使用這些設定,指定對等電腦使用者帳戶的驗證方式。也可以指定電腦必須擁有電腦健康情況憑證。次要驗證方法是在網際網路通訊協定安全性 (IPSec) 交涉之主要模式階段的延伸模式中,由已驗證網際網路通訊協定 (AuthIP) 所執行。
可以指定多重方法以提供此驗證使用。依您指定的順序來嘗試這些方法。使用第一個成功的方法。
如需這個對話方塊提供的驗證方法詳細資訊,請參閱
 | 開啟這個對話方塊 |
修改全系統預設值時:
- 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的瀏覽窗格中,按一下 [具有進階安全性的 Windows 防火牆],然後在 [概觀] 中按一下 [Windows 防火牆內容]。
- 按一下 [IPsec 設定] 索引標籤,然後按一下 [IPsec 預設值] 之下的 [自訂]。
- 在 [驗證方法] 中,選取 [進階],然後按一下 [自訂]。
- 在 [次要驗證] 之下選取方法,然後按一下 [編輯] 或 [新增]。
- 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的瀏覽窗格中,按一下 [具有進階安全性的 Windows 防火牆],然後在 [概觀] 中按一下 [Windows 防火牆內容]。
建立新連線安全性規則時:
- 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元瀏覽窗格的 [連線安全性規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]。
- 在 [規則類型] 頁面上選取任何類型,但不包括 [豁免驗證 ]。
- 在 [驗證方法] 頁面上,選取 [進階],然後按一下 [自訂]。
- 在 [次要驗證] 之下選取方法,然後按一下 [編輯] 或 [新增]。
- 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元瀏覽窗格的 [連線安全性規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]。
修改現有的安全性規則時:
- 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的瀏覽窗格中,按一下 [連線安全性規則]。
- 按兩下要修改的連線安全性規則。
- 按一下 [驗證] 索引標籤。
- 在 [方法] 中,按一下 [進階],然後按一下 [自訂]。
- 在 [次要驗證] 之下選取方法,然後按一下 [編輯] 或 [新增]。
- 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的瀏覽窗格中,按一下 [連線安全性規則]。
使用者 (Kerberos V5)
可以使用此方法來驗證登入至屬於相同網域的一部分或在具有信任關係的個別網域中的遠端電腦的使用者。登入的使用者必須擁有網域帳戶,而且電腦必須加入相同樹系中的網域。
使用者 (NTLMv2)
NTLMv2 是在下列情況下進行驗證的替代方法:使用者登入屬於相同網域的遠端電腦,或者登入的遠端電腦所在的網域與本機電腦的網域具有信任關係時。使用者帳戶與電腦必須加入屬於相同樹系的網域。
使用者憑證
當情況涉及外部商業合作夥伴通訊,或電腦不是執行 Kerberos 版本 5 驗證通訊協定時,請使用公開金鑰憑證。這樣需要至少設定一個信任的根憑證授權單位 (CA),或者可以透過網路存取,而且用戶端電腦具有關聯的電腦憑證。當使用者不在相同網域中,或是在無雙向信任關係的其他網域中,而且無法使用 Kerberos 版本 5 時,就很適合使用此方法。
簽署演算法
指定以加密編譯方式保護憑證時所使用的簽署演算法。
RSA (預設)
如果使用 RSA 公開金鑰加密編譯演算法簽署憑證時,請選取這個選項。
ECDSA-P256
如果使用具備 256 位元金鑰強度的橢圓曲線數位簽章演算法 (ECDSA) 來簽署憑證時,請選取這個選項。
ECDSA-P384
如果使用具備 256 金鑰強度的 ECDSA來簽署憑證時,請選取這個選項。
憑證存放區類型
識別憑證所在的存放區,以指定憑證的類型。
根 CA (預設)
