IPSec er et rammeverk med åpne standarder, som skal sikre privat og sikker kommunikasjon over IP-nettverk, ved hjelp av kryptografiske sikkerhetstjenester. Microsoft-implementeringen av IPSec er basert på standarder utviklet av IPSec-arbeidsgruppen for IETF (Internet Engineering Task Force).
IPSec oppretter klarering og sikkerhet fra en kilde-IP-adresse til en mål-IP-adresse. De eneste datamaskinene som må vite om trafikken som blir sikret, er avsender- og mottakermaskinene. Hver datamaskin håndterer sikkerhet ved sin respektive ende, med den antakelsen av at mediet som kommunikasjonen foregår over, ikke er sikkert. Datamaskiner som bare ruter data fra kilden til målet, trenger ikke å ha støtte for IPSec, hvis ikke filtrering ved hjelp av brannmurer eller nettverksadresseoversetting (NAT) utføres mellom de to datamaskinene.
Du kan bruke snapin-modulen for IP-sikkerhetspolicyer hvis du vil opprette, endre og aktivere IPSec-policyer på denne datamaskinen og eksterne datamaskiner.
 | Obs! |
Hensikten med denne dokumentasjonen er å gi nok informasjon for å forstå og bruke snapin-modulen IP-sikkerhetspolicy. Hvordan man oppretter og distribuerer policyer, vil ikke bli behandlet her. |
Om IPSec-policyer
IPSec-policyer brukes til å konfigurere IPSec-sikkerhetstjenester. Policyene gir variable beskyttelsesnivåer for de fleste trafikktyper, i de fleste eksisterende nettverk. Du kan konfigurere IPSec-policyer til å oppfylle sikkerhetskravene for en datamaskin, en organisasjonsenhet, et domene, et område eller en organisasjon. Du kan bruke snapin-modulen IP-sikkerhetspolicyer som følger med denne versjonen av Windows til å definere IPSec-policyer for datamaskiner gjennom gruppepolicyobjekter (for domenemedlemmer) eller på en lokal datamaskin eller for eksterne datamaskiner.
 | Viktig! |
Snapin-modulen IP-sikkerhetspolicy kan brukes til å opprette IPSec-policyer som kan anvendes på datamaskiner som kjører Windows Vista og nyere utgaver av Windows, men denne snapin-modulen bruker ikke de nye sikkerhetsalgoritmene og andre nye funksjoner som er tilgjengelig i Windows Vista og nyere utgaver. For å opprette IPSec-policyer for disse datamaskinene, bruker du snapin-modulen Windows-brannmur med avansert sikkerhet. Snapin-modulen Windows-brannmur med avansert sikkerhet oppretter ikke policyer som kan anvendes på tidligere versjoner av Windows. |
IPSec-policyer består av generelle IPSec-policyinnstillinger og -regler. De generelle IPSec-policyinnstillingene gjelder uansett hvilke regler som konfigureres. Disse innstillingene bestemmer navnet på policyen, beskrivelsen for administrative hensyn, innstillinger for nøkkelutveksling og nøkkelutvekslingsmetoder. Én eller flere IPSec-regler bestemmer hvilken type trafikk IPSec må undersøke, hvordan trafikken skal behandles, hvordan en IPSec-maskin skal godkjennes og andre innstillinger.
Når policyene er opprettet, kan de brukes på domenet, området, organisasjonsenheten og det lokale nivået. Bare én IPSec-policy kan være aktiv om gangen på en datamaskin. Policyer som distribueres og anvendes ved hjelp av gruppepolicyobjekter, overstyrer lokale policyer.
Oppgaver du kan utføre ved å bruke snapin-modulen for IP-sikkerhetspolicyer
Denne delen omhandler noen av de vanligste oppgavene man kan utføre i snapin-modulen IP-sikkerhetspolicyer.
Opprette en policy
Med mindre du bare oppretter policyer på én datamaskin og den tilhørende IPSec-maskinen, vil du sannsynligvis være nødt til å opprette et sett med IPSec-policyer som er tilpasset IT-miljøet ditt. Det å utforme, opprette og distribuere policyer kan være en kompleks prosess, avhengig av hvor stort domenet ditt er, hvor homogene datamaskinene i domenet er, samt andre faktorer.
Vanligvis vil prosessen se slik ut:
- Opprette IP-filterlister som samsvarer med datamaskinene, delnettene og forholdene i miljøet ditt.
- Opprette filterhandlinger som samsvarer med hvordan du ønsker at tilkoblinger skal godkjennes, dataintegritet anvendes og data krypteres. En filterhandling kan også være enten Blokker eller Tillat, uavhengig av andre kriterier. Handlingen Blokker har prioritet over andre handlinger.
- Opprette et sett med policyer som samsvarer med filtrerings- og filterhandlings (sikkerhet)-kravene du trenger.
- Først distribuerer du policyene som bruker filterhandlingene Tillat og Blokker, og deretter kontrollerer du IPSec-miljøet i tilfelle det oppstår problemer som muligens vil kreve at du justerer disse policyene.
- Distribuer policyene ved å bruke filterhandlingen Forhandle sikkerhet med muligheten til å gå tilbake til kommunikasjon i klartekst. Det gjør det mulig å teste hvordan IPSec fungerer i miljøet ditt, uten å forstyrre kommunikasjon.
- Så snart du har gjort eventuelle nødvendige finjusteringer i policyene, fjerner du handlingen for å gå tilbake til kommunikasjon i klartekst der det måtte passe. Dette vil føre til at policyene vil kreve godkjenning og sikkerhet før en tilkobling kan opprettes.
