ação de filtro também pode ser Bloquear ou Permitir, independentemente de outros critérios. A ação Bloquear tem prioridade sobre as demais ações.
- Crie um conjunto de diretivas que atendam às suas necessidades de filtragem e de ação de filtro (segurança).
- Primeiro, implante diretivas que usem ações de filtro Permitir e Bloquear e, então, monitore o ambiente IPsec em busca de problemas que possam exigir o ajuste dessas diretivas.
- Implante as diretivas usando a ação de filtro Negociar Segurança com a opção de retornar a comunicações em texto não criptografado. Isso permite testar o funcionamento do IPsec no seu ambiente sem interromper as comunicações.
- Assim que você fizer as melhorias necessárias nas diretivas, remova a ação de retornar a comunicações em texto não criptografado, se apropriado. Isso fará com que as diretivas exijam autenticação e segurança para que uma conexão possa ser criada.
- Monitore o ambiente em busca de comunicações que não estão ocorrendo, o que pode ser indicado por um repentino aumento na estatística de falhas de negociação de modo principal.
 | Para criar uma nova diretiva IPsec |
Clique com o botão direito do mouse no nó Diretivas de Segurança IP e clique em Criar Diretiva de Segurança IP.
No Assistente de Diretiva de Segurança IP, clique em Avançar.
Digite o nome e a descrição (opcional) da diretiva e clique em Avançar.
Marque a caixa de seleção Ativar a regra de resposta padrão ou deixe-a desmarcada e clique em Avançar.
Observação A regra padrão de resposta pode ser usada somente para diretivas que são aplicadas ao Windows XP e Windows Server 2003 e versões anteriores. As versões posteriores do Windows não podem usar a regra padrão de resposta.
Caso você esteja usando a regra de resposta padrão, selecione um método de autenticação e clique em Avançar.
Para obter mais informações sobre a regra de resposta padrão, consulte Regras IPsec.
Deixe a caixa de seleção Editar propriedades marcada e clique em Avançar. É possível adicionar regras à diretiva, conforme necessário.
Adicionar ou alterar uma regra de uma diretiva
| Para adicionar uma regra de diretiva |
Clique com o botão direito do mouse na diretiva IPsec e clique em Propriedades.
Para criar a regra na caixa de diálogo de propriedades, desmarque a caixa de seleção Usar o Assistente para Adicionar. Para usar o assistente, deixe a caixa de seleção marcada. Clique em Adicionar. As instruções a seguir servem para criar uma regra usando a caixa de diálogo.
Na caixa de diálogo Propriedades da Nova Regra, na guia Lista de Filtros IP, selecione a lista de filtros apropriada ou clique em Adicionar para adicionar uma nova lista de filtros. Caso você já tenha criado listas de filtros, elas serão exibidas na lista Listas de Filtros IP. Para obter mais informações sobre como criar e utilizar listas de filtros, consulte Listas de filtros.
Observação Só pode ser usada uma lista de filtros por regra.
Na guia Ação de Filtro, selecione a ação de filtro apropriada ou clique em Adicionar para adicionar uma nova ação de filtro. Para obter mais informações sobre como criar e utilizar ações de filtro, consulte Ações de Filtro.
Observação Só pode ser usada uma ação de filtro por regra.
Na guia Métodos de Autenticação, selecione o método apropriado ou clique em Adicionar para adicionar um novo método. Para obter mais informações sobre como criar e utilizar métodos de autenticação, consulte Autenticação IPsec.
Observação É possível usar vários métodos por regra. Os métodos são aplicados na ordem em que aparecem na lista. Se você especificar o uso de certificados, coloque-os juntos na lista na ordem em que devem ser utilizados.
Na guia Tipo de Conexão, selecione o tipo de conexão ao qual a regra se aplica. Para obter mais informações sobre tipos de conexão, consulte Tipo de conexão IPsec
Caso esteja usando um túnel, especifique os pontos de extremidade na guia Configurações de Túnel. Por padrão, não se usa túnel. Para obter mais informações sobre como usar túneis, consulte Configurações de Túnel IPsec. Não é possível espelhar regras de túnel.
Quando todas as configurações forem concluídas, clique em OK.
| Para alterar uma regra de diretiva |
Clique com o botão direito do mouse na diretiva IPsec e clique em Propriedades.
Na caixa de diálogo Propriedades da Diretiva, selecione a regra e clique em Editar.
Na caixa de diálogo Editar Propriedades da Regra, na guia Lista de Filtros IP, selecione a lista de filtros apropriada ou clique em Adicionar para adicionar uma nova lista de filtros. Para obter mais informações sobre como criar e utilizar listas de filtros, consulte Listas de filtros.
Observação Só pode ser usada uma lista de filtros por regra.
Na guia Ação de Filtro, selecione a ação de filtro apropriada ou clique em Adicionar para adicionar uma nova lista de filtros. Para obter mais informações sobre como criar e utilizar ações de filtro, consulte Ações de Filtro.
Observação Só pode ser usada uma ação de filtro por regra.
Na guia Métodos de Autenticação, selecione o método apropriado ou clique em Adicionar para adicionar um novo método. Para obter mais informações sobre como criar e utilizar métodos de autenticação, consulte Autenticação IPsec.
Observação É possível usar vários métodos por regra. Os métodos são aplicados na ordem em que aparecem na lista.
Na guia Tipo de Conexão, selecione o tipo de conexão ao qual a regra se aplica. Para obter mais informações sobre tipos de conexão, consulte Tipo de conexão IPsec.
Caso esteja usando um túnel, especifique os pontos de extremidade na guia Configurações de Túnel. Por padrão, não se usa túnel. Para obter mais informações sobre como usar túneis, consulte Configurações de Túnel IPsec.
Quando todas as configurações forem concluídas, clique em OK.
Atribuindo uma diretiva
| Para atribuir uma diretiva a este computador |
Clique com o botão direito do mouse na diretiva e clique em Atribuir.
Anotações - Apenas uma diretiva por vez pode ser atribuída a um computador. Se outra diretiva for atribuída, a atribuição da diretiva atual será automaticamente cancelada. A Diretiva de Grupo do seu domínio deverá atribuir outra diretiva a este computador e ignorar a diretiva local.
- Para que uma diretiva IPsec de computador a computador seja bem-sucedida, você deve criar uma diretiva espelhada no outro computador e atribuí-la a esse computador.
- Para atribuir essa diretiva a vários computadores, use a Diretiva de Grupo.