Bruk disse innstillingene for å angi hvordan motpartsdatamaskinen godkjennes. Første godkjenningsmetode utføres i Hovedmodus-fasen av IPsec-forhandlinger (IPsec – Internet Protocol Security).

Du kan angi flere metoder å bruke for den første godkjenningen. Metodene blir forsøkt i den rekkefølgen du angir. Den første metoden som lykkes, blir brukt.

Se IPsec-algoritmer og metoder støttet i Windows (kan være på engelsk) (https://go.microsoft.com/fwlink/?linkid=129230) for mer informasjon om tilgjengelige godkjenningsmetoder i denne dialogboksen.

Slik kommer du til denne dialogboksen

  • Når du endrer de systembaserte standardinnstillingene:

    1. I snapin-modulen for Windows-brannmur med avansert sikkerhet MMC, i Oversikt klikker du Egenskaper for Windows-brannmur.

    2. Klikk kategorien IPsec-innstillinger, og klikk deretter Tilpass under IPsec-standarder.

    3. Velg Avansert under Godkjenningsmetode, og klikk deretter Tilpass.

    4. Velg en metode, og klikk deretter Rediger eller Legg til under Første godkjenning.

  • Når du oppretter en ny sikkerhetsregel for tilkobling:

    1. I snapin-modulen for Windows-brannmur med avansert sikkerhet MMC høyreklikker du Sikkerhetsregler for tilkobling, og velger deretter Ny regel.

    2. På siden Regeltype velger du en type bortsett fra Godkjenningsunntak.

    3. På siden Godkjenningsmetode velger du Avansert , og klikker deretter Tilpass.

    4. Under Første godkjenning velger du en metode, og klikker deretter Rediger eller Legg til .

  • Når du endrer en eksisterende sikkerhetsregel for tilkobling:

    1. I snapin-modulen for Windows-brannmur med avansert sikkerhet MMC klikker du Sikkerhetsregler for tilkobling .

    2. Dobbeltklikk sikkerhetsregelen som du vil endre.

    3. Klikk kategorien Godkjenning.

    4. Under Metode klikker du Avansert, og klikker deretter Tilpass.

    5. Under Første godkjenning velger du en metode, og klikker deretter Rediger eller Legg til .

Datamaskin (Kerberos V5)

Du kan bruke denne metoden til å godkjenne motpartsdatamaskiner som har datamaskinkontoer i det samme domenet eller i separate domener som har et klareringsforhold.

Datamaskin (NTLMv2)

NTLMv2 er en alternativ måte til å godkjenne motpartsdatamaskiner som har datamaskinkontoer i det samme domenet eller i separate domener som har et klareringsforhold.

Datamaskinsertifikat fra denne sertifiseringsinstansen (CA)

Bruk et fellesnøkkelsertifikat i situasjoner som inkluderer kommunikasjoner med eksterne forretningspartnere eller datamaskiner som ikke kjører Kerberos V5-godkjenningsprotokollen. Dette krever at minst én klarert rotsertifiseringsinstans er konfigurert eller tilgjengelig på nettverket og at klientdatamaskiner har et tilknyttet datamaskinsertifikat.

Signeringsalgoritme

Angi signeringsalgoritmen som brukes kryptografisk til å sikre sertifikatet.

RSA (standard)

Velg dette alternativet hvis sertifikatet er signert ved å bruke den kryptografiske RSA-fellesnøkkelalgoritmen.

ECDSA-P256

Velg dette alternativet hvis sertifikatet er signert ved å bruke ECDSA (Elliptic Curve Digital Signature Algorithm) med 256-biters nøkkelstyrke.

ECDSA-P384

Velg dette alternativet hvis sertifikatet er signert ved å bruke ECDSA med 384-biters nøkkelstyrke.

Type sertifikatlager

Angi type sertifikat ved å identifisere lageret hvor sertifikatet er plassert.

Rotsertifiseringsinstans (standard)

Velg dette alternativet hvis sertifikatet ble utstedt av en rotsertifiseringsinstans og er lagret i rotlageret for klarerte sertifikater på den lokale datamaskinen.

Mellomliggende sertifiseringsinstans

Velg dette alternativet hvis sertifikatet ble utstedt av en mellomliggende sertifiseringsinstans og er lagret i lageret for mellomliggende klarerte sertifikater på den lokale datamaskinen.

