IPsec er en række åbne standarder til sikring af privat, sikker kommunikation via IP-netværk vha. kryptografiske sikkerhedstjenester. Implementeringen af IPsec i Microsoft Windows er baseret på standarder, der er udviklet af IPsec-arbejdsgruppen i IETF (Internet Engineering Task Force).

IPsec skaber tillid og sikkerhed fra en IP-kildeadresse til en IP-destinationsadresse. De eneste computere, der skal kende til den sikrede datatrafik, er den sendende og den modtagende computer. Computerne i begge ender håndterer sikkerheden i hver sin ende under den antagelse, at det medie, kommunikationen foregår gennem, ikke er sikkert. Computere, der blot videresender data fra kilden til destinationen, behøver kun at understøtte IPsec, hvis der foretages en firewall-pakkefiltrering eller en oversættelse af netværksadresser (NAT – Network Address Translation) mellem de to computere.

Du kan bruge snap-in'en IP-sikkerhedspolitik til at oprette, ændre og tildele IPsec-politikker på computeren og fjerncomputere.

Bemærk!

Denne dokumentation skulle indeholde tilstrækkelige oplysninger til at forstå og anvende snap-in'en IP-sikkerhedspolitik. Oplysninger om udarbejdelse og installation af politikker ligger uden for denne dokumentations område.

Om IPsec-politikker

IPsec-politikker bruges til at konfigurere IPsec-sikkerhedstjenester. Politikkerne sikrer forskellige beskyttelsesniveauer for de fleste trafiktyper i de fleste eksisterende netværk. Du kan konfigurere IPsec-politikker, så de opfylder sikkerhedskravene fra en computer, en organisationsenhed, et domæne, et websted eller en global virksomhed. Du kan bruge snap-in'en IP-sikkerhedspolitikker i denne version af Windows til at definere IPsec-politikker for computere ved hjælp af gruppepolitikobjekter (for domænemedlemmer) eller på den lokale computer eller for fjerncomputere.

Vigtigt!

Snap-in'en IP-sikkerhedspolitik kan bruges til at oprette IPsec-politikker, der kan anvendes på computere, som kører Windows Vista eller en nyere version af Windows, men denne snap-in bruger ikke de nye sikkerhedsalgoritmer og de andre nye funktioner, der findes i Windows Vista og nyere versioner af Windows. Hvis du vil oprette IPsec-politikker til disse computere, skal du bruge snap-in'en Windows Firewall med avanceret sikkerhed. I snap-in'en Windows Firewall med avanceret sikkerhed oprettes der ikke politikker, som kan anvendes på tidligere versioner af Windows.

En IPsec-politik består af generelle IPsec-politikindstillinger og -regler. Der anvendes generelle IPsec-politikindstillinger, uanset hvilke regler der er konfigureret. Disse indstillinger fastslår navnet på politikken, beskrivelsen af politikken til administrative formål, indstillinger for nøgleudveksling og nøgleudvekslingsmetoder. En eller flere IPsec-regler fastslår, hvilke typer trafik IPsec skal undersøge, hvordan trafikken skal behandles, hvordan en IPsec-peer skal godkendes og andre indstillinger.

Når politikkerne er oprettet, kan de anvendes på domæneniveau, stedniveau, organisationsenhedsniveau og lokalt niveau. Der kan kun være én aktiv politik på computeren ad gangen. Politikker, der distribueres og anvendes ved hjælp af gruppepolitikobjekter, tilsidesætter lokale politikker.

Opgaver i snap-in'en IPsec-politik

I dette afsnit beskrives nogle af de mest almindelige opgaver, du kan udføre ved hjælp af snap-in'en IP-sikkerhedspolitikker.

Oprette en politik

Medmindre du kun opretter politikker på én computer og dens IPsec-peer, er det muligvis nødvendigt at oprette et sæt IPsec-politikker, der passer til dit it-miljø. Udformningen, oprettelsen og installationen af politikker kan være en kompleks proces, afhængigt af domænets størrelse, computernes homogenitet i domænet og andre faktorer.

Processen er normalt som følger:

  1. Opret IP-filterlister, der svarer til computerne, undernettene og forholdene i dit miljø.

  2. Opret filterhandlinger, der svarer til, hvordan forbindelser skal godkendes, dataintegritet skal anvendes og data skal krypteres. Filterhandlingen kan også være enten Bloker eller Tillad, uanset andre kriterier. Handlingen Bloker tilsidesætter andre handlinger.

  3. Opret et sæt politikker, der svarer til dine behov i forbindelse med filtrering og filterhandlinger (sikkerhed).

  4. Installer først politikker, der bruger filterhandlingerne Tillad og Bloker, og overvåg derefter dit IPsec-miljø for at finde problemer, der muligvis kræver justering af disse politikker.

  5. Installer politikkerne ved hjælp af filterhandlingen Forhandl sikkerhed med mulighed for at gå tilbage til klartekstkommunikation. Derved kan du teste driften af IPsec i miljøet uden at afbryde kommunikationen.

  6. Så snart du har foretaget de eventuelle nødvendige forbedringer af politikkerne, skal du fjerne muligheden for at gå tilbage til klartekstkommunikation, hvor det er passende. Dette får politikkerne til at kræve godkendelse og sikkerhed, inden der kan oprettes en forbindelse.

  7. Overvåg miljøet for at registrere kommunikation, der ikke finder sted, hvilket kan ses i form af en pludselig stigning i statistikken Forhandlingsfejl i hovedtilstand.

Sådan oprettes en ny IPsec-politik
  1. Højreklik på noden IP-sikkerhedspolitikker, og klik derefter på Opret IP-sikkerhedspolitik.

