使用這些設定,來設定此連線安全性規則使用的驗證類型。

附註

此處列示的驗證方法,並非全部都適用於所有安全性規則類型。規則方法可以使用的驗證方法,會顯示在新增連線安全性規則精靈的 [驗證方法],以及 [連線安全性規則內容] 頁面的 [驗證] 索引標籤。

如需驗證方法的相關資訊,請參閱Windows 支援的 IPsec 演算法與方法 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=129230)。

開啟這個精靈頁面
  1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元中的 [連線安全性規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]

  2. [下一步],直到顯示 [驗證方法] 頁面為止。

預設值

當您指定 [隔離][自訂] 規則類型時,才可以使用這個選項。

選取這個選項,使用 [具有進階安全性的 Windows 防火牆內容] 對話方塊目前顯示的驗證方法 (位於 [IPsec 設定] 索引標籤的 [驗證方法] 之下)。如需自訂預設選項的相關資訊,請參閱對話方塊:自訂 IPsec 設定

電腦及使用者 (Kerberos V5)

當您指定 [隔離][自訂] 規則類型時,才可以使用這個選項。

選取這個選項,電腦與使用者都會以 Kerberos  版本 5 通訊協定進行驗證。它相當於選取 [進階],為主要驗證選取 [電腦 (Kerberos V5)] 以及為次要驗證選擇 [使用者 (Kerberos V5)],然後同時清除 [可選擇是否使用主要驗證] 以及 [可選擇是否使用次要驗證]

電腦 (Kerberos V5)

當您指定 [隔離][自訂] 規則類型時,才可以使用這個選項。

選取這個選項,電腦會以 Kerberos  版本 5 通訊協定進行驗證。它相當於選取 [進階],為主要驗證新增 [電腦 (Kerberos V5)],然後選取 [可選擇是否使用次要驗證]

電腦憑證

當您指定 [伺服器對伺服器][通道] 規則類型時,才可以使用這個選項。

選取這個選項,使用以電腦憑證為基礎的電腦驗證。它相當於選取 [進階],為主要驗證選新增 [電腦憑證],然後選取 [可選擇是否使用次要驗證]

簽署演算法

指定以加密編譯方式保護憑證時所使用的簽署演算法。

RSA (預設)

如果使用 RSA 公開金鑰加密編譯演算法簽署憑證時,請選取這個選項。

ECDSA-P256

如果使用具備 256 位元金鑰強度的橢圓曲線數位簽章演算法 (ECDSA) 來簽署憑證時,請選取這個選項。

ECDSA-P384

如果使用具備 384 金鑰強度的 ECDSA來簽署憑證時,請選取這個選項。

憑證存放區類型

識別憑證所在的存放區,以指定憑證的類型。

根 CA (預設)

如果憑證是由根憑證授權單位 (CA) 所發出,而且儲存在本機電腦的「受信任的根憑證授權單位」憑證存放區,選取這個選項。

中繼 CA

如果憑證是由中繼 CA 所發出,而且儲存在本機電腦的「中繼憑證授權」憑證存放區,請選取這個選項。

僅接受健康情況憑證

這個選項會規定只能使用標示成健康情況憑證的電腦憑證。健康情況憑證是由支援網路存取保護 (NAP) 部署的 CA 所發行的。NAP 可以讓您定義以及強制執行健康原則,因此不符合網路需求的電腦 (例如沒有防毒軟體的電腦,或者沒有最新更新的電腦),就比較不可能存取您的網路。若要執行 NAP,就需要設定伺服器和用戶端電腦的 NAP 設定。NAP 用戶端管理是一個 Microsoft Management Console (MMC) 嵌入式管理單元,可協助您設定用戶端電腦的 NAP 設定。如需相關資訊,請參閱「NAP MMC 嵌入式管理單元」說明。若要使用這個選項,至少必須在網域中設定一個 NAP 伺服器。

進階

當您指定任何規則類型時,就會提供這個選項。

選取這個選項,設定任何可用的驗證方法。然後您必須按一下 [自訂],並為主要驗證與次要驗證指定方法清單。如需詳細資訊,請參閱對話方塊:自訂進階驗證方法對話方塊:新增或編輯主要驗證方法以及對話方塊:新增或編輯次要驗證方法

如何變更這些設定

建立連線安全性規則之後,就可以在 [連線安全性規則內容] 對話方塊中變更這些設定。當您按兩下 [連線安全性規則] 中的規則,就會顯示這個對話方塊。若要變更這個規則使用的驗證需求,請選取 [驗證] 索引標籤。

其他參考資料


目錄