Met behulp van deze instellingen kunt u aangeven op welke manier de peercomputer wordt geverifieerd. De eerste verificatiemethode wordt uitgevoerd tijdens de hoofdmodus van de IPsec-onderhandelingen (Internet Protocol security).
U kunt meerdere methoden voor de eerste verificatie opgeven. De methoden worden geprobeerd in de volgorde die u opgeeft. De methode die het eerst lukt, wordt gebruikt.
Zie
 | Het dialoogvenster weergeven |
Wanneer u de standaardinstellingen voor het hele systeem wilt wijzigen:
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging bij Overzicht op Eigenschappen van Windows Firewall.
- Klik op de tab IPsec-instellingen en klik vervolgens onder Standaardinstellingen voor IPsec op Aanpassen.
- Selecteer onder Verificatiemethode de optie Geavanceerd en klik vervolgens op Aanpassen.
- Selecteer een methode onder Eerste verificatie en klik vervolgens op Bewerken of Toevoegen.
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging bij Overzicht op Eigenschappen van Windows Firewall.
Wanneer u een nieuwe regel voor verbindingsbeveiliging wilt maken:
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging met de rechtermuisknop op Beveiligingsregels voor verbindingen en klik vervolgens op Nieuwe regel.
- Selecteer op de pagina Regeltype een willekeurig type behalve Uitzondering voor verificatie.
- Selecteer op de pagina Verificatiemethode de optie Geavanceerd en klik vervolgens op Aanpassen.
- Selecteer een methode onder Eerste verificatie en klik vervolgens op Bewerken of Toevoegen.
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging met de rechtermuisknop op Beveiligingsregels voor verbindingen en klik vervolgens op Nieuwe regel.
Wanneer u een bestaande regel voor verbindingsbeveiliging wilt wijzigen:
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging op Beveiligingsregels voor verbindingen.
- Dubbelklik op de regel voor verbindingsbeveiliging die u wilt wijzigen.
- Klik op de tab Verificatie.
- Klik onder Methode op Geavanceerd en klik vervolgens op Aanpassen.
- Selecteer een methode onder Eerste verificatie en klik vervolgens op Bewerken of Toevoegen.
- Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging op Beveiligingsregels voor verbindingen.
Computer (Kerberos V5)
U kunt deze methode gebruiken om peercomputers te verifiëren waarvoor computeraccounts aanwezig zijn in hetzelfde domein of in afzonderlijke domeinen die een vertrouwensrelatie hebben.
Computer (NTLMv2)
NTLMv2 is een andere manier om peercomputers te verifiëren waarvoor computeraccounts aanwezig zijn in hetzelfde domein of in afzonderlijke domeinen die een vertrouwensrelatie hebben.
Computercertificaat van deze certificeringsinstantie (CA)
Gebruik een certificaat met openbare sleutel voor communicatie met externe zakenpartners of voor computers waarop het Kerberos versie 5-verificatieprotocol niet wordt uitgevoerd. Hiervoor is vereist dat er minimaal één vertrouwde hoofdcertificeringsinstantie (CA) is geconfigureerd in of toegankelijk is via uw netwerk en dat clientcomputers over het bijbehorende computercertificaat beschikken.
Handtekeningalgoritme
Geef de handtekeningalgoritme op waarmee het certificaat cryptografisch wordt beveiligd.
RSA (standaard)
Selecteer deze optie als het certificaat wordt ondertekend met de algoritme voor RSA-cryptografie op basis van een openbare sleutel.
ECDSA-P256
Selecteer deze optie als het certificaat wordt ondertekend met de ECDSA-algoritme (Elliptic Curve Digital Signature Algorithm) met een 256-bits sleutel.
ECDSA-P384
Selecteer deze optie als het certificaat wordt ondertekend met de ECDSA-algoritme met een 384-bits sleutel.
Type certificaatarchief
Geef aan wat voor certificaat wordt gebruikt door het archief op te geven waarin het certificaat is opgeslagen.
Hoofd-CA (standaard)
Selecteer deze optie als het certificaat is verstrekt door een hoofdcertificeringsinstantie (CA) en is opgeslagen in het certificaatarchief Vertrouwde basiscertificeringsinstanties op de lokale computer.
