使用这些设置指定对等计算机上的用户帐户身份验证的方式。也可以指定计算机必须具有计算机健康证书。第二身份验证方法由身份验证 IP (AuthIP) 在 Internet 协议安全 (IPSec) 协商主模式阶段的扩展模式下执行。
可以指定多种方法以用于此身份验证。将以所指定的顺序尝试这些方法。将使用第一个成功的方法。
有关此对话框中可用身份验证方法的详细信息,请参阅
 | 打开此对话框的步骤 |
修改系统范围的默认设置时:
- 在高级安全 Windows 防火墙 MMC 管理单元的导航窗格中,单击“高级安全 Windows 防火墙”,然后在“概述”中单击“Windows 防火墙属性”。
- 单击“IPsec 设置”选项卡,然后在“IPsec 默认值”下单击“自定义”。
- 在“身份验证方法”下选择“高级”,然后单击“自定义”。
- 在“第二身份验证”下,选择一种方法,然后单击“编辑”或“添加”。
- 在高级安全 Windows 防火墙 MMC 管理单元的导航窗格中,单击“高级安全 Windows 防火墙”,然后在“概述”中单击“Windows 防火墙属性”。
创建新连接安全规则时:
- 在高级安全 Windows 防火墙 MMC 管理单元的导航窗格中,右键单击“连接安全规则”,然后单击“新建规则”。
- 在“规则类型”页,选择“免除身份验证”以外的任意类型。
- 在“身份验证方法”页上选择“高级”,然后单击“自定义”。
- 在“第二身份验证”下,选择一种方法,然后单击“编辑”或“添加”。
- 在高级安全 Windows 防火墙 MMC 管理单元的导航窗格中,右键单击“连接安全规则”,然后单击“新建规则”。
修改现有安全规则时:
- 在高级安全 Windows 防火墙 MMC 管理单元的导航窗格中,单击“连接安全规则”。
- 双击要修改的连接安全规则。
- 单击“身份验证”选项卡。
- 在“方法”下单击“高级”,然后单击“自定义”。
- 在“第二身份验证”下,选择一种方法,然后单击“编辑”或“添加”。
- 在高级安全 Windows 防火墙 MMC 管理单元的导航窗格中,单击“连接安全规则”。
用户 (Kerberos V5)
可使用此方法对登录到远程计算机的用户进行身份验证,此远程计算机属于同一个域的一部分或位于具有信任关系的单独域中。登录用户必须具有域帐户,而计算机必须加入到同一个林中的域。
用户 (NTLMv2)
NTLMv2 是另一种身份验证方法,可使用此方法对登录到远程计算机的用户进行身份验证,此远程计算机属于同一个域的一部分或位于与本地计算机的域间存在信任关系的域中。用户帐户和计算机必须加入作为同一个林一部分的域。
用户证书
在包含外部商业伙伴通信或不运行 Kerberos 版本 5 身份验证协议的计算机的情形中使用公钥证书。这要求网络上至少要配置一个受信任根证书颁发机构 (CA) 或可通过网络访问,且客户端计算机具有相关的计算机证书。当用户不在同一域中或在不具备双向信任关系的独立域中,且 Kerberos 版本 5 无法使用时,此方法非常有用。
签名算法
指定用于加密保护证书安全的签名算法。
RSA (默认)
如果使用 RSA 公钥加密算法签名证书,请选择此选项。
ECDSA-P256
如果使用具有 256 位密钥强度的椭圆曲线数字签名算法 (ECDSA) 签名证书,请选择此选项。
ECDSA-P384
如果使用具有 256 位密钥强度的 ECDSA 签名证书请选择此选项。
证书存储类型
通过标识证书所在的存储指定证书类型。
根 CA (默认)
如果证书由根 CA 颁发,且存储在本地计算机的受信任的根证书颁发机构证书存储中,请选择此选项。
中级 CA
如果证书由中级 CA 颁发,且存储在本地计算机的中级证书颁发机构证书存储中,请选择此选项。
启用证书进行帐户映射
