Оснастка «Монитор IP-безопасности» может быть использована для просмотра и наблюдения за статистическими данными и политикой IPsec, применяемой на данном и других компьютерах. Эта информация может быть полезна при устранения неполадок в IPsec и тестировании создаваемых политик. Для изменения политик IPsec используется оснастка «Политики IP-безопасности».

Оснастка «Монитор IP-безопасности» не может быть использована для просмотра этих правил, если политика была создана при помощи оснастки Брандмауэр Windows в режиме повышенной безопасности. Необходимо использовать элемент «Наблюдение» оснастки Брандмауэр Windows в режиме повышенной безопасности.

Примечания
  • Оснастка «Монитор IP-безопасности» может использоваться только для наблюдения IP-безопасности на компьютерах под управлением Windows XP или более поздней версии. Для наблюдения IPsec на компьютере под управлением Windows 2000 используйте команду ipsecmon.
  • С помощью оснастки политики IP-безопасности можно создать политики IPsec, применимые к компьютерам, работающим под управлением Windows Vista®, Windows Server® 2008 и более поздних версий Windows, но эта оснастка не использует новые алгоритмы безопасности этих более поздних версий Windows. Для создания политик IPsec, использующих более новые алгоритмы, рекомендуется оснастка Брандмауэр Windows в режиме повышенной безопасности. Оснастка Брандмауэр Windows в режиме повышенной безопасности не создает политики, которые могут быть применены к более ранним версиям Windows.

Наблюдение за выполнением задач

Ниже приводится краткий перечень наиболее распространенных задач, которые могут быть выполнены при помощи оснастки «Монитор IP-безопасности»:

Добавление компьютера

Чтобы можно было следить за IPsec на удаленном компьютере, он должен быть сначала добавлен в оснастку. Для выполнения этой операции необходимы права доступа к удаленному компьютеру на уровне администратора.

Добавление компьютера в оснастку «Монитор IP-безопасности»

  1. В дереве консоли щелкните правой кнопкой мыши компонент Монитор IP-безопасности и выберите команду Добавить компьютер.

  2. В диалоговом окне Добавить компьютер выберите Следующий компьютер и введите имя удаленного компьютера. Также можно нажать кнопку Обзор и найти нужный компьютер в сети.
Примечания
  • Если службы IPsec не запущены на компьютере, за которым ведется наблюдение, в качестве значка сервера отображается значок остановленной службы. Чтобы обновить оснастку «Монитор IP-безопасности» после перезапуска служб IPsec на этом компьютере, щелкните значок компьютера правой кнопкой и выберите команду Повторное подключение.
  • На компьютерах под управлением Windows Server 2003 и более поздних версий разделу реестра EnableRemoteMgmt на удаленном компьютере необходимо задать значение 1 и перезапустить службу IPsec. В противном случае оснастка будет формировать ошибку «Служба IPsec не запущена». Раздел реестра находится в HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent

Поиск специального фильтра

Имеется два способа поиска информации о специальных фильтрах, которые могут быть полезны, например, при устранении неполадок: сортировка представления «Специальные фильтры» для поиска фильтра или поиск фильтра в папке «Специальный фильтр» в основном или быстром режиме.

Для поиска фильтра в списке фильтров

  1. В папке «Специальные фильтры» папок основного режима или быстрого режима щелкните заголовок столбца со свойством, которое нужно просмотреть. При повторном щелчке заголовка столбца список будет отсортирован в обратном порядке.

  2. Просмотр списка для поиска фильтра
Поиск специального фильтра

  1. В папке основного режима или быстрого режима щелкните правой кнопкой папку «Специальные фильтры» и выберите Найти подходящие фильтры.

  2. В диалоговом окне Найти подходящие фильтры выберите критерий поиска и щелкните Поиск.

    Примечание

    Параметр Найти только лучшее совпадение определяет поиск только одного соответствия, наилучшим образом отвечающего критерию. Если нужный фильтр не найден, попробуйте повторить поиск, используя параметр Найти все совпадения. Выбор Любые для источника и назначения не выполняет поиск любого источника или назначения. Вместо этого выбор используется для поиска значения «Любой» среди источников и назначений, перечисленных в представлении «Список специальных фильтров».

Обнаружение признаков возможных атак

Статистические данные, собираемые и отображаемые оснасткой «Монитор IP-безопасности», могут быть полезны при обнаружении возможных атак на данный компьютер или другие компьютеры, добавленные к оснастке. Эта информация находится в папках «Статистика» папок как основного режима, так и быстрого режима. Дополнительные сведения о доступной статистике см. в разделах Наблюдение основного режима или Наблюдение быстрого режима.

Просмотр сопоставлений безопасности

Сопоставление безопасности представляет собой сочетание согласованного ключа, протокола безопасности и индекса параметров безопасности, в совокупности определяющих механизмы безопасности, используемые для защиты данных, передаваемых между сторонами соединения. При просмотре сопоставлений безопасности данного компьютера можно определить, какие компьютеры с ним соединены, какой тип целостности данных и шифрации используется в этих соединениях, а также получить другую информацию.

Эта информация может быть полезной при тестировании политик IPsec или устранении проблем доступа.

Изменение других параметров

Оснастка может быть настроена на автоматическое обновление предоставляемой ею информации. Настроены могут быть также частота обновления и отображение представлений в виде IP-адресов или DNS-имен.

Для настройки автоматического обновления

  1. В папке «Монитор IP-безопасности» щелкните правой кнопкой мыши узел компьютера и выберите Свойства.

  2. В диалоговом окне компьютера Свойства установите флажок Включить автообновление.

  3. Для изменения частоты, с которой оснастка будет обновлять информацию, введите предпочитаемый интервал.

    Примечание

    По умолчанию для автоматического обновления установлен интервал в 45 сек. Настройка на слишком частое автоматическое обновление может стать причиной снижения производительности, особенно при наблюдении из оснастки за множеством компьютеров и включении разрешения имен DNS.
Для просмотра IP-адресов в виде DNS-имен

  1. Щелкните правой кнопкой мыши узел компьютера в оснастке «Монитор IP-безопасности» и выберите Свойства.

  2. В диалоговом окне компьютера Свойства установите флажок Включить разрешение DNS-имен и нажмите кнопку ОК.

    Примечания
    • По умолчанию разрешение имен DNS не включено. Оно работает только в представлениях «Специальные фильтры» быстрого режима и «Сопоставления безопасности» основного и быстрого режимов.
    • Разрешение имен DNS может влиять на производительность, если оно должно быть выполнено для большого числа элементов представления.
    • Чтобы разрешить DNS-имя из IP-адреса, в инфраструктуре DNS должны быть настроены соответствующие обратные домены и записи указателя (PTR). Записи ресурса PTR могут быть настроены вручную или с помощью динамического обновления DNS. Чтобы преобразовать IP-адрес в NetBIOS-имя компьютера, на компьютере должен быть включен протокол NetBIOS поверх TCP/IP.

Дополнительные ссылки

Содержание