השתמש בהגדרות אלה כדי לציין את אופן האימות של מחשב העמית. השיטה לאימות ראשון מבוצעת במהלך השלב של המצב הראשי בפעולות המשא ומתן של אבטחת פרוטוקול אינטרנט (IPsec).

באפשרותך לציין מספר שיטות לשימוש עבור האימות הראשון. הניסיונות להשתמש בשיטות אלה מתבצעים בסדר שבו השיטות מצוינות. נעשה שימוש בשיטה הראשונה שמצליחה.

לקבלת מידע נוסף אודות שיטות האימות הזמינות בתיבת דו-שיח זו, ראה אלגוריתמים ושיטות של IPsec הנתמכים ב- Windows (ייתכן שהדף יוצג באנגלית) ‏(https://go.microsoft.com/fwlink/?linkid=129230).

כדי להגיע לתיבת דו-שיח זו
  • בעת שינוי הגדרות ברירת המחדל ברחבי המערכת:

    1. ביישום ה- Snap-in של MMC, חומת האש של Windows עם רכיבי אבטחה מתקדמים, במבט כולל, לחץ על מאפייני חומת אש של Windows.

    2. לחץ על הכרטיסיה הגדרות IPsec ולאחר מכן, תחת ברירות מחדל של IPsec, לחץ על התאמה אישית.

    3. תחת שיטת אימות, בחר מתקדם ולאחר מכן לחץ על התאמה אישית.

    4. תחת אימות ראשון, בחר שיטה ולאחר מכן לחץ על ערוך או הוסף.

  • בעת יצירת כלל חדש של אבטחת חיבור:

    1. ביישום ה- Snap-in של MMC,‏ חומת האש של Windows עם רכיבי אבטחה מתקדמים, לחץ באמצעות לחצן העכבר הימני על כללי אבטחת חיבור ולאחר מכן לחץ על כלל חדש.

    2. בעמוד סוג כלל, בחר כל סוג מלבד פטור מאימות.

    3. בעמוד שיטת אימות, בחר מתקדם ולאחר מכן לחץ על התאמה אישית.

    4. תחת אימות ראשון, בחר שיטה ולאחר מכן לחץ על ערוך או הוסף.

  • בעת שינוי כלל קיים של אבטחת חיבור:

    1. ביישום ה- Snap-in של MMC,‏ חומת האש של Windows עם רכיבי אבטחה מתקדמים, לחץ על כללי אבטחת חיבור.

    2. לחץ פעמיים על כלל אבטחת החיבור שאותו ברצונך לשנות.

    3. לחץ על הכרטיסיה אימות.

    4. תחת שיטה, לחץ על מתקדם ולאחר מכן לחץ על התאמה אישית.

    5. תחת אימות ראשון, בחר שיטה ולאחר מכן לחץ על ערוך או הוסף.

מחשב (Kerberos V5)

באפשרותך להשתמש בשיטה זו כדי לאמת מחשבי עמית בעלי חשבונות מחשב באותו התחום או בתחומים נפרדים שיש עימם יחסי אמון.

מחשב (NTLMv2)

NTLMv2 הוא דרך חלופית לאימות מחשבי עמית בעלי חשבונות מחשב באותו התחום או בתחומים נפרדים שיש עימם יחסי אמון.

אישור מחשב מרשות אישורים (CA) זו

השתמש באישור מפתח ציבורי במצבים שכוללים תקשורת עם שותפים עסקיים חיצוניים או מחשבים שאינם משתמשים בפרוטוקול האימות Kerberos גירסה 5. הדבר דורש שרשות אישורים עליונה מהימנה אחת לפחות תהיה מוגדרת או נגישה ברשת ושמחשבי לקוח יכללו אישור מחשב משויך.

אלגוריתם חתימה

ציין את אלגוריתם החתימה המשמש לאבטחת הצפנה של האישור.

RSA (ברירת מחדל)

בחר אפשרות זו אם האישור נחתם באמצעות אלגוריתם הצפנה של מפתח ציבורי מסוג RSA.

ECDSA-P256

בחר אפשרות זו אם האישור נחתם באמצעות אלגוריתם Elliptic Curve Digital Signature Algorithm (ECDSA)‎ עם עוצמת מפתח של 256 סיביות.

ECDSA-P384

בחר אפשרות זו אם האישור נחתם באמצעות ECDSA עם עוצמת מפתח של 384 סיביות.

סוג מאגר אישורים

ציין את סוג האישור על-ידי זיהוי המאגר שבו ממוקם האישור.

רשות אישורים עליונה (ברירת מחדל)

בחר אפשרות זו אם האישור הונפק על-ידי רשות אישורים עליונה ומאוחסן במאגר האישורים 'רשויות אישורים עליונות מהימנות' של המחשב המקומי.

