Χρησιμοποιήστε αυτές τις ρυθμίσεις για να καθορίσετε τον τρόπο με τον οποίο γίνεται ο έλεγχος της ταυτότητας του λογαριασμού χρήστη στον ομότιμο υπολογιστή. Μπορείτε ακόμη να καθορίσετε ότι ο υπολογιστής πρέπει να διαθέτει πιστοποιητικό εύρυθμης λειτουργίας. Η μέθοδος δεύτερου ελέγχου ταυτότητας εκτελείται από Έλεγχο ταυτότητας IP σε εκτεταμένη κατάσταση λειτουργίας της φάσης κύριας κατάστασης λειτουργίας των διαπραγματεύσεων ασφάλειας πρωτοκόλλου Internet (IPsec).

Μπορείτε να καθορίσετε διάφορες μεθόδους χρήσης αυτού του ελέγχου ταυτότητας. Οι μέθοδοι επιχειρούνται με τη σειρά που ορίζεται. Χρησιμοποιείται η πρώτη επιτυχής μέθοδος.

Για περισσότερες πληροφορίες σχετικά με τις μεθόδους ελέγχου ταυτότητας που είναι διαθέσιμες σε αυτό το παράθυρο ελέγχου, ανατρέξτε στο θέμα Αλγόριθμοι IPsec και μέθοδοι που υποστηρίζονται στα Windows (https://go.microsoft.com/fwlink/?linkid=129230).

Για να μεταβείτε σε αυτό το παράθυρο διαλόγου
  • Όταν τροποποιείτε τις προεπιλεγμένες ρυθμίσεις που ισχύουν για όλο το σύστημα:

    1. Στο συμπληρωματικό πρόγραμμα MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στο παράθυρο πλοήγησης, επιλέξτε Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας και στη συνέχεια, στην επιλογή Επισκόπηση, κάντε κλικ στο στοιχείο Ιδιότητες τείχους προστασίας Windows.

    2. Κάντε κλικ στην καρτέλα Ρυθμίσεις IPsec και, στη συνέχεια, στην επιλογή Προεπιλογές IPsec, κάντε κλικ στο στοιχείο Προσαρμογή.

    3. Στο στοιχείο Μέθοδος ελέγχου ταυτότητας, επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

    4. Στο στοιχείο Δεύτερος έλεγχος ταυτότητας, επιλέξτε μια μέθοδο και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία ή Προσθήκη.

  • Όταν δημιουργείτε έναν νέο κανόνα ασφάλειας σύνδεσης:

    1. Στο συμπληρωματικό πρόγραμμα MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στο παράθυρο πλοήγησης, κάντε δεξί κλικ στην επιλογή Κανόνες ασφάλειας σύνδεσης και στη συνέχεια κάντε κλικ στην επιλογή Νέος κανόνας.

    2. Στη σελίδα Τύπος κανόνα, κάντε κλικ στην επιλογή Εξαίρεση ελέγχου ταυτότητας.

    3. Στη σελίδα Μέθοδος ελέγχου ταυτότητας, επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

    4. Στο στοιχείο Δεύτερος έλεγχος ταυτότητας, επιλέξτε μια μέθοδο και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία ή Προσθήκη.

  • Όταν τροποποιείτε έναν υπάρχοντα κανόνα ασφάλειας:

    1. Στο συμπληρωματικό πρόγραμμ MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στο παράθυρο πλοήγησης, κάντε κλικ στην επιλογή Κανόνες ασφάλειας σύνδεσης.

    2. Κάντε διπλό κλικ στον κανόνα ασφάλειας σύνδεσης που θέλετε να τροποποιήσετε.

    3. Κάντε κλικ στην καρτέλα Έλεγχος ταυτότητας.

    4. Στο στοιχείο Μέθοδος, επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.

    5. Στο στοιχείο Δεύτερος έλεγχος ταυτότητας, επιλέξτε μια μέθοδο και στη συνέχεια κάντε κλικ στην επιλογή Επεξεργασία ή Προσθήκη.

Χρήστης (Kerberos V5)

Μπορείτε να χρησιμοποιήσετε αυτή τη μέθοδο για έλεγχο ταυτότητας ενός χρήστη συνδεδεμένου με έναν απομακρυσμένο υπολογιστή, ο οποίος ανήκει στον ίδιο τομέα ή σε διαφορετικούς τομείς με σχέση αξιοπιστίας μεταξύ τους. Ο συνδεδεμένος χρήστης πρέπει να διαθέτει λογαριασμό τομέα και ο υπολογιστής πρέπει να συμμετέχει σε έναν τομέα στο ίδιο δάσος.

