IPSec is een geheel van open standaarden die ervoor zorgen dat communicatie via IP-netwerken veilig en privé is. Hierbij wordt gebruikgemaakt van cryptografische beveiligingsservices. De Microsoft Windows-distributie van IPSec is gebaseerd op standaarden die zijn ontwikkeld door de werkgroep voor IPSec van de Internet Engineering Task Force (IETF).

IPSec zorgt voor vertrouwen en beveiliging tussen een IP-bronadres en een IP-doeladres. De enige computers die op de hoogte zijn van het beveiligde verkeer, zijn de verzendende en ontvangende computer. Elke computer handelt de beveiliging aan de eigen zijde af, waarbij ervan wordt uitgegaan dat het medium waarover de communicatie plaatsvindt, niet veilig is. Computers die slechts gegevens routeren tussen bron en bestemming, hoeven IPSec niet te ondersteunen, tenzij er tussen de twee computers sprake is van pakketfiltering door een firewall of omzetting van netwerkadressen (NAT, Network Address Translation).

Met de module IP-beveiligingsbeleid kunt u een IPSec-beleid maken, wijzigen en activeren op deze computer en externe computers.

Opmerking

Met deze documentatie bieden we alle benodigde informatie om de module IP-beveiligingsbeleid te begrijpen en te gebruiken. In deze documentatie vindt u geen informatie over het ontwerpen en implementeren van beleid.

Informatie over IPSec-beleid

IPSec-beleid wordt gebruikt om IPSec-beveiligingsservices te configureren. De verschillende beleidsvormen bieden uiteenlopende niveaus van beveiliging, voor de meeste typen verkeer en de meeste bestaande netwerken. U kunt een IPSec-beleid definiëren om te voorzien in de beveiligingsvereisten van een computer, een organisatie-eenheid, een domein, een site of een gehele onderneming. Met de module IP-beveiligingsbeleid in deze versie van Windows kunt u een IPSec-beleid definiëren voor computers via groepsbeleidsobjecten (voor leden van een domein) of op de lokale computer of voor externe computers.

Belangrijk

Met de module IP-beveiligingsbeleid kunt u IPSec-beleid maken dat kan worden toegepast op computers waarop Windows Vista of een hogere versie van Windows wordt uitgevoerd. Deze module maakt echter geen gebruik van nieuwe beveiligingsalgoritmen en andere nieuwe functies die beschikbaar zijn in Windows Vista en hogere versies van Windows. Als u IPSec-beleid wilt maken met deze computers, gebruikt u de module Windows-firewall met een geavanceerde beveiliging. Met de module Windows-firewall met een geavanceerde beveiliging kunt u geen beleid maken dat geschikt is voor eerdere versies van Windows.

Een IPSec-beleid bestaat uit algemene IPSec-beleidsinstellingen en -regels. Algemene IPSec-beleidsinstellingen zijn van toepassing, ongeacht welke regels er zijn geconfigureerd. Deze instellingen bepalen de naam van het beleid, de beschrijving voor beheerdoeleinden en instellingen en methoden voor sleuteluitwisseling. Een of meer IPSec-regels bepalen onder andere welke typen verkeer door IPSec moeten worden onderzocht, hoe verkeer wordt behandeld en hoe een IPSec-peer moet worden geverifieerd.

Nadat het beleid is gemaakt, kan het worden toegepast op het niveau van een domein, site en organisatie-eenheid en op lokaal niveau. Er kan maar één profiel tegelijk actief zijn op een computer. Beleid dat met groepsbeleidsobjecten wordt gedistribueerd en toegepast, heeft voorrang boven lokaal beleid.

Taken van de module IPSec-beleid

In deze sectie staan enkele van de meest voorkomende taken die u kunt uitvoeren met de module IP-beveiligingsbeleid.

Een beleid maken

Tenzij u op slechts één computer en de bijbehorende IPSec-peer beleid maakt, zult u waarschijnlijk een verzameling IPSec-beleidsregels moeten maken die zijn afgestemd op uw IT-omgeving. Het ontwerpen, maken en implementeren van beleidsregels kan een ingewikkeld proces zijn. Dit hangt onder meer af van de omvang van uw domein en de diversiteit van de computers in het domein.

