Bruk disse innstillingene for å angi hvordan brukerkontoen på motpartsdatamaskinen godkjennes. Du kan også angi at datamaskinen må ha et helsesertifikat. Den andre godkjenningsmetoden utføres av godkjent IP (AuthIP) i en utvidet modus av hovedmodusfasen av Internet Protocol-sikkerhet (IPsec).

Du kan angi flere metoder å bruke for denne godkjenningen. Metodene blir forsøkt i den rekkefølgen du angir. Den første metoden som lykkes, blir brukt.

Se IPsec-algoritmer og metoder støttet i Windows (kan være på engelsk) (https://go.microsoft.com/fwlink/?linkid=129230) for mer informasjon om tilgjengelige godkjenningsmetoder i denne dialogboksen.

Slik kommer du til denne dialogboksen
  • Når du endrer de systembaserte standardinnstillingene:

    1. I snapin-modulen for Windows-brannmur med avansert sikkerhet MMC klikker du Windows-brannmur med avansert sikkerhet, og deretter klikker du Egenskaper for Windows-brannmur i Oversikt.

    2. Klikk kategorien IPsec-innstillinger, og klikk deretter Tilpass under IPsec-standarder.

    3. Under Godkjenningsmetode velger du Avansert, og klikk deretter Tilpass.

    4. Velg en metode, og klikk deretter Rediger eller Legg til under Andre godkjenning.

  • Når du oppretter en ny sikkerhetsregel for tilkobling:

    1. I navigasjonsruten på siden for snapin-modulen for Windows-brannmur med avansert sikkerhet MMC høyreklikker du Sikkerhetsregler for tilkobling, og velger deretter Ny regel.

    2. På siden Regeltype velger du en type bortsett fra Godkjenningsunntak.

    3. På siden Godkjenningsmetode velger du Avansert , og klikker deretter Tilpass.

    4. Velg en metode, og klikk deretter Rediger eller Legg til under Andre godkjenning.

  • Når du endrer en eksisterende sikkerhetsregel:

    1. I navigasjonsruten på siden for snapin-modulen for Windows-brannmur med avansert sikkerhet MMC klikker du Sikkerhetsregler for tilkobling.

    2. Dobbeltklikk sikkerhetsregelen som du vil endre.

    3. Klikk kategorien Godkjenning.

    4. Under Metode klikker du Avansert, og klikker deretter Tilpass.

    5. Velg en metode, og klikk deretter Rediger eller Legg til under Andre godkjenning.

Bruker (Kerberos V5)

Du kan bruke denne metoden til å godkjenne en bruker som er logget på en ekstern datamaskin som er del av det samme domenet eller i separate domener som har et klareringsforhold. Den påloggede brukeren må ha en domenekonto, og datamaskinen må være koblet til et domene i den samme skogen.

Bruker (NTLMv2)

NTLMv2 er en alternativ måte til å godkjenne en bruker som er logget på en ekstern datamaskin som er del av det samme domenet eller i et domene som har et klareringsforhold til domenet til den lokale datamaskinen. Brukerkontoen og datamaskinen må være koblet til domener som er en del av denne samme skogen.

Brukersertifikat

Bruk et fellesnøkkelsertifikat i situasjoner som inkluderer kommunikasjoner med eksterne forretningspartnere eller datamaskiner som ikke kjører Kerberos V5-godkjenningsprotokollen. Dette krever at minst én klarert rotsertifiseringsinstans er konfigurert eller tilgjengelig på nettverket og at klientdatamaskiner har et tilknyttet datamaskinsertifikat. Denne metoden er nyttig når brukerne ikke er i samme domene eller er i separate domener uten et toveis klareringsforhold, og Kerberos versjon 5 ikke kan brukes.

Signeringsalgoritme

Angi signeringsalgoritmen som brukes kryptografisk til å sikre sertifikatet.

RSA (standard)

Velg dette alternativet hvis sertifikatet er signert ved å bruke den kryptografiske RSA-fellesnøkkelalgoritmen.

ECDSA-P256

Velg dette alternativet hvis sertifikatet er signert ved å bruke ECDSA (Elliptic Curve Digital Signature Algorithm) med 256-biters nøkkelstyrke.

ECDSA-P384

Velg dette alternativet hvis sertifikatet er signert ved å bruke ECDSA med 256-biters nøkkelstyrke.

Type sertifikatlager

Angi type sertifikat ved å identifisere lageret hvor sertifikatet er plassert.

Rotsertifiseringsinstans (standard)

Velg dette alternativet hvis sertifikatet ble utstedt av en rotsertifiseringsinstans og er lagret i rotlageret for klarerte sertifikater på den lokale datamaskinen.

Mellomliggende sertifiseringsinstans

Velg dette alternativet hvis sertifikatet ble utstedt av en mellomliggende sertifiseringsinstans og er lagret i lageret for mellomliggende klarerte sertifikater på den lokale datamaskinen.

Aktiver tilordning av sertifikat til kontoer

Når du aktiverer IPsec-tilordning av sertifikat til konto, knytter (tilordner) Internet Key Exchange (IKE) og AuthIP-protokoller et datamaskinsertifikat til en brukerkonto i et Active Directory-domene eller -skog, og henter deretter et tilgangstoken, som inkluderer listen over sikkerhetsgrupper for brukere. Denne prosessen sikrer at sertifikatet tilbudt av IPsec-motparten tilhører en aktiv brukerkonto i domenet, og at sertifikatet er et sertifikat som skal brukes av denne brukeren.

