IPsec je soustava otevřených standardů pro zajištění bezpečné osobní komunikace přes sítě IP pomocí využití služeb kryptografického zabezpečení. Implementace IPsec v systému Microsoft Windows je založena na standardech, vyvinutých pracovní skupinou Internet Engineering Task Force (IETF).
IPsec pomáhá docílit důvěryhodnosti a bezpečnosti při přenosu ze zdrojové do cílové IP adresy. Jediné počítače, které rozumí zabezpečenému přenosu, jsou ty, které vysílají či příjímají. Všechny počítače se starají o bezpečnost na své straně s předpokladem, že prostředí, v jehož rámci komunikace probíhá, bezpečné není. U počítačů, které pouze posílají data ze zdroje do cíle, není zapotřebí, aby byl podporován IPsec, pokud mezi nimi není vykonáváno filtrování paketů typu firewall nebo překlad adresy sítě (NAT).
Chcete-li vytvořit, upravit nebo přiřadit zásady IPsec na tomto počítači nebo vzdálených počítačích, můžete použít modul snap-in Zásady zabezpečení IP.
Poznámka | |
Tato dokumentace má za cíl poskytnout dostatek informací k porozumění modulu snap-in Zásady zabezpečení IP a jeho použití. Informace o zásadách navrhování a nasazování jsou mimo rámec této dokumentace. |
O zásadách IPsec
Zásady protokolu IPsec se používají ke konfiguraci služeb zabezpečení IPsec. Tyto zásady poskytují proměnlivé úrovně ochrany pro většinu typů přenosu ve většině stávajících sítí. Zásady IPsec lze konfigurovat, a docílit tak bezpečnostních požadavků stanovených pro počítač, organizační jednotku (OJ), doménu, lokalitu či celý podnik. Chcete-li pro počítače určit zásady IPsec pomocí objektů Zásad skupiny (pro členy domény) nebo na místním počítači případně pro vzdálené počítače, lze použít modul snap-in Zásady zabezpečení IP poskytnutý v této verzi systému Windows.
Důležité informace | |
Modul snap-in Zásady zabezpečení lze použít k vytvoření zásad IPsec, které mohou být použity pro počítače, kde je spuštěn systém Windows Vista a pozdější verze systému Windows, avšak tento modul snap-in nevyužívá nových bezpečnostních algoritmů a dalších nových funkcí dostupných v systému Windows Vista a pozdějších verzích systému Windows. Pokud chcete vytvořit zásady IPsec pro tyto počítače, použijte modul snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením. Modul snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením neumožňuje vytvoření zásad pro použití ve dřívějších verzích systému Windows. |
Zásady IPsec se skládají z obecného nastavení a pravidel zásad IPsec. Obecné nastavení zásad IPsec se používá bez ohledu na to, která pravidla jsou konfigurována. Tato nastavení vymezují název zásady, její popis pro administrativní účely, nastavení výměny klíčů a metody výměny klíčů. Jedno či více pravidel IPsec vymezuje typy přenosu, které musí IPsec posoudit, způsob zpracování přenosu, způsob ověření druhé strany IPsec a ostatní nastavení.
Poté, co jsou vytvořeny zásady, lze je použít v doméně, lokalitě, OJ a místní úrovni. Současně v počítači může být aktivní pouze jedna zásada. Zásady rozšířené a prováděné pomocí objektů zásad skupiny potlačují místní zásady.
Úkoly modulu IPsec Policy snap-in
Tato kapitola obsahuje některé z nejobvyklejších úkolů, které můžete provádět pomocí modulu snap-in Zásady zabezpečení IP.
Tvorba zásad
Pokud nevytváříte zásady pouze na jednom počítači a jeho partnerském počítači IPsec, budete pravděpodobně muset vytvořit zásady IPsec, které budou vyhovovat vašemu IT prostředí. Proces navrhování, tvorby a nasazování zásad může být složitý, podle velikosti vaší domény, homogenity počítačů v rámci domény a dalších faktorů.
Typický proces vypadá takto:
- Vytvoříte IP filtr, který odpovídá počítačům, podsítím a podmínkám vašeho prostředí.
- Vytvoříte akce filtru podle toho, jak chcete ověřit připojení, aplikovat integritu dat a šifrovat data. Akce filtru může být také Blokovat nebo Povolit, bez ohledu na ostatní kritéria. Akce Blokovat má prioritu před všemi ostatními akcemi.
- Vytvoříte skupinu zásad, které odpovídají filtrování a požadavkům akce filtru (zabezpečení), kterou potřebujete.
- Nejprve nasadíte zásady, které používají akce filtru Povolit a Blokovat, a pak budete sledovat vaše prostředí IPsec, zda tam neexistují problémy, které by mohly vyžadovat úpravu těchto zásad.
- Nasaďte zásady pomocí akce filtru Vyjednat zabezpečení s možností použití odstranění textové komunikace. To vám umožní vyzkoušet operaci IPsec ve vašem prostředí bez narušení komunikace.
- Jakmile provedete potřebná vylepšení zásad, odstraňte akci odstranění textové komunikace, kde to bude třeba. To způsobí, že zásady budou vyžadovat ověření a zabezpečení před vytvořením spojení.
- Sledujte prostředí a zjistěte, které komunikace neprobíhají, což může být naznačeno náhlým nárůstem statistiky Chyb vyjednávání v hlavním režimu.
Jak vytvořit novou zásadu IPsec |
Klikněte pravým tlačítkem na uzel Zásady zabezpečení IP a pak klikněte na možnost Vytvořit zásadu zabezpečení IP.
V Průvodci zásadami zabezpečení IP klikněte na tlačítko Další.