Doorgaans verloopt het proces als volgt:

  1. Maak IP-filterlijsten overeenkomstig de computers, subnetten en omstandigheden in uw omgeving.

  2. Maak filteracties die overeenkomen met de wijze waarop verbindingen moeten worden geverifieerd, gegevensintegriteit moet worden toegepast en gegevens moeten worden versleuteld. De filteractie kan ook Blokkeren of Toestaan zijn, ongeacht andere criteria. De actie Blokkeren heeft voorrang boven andere acties.

  3. Maak een verzameling beleidsregels overeenkomstig de gewenste filter- en filteractievereisten (op het gebied van beveiliging).

  4. Implementeer eerst beleidsregels die gebruikmaken van de filteracties Toestaan en Blokkeren en controleer of zich in uw IPSec-omgeving problemen voordoen waardoor deze beleidsregels moeten worden aangepast.

  5. Implementeer de beleidsregels die gebruikmaken van de filteractie Onderhandelen over beveiliging met de optie om terug te vallen op communicatie met niet-versleutelde tekst. Hierdoor kunt u de werking van IPSec in uw omgeving testen zonder de communicatie te ontwrichten.

  6. Zodra u de beleidsregels indien nodig hebt aangepast, maakt u desgewenst de mogelijkheid ongedaan om terug te vallen op communicatie met niet-versleutelde tekst. Dit heeft tot gevolg dat de beleidsregels verificatie en beveiliging vereisen voordat een verbinding kan worden gemaakt.

  7. Controleer de omgeving op communicatie die niet tot stand komt. Een plotselinge stijging van het statistische gegeven voor mislukte onderhandelingen in de hoofdmodus kan hierop duiden.

Een nieuw IPSec-beleid maken

  1. Klik met de rechtermuisknop op het knooppunt voor het IP-beveiligingsbeleid en klik op IP-beveiligingsbeleid maken.

  2. Klik in de wizard IP-beveiligingsbeleid op Volgende.

  3. Typ een naam en een beschrijving (optioneel) voor het beleid en klik op Volgende.

  4. Schakel eventueel het selectievakje De standaardantwoordregel activeren in en klik op Volgende.

    Opmerking

    De standaardantwoordregel kan alleen worden gebruikt voor beleidsregels die worden toegepast op Windows XP of Windows Server 2003 en eerder. In latere versies van Windows kunt u geen gebruikmaken van de standaardantwoordregel.

  5. Als u gebruikmaakt van de standaardantwoordregel, selecteert u een verificatiemethode en klikt u op Volgende.

    Zie IPSec-regels voor meer informatie over de standaardantwoordregel.

  6. Laat het selectievakje Eigenschappen bewerken ingeschakeld en klik op Volgende. U kunt desgewenst regels toevoegen aan het beleid.

Een regel toevoegen aan een beleid of een regel wijzigen

Een beleidsregel toevoegen

  1. Klik met de rechtermuisknop op IPSec-beleid en klik op Eigenschappen.

  2. Schakel het selectievakje Toevoegen met wizard uit als u de regel in het dialoogvenster met eigenschappen wilt maken. Laat het selectievakje ingeschakeld als u de wizard wilt gebruiken. Klik op Toevoegen. De volgende instructies gelden wanneer u een regel maakt met het dialoogvenster.

  3. Selecteer de gewenste filterlijst in het dialoogvenster Eigenschappen van nieuwe regel op het tabblad IP-filterlijst, of klik op Toevoegen als u een nieuwe filterlijst wilt toevoegen. Als u al eerder filterlijsten hebt gemaakt, worden deze weergegeven in de lijst IP-filterlijsten. Zie Filterlijsten voor meer informatie over het maken en gebruiken van filterlijsten.

    Opmerking

    Per regel kan slechts één filterlijst worden gebruikt.