  2. Klik på Næste i guiden IP-sikkerhedspolitik.

  3. Indtast navnet på og en beskrivelse (valgfri) af politikken, og klik derefter på Næste.

  4. Marker eller fjern markeringen i feltet Aktiver standardsvarreglen, og klik derefter på Næste.

    Bemærk!

    Standardsvarreglen kan kun bruges til politikker, der anvendes i Windows XP og Windows Server 2003 og ældre versioner. Nyere versioner af Windows kan ikke bruge standardsvarreglen.

  5. Hvis du bruger standardsvarreglen, skal du vælge en godkendelsesmetode og derefter klikke på Næste.

    Se IPsec-regler, hvis du vil have flere oplysninger om standardsvarreglen.

  6. Marker feltet Rediger egenskaber, og klik derefter på Næste. Du kan føje regler til politikken efter behov.

Tilføje eller ændre en regel til en politik

Sådan tilføjes en politikregel
  1. Højreklik på IPsec-politikken, og klik derefter på Egenskaber.

  2. Fjern markeringen i feltet Brug guiden Tilføj, hvis du vil oprette reglen i dialogboksen med egenskaber. Marker feltet, hvis du vil bruge guiden. Klik på Tilføj. Følgende instruktioner bruges til at oprette en regel ved hjælp af dialogboksen.

  3. Marker den relevante filterliste i dialogboksen med egenskaber for ny regel under fanen IP-filterliste, eller klik på Tilføj for at tilføje en ny filterliste. Hvis du allerede har oprettet filterlister, vises de på listen IP-filterlister. Se Filterlister, hvis du vil have flere oplysninger om oprettelse og brug af filterlister.

    Bemærk!

    Der kan kun anvendes én filterliste pr. regel.

  4. Marker den relevante filterhandling under fanen Filterhandling, eller klik på Tilføj for at tilføje en ny filterhandling. Se Filterhandlinger, hvis du vil have flere oplysninger om oprettelse og brug af filterhandlinger.

    Bemærk!

    Der kan kun anvendes én filterhandling pr. regel.

  5. Marker den relevante metode under fanen Godkendelsesmetoder, eller klik på Tilføj for at tilføje en ny metode. Se IPsec-godkendelse, hvis du vil have flere oplysninger om oprettelse og brug af godkendelsesmetoder.

    Bemærk!

    Du kan bruge flere metoder pr. regel. Metoderne afprøves i den rækkefølge, de står i på listen. Hvis du angiver, at der skal benyttes certifikater, skal du placere dem på listen i den rækkefølge, de skal bruges i.

  6. Marker den forbindelsestype, som denne regel skal gælde for, under fanen Forbindelsestype. Se IPsec-forbindelsestype, hvis du vil have flere oplysninger om forbindelsestyper.

  7. Hvis du benytter en tunnel, skal du angive slutpunkterne under fanen Tunnelindstilling. Som standard benyttes der ingen tunnel. Se IPsec-tunnelindstillinger, hvis du vil have flere oplysninger om tunneler. Tunnelregler kan ikke spejles.

  8. Klik på OK, når alle indstillingerne er angivet.

Sådan ændres en politikregel
  1. Højreklik på IPsec-politikken, og klik derefter på Egenskaber.

  2. Marker reglen i dialogboksen Egenskaber for politik, og klik derefter på Rediger.

  3. Marker den relevante filterliste i dialogboksen Edit Rule Properties under fanen IP-filterliste, eller klik på Tilføj for at tilføje en ny filterliste. Se Filterlister, hvis du vil have flere oplysninger om oprettelse og brug af filterlister.

    Bemærk!

    Der kan kun anvendes én filterliste pr. regel.

  4. Marker den relevante filterhandling under fanen Filterhandling, eller klik på Tilføj for at tilføje en ny filterliste. Se Filterhandlinger, hvis du vil have flere oplysninger om oprettelse og brug af filterhandlinger.

    Bemærk!

    Der kan kun anvendes én filterhandling pr. regel.

  5. Marker den relevante metode under fanen Godkendelsesmetoder, eller klik på Tilføj for at tilføje en ny metode. Se IPsec-godkendelse, hvis du vil have flere oplysninger om oprettelse og brug af godkendelsesmetoder.

    Bemærk!

    Du kan bruge flere metoder pr. regel. Metoderne afprøves i den rækkefølge, de står i på listen.

  6. Marker den forbindelsestype, som denne regel skal gælde for, under fanen Forbindelsestype. Se IPsec-forbindelsestype, hvis du vil have flere oplysninger om forbindelsestyper.

  7. Hvis du benytter en tunnel, skal du angive slutpunkterne under fanen Tunnelindstilling. Som standard benyttes der ingen tunnel. Se IPsec-tunnelindstillinger, hvis du vil have flere oplysninger om tunneler.

  8. Klik på OK, når alle indstillingerne er angivet.

Tildele en politik

Sådan tildeles en politik til denne computer
  • Højreklik på politikken, og klik derefter på Tildel.

    Bemærk!
    • Der kan kun tildeles én politik til en computer ad gangen. Hvis du tildeler en anden politik, annulleres tildelingen af den allerede tildelte politik automatisk. Gruppepolitik på domænet kan tildele en anden politik til denne computer og ignorere den lokale politik.
    • Hvis en computer-til-computer-IPsec-politik skal lykkes, skal du oprette en spejlet politik på den anden computer og tildele politikken til den pågældende computer.
    • Brug Gruppepolitik, hvis du vil tildele denne politik til mange computere.

Se også