כל אחד מהכללים מגדיר רשימה של שיטות אימות. כל אחת משיטות האימות מגדירה את הדרישות עבור הדרך שבה יאומתו הזהויות בפעילויות התקשורת שעליהן חל הכלל המשויך. כל עמית מנסה להשתמש בשיטות לפי הסדר שבו הן מפורטות. על שני המחשבים העמיתים להיות בעלי לפחות שיטת אימות אחת משותפת, אחרת התקשורת תיכשל. יצירת שיטות אימות מרובות מגדילה את הסיכוי למציאת שיטת אימות המשותפת לשני המחשבים.

הערה

הסדר שבו מפורטות השיטות חשוב גם הוא, מכיוון שנעשה ניסיון שימוש בשיטה המשותפת הראשונה בלבד; אם האימות נכשל, לא יתבצעו ניסיונות לשימוש בשיטות האחרות שברשימה, גם אם קיים סיכוי להצלחה בשיטות אלה.

שיטות אימות

בין כל זוג מחשבים, ניתן להשתמש רק בשיטת אימות אחת, ללא תלות במספר השיטות שתצורתן נקבעה. אם הוגדרו מספר כללים משותפים החלים על אותו זוג מחשבים, עליך לקבוע את התצורה של רשימת שיטות האימות באותם כללים כדי לאפשר לזוג המחשבים להשתמש באותה שיטה. לדוגמה, אם כלל המשותף לזוג מחשבים מציין שימוש בשיטת Kerboros בלבד לצורך אימות ומסנן נתוני TCP בלבד וכלל אחר מציין שימוש באישורים בלבד לצורך אימות ומסנן נתוני UDP בלבד, האימות ייכשל. התצורה של שיטות אימות נקבעת בכרטיסיה שיטות אימות בגליונות המאפיינים ערוך מאפייני כלל או הוסף מאפייני כלל.

  • פרוטוקול האימות Kerberos גירסה 5 הוא טכנולוגיית האימות המוגדרת כברירת מחדל. ניתן להשתמש בשיטה זו עבור כל מחשב שפועל בו פרוטוקול האימות Kerberos V5 ושהנו חבר באותם תחומים או בתחומים מהימנים. שיטה זו יעילה לבידוד תחומים באמצעות אבטחת פרוטוקול אינטרנט (IPsec).

  • יש להשתמש באישור מפתח ציבורי במקרים שבהם מתבצעת גישה לאינטרנט, גישה מרחוק למשאבים של ארגון, תקשורת חיצונית בין שותפים עסקיים, או במחשבים שלא פועל בהם פרוטוקול האימות Kerberos V5. במקרה זה דרושה קביעת תצורה של רשות אישורים (CA) מהימנה אחת לפחות. גירסה זו של Windows תומכת באישורי X.509 גירסה 3, לרבות אישורי CA שהופקו על-ידי רשויות אישור מסחריות.

  • ניתן לציין מפתח משותף מראש. מפתח זה הוא מפתח סודי משותף, ששני משתמשים הסכימו עליו מראש. השימוש במפתח מסוג זה פשוט ואינו מחייב את הלקוח להפעיל את פרוטוקול האימות Kerberos V5 או להיות בעל אישור מפתח ציבורי. על שני הצדדים לקבוע את תצורת IPsec באופן ידני לשימוש במפתח משותף מראש. זוהי שיטה פשוטה לאימות מחשבים עצמאיים או כל מחשב שלא משתמש בפרוטוקול האימות Kerberos V5. מפתח משותף מראש משמש להגנה על האימות בלבד; הוא לא משמש עבור שלמות הנתונים או הצפנתם.

חשוב

המפתח המשותף מראש מאוחסן בטקסט רגיל ולא נחשב לשיטה מאובטחת. יש להשתמש במפתחות משותפים מראש לעריכת בדיקות בלבד.

למידע נוסף