השתמש בהגדרות אלה כדי לציין את אופן האימות של חשבון המשתמש במחשב העמית. באפשרותך לציין גם שעל המחשב להיות בעל אישור תקינות מחשב. שיטת האימות השניה מבוצעת על-ידי IP מאומת (AuthIP) במצב מורחב של שלב המצב הראשי של המשא ומתן של אבטחת פרוטוקול אינטרנט (IPsec).
באפשרותך לציין מספר שיטות לשימוש עבור אימות זה. הניסיונות להשתמש בשיטות אלה מתבצעים בסדר שבו השיטות מצוינות. נעשה שימוש בשיטה הראשונה שמצליחה.
לקבלת מידע נוסף אודות שיטות האימות הזמינות בתיבת דו-שיח זו, ראה
כדי להגיע לתיבת דו-שיח זו |
בעת שינוי הגדרות ברירת המחדל ברחבי המערכת:
- ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, בחלונית הניווט, לחץ על חומת האש של Windows עם אבטחה מתקדמת ולאחר מכן במבט כולל, לחץ על מאפייני חומת האש של Windows.
- לחץ על הכרטיסיה הגדרות IPsec ולאחר מכן, תחת ברירות מחדל של IPsec, לחץ על התאמה אישית.
- תחת שיטת אימות, בחר מתקדם ולאחר מכן לחץ על התאמה אישית.
- תחת אימות שני, בחר שיטה ולאחר מכן לחץ על ערוך או הוסף.
- ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, בחלונית הניווט, לחץ על חומת האש של Windows עם אבטחה מתקדמת ולאחר מכן במבט כולל, לחץ על מאפייני חומת האש של Windows.
בעת יצירת כלל חדש של אבטחת חיבור:
- ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, בחלונית הניווט, לחץ באמצעות לחצן העכבר הימני על כללי אבטחת חיבור ולאחר מכן לחץ על כלל חדש.
- בעמוד סוג כלל, בחר כל סוג מלבד פטור מאימות.
- בעמוד שיטת אימות, בחר מתקדם ולאחר מכן לחץ על התאמה אישית.
- תחת אימות שני, בחר שיטה ולאחר מכן לחץ על ערוך או הוסף.
- ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, בחלונית הניווט, לחץ באמצעות לחצן העכבר הימני על כללי אבטחת חיבור ולאחר מכן לחץ על כלל חדש.
בעת שינוי כלל אבטחה קיים:
- ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, בחלונית הניווט, לחץ על כללי אבטחת חיבור.
- לחץ פעמיים על כלל אבטחת החיבור שאותו ברצונך לשנות.
- לחץ על הכרטיסיה אימות.
- תחת שיטה, לחץ על מתקדם ולאחר מכן לחץ על התאמה אישית.
- תחת אימות שני, בחר שיטה ולאחר מכן לחץ על ערוך או הוסף.
- ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, בחלונית הניווט, לחץ על כללי אבטחת חיבור.
משתמש (Kerberos V5)
באפשרותך להשתמש בשיטה זו כדי לאמת משתמש שנכנס למערכת במחשב מרוחק שהוא חלק מאותו תחום, או כזה ששייך לתחומים נפרדים אך יש עימו יחסי אמון. המשתמש שנכנס למערכת חייב להיות בעל חשבון תחום והמחשב חייב להיות מצורף לתחום באותו היער.
משתמש (NTLMv2)
NTLMv2 הוא דרך חלופית לאימות משתמש שנכנס למערכת במחשב מרוחק שמהווה חלק מאותו התחום, או שנמצא בתחום בעל יחסי אמון עם התחום של המחשב המקומי. חשבון המשתמש והמחשב חייבים להיות מצורפים לתחומים המהווים חלק מאותו היער.
אישור משתמש
השתמש באישור מפתח ציבורי במצבים שכוללים תקשורת עם שותפים עסקיים חיצוניים או מחשבים שאינם משתמשים בפרוטוקול האימות Kerberos גירסה 5. הדבר דורש שרשות אישורים (CA) עליונה מהימנה אחת לפחות תהיה מוגדרת או נגישה ברשת ושמחשבי לקוח יכללו אישור מחשב משויך. שיטה זו שימושית כאשר המשתמשים לא נמצאים באותו תחום או נמצאים בתחומים שונים ואין ביניהם יחסי אמון דו-כיווניים, ואין אפשרות להשתמש ב- Kerberos גירסה 5.
