Ezekkel a beállításokkal megadhatja a társszámítógép hitelesítésének módját. A fő hitelesítési módszer az IPsec-egyeztetések alapmódú fázisban van végrehajtva.
Több módszer is megadható a fő hitelesítéshez. A módszerekre az Ön által meghatározott sorrendben történik kísérlet. Az első sikeres módszer lesz használatban.
További információt a párbeszédpanelen elérhető hitelesítési módszerekről
 | A párbeszédpanel elérése |
A teljes rendszerre kiterjedő alapértelmezett beállítások módosításakor:
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul lapján, az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.
- Kattintson az IPsec-beállítások fülre, és az IPsec-alapértelmezések területen kattintson a Testreszabás gombra.
- A Hitelesítési módszer területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
- A Fő hitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.
- A Fokozott biztonságú Windows tűzfal MMC beépülő modul lapján, az Áttekintés területen kattintson a Windows tűzfal tulajdonságai elemre.
Új kapcsolatbiztonsági szabály létrehozásakor:
- A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a jobb gombbal a Kapcsolatbiztonsági szabályok elemre, majd kattintson az Új szabály parancsra.
- A Szabály típusa lapon jelölje ki bármelyik típust a Hitelesítési mentesség kivételével.
- A Hitelesítési módszer lapon válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
- A Fő hitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.
- A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a jobb gombbal a Kapcsolatbiztonsági szabályok elemre, majd kattintson az Új szabály parancsra.
Meglévő kapcsolatbiztonsági szabály módosításakor:
- A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a Kapcsolatbiztonsági szabályok lehetőségre.
- Kattintson duplán a módosítani kívánt kapcsolatbiztonsági szabályra.
- Kattintson a Hitelesítés fülre.
- A Módszer területen válassza a Speciális lehetőséget, majd kattintson a Testreszabás gombra.
- A Fő hitelesítés területen válasszon egy módszert, majd kattintson a Szerkesztés vagy a Hozzáadás gombra.
- A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a Kapcsolatbiztonsági szabályok lehetőségre.
Számítógép (Kerberos V5 protokollal)
Ezzel a módszerrel olyan társszámítógépeket hitelesíthet, amelyek ugyanabban a tartományban rendelkeznek számítógépfiókokkal, vagy különböző tartományokban találhatók, de megbízhatósági kapcsolattal rendelkeznek.
Számítógép (NTLMv2)
Az NTLMv2 használata egy másik módja az olyan társszámítógépek hitelesítésének, amelyek ugyanabban a tartományban rendelkeznek számítógépfiókokkal, vagy különböző tartományokban találhatók, de megbízhatósági kapcsolattal rendelkeznek.
A következő hitelesítésszolgáltatótól (CA) származó számítógép-tanúsítvány
Használjon nyilvános kulcsú tanúsítványt azokban a helyzetekben, amelyekben külső üzleti partnerekkel vagy olyan számítógépekkel kell kommunikálnia, amelyek nem használják a Kerberos v5 hitelesítési protokollt. Ehhez az szükséges, hogy legalább egy megbízható legfelső szintű hitelesítésszolgáltató (CA) legyen beállítva vagy elérhető a hálózaton, és hogy az ügyfélszámítógépek rendelkezzenek a kapcsolódó számítógép-tanúsítvánnyal.
Aláíró algoritmus
Meghatározhatja a tanúsítvány titkosításához használt aláíró algoritmust.
RSA (alapértelmezett)
Válassza ezt a beállítást, ha a tanúsítvány az RSA nyilvános kulccsal működő titkosítási algoritmussal van aláírva.
ECDSA-P256
Válassza ezt a beállítást, ha a tanúsítvány a 256 bites kulcserősségű elliptikus görbéjű digitális aláíró algoritmussal (ECDSA) van aláírva.
ECDSA-P384
Válassza ezt a beállítást, ha a tanúsítvány 384 bites kulcserősségű ECDSA használatával van aláírva.
Tanúsítványtároló típusa
A tanúsítványtároló azonosításával határozza meg a tanúsítvány típusát.
Legfelső szintű hitelesítésszolgáltató (alapértelmezett)
Válassza ezt a beállítást, ha a tanúsítványt egy legfelső szintű hitelesítésszolgáltató adta ki, és a helyi számítógépen a megbízható legfelső szintű tanúsítvány tárolójában található.
