In elke regel is een lijst met verificatiemethoden vastgelegd. Elke verificatiemethode bepaalt hoe de identiteit van de computers moet worden geverifieerd in een communicatie waarop de desbetreffende regel van toepassing is. De methoden worden door elke peer geprobeerd in de volgorde waarin ze worden weergegeven in de lijst. De computers waartussen communicatie plaatsvindt, moeten over ten minste één gemeenschappelijke verificatiemethode beschikken, anders is geen communicatie mogelijk. Als meerdere verificatiemethoden worden gedefinieerd, is de kans groter dat twee computers over eenzelfde verificatiemethode beschikken.
Opmerking | |
De volgorde van deze methoden is ook van belang, aangezien alleen de eerste gemeenschappelijke methode wordt geprobeerd. Als de verificatie met deze methode mislukt, worden er geen andere methoden in de lijst geprobeerd, ook al zou de verificatie hiermee wel zijn geslaagd. |
Verificatiemethoden
Er kan slechts één verificatiemethode tussen twee computers worden gebruikt, ongeacht het aantal methoden dat is geconfigureerd. Als er meerdere regels van toepassing zijn op dezelfde twee computers, moet u de lijst met verificatiemethoden in deze regels opnemen om ervoor te zorgen dat de twee computers dezelfde methode gebruiken. Als in een regel tussen twee computers bijvoorbeeld alleen Kerberos voor de verificatie is gedefinieerd en alleen TCP-gegevens worden gefilterd terwijl in een andere regel alleen certificaten voor verificatie zijn gedefinieerd en alleen UDP-gegevens worden gefilterd, mislukt de verificatie. Verificatiemethoden worden geconfigureerd op het tabblad Verificatiemethoden van het eigenschappenblad Eigenschappen van regel bewerken of Eigenschappen van regel toevoegen.
- Het verificatieprotocol Kerberos versie 5 is de standaardtechnologie voor verificatie. Deze methode kan worden gebruikt voor alle computers met het verificatieprotocol Kerberos V5 die lid zijn van dezelfde of vertrouwde domeinen. Deze methode is nuttig voor domeinisolatie met IPSec (Internet Protocol Security).
- Een certificaat met openbare sleutel moet worden gebruikt in situaties waarbij toegang wordt verkregen tot internet, bedrijfsnetwerken, netwerken van externe zakenpartners of computers waarop het Kerberos V5-verificatieprotocol niet beschikbaar is. Hiervoor met ten minste één vertrouwde certificeringsinstatie (CA) zijn geconfigureerd. Deze versie van Windows ondersteunt X.509 Version 3-certificaten, waaronder CA-certificaten die zijn gegenereerd door commerciële certificerende instanties.
- Een vooraf gedeelde sleutel kan eveneens worden opgegeven. Dit is een gedeelde, geheime sleutel die twee gebruikers van tevoren zijn overeengekomen. Een vooraf gedeelde sleutel is eenvoudig in het gebruik en de client hoeft geen verificatieprotocol Kerberos V5 of certificaat voor een openbare sleutel te hebben. Voor het gebruik van deze vooraf gedeelde sleutel moeten beide partijen IPSec handmatig configureren. Dit is een eenvoudige methode voor verificatie van zelfstandige computers of van computers die geen gebruikmaken van het verificatieprotocol Kerberos V5. Een vooraf gedeelde sleutel is alleen bedoeld voor verificatiebescherming. Deze sleutel wordt niet gebruikt voor gegevensintegriteit of -versleuteling.
Belangrijk | |
De vooraf gedeelde sleutel wordt opgeslagen als niet-versleutelde tekst. Dit wordt niet beschouwd als een veilige methode. Vooraf gedeelde sleutels mogen alleen voor testdoeleinden worden gebruikt. |