Te ustawienia służą do określenia sposobu uwierzytelniania komputera równorzędnego. Metoda pierwszego uwierzytelniania jest wykonywana podczas fazy trybu głównego negocjacji zabezpieczeń protokołu internetowego (IPsec).

Do korzystania z metody pierwszego uwierzytelniania można określić klika metod. Metody są wypróbowywane w podanej kolejności. Wykorzystywana jest pierwsza metoda, która zakończy się powodzeniem.

Aby uzyskać więcej informacji na temat metod uwierzytelnienia dostępnych w tym oknie dialogowym, zobacz temat Algorytmy i metody protokołu IPsec obsługiwane w systemie Windows (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?linkid=129230).

Aby uzyskać dostęp do tego okna dialogowego

  • Podczas modyfikowania ogólnosystemowych ustawień domyślnych:

    1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC, w obszarze Przegląd kliknij opcję Właściwości Zapory systemu Windows.

    2. Kliknij kartę Ustawienia protokołu IPSec, a następnie w obszarze Wartości domyślne IPsec kliknij przycisk Dostosuj.

    3. W obszarze Metoda uwierzytelniania wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.

    4. W obszarze Pierwsze uwierzytelnianie wybierz metodę, a następnie kliknij przycisk Edytuj lub Dodaj.

  • Podczas tworzenia nowej reguły zabezpieczeń połączeń:

    1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC kliknij prawym przyciskiem myszy pozycję Reguły zabezpieczeń połączeń, a następnie kliknij polecenie Nowa reguła.

    2. Na stronie Typ reguły wybierz dowolny typ oprócz Wykluczenie uwierzytelniania.

    3. Na stronie Metoda uwierzytelniania wybierz opcję Zaawansowane, a następnie kliknij przycisk Dostosuj.

    4. W obszarze Pierwsze uwierzytelnianie wybierz metodę, a następnie kliknij przycisk Edytuj lub Dodaj.

  • Podczas modyfikacji istniejącej reguły zabezpieczeń połączeń:

    1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC kliknij pozycję Reguły zabezpieczeń połączeń.

    2. Kliknij dwukrotnie regułę zabezpieczeń połączeń, którą chcesz zmodyfikować.

    3. Kliknij kartę Uwierzytelnianie.

    4. W obszarze Metoda kliknij pozycję Zaawansowane, a następnie kliknij przycisk Dostosuj.

    5. W obszarze Pierwsze uwierzytelnianie wybierz metodę, a następnie kliknij przycisk Edytuj lub Dodaj.

Komputer (Kerberos V5)

Ta metoda służy do uwierzytelniania komputerów równorzędnych z kontami komputerów w tej samej domenie lub znajdujących się w różnych domenach z istniejącą między nimi relacją zaufania.

Komputer (NTLMv2)

Metoda NTLMv2 stanowi alternatywny sposób uwierzytelniania komputerów równorzędnych z kontami komputerów w tej samej domenie lub znajdujących się w różnych domenach z istniejącą między nimi relacją zaufania.

Certyfikat komputera z tego urzędu certyfikacji (CA)

Certyfikatu klucza publicznego należy użyć w przypadku zewnętrznej komunikacji z partnerami firmy lub komputerów, na których nie ma uruchomionego protokołu uwierzytelniania Kerberos w wersji 5. Wymaga to skonfigurowania lub dostępności przez sieć co najmniej jednego zaufanego głównego urzędu certyfikacji oraz posiadania przez komputery klienckie skojarzonego certyfikatu komputera.

Algorytm podpisywania

Określa algorytm podpisywania używany w celu kryptograficznego zabezpieczania certyfikatu.

RSA (domyślne)

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu kryptograficznego klucza publicznego RSA.

ECDSA-P256

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu ECDSA (Elliptic Curve Digital Signature Algorithm) o kluczu 256-bitowym.

ECDSA-P384

Wybierz tę opcję, jeśli certyfikat jest podpisany z zastosowaniem algorytmu ECDSA o kluczu 384-bitowym.

Typ magazynu certyfikatów

Określa typ certyfikatu, identyfikując magazyn, w którym jest zlokalizowany certyfikat.

Główny urząd certyfikacji (domyślny)

Wybierz tę opcję, jeśli certyfikat został wydany przez główny urząd certyfikacji i jest przechowywany w magazynie certyfikatów Zaufane główne urzędy certyfikacji komputera lokalnego.

Pośredni urząd certyfikacji

Wybierz tę opcję, jeśli certyfikat został wydany przez pośredni urząd certyfikacji i jest przechowywany w magazynie certyfikatów Pośrednie urzędy certyfikacji na komputerze lokalnym.

