Minden szabályhoz hitelesítési módszerek tartoznak. Minden egyes hitelesítési módszer meghatározza az identitások olyan adatátvitel során végrehajtott ellenőrzésének követelményeit, amelyre a hozzárendelt szabály vonatkozik. Minden társ a felsorolás sorrendjében próbálja alkalmazni a módszereket. A két félnek legalább egy közös hitelesítési módszerrel kell rendelkeznie, ellenkező esetben a kommunikáció sikertelen lesz. Több hitelesítési módszer létrehozása esetén nagyobb az esélye annak, hogy a két számítógép rendelkezik közös módszerrel.

Megjegyzés

A módszerek sorrendje is fontos, mert a rendszer csak az első közös módszert alkalmazza, ha azzal nem sikerül a hitelesítés, a rendszer nem alkalmaz a listából másik módszert akkor sem, ha ezek a módszerek sikeresek lettek volna.

Hitelesítési módszerek

Két számítógép között egyetlen hitelesítési módszer használható a beállított módszerek számától függetlenül. Ha több szabály vonatkozik ugyanarra a két számítógépre, akkor ezekben a szabályokban úgy kell beállítani a hitelesítési módszerek használni kívánt listáját, hogy a két számítógép ugyanazt a módszert használja. Sikertelen a hitelesítés, ha például az egyik fél számára csak a Kerberos protokoll használatát és a TCP-adatok szűrését határozza meg a szabály, míg a másik fél csak a tanúsítványokkal végzi a hitelesítést, és csak az UDP-adatokat szűri. A hitelesítési módszereket a Szabály tulajdonságainak módosítása vagy a Szabály tulajdonságainak hozzáadása tulajdonságlapon található Hitelesítési módszerek lapon lehet beállítani.

  • A Kerberos V5 verziójú hitelesítési protokoll az alapértelmezett hitelesítő protokoll. Ez a módszer csak olyan Kerberos V5 hitelesítési protokollt futtató számítógépeknél használható, amelyek azonos tartomány vagy valamely megbízható tartomány tagjai. Ez a módszer az IPsec protokollal elkülönített tartományok esetén hasznos.

  • Nyilvános kulccsal működő tanúsítványt a következő esetekben ajánlott használni: internetelérés, vállalati erőforrások távelérése, külső üzleti partnerrel történő kommunikáció, valamint nem Kerberos V5 hitelesítési protokollt futtató számítógépekkel történő kommunikáció. Ehhez szükség van legalább egy megbízható hitelesítésszolgáltató (CA) konfigurálására. A Windows jelen verziója támogatja az X.509 3-as verziójú tanúsítványokat, beleértve a kereskedelmi hitelesítésszolgáltatók által kiállított CA tanúsítványokat.

  • Megadható egy előmegosztott kulcs. Ez olyan megosztott titkosító kulcs, amelyben a két felhasználó előzetesen megegyezett. Használata egyszerű, nem igényli az ügyfélen a Kerberos V5 hitelesítési protokoll futtatását, emellett az ügyfélnek nem kell nyilvános kulcsot használó tanúsítvánnyal rendelkeznie. Az előmegosztott kulcs használatához mindkét félnek saját kezűleg kell beállítania az IP-biztonsági protokollt. Ez egyszerű módszer a különálló számítógépek vagy a Kerberos V5 hitelesítési protokollt nem használó számítógépek hitelesítésére. Az előmegosztott kulcs csak hitelesítési védelmet szolgál, nem a sértetlenség vagy az adattitkosítás biztosítása a célja.

Fontos!

Az előmegosztott kulcs egyszerű szövegként tárolódik és nem mindősül biztonsági módszernek. Az előmegosztott kulcs csak tesztelési célokra használható.

Lásd még