Χρήστης (NTLMv2)

Το NTLMv2 είναι ένας εναλλακτικός τρόπος για έλεγχο ταυτότητας ενός χρήστη συνδεδεμένου με έναν απομακρυσμένο υπολογιστή, ο οποίος ανήκει στον ίδιο τομέα ή σε έναν τομέα με σχέση με τον τομέα του τοπικού υπολογιστή. Ο λογαριασμός χρήστη και ο υπολογιστής πρέπει να συμμετέχει σε τομείς που ανήκουν στο ίδιο δάσος.

Πιστοποιητικό χρήστη

Χρησιμοποιήστε ένα πιστοποιητικό δημόσιου κλειδιού σε περιπτώσεις που αφορούν επικοινωνία με εξωτερικούς συνεργάτες ή υπολογιστές που δεν εκτελούν το πρωτόκολλο ελέγχου ταυτότητας Kerberos V5. Αυτό απαιτεί τη ρύθμιση τουλάχιστον μίας αξιόπιστης αρχής έκδοσης (CA) πιστοποιητικών ρίζας ή η αρχή αυτή να είναι προσβάσιμη μέσω του δικτύου και οι υπολογιστές-πελάτες να έχουν ένα σχετικό πιστοποιητικό υπολογιστή. Αυτή η μέθοδος είναι χρήσιμη, όταν οι χρήστες δεν βρίσκονται στον ίδιο τομέα ή βρίσκονται σε διαφορετικούς τομείς χωρίς αμφίδρομη σχέση αξιοπιστίας και δεν μπορεί να χρησιμοποιηθεί το Kerberos έκδοσης 5.

Αλγόριθμος υπογραφής

Καθορίστε τον αλγόριθμο υπογραφής που θα χρησιμοποιηθεί για να ασφαλιστεί κρυπτογραφικά το πιστοποιητικό.

RSA (προεπιλογή)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης δημόσιου κλειδιού RSA.

ECDSA-P256

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας αλγόριθμο ψηφιακής υπογραφής ελλειπτικής καμπύλης (ECDSA) με ισχύ κλειδιού 256 bit.

ECDSA-P384

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας ECDSA με ισχύ κλειδιού 256 bit.

Τύπος χώρου αποθήκευσης πιστοποιητικών

Καθορίστε τον τύπο του πιστοποιητικού προσδιορίζοντας τον αποθηκευτικό χώρο στον οποίο βρίσκεται το πιστοποιητικό.

Αρχή έκδοσης πιστοποιητικών ρίζας (προεπιλογή)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό εκδόθηκε από μια αρχή έκδοσης πιστοποιητικών ρίζας (CA) και έχει αποθηκευτεί στον χώρο αποθήκευσης πιστοποιητικών Αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας του υπολογιστή.

Ενδιάμεση αρχή έκδοσης πιστοποιητικών (CA)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό εκδόθηκε από μια ενδιάμεση αρχή έκδοσης πιστοποιητικών (CA) και είναι αποθηκευμένο στον χώρο αποθήκευσης πιστοποιητικών ενδιάμεσων αρχών έκδοσης πιστοποιητικών ρίζας του τοπικού υπολογιστή.

Ενεργοποίηση πιστοποιητικού για αντιστοίχιση λογαριασμού

Όταν ενεργοποιείτε την αντιστοίχιση πιστοποιητικού σε λογαριασμό IPsec, τα πρωτόκολλα ανταλλαγής κλειδιού Internet (IKE) και AuthIP σχετίζουν (αντιστοιχούν) ένα πιστοποιητικό χρήστη σε έναν λογαριασμό χρήστη σε έναν τομέα ή δάσος υπηρεσίας καταλόγου Active Directory και στη συνέχεια ανακτούν ένα διακριτικό πρόσβασης το οποίο περιλαμβάνει τη λίστα των ομάδων ασφάλειας χρηστών. Αυτή η διαδικασία διασφαλίζει ότι το πιστοποιητικό που παρέχεται από τον ομότιμο υπολογιστή IPsec αντιστοιχεί σε έναν ενεργό λογαριασμό χρήστη στον τομέα και ότι το πιστοποιητικό είναι κατάλληλο να χρησιμοποιείται από τον χρήστη.

Η αντιστοίχιση πιστοποιητικού σε λογαριασμό μπορεί να χρησιμοποιηθεί μόνο για λογαριασμούς χρηστών που είναι στο ίδιο δάσος με τον υπολογιστή που πραγματοποιεί την αντιστοίχιση. Με τη διαδικασία αυτή, ο έλεγχος ταυτότητας είναι αυστηρότερος από ότι μια απλή αποδοχή κάθε έγκυρης αλυσίδας πιστοποιητικών. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε αυτήν τη δυνατότητα για να περιορίσετε την πρόσβαση χρηστών που ανήκουν στο ίδιο δάσος. Ωστόσο, η αντιστοίχιση πιστοποιητικού σε λογαριασμό δεν εξασφαλίζει ότι επιτρέπεται πρόσβαση IPsec σε έναν συγκεκριμένο αξιόπιστο χρήστη.

