Met behulp van deze instellingen kunt u aangeven op welke manier het gebruikersaccount op de peercomputer wordt geverifieerd. U kunt ook opgeven dat de computer een statuscertificaat voor computers moet hebben. De tweede verificatiemethode wordt uitgevoerd via AuthIP (Authenticated IP) in een uitgebreide modus van de hoofdmodus van IPSec-onderhandelingen (Internet Protocol security).
U kunt meerdere methoden voor deze verificatie opgeven. De methoden worden geprobeerd in de volgorde die u opgeeft. De methode die het eerst lukt, wordt gebruikt.
Zie
 | Het dialoogvenster weergeven |
Wanneer u de standaardinstellingen voor het hele systeem wilt wijzigen:
- Selecteer in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, de optie Windows Firewall met geavanceerde beveiliging en klik vervolgens bij Overzicht op Eigenschappen van Windows Firewall.
- Klik op de tab IPsec-instellingen en klik vervolgens onder Standaardinstellingen voor IPsec op Aanpassen.
- Selecteer onder Verificatiemethode de optie Geavanceerd en klik vervolgens op Aanpassen.
- Selecteer een methode onder Tweede verificatie en klik vervolgens op Bewerken of Toevoegen.
- Selecteer in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, de optie Windows Firewall met geavanceerde beveiliging en klik vervolgens bij Overzicht op Eigenschappen van Windows Firewall.
Wanneer u een nieuwe regel voor verbindingsbeveiliging wilt maken:
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, met de rechtermuisknop op Beveiligingsregels voor verbindingen en klik vervolgens op Nieuwe regel.
- Selecteer op de pagina Regeltype een willekeurig type behalve Uitzondering voor verificatie.
- Selecteer op de pagina Verificatiemethode de optie Geavanceerd en klik vervolgens op Aanpassen.
- Selecteer een methode onder Tweede verificatie en klik vervolgens op Bewerken of Toevoegen.
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, met de rechtermuisknop op Beveiligingsregels voor verbindingen en klik vervolgens op Nieuwe regel.
Wanneer u een bestaande beveiligingsregel wilt wijzigen:
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, op Beveiligingsregels voor verbindingen.
- Dubbelklik op de regel voor verbindingsbeveiliging die u wilt wijzigen.
- Klik op de tab Verificatie.
- Klik onder Methode op Geavanceerd en klik vervolgens op Aanpassen.
- Selecteer een methode onder Tweede verificatie en klik vervolgens op Bewerken of Toevoegen.
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, op Beveiligingsregels voor verbindingen.
Gebruiker (Kerberos V5)
U kunt deze methode gebruiken om een gebruiker te verifiëren die zich heeft aangemeld bij een externe computer die deel uitmaakt van hetzelfde domein, of die lid is van afzonderlijke domeinen die een vertrouwensrelatie hebben. De aangemelde gebruiker moet een domeinaccount hebben en de computer moet lid zijn van een domein in hetzelfde forest.
Gebruiker (NTLMv2)
NTLMv2 is een andere manier om een gebruiker te verifiëren die zich heeft aangemeld bij een externe computer die deel uitmaakt van hetzelfde domein of van een domein dat een vertrouwensrelatie heeft met het domein van de lokale computer. Zowel het gebruikersaccount als de computer moeten lid zijn van domeinen die onderdeel zijn van hetzelfde forest.
Gebruikerscertificaat
Gebruik een certificaat met openbare sleutel voor communicatie met externe zakenpartners of voor computers waarop het Kerberos versie 5-verificatieprotocol niet wordt uitgevoerd. Hiervoor is vereist dat er minimaal één vertrouwde hoofdcertificeringsinstantie (CA) is geconfigureerd in of toegankelijk is via uw netwerk en dat clientcomputers over het bijbehorende computercertificaat beschikken. Deze methode is handig wanneer de gebruikers zich niet in hetzelfde domein of in afzonderlijke domeinen zonder tweerichtingsvertrouwensrelatie bevinden en Kerberos versie 5 niet kan worden gebruikt.