Tilordning av sertifikat til konto kan bare bli brukt for brukerkontoer som er i den samme skogen som datamaskinen som utfører tilordningen. Dette gir mye sterkere godkjenning enn ved å bare godta hvilken som helst gyldig sertifikatkjede. Du kan for eksempel bruke denne kapasiteten til å begrense tilgang til brukere som er innenfor den samme skogen. Tilordning av sertifikat til konto sikrer imidlertid ikke at en spesifikk klarert bruker tillates IPsec-tilgang.

Tilordning av sertifikat til konto er spesielt nyttig hvis sertifikatene kommer fra en infrastruktur for fellesnøkkel (PKI - Public Key Infrastructure) som ikke er integrert i distribusjonen av Active Directory Domain Services (AD DS), f.eks. hvis forretningspartnere får sitt sertifikat fra leverandører utenfor Microsoft. Du kan konfigurere godkjenningsmetodepolicyen for IPsec til å tilordne sertifikater til en domenebrukerkonto for en spesifikk rotsertifiseringsinstans. Du kan også tilordne alle sertifikatene fra en utstedende sertifiseringsinstans til én brukerkonto. Dette tillater bruk av sertifiseringsgodkjenning til å begrense hvilke skoger tillates IPsec-tilgang i et miljø hvor det finnes mange skoger og hvor hver enkelt utfører automatisk registrering under én enkel intern rotsertifiseringsinstans. Hvis tilordningsprosessen av sertifikat til konto ikke fullføres riktig, mislykkes godkjenning og IPsec-beskyttede tilkoblinger blokkeres.

Helsesertifikat for datamaskin

Bruk dette alternativet til å angi at bare en datamaskin som presenterer et sertifikat fra den angitte sertifiseringsinstansen og som er merket som et NAP-helsesertifikat kan godkjenne ved å bruke denne sikkerhetsregelen for tilkobling. NAP lar deg definere og håndheve helsepolicyer, slik at datamaskiner som ikke overholder nettverkspolicyer, f.eks. datamaskiner uten antivirusprogramvare eller de som ikke har de siste programvareoppdateringene, har mindre sannsynlighet for å få tilgang til nettverket. Når du skal implementere NAP, må du konfigurere NAP-innstillinger på både servere og klientdatamaskiner. Du finner mer informasjon i Hjelp for snapin-modulen for NAP MMC. For å kunne bruke denne metoden må du ha en NAP-server konfigurert i domenet.

Signeringsalgoritme

Angi signeringsalgoritmen som brukes kryptografisk til å sikre sertifikatet.

RSA (standard)

Velg dette alternativet hvis sertifikatet er signert ved å bruke den kryptografiske RSA-fellesnøkkelalgoritmen.

ECDSA-P256

Velg dette alternativet hvis sertifikatet er signert ved å bruke ECDSA (Elliptic Curve Digital Signature Algorithm) med 256-biters nøkkelstyrke.

ECDSA-P384

Velg dette alternativet hvis sertifikatet er signert ved å bruke ECDSA med 384-biters nøkkelstyrke.

Type sertifikatlager

Angi type sertifikat ved å identifisere lageret hvor sertifikatet er plassert.

Rotsertifiseringsinstans (standard)

Velg dette alternativet hvis sertifikatet ble utstedt av en rotsertifiseringsinstans og er lagret i rotlageret for klarerte sertifikater på den lokale datamaskinen.

Mellomliggende sertifiseringsinstans

Velg dette alternativet hvis sertifikatet ble utstedt av en mellomliggende sertifiseringsinstans og er lagret i lageret for mellomliggende klarerte sertifikater på den lokale datamaskinen.

Aktiver tilordning av sertifikat til kontoer

Når du aktiverer IPsec-tilordning av sertifikat til konto, knytter (tilordner) IKE og AuthIP-protokoller et sertifikat til en bruker- eller datamaskinkonto i et Active Directory-domene eller -skog, og henter deretter et tilgangstoken, som inkluderer listen over sikkerhetsgrupper. Denne prosessen sikrer at sertifikatet tilbudt av IPsec-motparten tilhører en aktiv datamaskinkonto i domenet, og at sertifikatet er et sertifikat som skal brukes av denne datamaskinen.

Tilordning av sertifikat til konto kan bare bli brukt for kontoer som er i den samme skogen som datamaskinen som utfører tilordningen. Dette gir mye sterkere godkjenning enn ved å bare godta hvilken som helst gyldig sertifikatkjede. Du kan for eksempel bruke denne kapasiteten til å begrense tilgang til kontoer som er innenfor den samme skogen. Tilordning av sertifikat til konto sikrer imidlertid ikke at en spesifikk klarert konto tillates IPsec-tilgang.

Tilordning av sertifikat til konto er spesielt nyttig hvis sertifikatene kommer fra en PKI som ikke er integrert i distribusjonen av AD DS, f.eks. hvis forretningspartnere får sitt sertifikat fra leverandører utenfor Microsoft. Du kan konfigurere godkjenningsmetodepolicyen for IPsec til å tilordne sertifikater til en domenekonto for en spesifikk rotsertifiseringsinstans. Du kan også tilordne alle sertifikatene fra en utstedende sertifiseringsinstans til én datamaskin eller brukerkonto. Dette tillater bruk av IKE-sertifiseringsgodkjenning til å begrense hvilke skoger tillates IPsec-tilgang i et miljø hvor det finnes mange skoger og hvor hver enkelt utfører automatisk registrering under én enkel intern rotsertifiseringsinstans. Hvis tilordningsprosessen av sertifikat til konto ikke fullføres riktig, mislykkes godkjenning og IPsec-beskyttede tilkoblinger blokkeres.

Flere referanser


Innholdsfortegnelse