Pode utilizar o snap-in Monitor de Segurança IP para ver e monitorizar estatísticas relacionadas com o protocolo IPsec e a política IPsec aplicada a este e outros computadores. Estas informações podem ajudá-lo a resolver problemas de IPsec e a testar as políticas que está a criar. Para alterar as políticas IPsec, utilize o snap-in Políticas de Segurança IP.

Se criar uma política utilizando o snap-in Firewall do Windows com segurança avançada, não poderá utilizar o snap-in Monitor de Segurança IP para visualizar estas regras. Tem de utilizar o item de Monitorização do snap-in Firewall do Windows com segurança avançada.

Notas
  • O snap-in Monitor de Segurança IP só pode ser utilizado para monitorizar o IPsec em computadores com o Windows XP ou posterior. Para monitorizar o IPsec num computador que executa o Windows 2000, utilize o comando ipsecmon.
  • O snap-in Política de Segurança IP pode ser utilizado para criar políticas IPsec que podem ser aplicadas em computadores que executam o Windows Vista®, o Windows Server® 2008 e versões posteriores do Windows, mas este snap-in não utilizará os novos algoritmos de segurança e as outras funcionalidades novas existentes nessas versões posteriores. Para criar políticas IPsec que utilizem os algoritmos mais novos, utilize o snap-in Firewall do Windows com segurança avançada. O Firewall do Windows com segurança avançada não cria políticas que possam ser aplicadas em versões anteriores do Windows.

Monitorizar tarefas

Eis uma lista breve as tarefas mais comuns que poderá efectuar com o snap-in Monitor de Segurança IP:

Adicionar um computador

Antes de poder monitorizar o IPsec num computador remoto, tem de adicionar primeiro o computador ao snap-in. Tem de ter acesso de nível de administrador ao computador remoto para o adicionar e monitorizar o IPsec.

Para adicionar um computador ao snap-in Monitor de Segurança IP

  1. Na árvore da consola, clique com o botão direito do rato em Monitor de Segurança IP e, em seguida, clique em Adicionar computador.

  2. Na caixa de diálogo Adicionar Computador, clique em O seguinte computador e, em seguida, escreva o nome do computador remoto. Alternativamente, clique em Procurar para localizá-lo na rede.
Notas
  • Se os serviços IPsec não tiverem sido iniciados no computador que está a ser monitorizado, o ícone do servidor será apresentado como um serviço parado. Para actualizar o Monitor de segurança IP depois de os serviços IPsec nesse computador terem sido reiniciados, clique com o botão direito do rato no computador e, em seguida, clique em Restabelecer Ligação.
  • Em computadores que estejam a executar o Windows Server 2003 e posterior, tem de definir a chave de registo EnableRemoteMgmt para 1 no computador remoto e reiniciar o serviço IPsec. Caso contrário, obterá um erro "O serviço IPsec não está em execução" no snap-in. A chave de registo está localizada em HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent.

Localizar um filtro específico

Existem dois modos de localizar informações sobre um filtro específico, o que poderá ser útil, por exemplo, durante a resolução de problemas: pode ordenar a vista Filtros Específicos para localizar o filtro ou pode procurá-lo na pasta Filtro Específico do Modo Principal ou do Modo Rápido.

Para localizar um filtro na lista por navegação

  1. Na pasta Filtro Específico das pastas Modo Principal ou Modo Rápido, clique no título da coluna correspondente à propriedade que pretende procurar. Se clicar novamente no título da coluna, a lista será ordenada pela ordem inversa.

  2. Navegue na lista para localizar o filtro.
Para localizar um filtro específico por procura

  1. Na pasta Modo Principal ou Modo Rápido, clique com o botão direito do rato na pasta Filtro Específico e, em seguida, clique em Localizar Filtros Correspondentes.

  2. Na caixa de diálogo Localizar Filtros Correspondentes, seleccione os critérios de pesquisa pretendidos e, em seguida, clique em Procurar.

    Nota

    A opção Encontrar apenas a melhor correspondência só encontrará a correspondência que mais se aproximar dos critérios. Se não vir o filtro que procura, tente efectuar novamente a procura utilizando a opção Encontrar todas as correspondências. A opção de origem e destino Qualquer não procura qualquer origem ou destino. Em vez disso, a opção é utilizada para localizar a origem ou destino "Qualquer", conforme listado na vista da lista Filtro Específico.

Procurar sinais de possíveis ataques

As estatísticas recolhidas e apresentadas pelo snap-in Monitor de Segurança IP podem ser úteis quando procurar possíveis ataques contra este computador ou outros que tenha adicionado ao snap-in. Estas informações estão localizadas nas pastas Estatísticas das pastas Modo Principal e Modo Rápido. Para obter informações sobre as estatísticas disponíveis, consulte Monitorizar o Modo Principal ou Monitorizar o Modo Rápido.

Ver associações de segurança

Uma associação de segurança (SA) é a combinação de uma chave negociada, de um protocolo de segurança e de um índice de parâmetros de segurança (SPI) que, em conjunto, definem a segurança utilizada para proteger a comunicação entre o emissor e o receptor. Observando as SAs deste computador, pode determinar os computadores que tiveram ligações com este computador, o tipo de integridade e encriptação de dados utilizado nessas ligações e outras informações.

Estas informações podem ser úteis quando estiver a testar as políticas IPsec ou a resolver problemas de acesso.

Alterar outras definições

Pode configurar se o snap-in actualiza ou não automaticamente as informações que fornece. Também pode configurar a frequência de actualização e se as vistas apresentam endereços IP ou nomes de DNS.

Para configurar a actualização automática

  1. Na pasta Monitor de Segurança IP, clique com o botão direito do rato no nó do computador e, em seguida, clique em Propriedades.

  2. Na caixa de diálogo Propriedades do computador, seleccione a caixa de verificação Permitir a actualização automática.

  3. Para alterar a frequência com que o snap-in actualiza as informações, introduza o intervalo preferido.

    Nota

    Por predefinição, a actualização automática é activada com um intervalo de 45 segundos. A configuração da actualização automática com demasiada frequência poderá original problemas de desempenho, especialmente se estiver a monitorizar vários computadores a partir do snap-in e tiver activado a resolução de nomes de DNS.
Para ver endereços IP como nomes de DNS

  1. Clique com o botão direito do rato no nó do computador no snap-in Monitor de Segurança IP e, em seguida, clique em Propriedades.

  2. Na caixa de diálogo Propriedades, seleccione a caixa de verificação Activar resolução de nomes por DNS e, em seguida, clique em OK.

    Notas
    • A resolução de nomes de DNS não está activada por predefinição. Esta funcionalidade só funciona na vista Filtro Específico do Modo Rápido e na vista Associações de Segurança do Modo Principal e do Modo Rápido.
    • A resolução de nomes de DNS pode afectar o desempenho se esta vista tiver de resolver muitos itens.
    • Para resolver o nome de DNS a partir do respectivo endereço IP, os registos adequados de domínio inverso e de recurso de apontador (PTR) têm de ser configurados na infra-estrutura de DNS. Os registos de recursos PTR podem ser configurados manualmente ou através da utilização da actualização dinâmica de DNS. Para resolver o nome NetBIOS de um computador a partir do respectivo endereço IP, o NetBIOS por TCP/IP tem de estar activado no computador.

Referências adicionais

Sumário