Hver regel har en liste over godkendelsesmetoder. Hver godkendelsesmetode opstiller krav for, hvordan identiteter skal verificeres i kommunikation, hvor den tilknyttede regel anvendes. Metoderne afprøves af hver peer i den rækkefølge, de står i på listen. De to peers skal have mindst én godkendelsesmetode til fælles, ellers mislykkes kommunikationen. Hvis du opretter flere godkendelsesmetoder, forøges chancen for, at der kan findes en fælles metode for de to computere.

Bemærk!

Disse metoders rækkefølge er også vigtig, fordi det kun er den første fælles metode, der afprøves. Hvis den ikke godkendes, afprøves der ikke flere metoder fra listen, selvom disse metoder ville have lykkedes.

Godkendelsesmetoder

Der kan kun benyttes én godkendelsesmetode for et computerpar, uanset hvor mange der er konfigureret. Hvis der er flere regler, som gælder for et bestemt computerpar, skal du konfigurere listen over godkendelsesmetoder for de pågældende regler, så computerne kan bruge samme godkendelsesmetode. Hvis en regel mellem et computerpar f.eks. kun angiver Kerberos til godkendelse og kun filtrerer TCP-data og i en anden regel kun angiver certifikater til godkendelse og kun filtrerer UDP-data, mislykkes godkendelsen. Godkendelsesmetoder konfigureres under fanen Godkendelsesmetoder på egenskabssiden Edit Rule Properties eller Add Rule Properties.

  • Kerberos version 5-sikkerhedsprotokollen bruges som standard til godkendelse. Denne metode kan bruges til alle computere, som kører Kerberos V5-godkendelsesprotokollen, og som er medlem af det samme domæne, eller som findes i domæner, der er tillid til. Denne metode er nyttig i forbindelse med domæneisolation ved hjælp af IPsec (Internet Protocol security).

  • Et offentligt nøglecertifikat bør bruges ved internetadgang, fjernadgang til virksomhedsressourcer, kommunikation med eksterne samarbejdspartnere eller computere, som ikke anvender Kerberos V5-godkendelsesprotokollen. Det kræver, at der er konfigureret mindst ét nøglecenter, der er tillid til. Denne version af Windows understøtter X.509 Version 3-certifikater, herunder certifikater, der er oprettet af kommercielle nøglecentre.

  • Der kan angives en forhåndsdelt nøgle. Dette er en delt, hemmelig nøgle, som to brugere har aftalt på forhånd. Den er let at anvende og kræver ikke, at klienten skal anvende Kerberos V5-godkendelsesprotokollen eller have et offentligt nøglecertifikat. Begge parter skal manuelt konfigurere IPsec til at bruge denne forhåndsdelte nøgle. Ved hjælp af denne metode kan du nemt godkende enkeltstående computere eller computere, som ikke benytter Kerberos V5-godkendelsesprotokollen. En forhåndsdelt nøgle bruges kun til godkendelsesbeskyttelse og ikke til dataintegritet eller -kryptering.

Vigtigt!

Den forhåndsdelte nøgle gemmes i almindelig tekst og anses ikke for at være en sikker metode. Forhåndsdelte nøgler bør kun bruges i forbindelse med testformål.

Se også