Använd de här inställningarna om du vill ange sättet som användarkontot på peer-kontot autentiseras på. Du kan också ange att datorn måste ha ett datorhälsocertifikat. Den andra autentiseringsmetoden utförs av Autentiserat IP (AuthIP) i ett utökat läge i huvudlägesfasen i IPsec-förhandlingar (Internet Protocol Security).

Du måste ange flera metoder som ska användas för den här autentiseringen. Metoderna provas i den ordning du anger. Den metod som först lyckas används.

Mer information om tillgängliga autentiseringsmetoder i den här dialogrutan finns på IPsec-algoritmer och metoder som stöds i Windows (sidan kan vara på engelska) (https://go.microsoft.com/fwlink/?linkid=129230).

Så här kommer du till dialogrutan
  • Ändra systemomfattande standardinställningar:

    1. I navigeringsfönstret i snapin-modulen Windows-brandväggen med avancerad säkerhet i MMC klickar du på Windows-brandväggen med avancerad säkerhet och sedan på Egenskaper för Windows-brandväggen i Översikt.

    2. Klicka på fliken IPsec-inställningar och sedan på Standardvärden för IPsec under Anpassa.

    3. Under Autentiseringsmetod väljer du Avancerat och klickar sedan på Anpassa.

    4. Under Andra autentisering väljer du en metod och klickar sedan på Redigera eller Lägg till.

  • Skapa en ny anslutningssäkerhetsregel:

    1. I navigeringsfönstret i snapin-modulen Windows-brandväggen med avancerad säkerhet i MMC högerklickar du på Anslutningssäkerhetsregler och klickar sedan på Ny regel.

    2. På sidan Regeltyp väljer du en typ förutom Autentiseringsundantag.

    3. På sidan Autentiseringsmetod väljer du Avancerat och klickar sedan på Anpassa.

    4. Under Andra autentisering väljer du en metod och klickar sedan på Redigera eller Lägg till.

  • Ändra en befintlig säkerhetsregel:

    1. I navigeringsfönstret i snapin-modulen Windows-brandväggen med avancerad säkerhet i MMC klickar du på Anslutningssäkerhetsregler.

    2. Dubbelklicka på den anslutningssäkerhetsregel som du vill ändra.

    3. Klicka på fliken Autentisering.

    4. Under Metod klickar du på Avancerat och sedan på Anpassa.

    5. Under Andra autentisering väljer du en metod och klickar sedan på Redigera eller Lägg till.

Användare (Kerberos V5)

Du kan använda den här metoden för att autentisera en användare som är inloggad på en fjärrdator som ingår i samma domän eller som finns i olika domän som har en förtroenderelation. Den inloggade användaren måste ha ett domänkonto och datorn måste vara ansluten till en domän i samma skog.

Användare (NTLMv2)

NTLMv2 är ett alternativt sätt att autentisera en användare som är inloggad på en fjärrdator som tillhör samma domän eller som finns på en domän som har en förtroenderelation med den lokala datorns domän. Användarkontot och datorn måste vara anslutna till domäner som tillhör samma skog.

Användarcertifikat

Använd ett offentligt nyckelcertifikat i situationer som inkluderar kommunikation med affärspartners eller datorer som inte använder autentiseringsprotokollet Kerberos version 5. Detta kräver att minst en betrodd rotcertifikatutfärdare är konfigurerad på eller tillgänglig via nätverket och att klientdatorerna har ett associerat datorcertifikat. Den här metoden är användbar när användare inte är i samma domän eller är i separata domäner utan en dubbelriktad förtroenderelation och Kerberos version 5 inte kan användas.

Signeringsalgoritm

Ange signeringsalgoritmen som används för att skydda certifikatet kryptografiskt.

RSA (standard)

Välj det här alternativet om certifikatet signeras med algoritmen för RSA-kryptering med offentliga nycklar.

ECDSA-P256

Välj det här alternativet om certifikatet signeras med ECDSA (Elliptic Curve Digital Signature Algorithm) med 256-bitars nyckelstyrka.

ECDSA-P384

Välj det här alternativet om certifikatet signeras med ECDSA med 256-bitars nyckelstyrka.

Typ av certifikatarkiv

Ange typen av certifikatarkiv genom att identifiera arkivet där certifikatet finns.

Rotcertifikatutfärdare (standard)

Välj det här alternativet om certifikatet utfärdades av en rotcertifikatutfärdare och finns sparat i certifikatarkivet Betrodda rotcertifikatutfärdare på den lokala datorn.

Mellanliggande certifikatutfärdare

Välj det här alternativet om certifikatet utfärdades av en mellanliggande certifikatutfärdare och finns sparat i certifikatarkivet Mellanliggande certifikatutfärdare på den lokala datorn.

Aktivera mappning av certifikat till konto

När du aktiverar IPsec med mappningen certifikat-till-konto associerar (mappar) IKE- (Internet Key Exchange) och AuthIP-protokollen ett användarcertifikat till ett användarkonto i en Active Directory-domän eller -skog och hämtar sedan en åtkomst-token som innehåller listan med säkerhetsgrupper för användare. Den här processen ser till att certifikatet som IPsec-motparten erbjuder motsvarar ett aktivt användarkonto i domänen och att certifikatet ska användas av den användaren.