Handtekeningalgoritme
Geef de handtekeningalgoritme op waarmee het certificaat cryptografisch wordt beveiligd.
RSA (standaard)
Selecteer deze optie als het certificaat wordt ondertekend met de algoritme voor RSA-cryptografie op basis van een openbare sleutel.
ECDSA-P256
Selecteer deze optie als het certificaat wordt ondertekend met de ECDSA-algoritme (Elliptic Curve Digital Signature Algorithm) met een 256-bits sleutel.
ECDSA-P384
Selecteer deze optie als het certificaat wordt ondertekend met de ECDSA-algoritme met een 256-bits sleutel.
Type certificaatarchief
Geef aan wat voor certificaat wordt gebruikt door het archief op te geven waarin het certificaat is opgeslagen.
Hoofd-CA (standaard)
Selecteer deze optie als het certificaat is verstrekt door een hoofdcertificeringsinstantie (CA) en is opgeslagen in het certificaatarchief Vertrouwde basiscertificeringsinstanties op de lokale computer.
Gevorderde CA
Selecteer deze optie als het certificaat is verstrekt door een tussentijdse certificeringsinstantie (CA) en is opgeslagen in het certificaatarchief Gevorderde certificeringsinstanties op de lokale computer.
Certificaten aan accounts koppelen inschakelen
Wanneer u Certificaten aan accounts koppelen van IPsec inschakelt, wordt een gebruikerscertificaat via het IKE-protocol (Internet Key Exchange) en het AuthIP-protocol gekoppeld (toegewezen) aan een gebruikersaccount in een Active Directory-domein of -forest, en wordt vervolgens een toegangstoken opgehaald, met de lijst van beveiligingsgroepen. Op die manier wordt gegarandeerd dat het certificaat dat de IPsec-peer aanbiedt, overeenkomt met een actief gebruikersaccount in het domein en dat het certificaat door die gebruiker moet worden gebruikt.
Certificaten aan accounts koppelen kan alleen worden gebruikt voor gebruikersaccounts die zich in hetzelfde forest bevinden als de computer waarop het koppelingsproces wordt uitgevoerd. Deze verificatiemethode is veel betrouwbaarder dan het simpelweg accepteren van een geldige certificaatketen. U kunt deze methode bijvoorbeeld gebruiken om de toegang te beperken tot gebruikers die zich in hetzelfde forest bevinden. Via Certificaten aan accounts koppelen kan echter niet worden gegarandeerd dat een specifieke vertrouwde gebruiker IPsec-toegang heeft.
Certificaten aan accounts koppelen is met name handig als de certificaten afkomstig zijn van een PKI (Public Key Infrastructure) die geen deel uitmaakt van uw AD DS-implementatie (Active Directory Domain Services). Dit is bijvoorbeeld het geval als de certificaten van uw zakenpartners door andere providers dan Microsoft worden geleverd. U kunt de verificatiemethode op basis van IPsec zo configureren dat certificaten worden toegewezen aan een domeingebruikersaccount voor een specifieke hoofd-CA. U kunt ook alle certificaten die afkomstig zijn van een verlenende CA toewijzen aan één gebruikersaccount. Op die manier kan certificaatverificatie worden gebruikt om te bepalen voor welke forests IPsec-toegang is toegestaan in een omgeving waarin vele forests aanwezig zijn en voor elk forest automatische inschrijving wordt uitgevoerd bij één interne hoofd-CA. Als Certificaten aan accounts koppelen niet naar behoren wordt voltooid, mislukt de verificatie en worden met IPsec beveiligde verbindingen geblokkeerd.
