Kukin sääntö määrittää todentamismenetelmien luettelon. Kukin todentamismenetelmä määrittää vaatimukset, joilla asianomaisen säännön piiriin kuuluvien lähetysten tunnistetiedot varmistetaan. Menetelmiä käytetään vertaiskoneittain siinä järjestyksessä, jossa ne ovat luettelossa. Vertaiskoneilla on oltava vähintään yksi yhteinen todentamismenetelmä, sillä muuten tiedonsiirto epäonnistuu. Useiden todentamismenetelmien luominen lisää mahdollisuutta, että kahdesta tietokoneesta löytyy yhteinen menetelmä.

Huomautus

Menetelmien järjestys on myös tärkeä, sillä vain ensimmäistä yhteistä menetelmää kokeillaan. Jos todennus epäonnistuu, muita luettelon menetelmiä ei käytetä, vaikka ne saattaisivatkin johtaa todennuksen onnistumiseen.

Todentamismenetelmät

Kahden tietokoneen välille voidaan määrittää vain yksi todentamismenetelmä. Tähän ei vaikuta järjestelmään määritettyjen todentamismenetelmien määrä. Jos samaan tietokonepariin sovelletaan useita sääntöjä, sääntöihin on määritettävä todentamismenetelmien luettelo, jotta tietokoneet voivat käyttää samaa menetelmää. Jos esimerkiksi kahden tietokoneen välinen sääntö määrittää todentamismenetelmäksi vain Kerberos-protokollan ja suodattaa vain TCP-tietoja ja jos toinen sääntö määrittää todentamismenetelmäksi varmenteet ja suodattaa vain UDP-tietoja, todennus ei onnistu. Todentamismenetelmät määritetään Säännön ominaisuuksien muokkaaminen- tai Säännön ominaisuuksien lisääminen -ominaisuusikkunan Todentamismenetelmä-välilehdessä.

  • Oletustodentamismenetelmä on Kerberos 5 -suojausprotokolla. Tätä menetelmää voidaan käyttää kaikille tietokoneille, joissa on käytössä Kerberos V5 -todennusprotokolla ja jotka kuuluvat samaan tai luotettuun toimialueeseen. Tästä menetelmästä on hyötyä, kun toimialue eristetään IP-suojauksen (IPsec) avulla.

  • Julkisen avaimen varmennetta on käytettävä seuraavissa tilanteissa: Internet-yhteys, etäyhteys yrityksen resursseihin, tietoliikenneyhteys ulkoiseen liikekumppaniin tai sellaisten tietokoneiden käyttö, joissa ei ole Kerberos V5 -todennusprotokollaa. Tämä edellyttää, että vähintään yksi luotettavan myöntäjän varmenne on määritetty. Tämä Windowsin versio tukee X.509 Version 3 -varmenteita, mukaan lukien kaupallisten varmenteiden myöntäjien varmenteita.

  • Tiedonsiirtoa varten voidaan määrittää esijaettu avain. Kyseessä on jaettu, salainen avain, josta käyttäjät ovat aiemmin sopineet keskenään. Se on helppokäyttöinen eikä edellytä asiakkaalta Kerberos V5 -todennusprotokollan tai julkisen avainvarmenteen käyttämistä. Kummankin osapuolen on määritettävä esijaettu avain manuaalisesti IPseciin. Tämä on helppo menetelmä erillisten tietokoneiden tai sellaisten tietokoneiden todentamiseen, jotka eivät käytä Kerberos V5 -todennusprotokollaa. Esijaettu avain on tarkoitettu vain todennussuojaukseen - sitä ei käytetä tietojen aitouden tarkistukseen eikä salaukseen.

Tärkeää

Esijaettu avain tallennetaan tavallisena tekstinä, eikä sitä pidetä turvallisena menetelmänä. Esijaettuja avaimia tulisi käyttää vain testauksessa.

Katso myös