Mit dieser Einstellung können Sie den Typ der Authentifizierung konfigurieren, die von dieser Verbindungssicherheitsregel verwendet wird.
Hinweis | |
Nicht alle Authentifizierungsmethoden, die hier aufgelistet sind, sind für alle Arten von Verbindungssicherheitsregeln verfügbar. Die für den Regeltyp verfügbaren Authentifizierungsmethoden werden auf der Seite Authentifizierungsmethode des Assistenten für neue Verbindungssicherheitsregel und auf der Registerkarte Authentifizierung der Seite Eigenschaften von Verbindungssicherheitsregel angezeigt. |
Weitere Informationen zu den Authentifizierungsmethoden finden Sie im Thema zu
So öffnen Sie diese Assistentenseite |
Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.
Klicken Sie so lange auf Weiter, bis die Seite Authentifizierungsmethode angezeigt wird.
Standard
Diese Option ist nur verfügbar, wenn Sie als Regeltyp Isolierung oder Benutzerdefiniert angeben.
Aktivieren Sie diese Option aus, um die Authentifizierungsmethode zu verwenden, die momentan im Dialogfeld Eigenschaften von Windows-Firewall mit erweiterter Sicherheit auf der Registerkarte IPsec-Einstellungen unter Authentifizierungsmethode angezeigt wird. Weitere Informationen zum Anpassen der Standardoptionen finden Sie unter IPsec-Einstellungen anpassen (Dialogfeld).
Computer und Benutzer (Kerberos V5)
Diese Option ist nur verfügbar, wenn Sie als Regeltyp Isolierung oder Benutzerdefiniert angeben.
Aktivieren Sie diese Option, um die Computer- und Benutzerauthentifizierung mittels Kerberos, Version 5, zu verwenden. Die Verwendung dieser Option entspricht der Auswahl von Erweitert, dem Hinzufügen von Computer (Kerberos V5) für die erste Authentifizierung und Benutzer (Kerberos V5) für die zweite Authentifizierung und der anschließenden Deaktivierung von Erste Authentifizierung ist optional und Zweite Authentifizierung ist optional.
Computer (Kerberos V5)
Diese Option ist nur verfügbar, wenn Sie als Regeltyp Isolierung oder Benutzerdefiniert angeben.
Aktivieren Sie diese Option, um die Computerauthentifizierung mittels Kerberos, Version 5, zu verwenden. Die Verwendung dieser Option entspricht der Auswahl von Erweitert, dem Hinzufügen von Computer (Kerberos V5) für die erste Authentifizierung und der anschließenden Aktivierung von Zweite Authentifizierung ist optional.
Computerzertifikat
Diese Option ist nur verfügbar, wenn Sie als Regeltyp Server-zu-Server oder Tunnel angeben.
Aktivieren Sie diese Option, um die Computerauthentifizierung mittels Computerzertifikat zu verwenden. Die Verwendung dieser Option entspricht der Auswahl von Erweitert, dem Hinzufügen von Computerzertifikat für die erste Authentifizierung und der anschließenden Aktivierung von Zweite Authentifizierung ist optional.
Signaturalgorithmus
Geben Sie hier den Signaturalgorithmus an, der für den kryptografischen Schutz des Zertifikats verwendet wird.
RSA (Standard)
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des öffentlichen Schlüssels des RSA-Kryptografiealgorithmus signiert wird.
ECDSA-P256
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA (Elliptic Curve Digital Signature Algorithm) mit einer Schlüsselstärke von 256 Bit signiert wird.
ECDSA-P384
Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA mit einer Schlüsselstärke von 384 Bit signiert wird.
Zertifikatspeichertyp
Geben Sie den Typ des Zertifikats an, indem Sie den Speicher angeben, in dem sich das Zertifikat befindet.
Stammzertifizierungsstelle (Standard)
Aktivieren Sie diese Option, wenn das Zertifikat von einer Stammzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen gespeichert ist.
Zwischenzertifizierungsstelle
Aktivieren Sie diese Option, wenn das Zertifikat von einer Zwischenzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für Zwischenzertifizierungsstellen gespeichert ist.
Nur Integritätszertifikate akzeptieren
Durch diese Option wird die Verwendung von Computerzertifikaten auf solche Zertifikate beschränkt, die als Integritätszertifikate markiert sind. Integritätszertifikate werden von einer Zertifizierungsstelle zur Unterstützung einer NAP-Bereitstellung (Network Access Protection, Netzwerkzugriffsschutz) veröffentlicht. Mit dem Netzwerkzugriffsschutz können Sie Integritätsrichtlinien definieren und erzwingen, sodass es weniger wahrscheinlich ist, dass Computer, die Netzwerkanforderungen nicht erfüllen (z. B. Computer ohne Antivirensoftware oder Computer, die nicht über die aktuellsten Softwareupdates verfügen), auf Ihr Netzwerk zugreifen. Um den Netzwerkzugriffsschutz zu implementieren, müssen Sie die NAP-Einstellungen sowohl auf den Server- als auch auf den Clientcomputern konfigurieren. Mit der NAP-Clientverwaltung, einem MMC-Snap-In (Microsoft Management Console), können Sie NAP-Einstellungen auf den Clientcomputern konfigurieren. Weitere Informationen finden Sie in der Hilfe des NAP-MMC-Snap-Ins. Um diese Option verwenden zu können, muss in der Domäne ein NAP-Server eingerichtet sein.
Erweitert
Diese Option ist verfügbar, wenn Sie einen Regeltyp angeben.
Aktivieren Sie diese Option, um verfügbare Authentifizierungsmethoden zu konfigurieren. Anschließend müssen Sie auf Anpassen klicken und eine Liste der Methoden für die erste und die zweite Authentifizierung angeben. Weitere Informationen finden Sie unter Erweiterte Authentifizierungsmethoden anpassen (Dialogfeld), Erste Authentifizierungsmethode hinzufügen/bearbeiten (Dialogfeld) und Zweite Authentifizierungsmethode hinzufügen/bearbeiten (Dialogfeld).
So ändern Sie diese Einstellungen
Nachdem Sie die Verbindungssicherheitsregel erstellt haben, können Sie diese Einstellungen im Dialogfeld Eigenschaften von Verbindungssicherheitsregel ändern. Dieses Dialogfeld wird geöffnet, wenn Sie in Verbindungssicherheitsregeln auf eine Regel doppelklicken. Wählen Sie die Registerkarte Authentifizierung aus, um die von dieser Regel verwendeten Authentifizierungsmethoden zu ändern.