Statuscertificaat van computer
Gebruik deze optie om aan te geven dat slechts een computer die een certificaat aanbiedt dat afkomstig is van de opgegeven certificeringinstantie en dat is gemarkeerd als NAP-statuscertificaat (Network Access Protection), met deze regel voor verbindingsbeveiliging kan worden geverifieerd. Via NAP kunt u statusbeleid definiëren en handhaven om de kans te beperken dat computers die niet aan de netwerkvereisten voldoen, bijvoorbeeld computers zonder antivirussoftware of computers waarop de nieuwste software-updates ontbreken, toegang hebben tot uw netwerk. Als u NAP wilt implementeren, moet u NAP-instellingen zowel op server- als clientcomputers configureren. Zie de Help van de MMC-module NAP voor meer informatie. Als u deze methode wilt gebruiken, moet u een NAP-server in het domein hebben ingesteld.
Handtekeningalgoritme
Geef de handtekeningalgoritme op waarmee het certificaat cryptografisch wordt beveiligd.
RSA (standaard)
Selecteer deze optie als het certificaat wordt ondertekend met de algoritme voor RSA-cryptografie op basis van een openbare sleutel.
ECDSA-P256
Selecteer deze optie als het certificaat wordt ondertekend met de ECDSA-algoritme (Elliptic Curve Digital Signature Algorithm) met een 256-bits sleutel.
ECDSA-P384
Selecteer deze optie als het certificaat wordt ondertekend met de ECDSA-algoritme met een 384-bits sleutel.
Type certificaatarchief
Geef aan wat voor certificaat wordt gebruikt door het archief op te geven waarin het certificaat is opgeslagen.
Hoofd-CA (standaard)
Selecteer deze optie als het certificaat is verstrekt door een hoofdcertificeringsinstantie (CA) en is opgeslagen in het certificaatarchief Vertrouwde basiscertificeringsinstanties op de lokale computer.
Tussentijds CA-archief
Selecteer deze optie als het certificaat is verstrekt door een tussentijdse certificeringsinstantie (CA) en is opgeslagen in het certificaatarchief Gevorderde certificeringsinstanties op de lokale computer.
Certificaten aan accounts koppelen inschakelen
Wanneer u Certificaten aan accounts koppelen van IPsec inschakelt, wordt een gebruikerscertificaat via het IKE-protocol en het AuthIP-protocol gekoppeld (toegewezen) aan een gebruikers- of computeraccount in een Active Directory-domein of -forest, en wordt vervolgens een toegangstoken opgehaald, met de lijst van beveiligingsgroepen. Op die manier wordt gegarandeerd dat het certificaat dat de IPsec-peer aanbiedt, overeenkomt met een actief computer- of gebruikersaccount in het domein en dat het certificaat door dat account moet worden gebruikt.
Certificaten aan accounts koppelen kan alleen worden gebruikt voor accounts die zich in hetzelfde forest bevinden als de computer waarop het koppelingsproces wordt uitgevoerd. Deze verificatiemethode is veel betrouwbaarder dan het simpelweg accepteren van een geldige certificaatketen. U kunt deze methode bijvoorbeeld gebruiken om de toegang te beperken tot accounts die zich in hetzelfde forest bevinden. Via Certificaten aan accounts koppelen kan echter niet worden gegarandeerd dat een specifiek vertrouwd account IPsec-toegang heeft.
Certificaten aan accounts koppelen is met name handig als de certificaten afkomstig zijn van een PKI die geen deel uitmaakt van uw AD DS-implementatie. Dit is bijvoorbeeld het geval als de certificaten van uw zakenpartners door andere providers dan Microsoft worden geleverd. U kunt de verificatiemethode op basis van IPsec zo configureren dat certificaten worden toegewezen aan een domeinaccount voor een specifieke hoofd-CA. U kunt ook alle certificaten die afkomstig zijn van een verlenende CA toewijzen aan één computer- of gebruikersaccount. Op die manier kan certificaatverificatie via IKE worden gebruikt om te bepalen voor welke forests IPsec-toegang is toegestaan in een omgeving waarin vele forests aanwezig zijn en voor elk forest automatische inschrijving wordt uitgevoerd bij één interne hoofd-CA. Als Certificaten aan accounts koppelen niet naar behoren wordt voltooid, mislukt de verificatie en worden met IPsec beveiligde verbindingen geblokkeerd.