Эти параметры позволяют настроить проверку подлинности, требуемую в среде. Можно настроить дополнительную проверку подлинности, которая будет применяться по умолчанию ко всем или только к определенным правилам безопасности подключения.

Чтобы открыть это диалоговое окно
  • Чтобы открыть это диалоговое окно для настройки параметров компьютера по умолчанию, выполните следующие действия. Эти параметры применяются к любому правилу, у которого метод проверки подлинности имеет значение По умолчанию.

    1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.

    2. Перейдите на вкладку Параметры IPsec.

    3. В разделе Параметры IPsec по умолчанию нажмите кнопку Настроить.

    4. В разделе Метод проверки подлинности выберите Дополнительно и нажмите кнопку Настроить.

  • Чтобы открыть это диалоговое окно при создании нового правила безопасности подключения, выполните следующие действия. Эти параметры применяются только к тому правилу безопасности подключения, чьи свойства в данный момент изменяются.

    1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.

    2. Выберите любой тип, кроме Освобождение от проверки подлинности.

    3. В мастере нажимайте кнопку Далее до тех пор, пока не дойдете до страницы Метод проверки подлинности.

    4. Выберите Дополнительно и нажмите кнопку Настроить.

  • Чтобы открыть это диалоговое окно для настройки существующего правила безопасности подключения, выполните следующие действия. Эти параметры применяются только к тому правилу безопасности подключения, чьи свойства в данный момент изменяются.

    1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните пункт Правила безопасности подключения.

    2. Дважды щелкните правило, которое требуется изменить.

    3. Перейдите на вкладку Проверка подлинности.

    4. В разделе Метод выберите Дополнительно и нажмите кнопку Настроить.

Первая проверка подлинности

Первая проверка подлинности производится в фазе согласований протокола IPsec основного режима. Здесь можно задать, как будет выполняться проверка подлинности однорангового компьютера.

Можно указать несколько методов для произведения первой проверки подлинности. Тогда эти методы используются в порядке их перечисления. После того, как любой из последовательно применяемых методов завершен успешно, проверка считается пройденной.

  • Чтобы добавить метод в список, нажмите кнопку Добавить.

  • Чтобы изменить метод, уже имеющийся в списке, выберите его и нажмите кнопку Изменить.

  • Чтобы удалить метод из списка, выделите его и нажмите кнопку Удалить.

  • Чтобы изменить порядок элементов в списке, выберите метод и затем щелкайте стрелку перемещения вверх или вниз.

Дополнительные сведения о доступных методах первой проверки подлинности см. в разделе Диалоговое окно: Добавление или изменение первого метода проверки подлинности.

Первая проверка подлинности необязательна

Этот параметр можно указать для того, чтобы первая проверка подлинности выполнялась с анонимными учетными данными. Это полезно, когда вторая проверка подлинности содержит первостепенные, обязательные данные проверки подлинности, а первая проверка подлинности выполняется, только если оба одноранговых компьютера поддерживают ее. Например, если необходимо потребовать проверку подлинности пользователя Kerberos V5, доступную только в качестве второй проверки подлинности, можно выбрать Первая проверка подлинности необязательна и затем указать Пользователь (Kerberos V5) как Второй способ проверки подлинности.

Внимание!

Не устанавливайте и первую, и вторую проверку подлинности как необязательные. Это эквивалентно отключению проверки подлинности.

Вторая проверка подлинности

С помощью второй проверки подлинности можно выбрать способ проверки подлинности пользователя при входе на одноранговый компьютер. Также можно указать сертификат работоспособности компьютера, выданный конкретным центром сертификации.

Методы проверки подлинности используются в порядке их перечисления в списке. После того как любой из последовательно применяемых методов завершен успешно, проверка считается пройденной.

Можно указать несколько методов для произведения второй проверки подлинности.

  • Чтобы добавить метод в список, нажмите кнопку Добавить.

  • Чтобы изменить метод, уже имеющийся в списке, выберите его и нажмите кнопку Изменить.

  • Чтобы удалить метод из списка, выделите его и нажмите кнопку Удалить.

  • Чтобы изменить порядок элементов в списке, выберите метод и затем щелкайте стрелку перемещения вверх или вниз.

Примечания
  • Необходимо, чтобы все методы и первой, и второй проверки подлинности удостоверяли подлинность учетных данных либо пользователя, либо компьютера.
  • Независимо от того, где он находится в списке, нельзя использовать второй метод проверки подлинности, если для первого метода проверки подлинности используется предварительный ключ.

Дополнительные сведения о доступных методах второй проверки подлинности см. в разделе Диалоговое окно: Добавление или изменение второго метода проверки подлинности.

Вторая проверка подлинности необязательна

Можно использовать этот параметр, чтобы указать, что вторая проверка подлинности должна выполняться, если это возможно, но подключение не должно блокироваться при неудавшейся второй проверке подлинности. Это полезно, когда первая проверка подлинности содержит первостепенные, обязательные данные проверки подлинности, а вторая проверка подлинности необязательна и выполняется, только если оба одноранговых компьютера поддерживают ее. Например, если необходимо потребовать проверку подлинности компьютера Kerberos V5 и желательно использовать проверку подлинности пользователя Kerberos V5, можно указать Компьютер (Kerberos V5) в качестве первой проверки подлинности и Пользователь (Kerberos V5) в качестве второй проверки подлинности с установленным параметром Вторая проверка подлинности необязательна.

Внимание!

Не устанавливайте и первую, и вторую проверку подлинности как необязательные. Это эквивалентно отключению проверки подлинности.

Важно!
  • Для правила туннельного режима, если устанавливается параметр Вторая проверка подлинности необязательна, то результирующая политика IPsec внедряется только как политика IKE и не использует протокол IP с проверкой подлинности. Любые методы проверки подлинности, указанные в качестве Второй проверки подлинности, игнорируются.
  • В правиле туннельного режима методы второй проверки подлинности используются по-прежнему, как ожидается.

См. также


Содержание