Mappningen certifikat-till-konto kan endast användas för användarkonton som finns i samma skog som den dator som utför mappningen. Detta ger mycket starkare autentisering än att bara acceptera en giltig certifikatkedja. Du kan t.ex. använda den här funktionen när du vill begränsa åtkomsten till användare som finns i samma skog. Mappningen certifikat-till-konto garanterar dock inte att en specifik betrodd användare tillåts IPsec-åtkomst.

Mappningen certifikat-till-konto är särskilt användbar om certifikaten kommer från en PKI (Public Key Infrastructure) som inte är integrerad med AD DS-distributionen (Active Directory Domain Services), t.ex. om affärspartners får sina certifikat från andra leverantörer än Microsoft. Du kan konfigurera autentiseringsmetoden för IPsec-principen för att mappa certifikat till ett domänanvändarkonto för en specifik rotcertifikatutfärdare. Du kan även mappa alla certifikat från en certifikatutfärdare till ett användarkonto. På så sätt kan certifikatautentiseringen användas för att begränsa vilka skogar som tillåts IPsec-åtkomst i en miljö där det finns många skogar och var och en utför automatisk registrering under en enda intern rotcertifikatutfärdare. Om mappningen certifikat-till-konto inte slutförs ordentligt misslyckas autentiseringen och IPsec-skyddade anslutningar kommer att blockeras.

Datorhälsocertifikat

Använd det här alternativet om du vill ange att bara en dator som visar ett certifikat från den angivna certifikatutfärdaren och som är markerad som ett NAP-hälsocertifikat (Network Access Protection) kan autentiseras med den här anslutningssäkerhetsregeln. Med NAP kan du definiera och tvinga fram hälsoprinciper så att datorer som inte följer nätverksprinciperna, t.ex. datorer utan antivirusprogram eller de som inte har de senaste programuppdateringarna, förmodligen inte kommer åt nätverket. Du måste konfigurera NAP på både server- och klientdatorer för att kunna implementera funktionen. Mer information finns i hjälpen för snapin-modulen NAP i MMC. Du måste ha en NAP-server konfigurerad i domänen om du vill använda den här metoden.

Signeringsalgoritm

Ange signeringsalgoritmen som används för att skydda certifikatet kryptografiskt.

RSA (standard)

Välj det här alternativet om certifikatet signeras med algoritmen för RSA-kryptering med offentliga nycklar.

ECDSA-P256

Välj det här alternativet om certifikatet signeras med ECDSA (Elliptic Curve Digital Signature Algorithm) med 256-bitars nyckelstyrka.

ECDSA-P384

Välj det här alternativet om certifikatet signeras med ECDSA med 384-bitars nyckelstyrka.

Typ av certifikatarkiv

Ange typen av certifikatarkiv genom att identifiera arkivet där certifikatet finns.

Rotcertifikatutfärdare (standard)

Välj det här alternativet om certifikatet utfärdades av en rotcertifikatutfärdare och finns sparat i certifikatarkivet Betrodda rotcertifikatutfärdare på den lokala datorn.

Mellanliggande certifikatutfärdare

Välj det här alternativet om certifikatet utfärdades av en mellanliggande certifikatutfärdare och finns sparat i certifikatarkivet Mellanliggande certifikatutfärdare på den lokala datorn.

Aktivera mappning av certifikat till konto

När du aktiverar IPsec med mappningen certifikat-till-konto associerar (mappar) IKE- och AuthIP-protokollen ett certifikat till ett användar- eller datorkonto i en Active Directory-domän eller -skog och hämtar sedan en åtkomst-token som innehåller listan med säkerhetsgrupper. Den här processen ser till att certifikatet som IPsec-motparten erbjuder motsvarar ett aktivt dator- eller användarkonto i domänen och att certifikatet ska användas av det kontot.

Mappningen certifikat-till-konto kan endast användas för konton som finns i samma skog som den dator som utför mappningen. Detta ger mycket starkare autentisering än att bara acceptera en giltig certifikatkedja. Du kan t.ex. använda den här funktionen för att begränsa åtkomst till konton som finns i samma skog. Mappningen certifikat-till-konto garanterar dock inte att ett specifikt betrott konto tillåts IPsec-åtkomst.

Mappningen certifikat-till-konto är särskilt användbar om certifikaten kommer från en PKI som inte är integrerad med AD DS-distributionen, t.ex. om affärspartners får sina certifikat från andra leverantörer än Microsoft. Du kan konfigurera autentiseringsmetoden för IPsec-principen när du vill mappa certifikat till ett domänkonto för en specifik rotcertifikatutfärdare. Du kan även mappa alla certifikat från en certifikatutfärdare till ett dator- eller användarkonto. På så sätt kan IKE-certifikatautentiseringen användas för att begränsa vilka skogar som tillåts IPsec-åtkomst i en miljö där det finns många skogar och var och en utför automatisk registrering under en enda intern rotcertifikatutfärdare. Om mappningen certifikat-till-konto inte slutförs ordentligt misslyckas autentiseringen och IPsec-skyddade anslutningar kommer att blockeras.

Ytterligare referenser


Innehåll