  4. Selecteer de gewenste filteractie op het tabblad Filteractie of klik op Toevoegen als u een nieuwe filteractie wilt toevoegen. Zie Filteracties voor meer informatie over het maken en gebruiken van filteracties.

    Opmerking

    Per regel kan slechts één filteractie worden gebruikt.

  5. Selecteer de gewenste methode op het tabblad Verificatiemethoden of klik op Toevoegen als u een nieuwe methode wilt toevoegen. Zie IPSec-verificatie voor meer informatie over het maken en gebruiken van verificatiemethoden.

    Opmerking

    U kunt meerdere methoden per regel gebruiken. De methoden worden geprobeerd in de volgorde waarin ze worden weergegeven in de lijst. Als u opgeeft dat certificaten worden gebruikt, plaatst u deze certificaten op de lijst bij elkaar in de volgorde waarin ze moeten worden gebruikt.

  6. Selecteer op het tabblad Type verbinding het type verbinding waarop deze regel van toepassing is. Zie Type IPSec-verbinding voor meer informatie over verbindingstypen.

  7. Als u een tunnel gebruikt, geeft u op het tabblad Instellingen voor tunnel de eindpunten op. Standaard wordt er geen tunnel gebruikt. Zie Instellingen voor IPSec-tunnel voor meer informatie over het gebruik van tunnels. Tunnelregels kunnen niet worden gespiegeld.

  8. Wanneer alle instellingen zijn voltooid, klikt u op OK.
Een beleidsregel wijzigen

  1. Klik met de rechtermuisknop op IPSec-beleid en klik op Eigenschappen.

  2. Selecteer de regel in het dialoogvenster Beleidseigenschappen en klik vervolgens op Bewerken.

  3. Selecteer de gewenste filterlijst in het dialoogvenster Eigenschappen van regel bewerken op het tabblad IP-filterlijst, of klik op Toevoegen als u een nieuwe filterlijst wilt toevoegen. Zie Filterlijsten voor meer informatie over het maken en gebruiken van filterlijsten.

    Opmerking

    Per regel kan slechts één filterlijst worden gebruikt.

  4. Selecteer de gewenste filteractie op het tabblad Filteractie of klik op Toevoegen als u een nieuwe filterlijst wilt toevoegen. Zie Filteracties voor meer informatie over het maken en gebruiken van filteracties.

    Opmerking

    Per regel kan slechts één filteractie worden gebruikt.

  5. Selecteer de gewenste methode op het tabblad Verificatiemethoden of klik op Toevoegen als u een nieuwe methode wilt toevoegen. Zie IPSec-verificatie voor meer informatie over het maken en gebruiken van verificatiemethoden.

    Opmerking

    U kunt meerdere methoden per regel gebruiken. De methoden worden geprobeerd in de volgorde waarin ze worden weergegeven in de lijst.

  6. Selecteer op het tabblad Type verbinding het type verbinding waarop deze regel van toepassing is. Zie Type IPSec-verbinding voor meer informatie over verbindingstypen.

  7. Als u een tunnel gebruikt, geeft u op het tabblad Instellingen voor tunnel de eindpunten op. Standaard wordt er geen tunnel gebruikt. Zie Instellingen voor IPSec-tunnel voor meer informatie over het gebruik van tunnels.

  8. Wanneer alle instellingen zijn voltooid, klikt u op OK.

Een beleid toewijzen

Een beleid toewijzen aan deze computer

  • Klik met de rechtermuisknop op het beleid en klik op Toewijzen.

    Opmerkingen
    • Er kan maar één profiel tegelijk worden toegewezen aan een computer. Als u een ander beleid toewijst, wordt de toewijzing van het momenteel toegewezen beleid ongedaan gemaakt. Groepsbeleid in uw domein kan een ander beleid toewijzen aan deze computer en het lokale beleid negeren.
    • Voor een geslaagd IPSec-beleid tussen computers moet u op de andere computer een gespiegeld beleid maken en dat beleid toewijzen aan die computer.
    • Met Groepsbeleid kunt u dit beleid toewijzen aan een groot aantal computers.

Zie ook

Inhoudsopgave