Tato nastavení slouží k určení způsobu, jakým je ověřován uživatelský účet v partnerském počítači. Můžete také zadat, zda má mít počítač i certifikát stavu. Druhou metodu ověřování provádí protokol AuthIP (Authenticated IP) v rozšířeném režimu fáze hlavního režimu vyjednávání protokolu IPsec (Internet Protocol security).

K tomuto ověření můžete použít různé metody. Tyto metody jsou vykonány v pořadí, jaké sami určíte. Použita bude první úspěšná metoda.

Další informace o metodách ověřování dostupných v tomto dialogovém okně naleznete v článku Algoritmy protokolu IPsec a metody podporované v systému Windows (https://go.microsoft.com/fwlink/?linkid=129230).

Postup pro zobrazení tohoto dialogového okna
  • Při změně výchozího nastavení v celém systému:

    1. V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v navigačním podokně na položku Brána Windows Firewall s pokročilým zabezpečením a v části Přehled klikněte na položku Vlastnosti brány firewall.

    2. Klikněte na kartu Nastavení protokolu IPSec a potom v části Výchozí nastavení protokolu IPsec klikněte na tlačítko Vlastní.

    3. V části Metoda ověřování vyberte možnost Upřesnit a potom klikněte na tlačítko Vlastní.

    4. V části Druhé ověřování vyberte metodu a klikněte na položku Upravit nebo Přidat.

  • Při vytváření nového pravidla zabezpečení připojení postupujte takto:

    1. V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v navigačním podokně pravým tlačítkem na položku Pravidla zabezpečení připojení a poté klikněte na příkaz Nové pravidlo.

    2. Na stránce Typ pravidla vyberte libovolný typ kromě možnosti Výjimka z ověření.

    3. Na stránce Metoda ověřování vyberte možnost Upřesnit a potom klikněte na tlačítko Vlastní.

    4. V části Druhé ověřování vyberte metodu a klikněte na položku Upravit nebo Přidat.

  • Při změně stávajícího pravidla zabezpečení postupujte takto:

    1. V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte v navigačním podokně na položku Pravidla zabezpečení připojení.

    2. Dvakrát klikněte na pravidlo zabezpečení připojení, které chcete upravit.

    3. Klikněte na kartu Ověřování.

    4. V části Metoda klikněte na možnost Upřesnit a potom klikněte na tlačítko Vlastní.

    5. V části Druhé ověřování vyberte metodu a klikněte na položku Upravit nebo Přidat.

Uživatel (Kerberos V5)

Tuto metodu lze použít pro ověřování uživatele přihlášeného ke vzdálenému počítači, který je součástí stejné domény, nebo k ověření samostatných domén, které mají mezi sebou vztah důvěryhodnosti. Přihlášený uživatel musí mít účet domény a počítač musí být připojen k doméně ve stejné doménové struktuře.

Uživatel (NTLMv2)

Protokol NTLMv2 představuje alternativní způsob ověřování uživatele přihlášeného ke vzdálenému počítači, který je součástí stejné domény nebo domény, která má vztah důvěryhodnosti k doméně místního počítače. Uživatelský účet a počítač musí být připojeny k doménám, které jsou součástí stejné doménové struktury.

Uživatelský certifikát

V situacích zahrnujících komunikace s externím obchodním partnerem nebo počítače, které nepoužívají protokol ověřování Kerberos verze 5, použijte certifikát veřejného klíče. Jeho použití vyžaduje, aby byla prostřednictvím sítě nakonfigurovaná nebo přístupná nejméně jedna důvěryhodná kořenová certifikační autorita a aby byl ke klientským počítačům přidružen počítačový certifikát. Tato metoda je užitečná, pokud různí uživatelé nejsou v jedné doméně nebo pokud jsou v samostatných doménách bez obousměrného vztahu důvěryhodnosti a nelze použít protokol Kerberos verze 5.

Algoritmus podepisování

Zadejte algoritmus podepisování použitý pro kryptografické zabezpečení certifikátu.

Šifrování RSA (výchozí)

Tuto možnost vyberte, pokud je certifikát podepsán pomocí kryptografického algoritmu RSA s veřejným klíčem.

ECDSA-P256

Tuto možnost vyberte, je-li certifikát podepsán s použitím algoritmu ECDSA (Elliptic Curve Digital Signature Algorithm) s 256bitovým klíčem.

ECDSA-P384

Tuto možnost vyberte, jestliže je certifikát podepsán s použitím algoritmu ECDSA s 256bitovým klíčem.

Typ úložiště certifikátů

Určete typ certifikátu zadáním úložiště, ve kterém se certifikát nachází.

Kořenová certifikační autorita (výchozí)

Tuto možnost vyberte, pokud byl certifikát vystaven kořenovou certifikační autoritou a je uložen v úložišti certifikátů místního počítače Důvěryhodné kořenové certifikační autority.

Zprostředkující certifikační autorita

Tuto možnost vyberte, jestliže byl certifikát vystaven zprostředkující certifikační autoritou a je uložen v úložišti certifikátů místního počítače Úložiště zprostředkujících certifikačních autorit.

Povolit mapování certifikátu na účty

Pokud povolíte mapování certifikátu na účty pomocí protokolu IPsec, protokoly Internet Key Exchange (IKE) a AuthIP přidruží (namapují) certifikát uživatele k uživatelskému účtu v doméně nebo doménové struktuře služby Active Directory a následně načtou přístupový token, který zahrnuje seznam skupin zabezpečení uživatele. Tímto procesem se zajistí, že certifikát nabídnutý druhou stranou IPsec bude odpovídat aktivnímu uživatelskému účtu v doméně a že daný uživatel tento certifikát použije.