启用 IPsec 证书到帐户映射时,Internet 密钥交换 (IKE) 和 AuthIP 协议将某个用户证书关联(映射)到 Active Directory 域或林中的用户帐户,然后检索其中包含用户安全组列表的访问令牌。此过程确保证书由对应于域中某个活动用户帐户的 IPsec 对等端提供,且证书应由该用户使用。
只能对与执行映射的计算机位于同一个林的用户帐户使用证书到帐户映射。与仅接受任意有效证书链相比,这种方法可以提供更强的身份验证。例如,可以使用此功能限制对位于同一个林中的用户的访问。但是证书到帐户映射不确保允许特定的受信任用户进行 IPsec 访问。
如果证书来自未与您的 Active Directory 域服务 (AD DS) 部署集成的公钥基础结构 (PKI),如商业伙伴从非 Microsoft 提供程序获取其证书,则证书到帐户映射尤其有用。可以将 IPsec 策略身份验证方法配置为将证书映射到特定根 CA 的某个域用户帐户。还可以将所有证书从颁发 CA 映射到一个用户帐户。这会允许使用证书身份验证限制允许哪些林在存在多个林的环境中进行 IPsec 访问,且每一个在单个内部根 CA 下执行自动注册。如果证书到帐户映射过程未正确完成,身份验证将失败,受 IPsec 保护的连接将被阻止。
计算机健康证书
使用此选项可以指定只有显示来自指定 CA 的证书且标记为网络访问保护 (NAP) 健康证书的计算机可以使用此连接安全规则进行身份验证。NAP 允许您定义和强制健康策略,以便不符合网络策略的计算机(如没有防病毒软件的计算机或没有最新软件更新的计算机)访问网络的可能性更低。若要实施 NAP,则需要在服务器和客户端计算机上都配置 NAP 设置。有关详细信息,请参阅 NAP MMC 管理单元帮助。若要使用此方法,必须在域中安装 NAP 服务器。
签名算法
指定用于加密保护证书安全的签名算法。
RSA (默认)
如果使用 RSA 公钥加密算法签名证书,请选择此选项。
ECDSA-P256
如果使用具有 256 位密钥强度的椭圆曲线数字签名算法 (ECDSA) 签名证书,请选择此选项。
ECDSA-P384
如果使用具有 384 位密钥强度的 ECDSA 签名证书,请选择此选项。
证书存储类型
通过标识证书所在的存储指定证书类型。
根 CA (默认)
如果证书由根 CA 颁发,且存储在本地计算机的受信任的根证书颁发机构证书存储中,请选择此选项。
中级 CA
如果证书由中级 CA 颁发,且存储在本地计算机的中级证书颁发机构证书存储中,请选择此选项。
启用证书进行帐户映射
启用 IPsec 证书到帐户映射时,IKE 和 AuthIP 协议将某个证书关联(映射)到 Active Directory 域或林中的用户或计算机帐户,然后检索其中包含安全组列表的访问令牌。此过程确保证书由对应于域中某个活动的计算机或用户帐户的 IPsec 对等端提供,且证书应由该帐户使用。
只能对与执行映射的计算机位于同一个林的帐户使用证书到帐户映射。与仅接受任意有效证书链相比,这种方法可以提供更强的身份验证。例如,可以使用此功能限制对位于同一个林中的帐户的访问。但是证书到帐户映射不确保允许特定的受信任帐户进行 IPsec 访问。
如果证书来自未与您的 AD DS 部署集成的 PKI,如商业伙伴从非 Microsoft 证书提供程序获取其证书,则证书到帐户映射尤其有用。可以将 IPsec 策略身份验证方法配置为将证书映射到特定根 CA 的某个域帐户。还可以将所有证书从颁发 CA 映射到一个计算机或用户帐户。这会允许使用 IKE 证书身份验证限制允许哪些林在存在多个林的环境中进行 IPsec 访问,且每一个在单个内部根 CA 下执行自动注册。如果证书到帐户映射过程未正确完成,身份验证将失败,受 IPsec 保护的连接将被阻止。