Godta bare helsesertifikater

Dette alternativet begrenser bruken av datamaskinsertifikater til de som er merket som helsesertifikater. Helsesertifikater utstedes av en sertifiseringsinstans som støtte for distribusjon av beskyttelse av nettverkstilgang (NAP – Network Access Protection). NAP lar deg definere og håndheve helsepolicyer, slik at datamaskiner som ikke overholder nettverkspolicyer, f.eks. datamaskiner uten antivirusprogramvare eller de som ikke har de siste programvareoppdateringene, har mindre sannsynlighet for å få tilgang til nettverket. Når du skal implementere NAP, må du konfigurere NAP-innstillinger på både servere og klientdatamaskiner. NAP-klientkonfigurasjon, en snapin-modul for Microsoft Management Console (MMC), hjelper deg med å konfigurere NAP-innstillinger på klientdatamaskinene. Du finner mer informasjon i Hjelp for snapin-modulen for NAP MMC. For å kunne bruke denne metoden må du ha en NAP-server konfigurert i domenet.

Aktiver tilordning av sertifikat til kontoer

Når du aktiverer IPsec-tilordning av sertifikat til konto, knytter (tilordner) Internet Key Exchange (IKE) og Godkjente IP-protokoller (AuthIP) et datamaskinsertifikat til en datakonto i et Active Directory-domene eller -skog, og henter deretter et tilgangstoken, som inkluderer listen av datamaskinens sikkerhetsgrupper. Denne prosessen sikrer at sertifikatet tilbudt av IPsec-maskinen tilhører en aktiv datamaskinkonto i domenet, og at sertifikatet er et sertifikat som skal brukes av denne datamaskinen.

Tilordning av sertifikat til konto kan bare bli brukt for datamaskinkontoer som er i den samme skogen som datamaskinen som utfører tilordningen. Dette gir mye sterkere godkjenning enn ved å bare godta hvilken som helst gyldig sertifikatkjede. Du kan for eksempel bruke denne kapasiteten til å begrense tilgang til datamaskiner som er innenfor den samme skogen. Tilordning av sertifikat til konto sikrer imidlertid ikke at en spesifikk klarert datamaskin tillates IPsec-tilgang.

Tilordning av sertifikat til konto er spesielt nyttig hvis sertifikatene kommer fra en infrastruktur for fellesnøkkel (PKI - Public Key Infrastructure) som ikke er integrert i distribusjonen av Active Directory Domain Services (AD DS), f.eks. hvis forretningspartnere får sitt sertifikat fra leverandører utenfor Microsoft. Du kan konfigurere godkjenningsmetodepolicyen for IPsec til å tilordne sertifikater til en domenedatamaskinkonto for en spesifikk rotsertifiseringsinstans. Du kan også tilordne alle sertifikatene fra en utstedende sertifiseringsinstans til én datakonto. Dette tillater bruk av IKE-sertifiseringsgodkjenning til å begrense hvilke skoger tillates IPsec-tilgang i et miljø hvor det finnes mange skoger og hvor hver enkelt utfører automatisk registrering under én enkel intern rotsertifiseringsinstans. Hvis tilordningsprosessen av sertifikat til konto ikke fullføres riktig, mislykkes godkjenning og IPsec-beskyttede tilkoblinger blokkeres.

Forhåndsdelt nøkkel (anbefales ikke)

Du kan bruke forhåndsdelte nøkler til godkjenning. Dette er en delt, hemmelig nøkkel som to brukere er blitt enige om. Begge parter må manuelt konfigurere IPsec til å bruke denne forhåndsdelte nøkkelen. Under sikkerhetsforhandling blir informasjon kryptert ved å bruke den delte nøkkelen før overføring, og dekryptert med den samme nøkkelen i mottakerenden. Hvis mottakeren kan dekryptere informasjonen, regnes identiteter som godkjent.

Forsiktig!
  • Forhåndsdelt nøkkelmetode gis for å sørge for interoperabilitet og for å følge IPsec-standarder. Den forhåndsdelte nøkkelen bør bare brukes til testing. Regelmessig bruk av forhåndsdelt nøkkelgodkjenning anbefales ikke, fordi godkjenningsnøkkelen blir lagret ubeskyttet i IPsec-policyen.
  • Hvis en forhåndsdelt nøkkel blir brukt til hovedmodus-godkjenning, kan du ikke bruke andre godkjenning.

Se også

Innholdsfortegnelse