Közbenső hitelesítésszolgáltató
Válassza ezt a beállítást, ha a tanúsítványt egy közbenső hitelesítésszolgáltató adta ki, és az a helyi számítógép Közbenső szintű hitelesítésszolgáltatók tárolójában található.
Csak állapottanúsítványok elfogadása
Ez a beállítás korlátozza a használható számítógépes tanúsítványok körét azokra, amelyek állapottanúsítványokként vannak megjelölve. Az állapottanúsítványokat a hitelesítésszolgáltatók a Hálózatvédelem (NAP) támogatásával adják ki. A NAP lehetőséget nyújt állapotházirendek definiálására és érvényesítésére annak érdekében, hogy kevesebb eséllyel férhessenek hozzá a hálózathoz a hálózati házirendeknek nem megfelelő számítógépek, például a vírusvédelmi szoftverrel vagy a legújabb szoftverfrissítésekkel nem rendelkező számítógépek. A NAP megvalósításához a NAP-beállításokat a kiszolgáló és ügyfélszámítógépeken egyaránt konfigurálni kell. A NAP-ügyfélkezelő egy Microsoft Management Console (MMC) beépülő modul, amely segíti a NAP-beállítások ügyfélszámítógépeken történő konfigurálását. További információt a NAP MMC beépülő modul súgójában találhat. A módszer használatához egy NAP-kiszolgálóval kell rendelkezni a tartományban.
Tanúsítvány fiókhoz rendelésének engedélyezése
Az IPsec tanúsítvány-fiók társítás engedélyezése esetén az IKE és az AuthIP protokoll számítógéptanúsítványt társít egy Active Directory-tartományban vagy -erdőben található számítógépfiókhoz, majd lekér egy hozzáférési jogkivonatot, amely tartalmazza a számítógép-biztonsági csoportok listáját. Ez a folyamat biztosítja, hogy az IPsec-társ által ajánlott tanúsítvány megfelel a tartományban levő aktív számítógépfióknak, és hogy a tanúsítvány az, amelyet annak a számítógépnek használnia kell.
A tanúsítvány-fiók társítás csak olyan számítógépfiókok esetében használható, amelyek ugyanabban a tartományban találhatók, mint a társítást végrehajtó számítógép. Ez sokkal erősebb hitelesítést biztosít, mint ha egyszerűen elfogadna egy érvényes tanúsítványláncot. Ezzel a funkcióval például korlátozhatja az azonos erdőn belüli számítógépek hozzáférését. A tanúsítvány-fiók társítás azonban nem garantálja, hogy egy adott megbízható számítógép megkapja az IPsec-hozzáférést.
A tanúsítvány-fiók társítás akkor különösen hasznos, ha a tanúsítványok egy olyan nyilvános kulcsokra épülő infrastruktúrából (PKI) származnak, amely nincs integrálva az Active Directory tartományi szolgáltatásokkal (AD DS), például ha az üzleti partnerei nem Microsoft-szolgáltatótól szerzik be a tanúsítványaikat. Az IPsec házirend-hitelesítési módszerét úgy is beállíthatja, hogy egy adott legfelső szintű hitelesítésszolgáltató esetében a tanúsítványokat egy tartományi számítógépfiókhoz társítsa. Arra is lehetősége van, hogy az egy adott kiállító hitelesítésszolgáltatótól származó összes tanúsítványt egy számítógépfiókhoz társítsa. Ez lehetővé teszi az IKE-alapú tanúsítványhitelesítés használatát annak korlátozására, hogy mely erdők számára biztosítható IPsec-hozzáférés egy több erdőt tartalmazó környezetben, ahol mindegyik egyetlen belső legfelső szintű hitelesítésszolgáltatótól igényel automatikusan tanúsítványt. Ha a tanúsítvány-fiók társítás folyamatát nem végzik el megfelelően, a hitelesítés sikertelen lesz, és az IPsec által védett kapcsolatok blokkolva lesznek.
Előmegosztott kulcs (nem ajánlott)
Az előmegosztott kulcsok hitelesítéshez használhatók. Ez olyan megosztott titkos kulcs, amelyben a két felhasználó előzetesen megegyezett. Az előmegosztott kulcs használatához mindkét félnek saját kezűleg kell beállítania az IPsec protokollt. A biztonsági egyeztetések során az információ a megosztott kulcs használatával az adatátvitel előtt titkosításra kerül, és ugyanazzal a megosztott kulccsal lesz visszafejtve a fogadás végén. Ha a fogadó az információt vissza tudja fejteni, az identitások hitelesítettnek tekinthetők.
 | Figyelem! |
|