如果憑證是由根 CA 所發出,而且儲存在本機電腦的「受信任的根憑證授權單位」憑證存放區,請選取這個選項。
中繼 CA
如果憑證是由中繼 CA 所發出,而且儲存在本機電腦的「中繼憑證授權」憑證存放區,請選取這個選項。
啟用帳戶對應憑證
啟用 IPsec 憑證對帳戶對應時,網際網路金鑰交換 (IKE) 與 AuthIP 通訊協定會將使用者憑證與 Active Directory 網域或樹系的使用者帳戶建立關聯 (對應),然後抓取存取權杖 (包含使用者安全性群組清單)。這種程序可以確定 IPsec 對等所提供的憑證,會對應至網域中的作用中使用者帳戶,並確定該憑證就是該使用者應使用的憑證。
使用者帳戶與執行對應的電腦必須位於相同樹系,才能使用憑證對帳戶對應。這樣提供的驗證,會比只接受任何有效憑證鏈結更為嚴格。例如,您可以使用這個功能,限制只有相同樹系中的使用者才可存取。不過,憑證對帳戶對應無法確定特定信任的使用者是否允許 IPsec 存取。
如果憑證是來自未整合至 Active Directory 網域服務 (AD DS) 部署的公開金鑰基礎結構 (PKI) (例如,商業合作夥伴不是從 Microsoft 提供者取得憑證),則憑證對帳戶對應就十分有用。您可以設定 IPsec 原則驗證方法,將憑證對應至特定根 CA 的網域使用者帳戶。您也可以將來自一個簽發 CA 的所有憑證,對應至一個使用者帳戶。如此一來,當環境中存在多個樹系,而且每一個憑藉單一內部根 CA 來執行自動註冊時,就可以允許使用憑證驗證來限制哪些樹系可以允許 IPsec 存取。如果憑證對帳戶對應處理未正確完成,則驗證會失敗,而且會封鎖 IPsec 保護的連線。
電腦健康情況憑證
使用這個選項,指出電腦能夠出示特定 CA 發出的憑證,而且標示為「網路存取保護」(NAP) 健康情況憑證時,該電腦才可以使用這個連線安全性規則進行驗證。NAP 可以讓您定義以及強制執行健康原則,如此不符合網路原則的電腦 (例如沒有防毒軟體的電腦或沒有最新更新的電腦),就比較不可能存取您的網路。若要執行 NAP,就需要設定伺服器和用戶端電腦的 NAP 設定。如需相關資訊,請參閱「NAP MMC 嵌入式管理單元」說明。若要使用此方法,至少必須在網域中設定一個 NAP 伺服器。
簽署演算法
指定以加密編譯方式保護憑證時所使用的簽署演算法。
RSA (預設)
如果使用 RSA 公開金鑰加密編譯演算法簽署憑證時,請選取這個選項。
ECDSA-P256
如果使用具備 256 位元金鑰強度的橢圓曲線數位簽章演算法 (ECDSA) 來簽署憑證時,請選取這個選項。
ECDSA-P384
如果使用具備 384 金鑰強度的 ECDSA來簽署憑證時,請選取這個選項。
憑證存放區類型
識別憑證所在的存放區,以指定憑證的類型。
根 CA (預設)
如果憑證是由根 CA 所發出,而且儲存在本機電腦的「受信任的根憑證授權單位」憑證存放區,請選取這個選項。
中繼 CA
如果憑證是由中繼 CA 所發出,而且儲存在本機電腦的「中繼憑證授權」憑證存放區,請選取這個選項。
啟用帳戶對應憑證
啟用 IPsec 憑證對帳戶對應時,IKE 與 AuthIP 通訊協定會將憑證與 Active Directory 網域或樹系的使用者或電腦帳戶建立關聯 (對應),然後抓取存取權杖 (包含安全性群組清單)。這種程序可以確定 IPsec 對等所提供的憑證,會對應至網域中的作用中電腦或使用者帳戶,並確定該憑證就是該帳戶應使用的憑證。
帳戶與執行對應的電腦必須位於相同樹系,才能使用憑證對帳戶對應。這樣提供的驗證,會比只接受任何有效憑證鏈結更為嚴格。例如,您可以使用這個功能,限制只有相同樹系中的帳戶才可存取。不過,憑證對帳戶對應無法確定特定信任的帳戶是否允許 IPsec 存取。
如果憑證是來自未整合至 AD DS 部署的 PKI (例如,商業合作夥伴不是從 Microsoft 憑證提供者取得憑證),則憑證對帳戶對應就十分有用。您可以設定 IPsec 原則驗證方法,將憑證對應至特定根 CA 的網域帳戶。您也可以將來自一個簽發 CA 的所有憑證,對應至一個電腦或使用者帳戶。如此一來,當環境中存在多個樹系,而且每一個憑藉單一內部根 CA 來執行自動註冊時,就可以允許使用 IKE 憑證驗證來限制哪些樹系可以允許 IPsec 存取。如果憑證對帳戶對應處理未正確完成,則驗證會失敗,而且會封鎖 IPsec 保護的連線。