רשות אישורים מתווכת

בחר אפשרות זו אם האישור הונפק על-ידי רשות אישורים מתווכת ומאוחסן במאגר האישורים 'רשויות אישורים מתווכות' של המחשב המקומי.

קבל אישורי תקינות בלבד

אפשרות זו מגבילה את השימוש באישורי מחשב לאישורים המסומנים בתור אישורי תקינות. אישורי תקינות מתפרסמים על-ידי רשות אישורים כתמיכה בפריסה של הגנה על גישה לרשת (NAP). NAP מאפשר לך להגדיר ולאכוף מדיניות תקינות כדי להפחית את הסבירות שמחשבים שאינם מצייתים למדיניות הרשת, כגון מחשבים ללא תוכנת אנטי-וירוס או ללא עדכוני האבטחה האחרונים, ייגשו לרשת שלך. כדי להטמיע NAP, עליך לקבוע את תצורת הגדרות NAP הן בשרת והן במחשבי הלקוח. 'ניהול לקוחות NAP', יישום Snap-in מסוג Microsoft Management Console (MMC)‎‏, מסייע לך לקבוע את התצורה של הגדרות NAP במחשבי הלקוח. לקבלת מידע נוסף, עיין בעזרה של יישום ה- Snap-in מסוג NAP של MMC. כדי להשתמש בשיטה זו, דרוש שרת NAP מוגדר בתחום.

אפשר מיפוי של אישור לחשבון

בעת הפיכת מיפוי אישור לחשבון של IPsec לזמין, פרוטוקול חילופי מפתחות באינטרנט (IKE) ופרוטוקול IP מאומת (AuthIP) משייכים (ממפים) אישור מחשב לחשבון מחשב בתחום או ביער של Active Directory, ולאחר מכן מאחזרים אסימון גישה שכולל את רשימת קבוצות האבטחה של המחשב. תהליך זה מבטיח שהאישור שמציע עמית IPsec תואם לחשבון מחשב פעיל בתחום, וכי האישור אמור להיות בשימוש של המחשב.

ניתן להשתמש במיפוי אישור לחשבון רק עבור חשבונות מחשב שנמצאים באותו יער כמו המחשב שמבצע את המיפוי. הדבר מספק אימות חזק בהרבה מקבלת כל שרשרת אישורים חוקית. לדוגמה, באפשרותך להשתמש ביכולת זו כדי להגביל גישה למחשבים שנמצאים באותו היער. עם זאת, מיפוי אישור לחשבון אינו מבטיח שמחשב מהימן ספציפי יקבל גישה ל- IPsec.

מיפוי אישור לחשבון שימושי במיוחד אם האישורים מגיעים מתשתית מפתח ציבורי (PKI) שאינה משולבת בפריסה של Active Directory Domain Services ‏(AD DS), כגון כאשר שותפים עסקיים משיגים אישורים מספקים שאינם של Microsoft. באפשרותך לקבוע את התצורה של שיטת אימות המדיניות של IPsec כדי למפות אישורים לחשבון מחשב של תחום עבור רשות אישורים עליונה ספציפית. ניתן גם למפות את כל האישורים מרשות אישורים מנפיקה לחשבון מחשב אחד. הדבר מאפשר שימוש באימות אישורים של IKE לצורך הגבלת היערות שמקבלים גישה ל- IPsec בסביבה שבה קיימים יערות רבים, וכל אחד מהם מבצע הרשמה אוטומטית תחת רשות אישורים עליונה פנימית אחת. אם תהליך המיפוי של אישור לחשבון לא הושלם כהלכה, האימות ייכשל וחיבורים המוגנים באמצעות IPsec ייחסמו.

מפתח משותף מראש (לא מומלץ)

באפשרותך להשתמש במפתחות משותפים מראש עבור אימות. מפתח זה הוא מפתח סודי משותף, ששני משתמשים הסכימו עליו מראש. על שני הצדדים לקבוע את תצורת IPsec באופן ידני לשימוש במפתח משותף מראש. במהלך משא ומתן אודות אבטחה, מידע מוצפן באמצעות המפתח המשותף לפני השידור ומפוענח באמצעות אותו מפתח בצד המקבל. אם באפשרותו של הנמען לפענח את המידע, הזהויות נחשבות כמאומתות.

שים לב
  • מתודולוגיית מפתחות משותפים מראש מסופקת למטרות פעילות משולבת וכדי לעמוד בתקני IPsec. מומלץ להשתמש במפתח משותף מראש למטרות בדיקה בלבד. לא מומלץ לעשות שימוש סדיר באימות מפתח משותף מראש, מכיוון שמפתח האימות נשמר במצב לא מוגן במדיניות IPsec.
  • אם נעשה שימוש במפתח משותף מראש עבור אימות המצב הראשי, לא ניתן לעשות שימוש באימות שני.

למידע נוסף


תוכן העניינים