Use essas configurações para especificar a forma com a qual a conta do usuário no computador em uma rede ponto a ponto é autenticada. Também é possível especificar se o computador possui certificado de integridade. O segundo método de autenticação é realizado pelo AuthIP (IP Autenticado) em um modo estendido da fase de modo principal das negociações de IPsec (segurança do Protocolo Internet).
É possível especificar vários métodos a serem usados na autenticação. Eles serão usados na ordem especificada. O primeiro a obter êxito será usado.
Para obter mais informações sobre os métodos de autenticação disponíveis nessa caixa de diálogo, consulte
 | Para acessar esta caixa de diálogo |
Ao modificar as configurações padrão de todo o sistema:
- No snap-in do MMC do Firewall do Windows com Segurança Avançada, no painel de navegação, clique em Firewall do Windows com Segurança Avançada e em Visão Geral, clique em Propriedades do Firewall do Windows.
- Clique na guia Configurações de IPsec e sob Padrões IPSec, clique em Personalizar.
- Em Método de Autenticação, selecione Avançado e clique em Personalizar.
- Em Segunda autenticação, selecione um método e clique em Editar ou Adicionar.
- No snap-in do MMC do Firewall do Windows com Segurança Avançada, no painel de navegação, clique em Firewall do Windows com Segurança Avançada e em Visão Geral, clique em Propriedades do Firewall do Windows.
Ao criar uma nova regra de segurança de conexão:
- No snap-in do MMC do Firewall do Windows com Segurança Avançada, no painel de navegação, clique com o botão direito do mouse em Regras de Segurança de Conexão e clique em Nova Regra.
- Na página Tipo de regra, selecione qualquer tipo exceto Isenção de autenticação.
- Na página Método de Autenticação, selecione Avançado e clique em Personalizar.
- Em Segunda autenticação, selecione um método e clique em Editar ou Adicionar.
- No snap-in do MMC do Firewall do Windows com Segurança Avançada, no painel de navegação, clique com o botão direito do mouse em Regras de Segurança de Conexão e clique em Nova Regra.
Ao modificar uma regra de segurança existente:
- No snap-in do MMC do Firewall do Windows com Segurança Avançada, no painel de navegação, clique em Regras de Segurança de Conexão.
- Clique duas vezes na regra de segurança de conexão que deseja modificar.
- Clique na guia Autenticação.
- Em Método, clique em Avançado e clique em Personalizar.
- Em Segunda autenticação, selecione um método e clique em Editar ou Adicionar.
- No snap-in do MMC do Firewall do Windows com Segurança Avançada, no painel de navegação, clique em Regras de Segurança de Conexão.
Usuário (Kerberos V5)
Use esse método para autenticar um usuário conectado em um computador remoto que integre o mesmo domínio, ou em domínios separados que possuam uma relação de confiança. O usuário conectado deve ter uma conta de domínio e o computador deve integrar um domínio na mesma floresta.
Usuário (NTLMv2)
NTLMv2 é uma forma alternativa de autenticar um usuário conectado a um computador remoto que faz parte do mesmo domínio ou em um domínio que tenha uma relação de confiança com o domínio do computador local. A conta do usuário e o computador devem fazer parte de domínios que fazem parte da mesma floresta.
Certificado de Usuário
Use um certificado de chave pública em situações que incluem comunicações com parceiros comerciais externos ou computadores que não executam o protocolo de autenticação Kerberos versão 5. Isso exige que pelo menos uma CA (autoridade de certificação) raiz confiável esteja configurada ou acessível pela sua rede e que os computadores clientes tenham um certificado de computador associado. Esse método é útil quando os usuários não estão no mesmo domínio ou estão em domínios separados sem relação de confiança bidirecional e o Kerberos versão 5 não pode ser usado.
Algoritmo de assinatura
Especifique o algoritmo de assinatura usado para proteger criptograficamente o certificado.
RSA (padrão)
Selecione esta opção se o certificado for assinado usando o algoritmo de criptografia da chave pública RSA.
ECDSA-P256
Selecione esta opção se o certificado for assinado usando o ECDSA (Algoritmo de assinatura digital de curva elíptica) com restrição de chave de 256 bits.
ECDSA-P384
Selecione esta opção se o certificado for assinado usando ECDSA com restrição de chave de 256 bits.
Tipo de repositório de certificados
Especifique o tipo de certificado identificando o repositório no qual o certificado está localizado.
Autoridade de Certificação Raiz (padrão)
Selecione essa opção se o certificado tiver sido emitido por uma CA raiz e estiver armazenado no repositório de certificados Autoridades de Certificação Raiz Confiáveis do computador local.
