Brug disse indstillinger til at angive den måde, som peercomputeren godkendes. Metoden for første godkendelse udføres under IPsec-forhandlingerne (Internet Protocol security) i hovedtilstandsfasen.

Du kan angive flere metoder, der skal bruges til den første godkendelse. Der gøres forsøg på at udføre metoderne i den rækkefølge, du angiver. Den første metode, der lykkes, bruges.

Du kan finde flere oplysninger om godkendelsesmetoderne i denne dialogboks under IPsec-algoritmer og -metoder, der understøttes i Windows. Siden er evt. på engelsk. https://go.microsoft.com/fwlink/?LinkID=129230

Sådan åbnes dialogboksen

  • Når du ændrer standardindstillinger for hele systemet:

    1. Klik på Egenskaber for Windows Firewall under Oversigt i MMC-snap-in'en Windows Firewall med avanceret sikkerhed.

    2. Klik på fanen IPsec-indstillinger, og klik derefter på Tilpas under IPsec-standardindstillinger.

    3. Vælg Avanceret under Godkendelsesmetode, og klik derefter på Tilpas.

    4. Vælg en metode under Første godkendelse, og klik derefter på Rediger eller Tilføj.

  • Når du opretter en ny regel for forbindelsessikkerhed:

    1. Højreklik på Regler for forbindelsessikkerhed i MMC-snap-in'en Windows Firewall med avanceret sikkerhed, og klik derefter på Ny regel.

    2. Vælg en type på siden Regeltype - dog ikke typen Godkendelsesundtagelse.

    3. Vælg Avanceret på siden Godkendelsesmetode, og klik derefter på Tilpas.

    4. Vælg en metode under Første godkendelse, og klik derefter på Rediger eller Tilføj.

  • Når du ændrer en eksisterende regel for forbindelsessikkerhed:

    1. Klik på Regler for forbindelsessikkerhed i MMC-snap-in'en Windows Firewall med avanceret sikkerhed.

    2. Dobbeltklik på den regel for forbindelsessikkerhed, du vil ændre.

    3. Klik på fanen Godkendelse.

    4. Klik på Avanceret under Metode, og klik derefter på Tilpas.

    5. Vælg en metode under Første godkendelse, og klik derefter på Rediger eller Tilføj.

Computer (Kerberos V5)

Du kan bruge denne metode til at godkende peercomputere, der har computerkonti i samme domæne, eller som er medlem af forskellige domæner, der har et tillidsforhold.

Computer (NTLMv2)

NTLMv2 er en alternativ metode til at godkende peercomputere, der har computerkonti i samme domæne, eller som er medlem af forskellige domæner, der har et tillidsforhold.

Computercertifikat fra dette nøglecenter

Brug et offentligt nøglecertifikat i de situationer, som omfatter kommunikation med eksterne forretningspartnere eller computere, der ikke kører godkendelsesprotokollen Kerberos version 5. Dette kræver, at der er konfigureret mindst et rodnøglecenter, der er tillid til, som du kan få adgang til via netværket, og at klientcomputerne har et tilknyttet computercertifikat.

Signaturalgoritme

Angiv den signaturalgoritme, der bruges til at sikre certifikatet kryptografisk.

RSA (standard)

Markér denne indstilling, hvis certifikatet er signeret med RSA-krypteringsalgoritmen med en offentlig nøgle.

ECDSA-P256

Markér denne indstilling, hvis certifikatet er signeret med ECDSA (Elliptic Curve Digital Signature Algorithm) med en nøglestyrke på 256 bit.

ECDSA-P384

Markér denne indstilling, hvis certifikatet er signeret med ECDSA med en nøglestyrke på 384 bit.

Typen af certifikatlager

Angiv certifikattypen ved at identificere det lager, hvor certifikatet findes.

Rodnøglecenter (standard)

Markér denne indstilling, hvis certifikatet blev udstedt af et rodnøglecenter og gemmes i certifikatlageret Rodnøglecentre, der er tillid til på den lokale computer.

Mellemliggende nøglecenter

Markér denne indstilling, hvis certifikatet blev udstedt af et mellemliggende nøglecenter og gemmes i certifikatlageret Mellemliggende nøglecentre på den lokale computer.