Napište jméno a popis (není povinný) zásady a pak klikněte na tlačítko Další.
Buď zaškrtněte políčko Aktivovat pravidlo výchozí reakce nebo nechte toto políčko nezaškrtnuté, a poté klikněte na tlačítko Další.
Poznámka Výchozí pravidlo odpovídání je možné použít pouze pro zásady, které jsou určeny pro systém Windows XP a Windows Server 2003 a dřívější verze. Pozdější verze systému Windows nemohou využít výchozí pravidlo odpovídání.
Pokud používáte pravidlo výchozí reakce, zvolte metodu ověření a pak klikněte na tlačítko Další.
Další informace o pravidlu výchozí reakce naleznete pod hlavičkou Pravidla IPsec.
Nechte zaškrtnuté políčko Upravit vlastnosti a klikněte na tlačítko Další. K zásadám můžete přidávat pravidla podle potřeby.
Přidávání nebo změna pravidla zásad
Jak přidat pravidlo zásad |
Klikněte pravým tlačítkem na Zásadu IPsec a pak klikněte na možnost Vlastnosti.
Pokud chcete vytvořit pravidlo v dialogu vlastností, odstraňte zaškrtnutí políčka Použít průvodce přidáváním. Chcete-li průvodce použít, nechte toto políčko zaškrtnuté. Klikněte na tlačítko Přidat. Následující pokyny se týkají tvorby pravidla pomocí tohoto dialogu.
V dialogu Vlastnosti nového pravidla na kartěSeznam IP filtrů zvolte příslušný seznam filtrů, nebo klikněte na tlačítko Přidat pro přidání nového seznamu filtrů. Pokud jste již seznam filtrů vytvořili, zobrazí se na seznamu Seznamů IP filtrů. Další informace o tvorbě a používání seznamů filtrů viz možnost Seznamy fitrů.
Poznámka Pro každé pravidlo lze používat jen jeden seznam filtrů.
Na kartě Akce filtru vyberte příslušnou akci filtru, nebo kliknutím na tlačítko Přidat přidejte novou akci filtru. Další informace o tvorbě a použití akcí filtru viz Akce filtru.
Poznámka Pro každé pravidlo lze použít pouze jednu akci filtru.
Na kartě Metody ověření zvolte příslušnou metodu nebo klikněte na tlačítko Přidat pro přidání nové metody. Další informace o tvorbě a používání metod ověření viz Ověření IPsec.
Poznámka Pro každé pravidlo můžete použít několik různých metod. Metody jsou aplikovány v pořadí, v jakém jsou uvedeny na seznamu. Pokud určíte, že se mají používat certifikáty, seřaďte je do seznamu v pořadí, v jakém chcete, aby se použily.
Na kartě Typ spojení zvolte typ spojení, pro který platí dané pravidlo. Další informace o typech spojení viz Typ připojení IPsec
Pokud používáte tunel, určete koncové body na kartě Nastavení tunelu. Standardně se tunel nepoužívá vůbec. Další informace o použití tunelů viz Nastavení tunelu IPsec. Pravidla tunelu nelze zrcadlit.
Jakmile budou všechna nastavení dokončena, klikněte na tlačítko OK.
Jak změnit pravidlo zásad |
Klikněte pravým tlačítkem na Zásadu IPsec a pak klikněte na možnost Vlastnosti.
V dialogu Vlastnosti zásady zvolte pravidlo a pak klikněte na možnost Upravit.
V dialogu Úpravy vlastností pravidla na kartěSeznam filtrů IP zvolte příslušný seznam filtrů nebo klikněte na tlačítko Přidat a přidejte nový seznam filtrů. Další informace o tvorbě a používání seznamů filtrů viz možnost Seznamy fitrů.
Poznámka Pro každé pravidlo lze používat jen jeden seznam filtrů.
Na kartě Akce filtru zvolte příslušnou akci filtru nebo klikněte na tlačítko Přidat pro přidání nového seznamu filtrů. Další informace o tvorbě a použití akcí filtru viz Akce filtru.
Poznámka Pro každé pravidlo lze použít pouze jednu akci filtru.
Na kartě Metody ověření zvolte příslušnou metodu nebo klikněte na možnost Přidat pro přidání nové metody. Další informace o tvorbě a používání metod ověření viz Ověření IPsec.
Poznámka Na jedno pravidlo lze použít několik metod. Metody jsou aplikovány v pořadí, v jakém jsou uvedeny na seznamu.
Na kartě Typ spojení zvolte typ spojení, pro který platí dané pravidlo. Další informace o typech spojení viz Typ připojení IPsec.
Pokud používáte tunel, určete koncové body na kartě Nastavení tunelu. Standardně se tunel nepoužívá vůbec. Další informace o použití tunelů viz Nastavení tunelu IPsec.
Jakmile budou všechna nastavení dokončena, klikněte na tlačítko OK.
Přidělování zásad
Přiřazení zásad tomuto počítači |
Klikněte pravým tlačítkem na zásadu a pak klikněte na možnost Přiřadit.
Poznámky - K jednomu počítači lze naráz přiřadit jen jednu zásadu. Přiřazení jiné zásady automaticky zruší aktuálně přiřazenou zásadu. Skupinové zásady vaší domény by mohly přiřadit tomuto počítači jiné zásady a ignorovat místní zásady.
- Aby byla zásada IPsec počítače pro jiný počítač úspěšná, musíte vytvořit zrcadlené zásady na druhém počítači a přiřadit tuto zásadu tomuto druhému počítači.
- Chcete-li přiřadit tyto zásady více počítačům, použijte Skupinovou zásadu.