Η αντιστοίχιση πιστοποιητικού σε λογαριασμό είναι ιδιαίτερα χρήσιμη αν το πιστοποιητικό προέρχεται από υποδομή δημόσιου κλειδιού PKI η οποία δεν είναι ενσωματωμένη στην ανάπτυξη υπηρεσιών τομέα υπηρεσίας καταλόγου Active Directory AD DS όπως στην περίπτωση όπου οι συνεργάτες αποκτούν τα πιστοποιητικά τους από παρόχους εκτός της Microsoft. Μπορείτε να ρυθμίσετε τη μέθοδο ελέγχου ταυτότητας πολιτικής IPsec για να αντιστοιχείτε πιστοποιητικά σε έναν λογαριασμό χρήστη τομέα για μια συγκεκριμένη αρχή έκδοσης πιστοποιητικών ρίζας. Μπορείτε επίσης να αντιστοιχίσετε όλα τα πιστοποιητικά από μια αρχή έκδοσης σε έναν λογαριασμό χρήστη. Η διαδικασία αυτή επιτρέπει τη χρήση του ελέγχου ταυτότητας πιστοποιητικού IKE για περιορισμό των δασών στα οποία επιτρέπεται πρόσβαση IPsec σε ένα περιβάλλον όπου υπάρχουν πολλά δάση και κάθε ένα πραγματοποιεί αυτόματη εγγραφή σε μια ενιαία εσωτερική αρχή έκδοσης πιστοποιητικών ρίζας CA. Αν η διαδικασία αντιστοίχισης πιστοποιητικού σε λογαριασμό δεν ολοκληρωθεί σωστά, ο έλεγχος ταυτότητας θα αποτύχει και οι συνδέσεις που προστατεύονται από IPsec θα αποκλειστούν.

Πιστοποιητικό εύρυθμης λειτουργίας υπολογιστή

Χρησιμοποιήστε αυτήν την επιλογή για να καθορίσετε ότι μόνο σε έναν υπολογιστή που παρουσιάζει ένα πιστοποιητικό από μια συγκεκριμένη αρχή έκδοσης πιστοποιητικών και φέρει την ένδειξη πιστοποιητικού εύρυθμης λειτουργίας "Προστασία δικτυακής πρόσβασης (NAP)" μπορεί να γίνει έλεγχος ταυτότητας χρησιμοποιώντας τον συγκεκριμένο κανόνα ασφάλειας σύνδεσης. Η προστασία πρόσβασης στο δίκτυο (NAP) σας δίνει τη δυνατότητα να καθορίσετε και να ενισχύσετε τις πολιτικές εύρυθμης λειτουργίας έτσι ώστε οι υπολογιστές που δεν συμμορφώνονται με τις πολιτικές του δικτύου, όπως είναι οι υπολογιστές χωρίς λογισμικό προστασίας από ιούς ή αυτοί που δεν έχουν τις τελευταίες ενημερωμένες εκδόσεις του λογισμικού, είναι λιγότερο πιθανό να έχουν πρόσβαση στο δίκτυό σας. Για να υλοποιήσετε τη ΝΑΡ, πρέπει να ρυθμίσετε τις σχετικές παραμέτρους ΝΑΡ τόσο στο διακομιστή όσο και στους υπολογιστές πελάτες. Για περισσότερες πληροφορίες, ανατρέξτε στη βοήθεια του βοηθητικού προγράμματος MMC του NAP. Για να χρησιμοποιήσετε τη μέθοδο πρέπει να έχετε ρυθμίσει έναν διακομιστή ΝΑΡ στον τομέα.

Αλγόριθμος υπογραφής

Καθορίστε τον αλγόριθμο υπογραφής που θα χρησιμοποιηθεί για να ασφαλιστεί κρυπτογραφικά το πιστοποιητικό.

RSA (προεπιλογή)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης δημόσιου κλειδιού RSA.

ECDSA-P256

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας αλγόριθμο ψηφιακής υπογραφής ελλειπτικής καμπύλης (ECDSA) με ισχύ κλειδιού 256 bit.

ECDSA-P384

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό έχει υπογραφεί χρησιμοποιώντας ECDSA με ισχύ κλειδιού 384 bit.

Τύπος χώρου αποθήκευσης πιστοποιητικών

Καθορίστε τον τύπο του πιστοποιητικού προσδιορίζοντας τον αποθηκευτικό χώρο στον οποίο βρίσκεται το πιστοποιητικό.

