使用这些设置可以配置您环境中所需的身份验证。可以依次配置每个规则的高级身份验证,或默认应用于所有连接安全规则。
 | 如何打开此对话框 |
若要获取此对话框以配置计算机的默认设置,请执行以下步骤。这些设置应用于选择“默认值”作为身份验证方法的任何连接安全规则。
- 在高级安全 Windows 防火墙 MMC 管理单元页的“概述”中,单击“Windows 防火墙属性”。
- 单击“IPsec 设置”选项卡。
- 在“IPsec 默认值”下,单击“自定义”。
- 在“身份验证方法”下选择“高级”,然后单击“自定义”。
- 在高级安全 Windows 防火墙 MMC 管理单元页的“概述”中,单击“Windows 防火墙属性”。
若要在创建新连接安全规则时获取此对话框,请执行以下步骤。这些设置仅应用于您正在编辑其属性的连接安全规则。
- 在高级安全 Windows 防火墙 MMC 管理单元页的导航窗格中,右键单击“连接安全规则”,然后单击“新建规则”。
- 选择除“免除身份验证”之外的任意规则类型。
- 在向导中单击“下一步”,直到到达“身份验证方法”页。
- 选择“高级”,然后单击“自定义”。
- 在高级安全 Windows 防火墙 MMC 管理单元页的导航窗格中,右键单击“连接安全规则”,然后单击“新建规则”。
若要获取此对话框以配置现有连接安全规则的设置,请执行以下步骤。这些设置仅应用于您正在编辑其属性的连接安全规则。
- 在高级安全 Windows 防火墙 MMC 管理单元页的导航窗格中,单击“连接安全规则”。
- 双击要修改的规则。
- 单击“身份验证”选项卡。
- 在“方法”下选择“高级”,然后单击“自定义”。
- 在高级安全 Windows 防火墙 MMC 管理单元页的导航窗格中,单击“连接安全规则”。
第一身份验证
第一身份验证方法是在 Internet 协议安全 (IPSec) 协商的主模式阶段期间执行的。在此身份验证中,可以指定对等计算机身份验证的方式。
可以指定多种方法以用于此身份验证。将按所指定的顺序尝试这些方法;将使用第一个成功的方法。
- 若要向列表中添加方法,请单击“添加”。
- 若要修改列表中已存在的方法,请选择方法,然后单击“编辑”。
- 若要从列表中删除某个方法,请选择该方法,然后单击“删除”。
- 若要重新排序列表,请选择某个方法,然后单击向上和向下箭头。
有关可用的第一身份验证方法的详细信息,请参阅对话框:添加或编辑第一身份验证方法。
第一身份验证可选
可以选择此选项,以使用匿名凭据执行第一身份验证。当第二身份验证提供主要的必需身份验证方法时,此选项将十分有用,且仅当两个对等方都支持第一身份验证时,才会执行该验证。例如,如果要请求基于用户的 Kerberos 版本 5 身份验证(只能作为第二身份验证使用),可以选择“第一身份验证可选”,然后选择“第二身份验证方法”中的“用户(Kerberos V5)”。
 | 小心 |
请不要同时将第一身份验证和第二身份验证配置为可选。否则,这样的配置等同于关闭身份验证。 |
第二身份验证
使用第二身份验证,可以指定对登录到对等计算机的用户进行身份验证的方式。还可以指定来自指定证书颁发机构 (CA) 的计算机健康证书。
将按所指定的顺序尝试这些方法;将使用第一个成功的方法。
可以指定多种方法以用于此身份验证。
- 若要向列表中添加方法,请单击“添加”。
- 若要修改列表中已存在的方法,请选择方法,然后单击“编辑”。
- 若要从列表中删除某个方法,请选择该方法,然后单击“删除”。
- 若要重新排序列表,请选择某个方法,然后单击向上和向下箭头。
 | 注意 |
|
有关可用的第二身份验证方法的详细信息,请参阅对话框:添加或编辑第二身份验证方法。
第二身份验证可选
可以选择此选项指示如果可能应执行第二身份验证,但如果第二身份验证失败,不应阻止该连接。当第一身份验证提供主要的必需身份验证方法时,此选项将十分有用,且当两个对等方都支持第一身份验证时,第二身份验证可选,但是为首选身份验证。例如,如果要请求基于计算机的 Kerberos 版本 5 身份验证,并且希望可能时使用基于用户的 Kerberos 版本 5 身份验证,则可以选择“计算机(Kerberos V5)”作为第一身份验证,然后在选中“第二身份验证可选”时选择“用户(Kerberos V5)”作为第二身份验证。
| 小心 |
请不要同时将第一身份验证和第二身份验证配置为可选。否则,这样的配置等同于关闭身份验证。 |
 | 重要 |
|