אלגוריתם חתימה
ציין את אלגוריתם החתימה המשמש לאבטחת הצפנה של האישור.
RSA (ברירת מחדל)
בחר אפשרות זו אם האישור נחתם באמצעות אלגוריתם הצפנה של מפתח ציבורי מסוג RSA.
ECDSA-P256
בחר אפשרות זו אם האישור נחתם באמצעות אלגוריתם Elliptic Curve Digital Signature Algorithm (ECDSA) עם עוצמת מפתח של 256 סיביות.
ECDSA-P384
בחר אפשרות זו אם האישור נחתם באמצעות ECDSA עם עוצמת מפתח של 256 סיביות.
סוג מאגר אישורים
ציין את סוג האישור על-ידי זיהוי המאגר שבו ממוקם האישור.
רשות אישורים עליונה (ברירת מחדל)
בחר אפשרות זו אם האישור הונפק על-ידי רשות אישורים עליונה ומאוחסן במאגר האישורים 'רשויות אישורים עליונות מהימנות' של המחשב המקומי.
רשות אישורים מתווכת
בחר אפשרות זו אם האישור הונפק על-ידי רשות אישורים מתווכת ומאוחסן במאגר האישורים 'רשויות אישורים מתווכות' של המחשב המקומי.
אפשר מיפוי של אישור לחשבון
בעת הפיכת מיפוי אישור לחשבון של IPsec לזמין, פרוטוקול חילופי מפתחות באינטרנט (IKE) ופרוטוקול AuthIP משייכים (ממפים) אישור משתמש לחשבון משתמש בתחום או יער של Active Directory, ולאחר מכן מאחזרים אסימון גישה שכולל את רשימת קבוצות האבטחה של המשתמש. תהליך זה מבטיח שהאישור שמציע עמית IPsec תואם לחשבון משתמש פעיל בתחום, וכי האישור אמור להיות בשימוש של המשתמש.
ניתן להשתמש במיפוי אישור לחשבון רק עבור חשבונות משתמשים שנמצאים באותו יער כמו המחשב שמבצע את המיפוי. הדבר מספק אימות חזק בהרבה מקבלת כל שרשרת אישורים חוקית. לדוגמה, באפשרותך להשתמש ביכולת זו כדי להגביל גישה למשתמשים שנמצאים באותו היער. עם זאת, מיפוי אישור לחשבון אינו מבטיח שמשתמש מהימן ספציפי יקבל גישה ל- IPsec.
מיפוי אישור לחשבון שימושי במיוחד אם האישורים מגיעים מתשתית מפתח ציבורי (PKI) שאינה משולבת בפריסה של Active Directory Domain Services (AD DS), כגון כאשר שותפים עסקיים משיגים אישורים מספקים שאינם של Microsoft. באפשרותך לקבוע את התצורה של שיטת אימות המדיניות של IPsec כדי למפות אישורים לחשבון משתמש תחום עבור רשות אישורים עליונה ספציפית. ניתן גם למפות את כל האישורים מרשות אישורים מנפיקה לחשבון משתמש אחד. הדבר מאפשר שימוש באימות אישורים לצורך הגבלת היערות שמקבלים גישה ל- IPsec בסביבה שבה קיימים יערות רבים, וכל אחד מהם מבצע הרשמה אוטומטית תחת רשות אישורים עליונה פנימית אחת. אם תהליך המיפוי של אישור לחשבון לא הושלם כהלכה, האימות ייכשל וחיבורים המוגנים באמצעות IPsec ייחסמו.
