Met deze instellingen kunt u de verificatie configureren die voor uw omgeving vereist is. U kunt geavanceerde verificatie per regel configureren of deze opgeven als standaardinstelling voor alle regels voor verbindingsbeveiliging.

Dit dialoogvenster weergeven

  • Aan de hand van de volgende stappen kunt u dit dialoogvenster weergeven als u de standaardinstellingen voor de computer wilt opgeven. Deze instellingen zijn van toepassing op alle regels voor verbindingsbeveiliging waarin de verificatiemethode Standaard is geselecteerd.

    1. Klik op de pagina in de MMC-module Windows-firewall met een geavanceerde beveiliging bij Overzicht op Eigenschappen van Windows Firewall.

    2. Klik op de tab IPsec-instellingen.

    3. Klik onder Standaardinstellingen voor IPsec op Aanpassen.

    4. Selecteer onder Verificatiemethode de optie Geavanceerd en klik vervolgens op Aanpassen.

  • Aan de hand van de volgende stappen kunt u het dialoogvenster weergeven wanneer u een nieuwe regel voor verbindingsbeveiliging wilt maken. Deze instellingen zijn alleen van toepassing op de regel voor verbindingsbeveiliging waarvan u de eigenschappen bewerkt.

    1. Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, met de rechtermuisknop op Beveiligingsregels voor verbindingen en klik vervolgens op Nieuwe regel.

    2. Selecteer een willekeurige regel behalve Uitzondering voor verificatie.

    3. Klik op Volgende in de wizard totdat u de pagina Verificatiemethode bereikt.

    4. Selecteer Geavanceerd en klik vervolgens op Aanpassen.

  • Aan de hand van de volgende stappen kunt u dit dialoogvenster weergeven als u de instellingen voor een bestaande regel voor verbindingsbeveiliging wilt opgeven. Deze instellingen zijn alleen van toepassing op de regel voor verbindingsbeveiliging waarvan u de eigenschappen bewerkt.

    1. Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging, in het navigatiedeelvenster, op Beveiligingsregels voor verbindingen.

    2. Dubbelklik op de regel die u wilt wijzigen.

    3. Klik op de tab Verificatie.

    4. Selecteer onder Methode de optie Geavanceerd en klik vervolgens op Aanpassen.

Eerste verificatie

De eerste verificatiemethode wordt uitgevoerd tijdens de hoofdmodus van de IPsec-onderhandelingen (Internet Protocol security). Voor deze verificatie kunt u aangeven hoe de peercomputer wordt geverifieerd.

U kunt meerdere methoden voor deze verificatie opgeven. De methoden worden geprobeerd in de volgorde die u opgeeft en de methode die het eerst lukt, wordt gebruikt.

  • Klik op Toevoegen als u een methode aan de lijst wilt toevoegen.

  • U kunt een methode in de lijst wijzigen door de methode te selecteren en vervolgens op Bewerken te klikken.

  • Als u een methode uit de lijst wilt verwijderen, selecteert u de methode en klikt u op Verwijderen.

  • U kunt de sorteervolgorde van de lijst wijzigen door een methode te selecteren en vervolgens op de pijl-omlaag of pijl-omhoog te klikken.

Zie Dialoogvenster: Eerste verificatiemethode toevoegen of bewerken voor meer informatie over de beschikbare eerste verificatiemethoden.

Eerste verificatie is optioneel

Selecteer deze optie als u de eerste verificatie wilt laten uitvoeren met anonieme referenties. Dit is handig als de tweede verificatie de primaire, vereiste verificatiemethode is en de eerste verificatie alleen wordt uitgevoerd als beide peers deze ondersteunen. Als u bijvoorbeeld wilt afdwingen dat voor de verificatie van gebruikers Kerberos versie 5 wordt gebruikt, een protocol dat alleen beschikbaar is als tweede verificatiemethode, kunt u Eerste verificatie is optioneel selecteren en vervolgens Gebruiker (Kerberos V5) selecteren bij Tweede verificatiemethode.

Waarschuwing

Het is niet raadzaam zowel Eerste verificatie is optioneel als Tweede verificatie is optioneel in te schakelen. Dit is namelijk hetzelfde als verificatie uitschakelen.

Tweede verificatie

Voor de tweede verificatie kunt u aangeven hoe de gebruiker wordt geverifieerd die bij de peercomputer is aangemeld. U kunt ook een computerstatuscertificaat opgeven dat afkomstig is van de opgegeven certificeringsinstantie (CA).

De methoden worden geprobeerd in de volgorde die u opgeeft. De methode die het eerst lukt, wordt gebruikt.

U kunt meerdere methoden voor deze verificatie opgeven.

  • Klik op Toevoegen als u een methode aan de lijst wilt toevoegen.

  • U kunt een methode in de lijst wijzigen door de methode te selecteren en vervolgens op Bewerken te klikken.

  • Als u een methode uit de lijst wilt verwijderen, selecteert u de methode en klikt u op Verwijderen.

  • U kunt de sorteervolgorde van de lijst wijzigen door een methode te selecteren en vervolgens op de pijl-omlaag of pijl-omhoog te klikken.

Opmerkingen
  • U moet alle gebruikersgebaseerde verificatiemethoden of alle computergebaseerde verificatiemethoden gebruiken.
  • U kunt de tweede verificatiemethode (ongeacht de volgorde in de lijst) niet gebruiken als u voor de eerste verificatiemethode een vooraf gedeelde sleutel gebruikt.

Zie Dialoogvenster: Tweede verificatiemethode toevoegen of bewerken voor meer informatie over de beschikbare tweede verificatiemethoden.

Tweede verificatie is optioneel

Selecteer deze optie als u de tweede verificatie wilt laten uitvoeren als dat mogelijk is, maar de verbinding niet moet worden geblokkeerd als de tweede verificatie mislukt. Dit is handig als de eerste verificatie de primaire, vereiste verificatiemethode is en de tweede verificatie optioneel is, maar de voorkeur verdient als beide peers deze ondersteunen. Als u bijvoorbeeld wilt afdwingen dat computers worden geverifieerd via Kerberos versie 5 en u voor de verificatie van gebruikers Kerberos versie 5 wilt gebruiken als dat mogelijk is, kunt u Computer (Kerberos V5) als eerste verificatiemethode selecteren en vervolgens Gebruiker (Kerberos V5) selecteren als de tweede verificatiemethode met de optie Tweede verificatie is optioneel ingeschakeld.

Waarschuwing

Het is niet raadzaam zowel Eerste verificatie is optioneel als Tweede verificatie is optioneel in te schakelen. Dit is namelijk hetzelfde als verificatie uitschakelen.

Belangrijk
  • Als u in een tunnelmodusregel Tweede verificatie is optioneel selecteert, wordt alleen IKE toegepast in het resulterende IPsec-beleid en wordt AuthIP (Authenticated Internet Protocol) niet gebruikt. Alle verificatiemethoden die u opgeeft bij Tweede verificatie worden genegeerd.
  • In een transportmodusregel worden de tweede verificatiemethoden wel gebruikt, zoals te verwachten was.

Zie ook

Inhoudsopgave