Mit diesen Einstellungen können Sie angeben, wie der Peercomputer authentifiziert wird. Die erste Authentifizierungsmethode wird während der Hauptmodusphase der IPsec-Aushandlung (Internet Protocol Security, Internetprotokollsicherheit) verwendet.

Sie können mehrere Methoden für die erste Authentifizierung angeben. Die Methoden werden in der angegebenen Reihenfolge ausprobiert. Die erste erfolgreiche Methode wird verwendet.

Weitere Informationen zu den in diesem Dialogfeld verfügbaren Authentifizierungsmethoden finden Sie im Thema zu IPsec-Algorithmen und -Methoden, die in Windows unterstützt werden (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=129230).

So öffnen Sie dieses Dialogfeld

  • Beim Ändern der systemweiten Standardeinstellungen:

    1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Übersicht auf Windows-Firewalleigenschaften.

    2. Klicken Sie auf die Registerkarte IPsec-Einstellungen, und klicken Sie dann unter IPsec-Standardeinstellungen auf Anpassen.

    3. Wählen Sie unter Authentifizierungsmethode die Option Erweitert aus, und klicken Sie dann auf Anpassen.

    4. Wählen Sie unter Erste Authentifizierung eine Methode aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.

  • Beim Erstellen einer neuen Verbindungssicherheitsregel:

    1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.

    2. Wählen Sie auf der Seite Regeltyp einen Typ aus (ausgenommen Authentifizierungsausnahme).

    3. Wählen Sie auf der Seite Authentifizierungsmethode die Option Erweitert aus, und klicken Sie dann auf Anpassen.

    4. Wählen Sie unter Erste Authentifizierung eine Methode aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.

  • Beim Ändern einer vorhandenen Verbindungssicherheitsregel:

    1. Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen auf Verbindungssicherheitsregeln.

    2. Doppelklicken Sie auf die Verbindungssicherheitsregel, die Sie ändern möchten.

    3. Klicken Sie auf die Registerkarte Authentifizierung.

    4. Klicken Sie unter Methode auf Erweitert, und klicken Sie dann auf Anpassen.

    5. Wählen Sie unter Erste Authentifizierung eine Methode aus, und klicken Sie dann auf Bearbeiten oder Hinzufügen.

Computer (Kerberos V5)

Sie können diese Methode verwenden, um Peercomputer zu authentifizieren, die über Computerkonten in derselben Domäne oder in getrennten Domänen mit Vertrauensstellung befinden.

Computer (NTLMv2)

NTLMv2 ist ein alternatives Verfahren, um Peercomputer zu authentifizieren, die über Computerkonten in derselben Domäne oder in getrennten Domänen mit Vertrauensstellung befinden.

Computerzertifikat von dieser Zertifizierungsstelle

Verwenden Sie ein auf einem öffentlichen Schlüssel basierendes Zertifikat in Situationen, in denen Verbindungen mit externen Geschäftspartnern oder Computer verwendet werden, auf denen Kerberos, Version 5, nicht ausgeführt wird. Dies setzt voraus, dass mindestens eine vertrauenswürdige Stammzertifizierungsstelle im Netzwerk konfiguriert oder über Ihr Netzwerk zugänglich ist und dass die Clientcomputer über ein entsprechendes Computerzertifikat verfügen.

Signaturalgorithmus

Geben Sie hier den Signaturalgorithmus an, der für den kryptografischen Schutz des Zertifikats verwendet wird.

RSA (Standard)

Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des öffentlichen Schlüssels des RSA-Kryptografiealgorithmus signiert wird.

ECDSA-P256

Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA (Elliptic Curve Digital Signature Algorithm) mit einer Schlüsselstärke von 256 Bit signiert wird.

ECDSA-P384

Aktivieren Sie diese Option, wenn das Zertifikat mithilfe des ECDSA mit einer Schlüsselstärke von 384 Bit signiert wird.

Zertifikatspeichertyp

Geben Sie den Typ des Zertifikats an, indem Sie den Speicher angeben, in dem sich das Zertifikat befindet.

Stammzertifizierungsstelle (Standard)

Aktivieren Sie diese Option, wenn das Zertifikat von einer Stammzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen gespeichert ist.

Zwischenzertifizierungsstelle

Aktivieren Sie diese Option, wenn das Zertifikat von einer Zwischenzertifizierungsstelle ausgestellt wurde und auf dem lokalen Computer im Zertifikatspeicher für Zwischenzertifizierungsstellen gespeichert ist.