Αρχή έκδοσης πιστοποιητικών ρίζας (προεπιλογή)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό εκδόθηκε από μια αρχή έκδοσης πιστοποιητικών ρίζας (CA) και έχει αποθηκευτεί στον χώρο αποθήκευσης πιστοποιητικών Αξιόπιστων αρχών έκδοσης πιστοποιητικών ρίζας του υπολογιστή.

Ενδιάμεση αρχή έκδοσης πιστοποιητικών (CA)

Χρησιμοποιήστε αυτήν την επιλογή αν το πιστοποιητικό εκδόθηκε από μια ενδιάμεση αρχή έκδοσης πιστοποιητικών (CA) και είναι αποθηκευμένο στον χώρο αποθήκευσης πιστοποιητικών ενδιάμεσων αρχών έκδοσης πιστοποιητικών ρίζας του τοπικού υπολογιστή.

Ενεργοποίηση πιστοποιητικού για αντιστοίχιση λογαριασμού

Όταν ενεργοποιείτε την αντιστοίχιση πιστοποιητικού σε λογαριασμό IPsec, τα πρωτόκολλα IKE και AuthIP σχετίζουν (αντιστοιχούν) ένα πιστοποιητικό σε έναν χρήστη ή σε έναν λογαριασμό υπολογιστή, σε έναν τομέα ή δάσος υπηρεσίας καταλόγου Active Directory και στη συνέχεια ανακτούν ένα διακριτικό πρόσβασης το οποίο περιλαμβάνει τη λίστα των ομάδων ασφάλειας. Αυτή η διαδικασία διασφαλίζει ότι το πιστοποιητικό που παρέχεται από τον ομότιμο υπολογιστή IPsec αντιστοιχεί σε έναν ενεργό λογαριασμό χρήστη ή υπολογιστή στον τομέα και ότι το πιστοποιητικό είναι κατάλληλο να χρησιμοποιείται από τον λογαριασμό.

Η αντιστοίχιση πιστοποιητικού σε λογαριασμό μπορεί να χρησιμοποιηθεί μόνο για λογαριασμούς που είναι στο ίδιο δάσος με τον υπολογιστή που πραγματοποιεί την αντιστοίχιση. Με τη διαδικασία αυτή, ο έλεγχος ταυτότητας είναι αυστηρότερος από ότι μια απλή αποδοχή κάθε έγκυρης αλυσίδας πιστοποιητικών. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε αυτήν τη δυνατότητα για να περιορίσετε την πρόσβαση σε λογαριασμούς που ανήκουν στο ίδιο δάσος. Ωστόσο, η αντιστοίχιση πιστοποιητικού σε λογαριασμό δεν εξασφαλίζει ότι επιτρέπεται πρόσβαση IPsec σε έναν συγκεκριμένο αξιόπιστο λογαριασμό.

Η αντιστοίχιση πιστοποιητικού σε λογαριασμό είναι ιδιαίτερα χρήσιμη αν τα πιστοποιητικά προέρχονται από μια υποδομή δημόσιου κλειδιού (ΡΚΙ) η οποία δεν ενσωματώνεται στην ανάπτυξη των Υπηρεσιών Τομέα Active Directory (AD DS), όπως αν οι συνεργάτες αποκτούν τα πιστοποιήτικά τους από παρόχους εκτός της Microsoft. Μπορείτε να ρυθμίσετε τη μέθοδο ελέγχου ταυτότητας πολιτικής IPsec για να αντιστοιχείτε πιστοποιητικά σε έναν λογαριασμό τομέα για μια συγκεκριμένη αρχή έκδοσης πιστοποιητικών ρίζας. Μπορείτε επίσης να αντιστοιχίσετε όλα τα πιστοποιητικά από μια αρχή έκδοσης σε έναν υπολογιστή ή λογαριασμό χρήστη. Η διαδικασία αυτή επιτρέπει τη χρήση του ελέγχου ταυτότητας πιστοποιητικού IKE για περιορισμό των δασών στα οποία επιτρέπεται πρόσβαση IPsec σε ένα περιβάλλον όπου υπάρχουν πολλά δάση και κάθε ένα πραγματοποιεί αυτόματη εγγραφή σε μια ενιαία εσωτερική αρχή έκδοσης πιστοποιητικών ρίζας CA. Αν η διαδικασία αντιστοίχισης πιστοποιητικού σε λογαριασμό δεν ολοκληρωθεί σωστά, ο έλεγχος ταυτότητας θα αποτύχει και οι συνδέσεις που προστατεύονται από IPsec θα αποκλειστούν.

Πρόσθετες αναφορές


Πίνακας περιεχομένων