استخدم هذه الإعدادات لتحديد الطريقة التي تتم بها مصادقة الكمبيوتر النظير. ويتم تنفيذ أسلوب المصادقة الأولى أثناء مرحلة الوضع الأساسي لمفاوضات "أمان بروتوكول إنترنت" (IPsec).

يمكنك تحديد أساليب متعددة لاستخدامها للمصادقة الأولى. ويتم استخدام الأساليب بالترتيب الذي تحدده. ويُستخدم أول أسلوب ناجح.

لمزيد من المعلومات حول أساليب المصادقة المتوفرة في مربع الحوار هذا، راجع خوارزميات IPsec والأساليب المعتمدة في Windows (متوفر بالإنجليزية) ‏(https://go.microsoft.com/fwlink/?linkid=129230).

الوصول إلى مربع الحوار هذا
  • عند تعديل الإعدادات الافتراضية على مستوى النظام:

    1. في الأداة الإضافية ‎جدار حماية Windows مع أمان متقدم MMC، ضمن Overview، انقر فوق Windows Firewall Properties.

    2. انقر فوق علامة التبويب IPsec Settings، ثم أسفل IPsec defaults، انقر فوق Customize.

    3. أسفل Authentication Method، قم بتحديد Advanced، ثم انقر فوق Customize.

    4. في First authentication، حدد أسلوباً، ثم انقر فوق Edit أو Add‎.

  • عند إنشاء قاعدة أمان اتصال جديدة:

    1. في الأداة الإضافية ‎جدار حماية Windows مع أمان متقدم MMC، انقر بزر الماوس الأيمن فوق Connection Security Rules، ثم انقر فوق New Rule.

    2. في الصفحة Rule Type، قم بتحديد أي نوع بخلاف Authentication exemption.

    3. في الصفحة Authentication Method، قم بتحديد Advanced، ثم انقر فوق Customize.

    4. في First authentication، حدد أسلوباً، ثم انقر فوق Edit أو Add‎.

  • عند تعديل قاعدة أمان اتصال موجودة:

    1. في الأداة الإضافية ‎جدار حماية Windows مع أمان متقدم MMC، انقر فوق Connection Security Rules.

    2. انقر نقراً مزدوجاً فوق قاعدة أمان الاتصال التي ترغب في تعديلها.

    3. انقر فوق علامة التبويب Authentication.

    4. أسفل Method، انقر فوق Advanced، ثم انقر فوق Customize.

    5. في First authentication، حدد أسلوباً، ثم انقر فوق Edit أو Add‎.

Computer (Kerberos V5)‎

يمكنك استخدام هذا الأسلوب لمصادقة أجهزة الكمبيوتر النظيرة التي لها حسابات كمبيوتر في نفس المجال أو في مجالات منفصلة تتمتع بعلاقة ثقة.

Computer (NTLMv2)‎

NTLMv2 هي طريقة بديلة لمصادقة أجهزة الكمبيوتر النظيرة التي لها حسابات كمبيوتر على نفس المجال أو في مجالات منفصلة تتمتع بعلاقة ثقة.

Computer certificate from this certification authority (CA)‎

استخدم شهادة مفتاح عام في المواقف التي تتضمن اتصالات شركاء أعمال خارجية أو أجهزة كمبيوتر لا تقوم بتشغيل الإصدار الخامس من بروتوكول المصادقة Kerberos. ويتطلب هذا أن يتم تكوين "مرجع مصدق" (CA) جذر موثوق به واحد على الأقل على الشبكة أو يمكن الوصول إليه من خلالها، وأن يتوفر لدى أجهزة الكمبيوتر العميلة شهادة كمبيوتر مقترنة.

Signing algorithm

حدد خوارزمية التوقيع المستخدمة لتأمين الشهادة من خلال تشفيرها.

RSA (default)‎

حدد هذا الخيار في حالة توقيع الشهادة باستخدام خوارزمية تشفير المفتاح العام RSA.

ECDSA-P256

حدد هذا الخيار في حالة توقيع الشهادة باستخدام خوارزمية التوقيع Elliptic Curve Digital Signature Algorithm ‏(ECDSA) مع قوة المفتاح 256 بت.

ECDSA-P384

حدد هذا الخيار في حالة توقيع الشهادة باستخدام ECDSA مع قوة المفتاح 384 بت.

Certificate store type

حدد نوع الشهادة عن طريق تحديد المخزن الذي تكون الشهادة موجودة به.

Root CA (default)‎

حدد هذا الخيار إذا تم إصدار الشهادة بواسطة CA الجذر وتم تخزينها في مخزن شهادات Trusted Root Certification Authorities الخاص بالكمبيوتر المحلي.

Intermediate CA

حدد هذا الخيار إذا تم إصدار الشهادة بواسطة CA متوسط وتم تخزينها في مخزن شهادات Intermediate Certification Authorities الخاص بالكمبيوتر المحلي.

