Ces paramètres vous permettent de configurer l’authentification requise dans votre environnement. Vous pouvez configurer une authentification avancée sur une base règle par règle ou applicable par défaut pour toutes les règles de sécurité de connexion.

Pour accéder à cette boîte de dialogue

  • Pour accéder à cette boîte de dialogue et configurer les paramètres par défaut de l’ordinateur, procédez comme suit. Ces paramètres s’appliquent à toute règle de sécurité de connexion pour laquelle Par défaut est sélectionné comme méthode d’authentification.

    1. Dans la page du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.

    2. Cliquez sur l’onglet Paramètres IPsec.

    3. Sous Valeurs par défaut IPsec, cliquez sur Personnaliser.

    4. Sous Méthode d’authentification, sélectionnez Avancé, puis cliquez sur Personnaliser.

  • Pour accéder à cette boîte de dialogue lors de la création d’une règle de sécurité de connexion, procédez comme suit. Ces paramètres s’appliquent uniquement à la règle de sécurité de connexion dont vous modifiez les propriétés.

    1. Dans la page du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans le volet de navigation, cliquez avec le bouton droit sur Règles de sécurité de connexion, puis cliquez sur Nouvelle règle.

    2. Sélectionnez une règle quelconque à l’exception de Exemption d’authentification.

    3. Cliquez sur Suivant dans l’Assistant jusqu’à atteindre la page Méthode d’authentification.

    4. Sélectionnez Avancé et cliquez sur Personnaliser.

  • Pour accéder à cette boîte de dialogue et configurer les paramètres d’une règle de sécurité de connexion existante, procédez comme suit. Ces paramètres s’appliquent uniquement à la règle de sécurité de connexion dont vous modifiez les propriétés.

    1. Dans la page du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans le volet de navigation, cliquez sur Règles de sécurité de connexion.

    2. Double-cliquez sur la règle à modifier.

    3. Cliquez sur l’onglet Authentification.

    4. Sous Méthode, sélectionnez Avancé, puis cliquez sur Personnaliser.

Première authentification

La méthode de première authentification intervient pendant la phase de mode principal des négociations IPsec (Internet Protocol security). Pour cette authentification, vous pouvez spécifier la manière par laquelle l’ordinateur homologue est authentifié.

Vous pouvez spécifier plusieurs méthodes à utiliser pour cette authentification. Les méthodes sont testées dans l’ordre que vous spécifiez ; la première méthode opérationnelle est utilisée.

  • Pour ajouter une méthode à la liste, cliquez sur Ajouter.

  • Pour modifier une méthode figurant déjà dans la liste, sélectionnez la méthode, puis cliquez sur Modifier.

  • Pour supprimer une méthode de la liste, sélectionnez la méthode et cliquez sur Supprimer.

  • Pour modifier l’ordre de la liste, sélectionner une méthode, puis cliquez sur la flèche Haut ou Bas.

Pour plus d’informations sur les méthodes de première authentification disponibles, voir Boîte de dialogue : Ajouter ou modifier la première méthode d’authentification.

La première authentification est facultative

Vous pouvez sélectionner cette option de manière que la première authentification soit effectuée avec des informations d’identification anonymes. Cela est pratique lorsque la seconde authentification fournit le principal moyen d’authentification obligatoire et que la première authentification doit être effectuée uniquement lorsque les deux homologues la prennent en charge. Par exemple, si vous souhaitez imposer l’authentification utilisateur Kerberos version 5, qui est uniquement disponible comme seconde authentification, vous pouvez sélectionner La première authentification est facultative, puis sélectionner Utilisateur (Kerberos V5) dans Seconde méthode d’authentification.

Attention

Ne configurez pas la première et la seconde authentification de sorte qu’elles soient toutes deux facultatives, car cela revient à désactiver l’authentification.

Seconde authentification

Pour la seconde authentification, vous pouvez spécifier la manière par laquelle l’utilisateur connecté à l’ordinateur homologue est authentifié. Vous pouvez également spécifier un certificat d’intégrité d’ordinateur délivré par une autorité de certification spécifiée.

Les méthodes sont testées dans l’ordre que vous spécifiez ; la première méthode opérationnelle est utilisée.

Vous pouvez spécifier plusieurs méthodes à utiliser pour cette authentification.

  • Pour ajouter une méthode à la liste, cliquez sur Ajouter.

  • Pour modifier une méthode figurant déjà dans la liste, sélectionnez la méthode, puis cliquez sur Modifier.

  • Pour supprimer une méthode de la liste, sélectionnez la méthode et cliquez sur Supprimer.

  • Pour modifier l’ordre de la liste, sélectionner une méthode, puis cliquez sur la flèche Haut ou Bas.

Remarque
  • Vous devez utiliser toutes les méthodes d’authentification basées sur l’utilisateur ou toutes les méthodes d’authentification basées sur l’ordinateur.
  • Quel que soit sa position dans la liste, vous ne pouvez pas recourir à la seconde authentification si vous utilisez une clé prépartagée pour la méthode de première authentification.

Pour plus d’informations sur les méthodes de seconde authentification disponibles, voir Boîte de dialogue : Ajouter ou modifier la seconde méthode d’authentification.

La seconde authentification est facultative

Vous pouvez sélectionner cette option pour indiquer que la seconde authentification doit être effectuée dans la mesure du possible, mais que la connexion ne doit pas être bloquée en cas d’échec de la seconde authentification. Cela est pratique lorsque la première authentification fournit le principal moyen d’authentification obligatoire et que la seconde authentification est facultative, mais souhaitée, lorsque les deux homologues la prennent en charge. Par exemple, si vous souhaitez imposer l’authentification d’ordinateur Kerberos version 5 et utiliser dans la mesure du possible l’authentification utilisateur Kerberos version 5, vous pouvez sélectionner Ordinateur (Kerberos V5) comme première authentification, puis sélectionner Utilisateur (Kerberos V5) comme seconde authentification, l’option La seconde authentification est facultative étant sélectionnée.

Attention

Ne configurez pas la première et la seconde authentification de sorte qu’elles soient toutes deux facultatives, car cela revient à désactiver l’authentification.

Important
  • Dans une règle de mode de tunnel, si vous sélectionnez La seconde authentification est facultative, la stratégie IPsec résultante est implémentée en tant que IKE uniquement et n’utilise pas AuthIP (Authenticated Internet Protocol). Toute méthode d’authentification spécifiée dans Seconde authentification est ignorée.
  • Dans une règle de mode de transport, les méthodes de seconde authentification sont toujours utilisées comme prévu.

Voir aussi

Table des matières