Nur Integritätszertifikate akzeptieren

Durch diese Option wird die Verwendung von Computerzertifikaten auf solche Zertifikate beschränkt, die als Integritätszertifikate markiert sind. Integritätszertifikate werden von einer Zertifizierungsstelle zur Unterstützung einer NAP-Bereitstellung (Network Access Protection, Netzwerkzugriffsschutz) veröffentlicht. Mit dem Netzwerkzugriffsschutz können Sie Integritätsrichtlinien definieren und erzwingen, sodass es weniger wahrscheinlich ist, dass Computer, die Netzwerkrichtlinien nicht einhalten (z. B. Computer ohne Antivirensoftware oder Computer, die nicht über die aktuellsten Softwareupdates verfügen), auf Ihr Netzwerk zugreifen. Um den Netzwerkzugriffsschutz umzusetzen, müssen Sie die NAP-Einstellungen sowohl auf den Server- als auch auf den Clientcomputern einrichten. Mit dem MMC-Snap-In NAP-Clientverwaltung können Sie die NAP-Einstellungen auf Ihren Clientcomputern einrichten. Weitere Informationen finden Sie in der Hilfe des NAP-MMC-Snap-Ins. Um diese Methode verwenden zu können, muss ein NAP-Server in der Domäne eingerichtet sein.

Zertifikat für Kontenzuordnung aktivieren

Wenn Sie die Zertifikat-zu-Konto-Zuordnung von IPsec aktivieren, ordnen die Protokolle IKE (Internet Key Exchange, Internetschlüsselaustausch) und AuthIP (Authentifiziertes IP) ein Computerzertifikat zu einem Computerkonto in einer Active Directory-Domäne oder -Gesamtstruktur zu und rufen dann ein Zugriffstoken ab, das die Liste der Computersicherheitsgruppen umfasst. Durch diesen Prozess wird sichergestellt, dass das vom IPsec-Peer angebotene Zertifikat einem aktiven Computerkonto in der Domäne entspricht und dass es sich bei dem Zertifikat um ein Zertifikat handelt, dass von diesem Computer verwendet werden sollte.

Die Zertifikat-zu-Konto-Zuordnung kann nur für Computerkonten verwendet werden, die sich in derselben Gesamtstruktur wie der Computer befinden, der die Zuordnung vornimmt. Dieses Verfahren bietet eine deutlich strengere Authentifizierung als das einfache Akzeptieren einer beliebigen gültigen Zertifikatkette. Sie können diese Funktionalität beispielsweise verwenden, um den Zugriff auf Computer innerhalb derselben Gesamtstruktur zu beschränken. Durch die Zertifikat-zu-Konto-Zuordnung wird jedoch nicht sichergestellt, dass der IPsec-Zugriff für einen bestimmten vertrauenswürdigen Computer zugelassen wird.

Die Zertifikat-zu-Konto-Zuordnung ist insbesondere dann hilfreich, wenn Zertifikate aus einer Public Key-Infrastruktur (PKI) stammen, die nicht auf Ihre AD DS-Bereitstellung (Active Directory Domain Services, Active Directory-Domänendienste) abgestimmt ist (z. B. wenn Geschäftspartner ihre Zertifikate von Microsoft-fremden Anbietern beziehen). Sie können die Authentifizierungsmethode der IPsec-Richtlinie so konfigurieren, dass die Zuordnung von Zertifikaten zu einem Domänencomputerkonto für eine bestimmte Stammzertifizierungsstelle erfolgt. Sie können auch alle Zertifikate von einer ausstellenden Zertifizierungsstelle einem einzigen Computerkonto zuordnen. Hierdurch kann die IKE-Zertifikatauthentifizierung verwendet werden, um den IPsec-Zugriff in einer Umgebung mit vielen Gesamtstrukturen, in der jede Gesamtstruktur die automatische Registrierung unter einer einzelnen internen Stammzertifizierungsstelle vornimmt, auf bestimmte Gesamtstrukturen zu beschränken. Wenn die Zertifikat-zu-Konto-Zuordnung nicht ordnungsgemäß abgeschlossen wird, tritt ein Authentifizierungsfehler auf, und IPsec-geschützte Verbindungen werden blockiert.

Vorinstallierter Schlüssel (nicht empfohlen)

Für die Authentifizierung können Sie vorinstallierte Schlüssel verwenden. Es handelt sich um einen gemeinsam genutzten, geheimen Schlüssel, auf den sich zuvor zwei Benutzer geeinigt haben. Beide Seiten müssen zur Verwendung dieses vorinstallierten Schlüssels IPsec manuell konfigurieren. Während der Sicherheitsaushandlung werden Informationen vor der Übertragung mithilfe des gemeinsam genutzten Schlüssels verschlüsselt, und anschließend werden sie auf der Empfängerseite mit demselben Schlüssel entschlüsselt. Wenn der Empfänger die Informationen entschlüsseln kann, gilt die Identität als authentifiziert.

Vorsicht
  • Die Methode der vorinstallierten Schlüssel wird aus Gründen der Interoperabilität angeboten und um dem IPsec-Standard zu entsprechen. Vorinstallierte Schlüssel sollten nur zu Testzwecken verwendet werden. Die häufige Verwendung vorinstallierter Schlüssel zur Authentifizierung wird nicht empfohlen, weil der Authentifizierungsschlüssel in ungesichertem Zustand in der IPsec-Richtlinie gespeichert wird.
  • Wenn für die Hauptmodusauthentifizierung ein vorinstallierter Schlüssel verwendet wird, kann die zweite Authentifizierung nicht verwendet werden.

Siehe auch

Inhaltsverzeichnis