Accept only health certificates

يقصر هذا الخيار استخدام شهادات الكمبيوتر على الشهادات التي تم وضع علامة عليها كشهادة حماية. ويتم نشر شهادات الحماية بواسطة CA بدعم من نشر "حماية الوصول إلى الشبكة" (Network Access Protection‏) (NAP). يُمكِّنك NAP من تعريف نُهج الحماية وفرضها، بحيث تقل فرص أجهزة الكمبيوتر التي لا تتوافق مع نهج الشبكة، مثل أجهزة الكمبيوتر التي لا تحتوي على برامج الحماية من الفيروسات أو تحديثات البرامج الأخيرة، في الوصول إلى الشبكة. ولتطبيق NAP، فأنت تحتاج إلى تكوين إعدادات NAP على كل من الخادم وأجهزة الكمبيوتر العميلة. وتساعدك "إدارة عميل حماية الوصول إلى الشبكة" (NAP Client Management)، وهي إحدى الأدوات الإضافية الخاصة بـ MMC) Microsoft Management Console)، في تكوين إعدادات NAP على أجهزة الكمبيوتر العميلة الخاصة بك. لمزيد من المعلومات، راجع تعليمات الأداة الإضافية NAP الخاصة بـ MMC. لاستخدام هذا الأسلوب، يجب إعداد خادم NAP في المجال.

Enable certificate to account mapping

عند تمكين "تعيين الشهادة للحساب" (certificate-to-account mapping) لـ IPsec، يقوم بروتوكولي "مفتاح إنترنت التبادلي" (IKE) و "IP المصادق عليه" (AuthIP) بربط (تعيين) شهادة كمبيوتر إلى حساب كمبيوتر في مجال أو غابة Active Directory، ثم يقوم باسترداد الرمز المميز للوصول، الذي يتضمن قائمة من مجموعات أمان الكمبيوتر. وتضمن هذه العملية أن تتوافق الشهادة المقدمة من نظير IPsec مع حساب كمبيوتر نشط في المجال، وأن تكون هذه الشهادة هي التي يجب استخدامها بواسطة هذا الكمبيوتر.

يمكن استخدام Certificate-to-account mapping فقط لحسابات الكمبيوتر الموجودة في نفس الغابة التي يكون الكمبيوتر الذي يقوم بأداء التعيين موجوداً بها. ويوفر هذا مصادقة أقوى بكثير من مجرد قبول أي سلسلة شهادة صحيحة. على سبيل المثال، يمكنك استخدام هذه الإمكانية لتقييد الوصول إلى أجهزة الكمبيوتر الموجودة في نفس الغابة. وبالرغم من ذلك، لا يضمن استخدام Certificate-to-account mapping أن يتم السماح لكمبيوتر محدد موثوق به بالحصول على وصول IPsec.

يكون استخدام Certificate-to-account mapping مفيداً خاصة إذا كانت الشهادات مقدمة من البنية التحتية للمفتاح العام (PKI) غير المتكاملة مع نشر Active Directory Domain Services‏ (AD DS)، مثل حصول شركاء العمل على شهاداتهم من موفرين غير تابعين لـ Microsoft. يمكنك تكوين أسلوب مصادقة نهج IPsec لتعيين الشهادات لحساب كمبيوتر على مجال خاص بـ CA جذر محدد. كما يمكنك تعيين كافة الشهادات الصادرة من CA لحساب كمبيوتر واحد. ويسمح ذلك باستخدام مصادقة شهادة IKE لتحديد الغابات التي يُسمح لها بوصول IPsec في بيئة يوجد بها العديد من الغابات يقوم كل منها بتنفيذ التسجيل التلقائي ضمن CA جذر داخلي واحد. وإذا لم تتم عملية استخدام certificate-to-account mapping بشكل سليم، فستفشل عملية المصادقة ويتم حظر اتصالات IPsec المحمية.

Preshared key (not recommended)‎

يمكنك استخدام مفاتيح تمت مشاركتها مسبقاً من أجل المصادقة. وهذا المفتاح هو أحد المفاتيح المشتركة السرية التي تم الاتفاق عليها مسبقاً من قبل اثنين من المستخدمين. ويجب على كلا الفريقين تكوين IPSec يدوياً لاستخدام المفتاح الذي تمت مشاركته مسبقاً. وأثناء مفاوضة الأمان، يتم تشفير المعلومات باستخدام المفتاح المشترك قبل الإرسال ويتم فك تشفيرها باستخدام نفس المفتاح عند نقطة التلقي. وإذا تمكن المتلقي من فك تشفير المعلومات، فسيتم اعتبار أن الهويات قد تمت مصادقتها.

تنبيه
  • يتم توفير منهج مفتاح تمت مشاركته مسبقاً لأغراض إمكانية التشغيل التفاعلي والالتزام بمقاييس IPsec. ويجب استخدام المفتاح الذي تمت مشاركته مسبقاً لأغراض الاختبار فقط. ومن المستحسن عدم استخدام المصادقة باستخدام المفتاح الذي تمت مشاركته مسبقاً بشكل منتظم لأن مفتاح المصادقة يتم تخزينه في حالة غير محمية في نهج IPSec.
  • وفي حالة استخدام مفتاح تمت مشاركته مسبقاً لمصادقة الوضع الأساسي، فسيتعذر استخدام المصادقة الثانية.

راجع أيضاً


جدول المحتويات