Accepter kun tilstandscertifikater

Denne indstilling begrænser brugen af computercertifikater til dem, der er markeret som tilstandscertifikater. Tilstandscertifikater udgives af et nøglecenter for at understøtte NAP-implementering (Network Access Protection). Ved hjælp af NAP kan du definere og gennemtvinge tilstandspolitikker, så de computere, som ikke opfylder netværkspolitikkerne, f.eks. computere uden antivirussoftware eller uden de seneste softwareopdateringer, har mindre sandsynlighed for at få adgang til netværket. Hvis du vil implementere NAP, skal du konfigurere NAP-indstillinger på både server- og klientcomputerne. Administrationsfunktionen for NAP-klienten, en MMC-snap-in (Microsoft Management Console), hjælper dig med at konfigurere NAP-indstillinger på klientcomputerne. Du kan finde flere oplysninger i Hjælp til MMC-snap-in'en NAP. Hvis du vil bruge denne metode, skal du have konfigureret en NAP-server i domænet.

Aktiver certifikattilknytning til konto

Når du aktiverer IPsec-certifikattilknytning til konto, knytter IKE- (Internet Key Exchange) og AuthIP-protokollerne et computercertifikat til en computerkonto i et Active Directory-domæne eller en skov og henter derefter et adgangstoken, som omfatter listen over computersikkerhedsgrupper. Denne proces sikrer, at certifikatet fra en IPsec-peer svarer til en aktiv computerkonto i domænet, og at certifikatet er et certifikat, der skal bruges af computeren.

Certifikattilknytning til konto kan kun bruges til de computerkonti, der findes i den samme skov som den computer, der udfører tilknytningen. Dette giver en langt stærkere godkendelse end blot at acceptere en gyldig certifikatkæde. Du kan f.eks. bruge denne funktion til at begrænse adgangen til de computere, der findes inden for den samme skov. Certifikattilknytning til konto sikrer dog ikke, at en bestemt computer, der er tillid til, får IPsec-adgang.

Certifikattilknytning til konto er især praktisk, hvis certifikaterne kommer fra en infrastruktur for offentlige nøgler, som ikke er integreret med din AD DS-implementering (Active Directory Domain Services), f.eks. hvis forretningspartnere får deres certifikater fra andre udbydere end Microsoft. Du kan konfigurere metoden til IPsec-politikgodkendelse til at knytte certifikater til en domænecomputerkonto for et bestemt rodnøglecenter. Du kan også knytte alle certifikater fra et udstedende nøglecenter til en computerkonto. Dette gør det muligt at bruge IKE-certifikatgodkendelse til at begrænse, hvilke skove der tillader IPsec-adgang i et miljø, hvor der findes mange skove, og som hver udfører automatisk registrering under et enkelt internt rodnøglecenter. Hvis processen med certifikattilknytning til konto ikke fuldføres korrekt, opstår der fejl i godkendelsen, og IPsec-beskyttede forbindelser blokeres.

Forhåndsdelt nøgle (anbefales ikke)

Du kan bruge forhåndsdelte nøgler til godkendelse. Dette er en delt, hemmelig nøgle, som to brugere har aftalt på forhånd. Begge parter skal manuelt konfigurere IPsec til at bruge denne forhåndsdelte nøgle. Under forhandling om sikkerhed krypteres data ved hjælp af den delte nøgle før overførslen, og de dekrypteres med den samme nøgle af modtageren. Hvis modtageren kan dekryptere dataene, betragtes identiteterne at være godkendt.

Advarsel!
  • Brugen af forhåndsdelte nøgler anvendes for at opnå kompatibilitet og leve op til IPsec-standarderne. Du bør kun bruge den forhåndsdelte nøgle til testformål. Hyppig brug af godkendelse vha. en forhåndsdelt nøgle anbefales ikke, da godkendelsesnøglen lagres ubeskyttet i IPsec-politikken.
  • Hvis en forhåndsdelt nøgle bruges til godkendelse i hovedtilstand, kan den anden godkendelse ikke bruges.

Se også

Indholdsfortegnelse