Zaakceptuj tylko certyfikaty kondycji

Ta opcja ogranicza użycie certyfikatów komputera do oznaczonych jako certyfikaty kondycji. Certyfikaty kondycji są publikowane przez urząd certyfikacji w ramach wsparcia wdrażania ochrony dostępu do sieci (NAP). Funkcja ochrony dostępu do sieci umożliwia definiowanie i wymuszanie zasad dotyczących kondycji, przez co komputery, które nie są zgodne z zasadami sieciowymi, np. komputery bez oprogramowania antywirusowego lub zainstalowanych najnowszych aktualizacji oprogramowania, mają mniejsze szanse na uzyskanie dostępu do sieci. Aby wdrożyć funkcję ochrony dostępu do sieci, należy skonfigurować ustawienia ochrony dostępu do sieci na serwerach i komputerach klienckich. Przystawka Zarządzanie klientem ochrony dostępu do sieci programu MMC służy do konfigurowania ustawień ochrony dostępu do sieci na komputerach klienckich. Aby uzyskać więcej informacji, zobacz Pomoc przystawki Zarządzanie klientem ochrony dostępu do sieci programu MMC. Aby korzystać z tej metody, należy skonfigurować w sieci serwer ochrony dostępu do sieci.

Włącz mapowania certyfikatów do kont

Po włączeniu mapowania certyfikatów IPsec do kont protokoły Internet Key Exchange (IKE) i Authenticated IP (AuthIP) kojarzą (mapują) certyfikat komputera z kontem komputera w domenie lub lesie usługi Active Directory, a następnie pobierają token dostępu zawierający listę grup zabezpieczeń użytkowników. Ten proces zapewnia odpowiedniość certyfikatu oferowanego przez element równorzędny protokołu IPsec dla konta aktywnego komputera w domenie oraz użycie przez komputer właściwego certyfikatu.

Mapowania certyfikatu do konta można używać tylko dla kont komputerów znajdujących się w tym samym lesie, co komputer wykonujący mapowanie. Zapewnia to o wiele silniejsze uwierzytelnienie, niż w przypadku gdy akceptowany jest dowolny prawidłowy łańcuch certyfikatów. Tej możliwości można na przykład użyć w celu ograniczenia dostępu do komputerów znajdujących się w tym samym lesie. Mapowanie certyfikatu do konta nie zapewnia jednak zezwolenia określonemu zaufanemu komputerowi na dostęp IPsec.

Mapowanie certyfikatu do konta jest szczególnie przydatne, jeśli certyfikaty pochodzą z infrastruktury kluczy publicznych (PKI), która nie jest zintegrowana z wdrożeniem usług domenowych w usłudze Active Directory (AD DS), na przykład w sytuacji, gdy partnerzy biznesowi uzyskują certyfikaty od dostawców innych niż firma Microsoft. Metodę uwierzytelniania zasady protokołu IPsec można skonfigurować tak, aby certyfikaty były mapowane do konta komputera domeny dla określonego głównego urzędu certyfikacji. Można również mapować wszystkie certyfikaty od wydającego urzędu certyfikacji do jednego konta komputera. Umożliwia to użycie uwierzytelniania certyfikatu IKE w celu ograniczenia liczby lasów mających zezwolenie na dostęp IPsec w środowiskach, w których istnieje wiele lasów i każdy z nich wykonuje autorejestrację przy udziale pojedynczego wewnętrznego głównego urzędu certyfikacji. Jeśli proces mapowania certyfikatu do konta nie zostanie wykonany prawidłowo, uwierzytelnianie się nie powiedzie, a połączenia zabezpieczone protokołem IPsec zostaną zablokowane.

Klucz wstępny (niezalecane)

Do uwierzytelniania można używać klucza wstępnego. Jest to współużytkowany klucz tajny, który został uprzednio uzgodniony między dwoma użytkownikami. Obie strony muszą ręcznie skonfigurować protokół IPsec do użycia klucza wstępnego. Podczas negocjacji zabezpieczeń informacje są szyfrowane za pomocą klucza wstępnego przed transmisją i odszyfrowywane za pomocą tego samego klucza po stronie odbiorczej. Jeśli komputer odbiorczy może odszyfrować informacje, tożsamości są uważane za uwierzytelnione.

Przestroga
  • Metodologia klucza wstępnego jest obsługiwana ze względu na współdziałanie i zgodność ze standardami IPsec. Klucze wstępne powinny być używane tylko do celów testowych. Regularne korzystanie z uwierzytelniania opartego na kluczu wstępnym nie jest zalecane, ponieważ klucz ten jest przechowywany w stanie niechronionym w zasadach protokołu IPsec.
  • Jeżeli klucz wstępny jest wykorzystywany w uwierzytelnianiu trybu głównego, nie można używać drugiego uwierzytelniania.

Zobacz też

Spis treści