使用這些設定,來設定環境中需要的驗證。您可以按照逐一規則基礎來設定進階驗證,或者根據預設值套用至所有連線安全性規則。

如何開啟這個對話方塊
  • 若要進入這個對話方塊來設定電腦的預設值,請執行以下步驟。驗證方法選取 [預設值] 的任何連線安全性規則,都會套用這些設定。

    1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的 [概觀] 中按一下 [Windows 防火牆內容]

    2. 按一下 [IPsec 設定] 索引標籤。

    3. 按一下 [IPsec 預設值] 之下的 [自訂]

    4. [驗證方法] 中,選取 [進階],然後按一下 [自訂]

  • 建立新連線安全性規則時,若要進入這個對話方塊,請執行以下步驟:您編輯內容的連線安全性規則,都會套用這些設定。

    1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元頁面瀏覽窗格的 [連線安全性規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]

    2. 選取任何規則類型,但不包括 [豁免驗證]

    3. 連續按精靈中的 [下一步],直到顯示 [驗證方法] 頁面為止。

    4. 選取 [進階],然後按一下 [自訂]

  • 若要進入這個對話方塊,來設定現有連線安全性規則的預設值,請執行以下步驟:您編輯內容的連線安全性規則,都會套用這些設定。

    1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元頁面的瀏覽窗格中,按一下 [連線安全性規則]

    2. 按兩下要修改的規則。

    3. 按一下 [驗證] 索引標籤。

    4. [方法] 中,選取 [進階],然後按一下 [自訂]

主要驗證

在網際網路通訊協定安全性 (IPsec) 交涉的主要模式階段期間,會執行「主要驗證」方法。在這個驗證中,您可以指定對等電腦的驗證方式。

可以指定多重方法以提供此驗證使用。會依您指定的順序來嘗試這些方法;將使用第一次成功的方法。

  • 若要將方法新增至清單,請按一下 [新增]

  • 若要修改已列在清單中的方法,請選取該方法,然後按一下 [編輯]

  • 若要移除清單中的方法,請選取方法,然後按一下 [移除]

  • 若要重新排列清單,請選取方法,按一下向上或向下箭頭。

如需可以使用之主要驗證方法的相關資訊,請參閱對話方塊:新增或編輯主要驗證方法

可選擇是否使用主要驗證

您可以選取此選項以匿名認證執行主要驗證。當「次要驗證」提供主要且必要的驗證方式,而「主要驗證」只在兩個對等電腦都支援時才執行,這會很有用。例如,如果您想要求使用者形式的 Kerberos 版本 5 驗證 (只有次要驗證可使用此項),就可以選取 [可選擇是否使用主要驗證],然後在 [次要驗證方法] 中選取 [使用者 (Kerberos V5)]

注意

不要將主要驗證與次要驗證都設定成選擇性。這等於是關閉驗證。

次要驗證

您可以使用次要驗證來指定如何驗證登入對等電腦的使用者。您也可以指定由特定憑證授權單位 (CA) 發出的電腦健康情況憑證。

會依您指定的順序來嘗試這些方法;將使用第一次成功的方法。

可以指定多重方法以提供此驗證使用。

  • 若要將方法新增至清單,請按一下 [新增]

  • 若要修改已列在清單中的方法,請選取該方法,然後按一下 [編輯]

  • 若要移除清單中的方法,請選取方法,然後按一下 [移除]

  • 若要重新排列清單,請選取方法,按一下向上或向下箭頭。

附註
  • 必須使用以所有使用者為基礎的驗證方法,或以所有電腦為基礎的驗證方法。
  • 如果您的主要驗證方法是使用預先共用金鑰,則不論次要驗證方法出現在清單何處,都不能使用。

如需可以使用之次要驗證方法的相關資訊,請參閱對話方塊:新增或編輯次要驗證方法

可選擇是否使用次要驗證

您可以選取這個選項,指示合適時應該執行次要驗證,不過若不封鎖連線,則次要驗證會失敗。當「主要驗證」提供主要且必要的驗證方式,而「次要驗證」只在兩個對等電腦都支援,才可選用、且偏好使用時,這會很有用。例如,如果您想要求電腦形式的 Kerberos 版本 5 驗證,也希望適用時使用使用者形式的 Kerberos 版本 5 驗證,則可以選取 [電腦 (Kerberos V5)] 做為主要驗證,並選取 [使用者 (Kerberos V5)] 做為次要驗證,並選取 [可選擇是否使用次要驗證]

注意

不要將主要驗證與次要驗證都設定成選擇性。這等於是關閉驗證。

重要
  • 在通道模式規則中,如果您選取 [可選擇是否使用次要驗證],則產生的 IPsec 原則只會當作是 IKE 來實行,而且不會使用已驗證網際網路通訊協定 (AuthIP)。[次要驗證] 中指定的任何驗證方法都會略過。
  • 在傳輸模式規則中,仍然會如同預期地使用次要驗證方法。

請參閱


目錄