Gevorderde CA
Selecteer deze optie als het certificaat is verstrekt door een tussentijdse certificeringsinstantie (CA) en is opgeslagen in het certificaatarchief Gevorderde certificeringsinstanties op de lokale computer.
Alleen statuscertificaten accepteren
Met deze optie beperkt u het gebruik van computercertificaten tot statuscertificaten. Statuscertificaten worden door een certificeringsinstantie uitgegeven ter ondersteuning van een NAP-implementatie (Network Access Protection). Via NAP kunt u statusbeleid definiëren en handhaven om de kans te beperken dat computers die niet aan de netwerkvereisten voldoen, bijvoorbeeld computers zonder antivirussoftware of computers waarop de nieuwste software-updates ontbreken, toegang hebben tot uw netwerk. Als u NAP wilt implementeren, moet u NAP-instellingen zowel op server- als clientcomputers configureren. Met Beheer van NAP-client, een MMC-module (Microsoft Management Console), kunt u NAP-instellingen eenvoudig op uw clientcomputers configureren. Zie de Help van de MMC-module NAP voor meer informatie. Als u deze methode wilt gebruiken, moet u een NAP-server in het domein hebben ingesteld.
Certificaten aan accounts koppelen inschakelen
Wanneer u Certificaten aan accounts koppelen van IPsec inschakelt, wordt een computercertificaat via het IKE-protocol (Internet Key Exchange) en het AuthIP-protocol (Authenticated IP) gekoppeld (toegewezen) aan een computeraccount in een Active Directory-domein of -forest, en wordt vervolgens een toegangstoken opgehaald, met de lijst van computerbeveiligingsgroepen. Op die manier wordt gegarandeerd dat het certificaat dat de IPsec-peer aanbiedt, overeenkomt met een actief computeraccount in het domein en dat het certificaat door die computer moet worden gebruikt.
Certificaten aan accounts koppelen kan alleen worden gebruikt voor computeraccounts die zich in hetzelfde forest bevinden als de computer waarop het koppelingsproces wordt uitgevoerd. Deze verificatiemethode is veel betrouwbaarder dan het simpelweg accepteren van een geldige certificaatketen. U kunt deze methode bijvoorbeeld gebruiken om de toegang te beperken tot computers die zich in hetzelfde forest bevinden. Via Certificaten aan accounts koppelen kan echter niet worden gegarandeerd dat een specifieke vertrouwde computer IPsec-toegang heeft.
Certificaten aan accounts koppelen is met name handig als de certificaten afkomstig zijn van een PKI (Public Key Infrastructure) die geen deel uitmaakt van uw AD DS-implementatie (Active Directory Domain Services). Dit is bijvoorbeeld het geval als de certificaten van uw zakenpartners door andere providers dan Microsoft worden geleverd. U kunt de verificatiemethode op basis van IPsec zo configureren dat certificaten worden toegewezen aan een domeincomputeraccount voor een specifieke hoofd-CA. U kunt ook alle certificaten die afkomstig zijn van een verlenende CA toewijzen aan één computeraccount. Op die manier kan certificaatverificatie via IKE worden gebruikt om te bepalen voor welke forests IPsec-toegang is toegestaan in een omgeving waarin vele forests aanwezig zijn en voor elk forest automatische inschrijving wordt uitgevoerd bij één interne hoofd-CA. Als Certificaten aan accounts koppelen niet naar behoren wordt voltooid, mislukt de verificatie en worden met IPsec beveiligde verbindingen geblokkeerd.
Vooraf gedeelde sleutel (niet aanbevolen)
U kunt vooraf gedeelde sleutels gebruiken voor verificatie. Dit is een gedeelde, geheime sleutel die twee gebruikers van tevoren zijn overeengekomen. Voor het gebruik van deze vooraf gedeelde sleutel moeten beide partijen IPSec handmatig configureren. Tijdens de beveiligingsonderhandeling worden gegevens vóór verzending versleuteld met de gedeelde sleutel en bij de ontvangende computer ontsleuteld met dezelfde sleutel. Als de ontvanger de gegevens kan ontsleutelen, worden de identiteiten beschouwd als geverifieerd.
 | Waarschuwing |
|