Hver enkelt regel definerer en liste over godkjenningsmetoder. Hver enkelt godkjenningsmetode definerer kravene til hvordan identiteter skal bekreftes i kommunikasjoner som den tilordnede regelen gjelder for. Metodene forsøkes i den rekkefølgen de vises på listen. De to maskinene må ha minst én felles godkjenningsmetode, ellers vil kommunikasjonen mislykkes. Hvis du oppretter flere godkjenningsmetoder, øker sjansen for at det kan bli funnet en felles metode mellom to datamaskiner.
Obs! | |
Rekkefølgen til disse metodene er også viktig fordi bare den første metoden vil bli forsøkt. Hvis den ikke blir godkjent, vil ingen andre metoder på listen bli forsøkt, selv om disse metodene ville ha blitt godkjent. |
Godkjenningsmetoder
Bare én godkjenningsmetode kan brukes mellom to datamaskiner, uansett hvor mange som er konfigurert. Hvis du har flere regler som gjelder for de samme to datamaskinene, må du konfigurere listen over godkjenningsmetoder i disse reglene slik at begge datamaskinene kan bruke den samme metoden. Hvis for eksempel en regel mellom to datamaskiner angir bare Kerberos for godkjenning og filtrerer bare TCP-data, mens det i den andre regelen er angitt bare sertifikater for godkjenning og filtrering av bare UDP-data, vil godkjenningen mislykkes. Godkjenningsmetoder konfigureres i kategorien Godkjenningsmetoder på egenskapssidene Rediger regelegenskaper eller Legg til regelegenskaper.
- Kerberos V5-godkjenningsprotokollen er standard godkjenningsteknologi. Denne metoden kan brukes for alle maskiner som kjører Kerberos V5-godkjenningsprotokollen, og som er medlemmer av det samme domenet eller på klarerte domener. Denne metoden er nyttig for domeneisolasjon ved hjelp av Internet Protocol-sikkerhet (IPSec).
- Et fellesnøkkelsertifikat bør brukes i situasjoner som inkluderer Internett-tilgang, ekstern tilgang til firmaressurser, kommunikasjoner med eksterne forretningspartnere eller datamaskiner som ikke kjører Kerberos V5-godkjenningsprotokollen. Dette krever at minst én klarert sertifiseringsinstans (CA) er konfigurert. Denne versjonen av Windows støtter X.509 versjon 3-sertifikater, inkludert CA-sertifikater som er generert av kommersielle sertifiseringsinstanser.
- En forhåndsdelt nøkkel kan være angitt. Dette er en delt, hemmelig nøkkel som to brukere er blitt enige om. Nøkkelen er enkel å bruke og krever ikke at klienten kjører Kerberos V5-godkjenningsprotokollen eller har et fellesnøkkelsertifikat. Begge parter må manuelt konfigurere IPSec til å bruke denne forhåndsdelte nøkkelen. Dette er en enkel metode for å godkjenne frittstående datamaskiner eller andre datamaskiner som ikke bruker Kerberos V5-godkjenningsprotokollen. En forhåndsdelt nøkkel brukes bare til godkjenningsbeskyttelse. Den brukes ikke til dataintegritet eller kryptering.
Viktig! | |
Den forhåndsdelte nøkkelen lagres i ren tekst og regnes ikke som en sikker metode. Forhåndsdelte nøkler bør bare brukes til testing. |