Mapování certifikátu na účet lze používat pouze u uživatelských účtů, které jsou ve stejné doménové struktuře jako počítač provádějící mapování. Tím se zajistí mnohem silnější ověřování než při pouhém přijetí jakéhokoli platného řetězce certifikátů. Tuto schopnost lze například využít k omezení přístupu na uživatele ve stejné doménové struktuře. Mapováním certifikátu na účet se však nezajistí, že je konkrétnímu důvěryhodnému uživateli povolen přístup IPsec.

Mapování certifikátu na účet je obzvlášť užitečné, pokud certifikát pochází z infrastruktury veřejného klíče, která není integrovaná s nasazením služby AD DS (Active Directory Domain Services), například v případě, že obchodní partneři získají certifikáty od jiných poskytovatelů než společnosti Microsoft. Metodu ověřování zásady IPsec můžete nakonfigurovat tak, aby mapovala certifikáty na účet uživatele domény pro konkrétní kořenovou certifikační autoritu. Můžete také namapovat všechny certifikáty z vystavující certifikační autority na jeden uživatelský účet. Díky tomu lze použít ověřování certifikátu k omezení na doménové struktury, kterým je povolen přístup IPsec v prostředí, kde existuje mnoho doménových struktur, z nichž každá provádí automatický zápis v rámci jedné interní kořenové certifikační autority. Jestliže proces mapování certifikátu na účet není správně dokončen, ověřování se nezdaří a připojení chráněná protokolem IPsec budou zablokována.

Certifikát stavu počítače

Tato volba slouží k určení, že pouze počítač, který nabízí certifikát ze zadané certifikační autority a který je označen jako certifikát stavu architektury NAP (Network Access Protection), může provádět ověřování pomocí tohoto pravidla zabezpečení připojení. Architektura NAP umožňuje definovat a vynucovat zásady stavu tak, aby počítače neodpovídající zásadám sítě, například počítače bez antivirového softwaru nebo počítače, které nemají nainstalovány nejnovější aktualizace softwaru, měly menší pravděpodobnost přístupu do dané sítě. Pokud chcete zavést architekturu NAP, musíte nastavit architekturu NAP jak na serverech, tak v klientských počítačích. Další informace najdete v nápovědě modulu snap-in architektury NAP konzoly MMC. Pokud chcete tuto metodu používat, musí být v doméně nastaven server architektury NAP.

Algoritmus podepisování

Zadejte algoritmus podepisování použitý pro kryptografické zabezpečení certifikátu.

Šifrování RSA (výchozí)

Tuto možnost vyberte, pokud je certifikát podepsán pomocí kryptografického algoritmu RSA s veřejným klíčem.

ECDSA-P256

Tuto možnost vyberte, je-li certifikát podepsán s použitím algoritmu ECDSA (Elliptic Curve Digital Signature Algorithm) s 256bitovým klíčem.

ECDSA-P384

Tuto možnost vyberte, jestliže je certifikát podepsán s použitím algoritmu ECDSA s 384bitovým klíčem.

Typ úložiště certifikátů

Určete typ certifikátu zadáním úložiště, ve kterém se certifikát nachází.

Kořenová certifikační autorita (výchozí)

Tuto možnost vyberte, pokud byl certifikát vystaven kořenovou certifikační autoritou a je uložen v úložišti certifikátů místního počítače Důvěryhodné kořenové certifikační autority.

Zprostředkující certifikační autorita

Tuto možnost vyberte, jestliže byl certifikát vystaven zprostředkující certifikační autoritou a je uložen v úložišti certifikátů místního počítače Úložiště zprostředkujících certifikačních autorit.

Povolit mapování certifikátu na účty

Pokud povolíte mapování certifikátu na účet pomocí protokolu IPsec, protokoly IKE a AuthIP přidruží (namapují) certifikát uživatele k uživatelskému účtu nebo účtu počítače v doméně nebo doménové struktuře služby Active Directory a následně načtou přístupový token, který zahrnuje seznam skupin zabezpečení. Tímto procesem se zajistí, že certifikát nabídnutý druhou stranou IPsec bude odpovídat aktivnímu uživatelskému účtu nebo účtu počítače v doméně a že daný účet tento certifikát použije.

Mapování certifikátu na účet lze používat pouze u účtů, které jsou ve stejné doménové struktuře jako počítač provádějící mapování. Tím se zajistí mnohem silnější ověřování než při pouhém přijetí jakéhokoli platného řetězce certifikátů. Tuto schopnost lze například využít k omezení přístupu na účty ve stejné doménové struktuře. Mapováním certifikátu na účet se však nezajistí, že je konkrétnímu důvěryhodnému účtu povolen přístup pomocí protokolu IPsec.

Mapování certifikátu na účet je obzvlášť užitečné, pokud certifikát pochází z infrastruktury PKI, která není integrovaná s nasazením služby AD DS, například v případě, že obchodní partneři získají certifikáty od jiných poskytovatelů než společnosti Microsoft. Metodu ověřování zásady IPsec můžete nakonfigurovat tak, aby mapovala certifikáty na účet domény pro konkrétní kořenovou certifikační autoritu. Můžete také namapovat všechny certifikáty z vydávající certifikační autority na jeden účet počítače nebo uživatelský účet. Díky tomu lze použít ověřování certifikátu IKE k omezení na doménové struktury, kterým je povolen přístup pomocí protokolu IPsec v prostředí, kde existuje mnoho doménových struktur, z nichž každá provádí automatický zápis v rámci jedné interní kořenové certifikační autority. Jestliže proces mapování certifikátu na účet není správně dokončen, ověřování se nezdaří a připojení chráněná protokolem IPsec budou zablokována.

Další odkazy


Obsah