- Kontroller miljøet i tilfelle kommunikasjoner uteblir, noe som kan indikeres ved en plutselig økning i statistikken for forhandlingsfeil for hovedmodus.
 | Slik oppretter du en ny IPSec-policy: |
Høyreklikk noden IP-sikkerhetspolicyer, og velg deretter Opprett IP-sikkerhetspolicy.
Velg Neste i veiviseren for IP-sikkerhetspolicy.
Skriv inn et navn og en beskrivelse (valgfritt) på policyen, og klikk deretter Neste.
Du kan velge om du vil merke av avmerkingsboksen Aktiver standardsvarregel eller la den være umerket. Klikk deretter Neste.
Obs! Standardsvarregelen kan bare brukes på policyer som anvendes på Windows XP, Windows Server 2003 og tidligere versjoner. Nyere versjoner av Windows kan ikke bruke standardsvarregelen.
Hvis du bruker standardsvarregelen, velger du en godkjenningsmetode, og deretter klikker du Neste.
Mer informasjon om standardsvarregelen finner du her: IPSec-regler.
La Rediger egenskaper være merket av, og klikk deretter Neste. Du kan legge til regler til policyen etter behov.
Legge til eller endre en policyregel
| Slik legger du til en policyregel: |
Høyreklikk IPSec-policyen, og klikk deretter Egenskaper.
Hvis du vil opprette regelen i dialogboksen Egenskaper, fjerner du avmerkingen for Bruk veiviser for å legge til. Hvis du vil bruke veiviseren, lar du avmerkingsboksen være merket av. Klikk Legg til. Under følger instruksjoner om hvordan du oppretter en regel ved å bruke dialogboksen.
I dialogboksen Egenskaper for ny regel velger du en filterliste i kategorien IP-filterliste eller klikker Legg til for å legge til en ny filterliste. Hvis du allerede har opprettet filterlister, vil de vises i IP-filterlisten. Mer informasjon om hvordan du oppretter og bruker filterlister, finner du her: Filterlister.
Obs! Bare én filterliste kan brukes per regel.
I kategorien Filterhandling velger du en filterhandling eller klikker Legg til for å legge til en ny filterhandling. Mer informasjon om hvordan du oppretter og bruker filterhandlinger, finner du her: Filterhandlinger.
Obs! Bare én filterhandling kan brukes per regel.
I kategorien Godkjenningsmetoder velger du en metode eller klikker Legg til for å legge til en ny metode. Mer informasjon om hvordan du oppretter og bruker godkjenningsmetoder, finner du her: IPSec-godkjenning.
Obs! Du kan bruke flere metoder per regel. Metodene forsøkes i den rekkefølgen de vises på listen. Hvis du angir at sertifikater skal brukes, plasserer du dem sammen på listen i den rekkefølgen du vil at de skal brukes.
I kategorien Tilkoblingstype velger du hvilke tilkoblingstyper regelen skal gjelde for. Mer informasjon om tilkoblingstyper finner du her: IPSec-tilkoblingstype.
Hvis du bruker en tunnel, angir du endepunktene i kategorien Tunnelinnstillinger. Som standard brukes ingen tunnel. Mer informasjon om hvordan du bruker tunneler, finner du her: IPSec-tunnelinnstillinger. Tunneler kan ikke avspeiles.
Når innstillingene er fullstendige, klikker du OK.
| Slik endrer du en policyregel: |
Høyreklikk IPSec-policyen, og klikk deretter Egenskaper.
I dialogboksen Policyegenskaper velger du en regel og deretter velger du Rediger.
I dialogboksen Endre regelegenskaper velger du en filterliste i kategorien IP-filterliste eller klikker Legg til for å legge til en ny filterliste. Mer informasjon om hvordan du oppretter og bruker filterlister, finner du her: Filterlister.
Obs! Bare én filterliste kan brukes per regel.
I kategorien Filterhandling velger du en filterhandling eller klikker Legg til for å legge til en ny filterliste. Mer informasjon om hvordan du oppretter og bruker filterhandlinger, finner du her: Filterhandlinger.
Obs! Bare én filterhandling kan brukes per regel.
I kategorien Godkjenningsmetoder velger du en metode eller klikker Legg til for å legge til en ny metode. Mer informasjon om hvordan du oppretter og bruker godkjenningsmetoder, finner du her: IPSec-godkjenning.
Obs! Du kan bruke flere metoder per regel. Metodene forsøkes i den rekkefølgen de vises på listen.
I kategorien Tilkoblingstype velger du hvilke tilkoblingstyper regelen skal gjelde for. Mer informasjon om tilkoblingstyper finner du her: IPSec-tilkoblingstype.
Hvis du bruker en tunnel, angir du endepunktene i kategorien Tunnelinnstillinger. Som standard brukes ingen tunnel. Mer informasjon om hvordan du bruker tunneler, finner du her: IPSec-tunnelinnstillinger.
Når innstillingene er fullstendige, klikker du OK.
Tilordne en policy
| Slik tilordner du en policy til denne datamaskinen: |
Høyreklikk policyen, og velg deretter Tilordne.
Merk! - Bare én policy kan tilordnes om gangen til en datamaskin. Hvis en annen policy tilordnes, vil policyen som er tilordnet fra før, automatisk bli utilordnet. Gruppepolicy på domenet ditt kan tilordne en annen policy til denne datamaskinen og ignorere den lokale policyen.
- Hvis en IPSec-policy for kommunikasjon mellom to datamaskiner skal fungere, må du opprette en avspeilet policy på den andre datamaskinen og tilordne policyen til den datamaskinen.
- Bruk Gruppepolicy for å tilordne denne policyen til mange datamaskiner.