אישור תקינות מחשב
השתמש באפשרות זו כדי לציין שרק מחשב המציג אישור מרשות האישורים שצוינה, ומסומן כאישור תקינות של הגנה על גישה לרשת (NAP), יוכל לבצע אימות באמצעות כלל אבטחת חיבור זה. NAP מאפשר לך להגדיר ולאכוף מדיניות תקינות כדי להפחית את הסבירות שמחשבים שאינם מצייתים למדיניות הרשת, כגון מחשבים ללא תוכנת אנטי-וירוס או ללא עדכוני האבטחה האחרונים, ייגשו לרשת שלך. כדי להטמיע NAP, עליך לקבוע את תצורת הגדרות NAP הן בשרת והן במחשבי הלקוח. לקבלת מידע נוסף, עיין בעזרה של יישום ה- Snap-in מסוג NAP של MMC. כדי להשתמש בשיטה זו, דרוש שרת NAP מוגדר בתחום.
אלגוריתם חתימה
ציין את אלגוריתם החתימה המשמש לאבטחת הצפנה של האישור.
RSA (ברירת מחדל)
בחר אפשרות זו אם האישור נחתם באמצעות אלגוריתם הצפנה של מפתח ציבורי מסוג RSA.
ECDSA-P256
בחר אפשרות זו אם האישור נחתם באמצעות אלגוריתם Elliptic Curve Digital Signature Algorithm (ECDSA) עם עוצמת מפתח של 256 סיביות.
ECDSA-P384
בחר אפשרות זו אם האישור נחתם באמצעות ECDSA עם עוצמת מפתח של 384 סיביות.
סוג מאגר אישורים
ציין את סוג האישור על-ידי זיהוי המאגר שבו ממוקם האישור.
רשות אישורים עליונה (ברירת מחדל)
בחר אפשרות זו אם האישור הונפק על-ידי רשות אישורים עליונה ומאוחסן במאגר האישורים 'רשויות אישורים עליונות מהימנות' של המחשב המקומי.
רשות אישורים מתווכת
בחר אפשרות זו אם האישור הונפק על-ידי רשות אישורים מתווכת ומאוחסן במאגר האישורים 'רשויות אישורים מתווכות' של המחשב המקומי.
אפשר מיפוי של אישור לחשבון
בעת הפיכת מיפוי אישור לחשבון של IPsec לזמין, פרוטוקול IKE ופרוטוקול AuthIP משייכים (ממפים) אישור למשתמש או לחשבון מחשב בתחום או ביער של Active Directory, ולאחר מכן מאחזרים אסימון גישה שכולל את רשימת קבוצות האבטחה. תהליך זה מבטיח שהאישור שמציע עמית IPsec תואם לחשבון משתמש או מחשב פעיל בתחום, וכי האישור אמור להיות בשימוש של החשבון.
ניתן להשתמש במיפוי אישור לחשבון רק עבור חשבונות שנמצאים באותו יער כמו המחשב שמבצע את המיפוי. הדבר מספק אימות חזק בהרבה מקבלת כל שרשרת אישורים חוקית. לדוגמה, באפשרותך להשתמש ביכולת זו כדי להגביל גישה לחשבונות שנמצאים באותו היער. עם זאת, מיפוי אישור לחשבון אינו מבטיח שחשבון מהימן ספציפי יקבל גישה ל- IPsec.
מיפוי אישור לחשבון שימושי במיוחד אם האישורים מגיעים מ- PKI שאינו משולב בפריסת AD DS, כגון כאשר שותפים עסקיים משיגים אישורים מספקים שאינם של Microsoft. באפשרותך לקבוע את התצורה של שיטת אימות המדיניות של IPsec כדי למפות אישורים לחשבון תחום עבור רשות אישורים עליונה ספציפית. ניתן גם למפות את כל האישורים מרשות אישורים מנפיקה לחשבון משתמש או מחשב אחד. הדבר מאפשר שימוש באימות אישורים של IKE לצורך הגבלת היערות שמקבלים גישה ל- IPsec בסביבה שבה קיימים יערות רבים, וכל אחד מהם מבצע הרשמה אוטומטית תחת רשות אישורים עליונה פנימית אחת. אם תהליך המיפוי של אישור לחשבון לא הושלם כהלכה, האימות ייכשל וחיבורים המוגנים באמצעות IPsec ייחסמו.