Autoridade de Certificação Intermediária
Selecione essa opção se o certificado tiver sido emitido por uma CA intermediária e estiver armazenado no repositório de certificados Autoridades de Certificação Intermediárias do computador local.
Habilitar certificado para mapeamento de conta
Ao habilitar o certificado para mapeamento de conta do IPsec, os protocolos IKE (Internet Key Exchange) e AuthIP associam (mapeiam) um certificado de usuário a uma conta de usuário em um domínio ou floresta do Active Directory e obtêm um token de acesso, que inclui a lista de grupos de segurança de usuários. Esse processo garante que o certificado oferecido pelo IPsec de mesmo nível corresponde à conta de um usuário ativo no domínio e que o certificado é um que deve ser usado por esse usuário.
O certificado para mapeamento de conta pode ser usado apenas para contas de usuário que estejam na mesma floresta que o computador que executa o mapeamento. Isso proporciona uma autenticação muito mais forte do que simplesmente aceitar qualquer cadeia de certificado válida. Por exemplo, você pode usar esse recurso para restringir o acesso aos usuários que estejam dentro da mesma floresta. No entanto, o certificado para mapeamento de conta não garante que um usuário confiável específico tenha permissão de acesso ao IPsec.
O certificado para mapeamento de conta é especialmente útil se os certificados forem provenientes de uma PKI (infraestrutura de chave pública) não integrada a sua implantação do AD DS (Serviços de Domínio Active Directory), como se os parceiros comerciais obtiverem seus certificados de fornecedores não-Microsoft. Você pode configurar o método de autenticação de política do IPsec para mapear certificados em uma conta de usuário de domínio para uma CA raiz específica. Você também pode mapear todos os certificados de uma CA de emissão para uma conta de usuário. Isso permite que a autenticação do certificado seja usada para limitar quais florestas têm permissão de acesso do IPsec em um ambiente no qual muitas florestas existem e cada uma executa o registro automático sob uma CA raiz interna única. Se o processo de certificado para mapeamento de conta não for concluído apropriadamente, a autenticação falhará e as conexões protegidas por IPsec serão bloqueadas.
Certificado de integridade do computador
Use esta opção para especificar que apenas um computador que apresenta um certificado da CA especificada e que esteja marcado como um certificado de integridade NAP (Proteção de Acesso à Rede) possa autenticar usando essa regra de segurança de conexão. O NAP permite que você defina e aplique diretivas de integridade de modo que os computadores que não atenderem às políticas de rede, como computadores sem um software antivírus ou sem as atualizações de software mais recentes, tenham menos probabilidade de acessar sua rede. Para implementar o recurso NAP, você deve fazer as configurações de NAP nos computadores cliente e servidor. Para obter mais informações, consulte a Ajuda do snap-in do MMC do NAP. Para usar esse método, você deve ter um servidor NAP configurado no domínio.
Algoritmo de assinatura
Especifique o algoritmo de assinatura usado para proteger criptograficamente o certificado.
RSA (padrão)
Selecione esta opção se o certificado for assinado usando o algoritmo de criptografia da chave pública RSA.
ECDSA-P256
Selecione esta opção se o certificado for assinado usando o ECDSA (Algoritmo de assinatura digital de curva elíptica) com restrição de chave de 256 bits.
ECDSA-P384
Selecione esta opção se o certificado for assinado usando ECDSA com restrição de chave de 384 bits.
Tipo de repositório de certificados
Especifique o tipo de certificado identificando o repositório no qual o certificado está localizado.
Autoridade de Certificação Raiz (padrão)
Selecione essa opção se o certificado tiver sido emitido por uma CA raiz e estiver armazenado no repositório de certificados Autoridades de Certificação Raiz Confiáveis do computador local.
Autoridade de Certificação Intermediária
Selecione essa opção se o certificado tiver sido emitido por uma CA intermediária e estiver armazenado no repositório de certificados Autoridades de Certificação Intermediárias do computador local.
Habilitar certificado para mapeamento de conta
Ao habilitar o certificado para mapeamento de conta do IPsec, os protocolos IKE e AuthIP associam (mapeiam) um certificado a uma conta de usuário ou um computador em um domínio ou floresta do Active Directory e obtêm um token de acesso, que inclui a lista de grupos de segurança. Esse processo garante que o certificado oferecido pelo IPsec de mesmo nível corresponde a um computador ativo ou a uma conta de um usuário no domínio e que o certificado é um que deve ser usado por essa conta.
O certificado para mapeamento de conta pode ser usado apenas para contas que estejam na mesma floresta que o computador que executa o mapeamento. Isso proporciona uma autenticação muito mais forte do que simplesmente aceitar qualquer cadeia de certificado válida. Por exemplo, você pode usar esse recurso para restringir o acesso às contas que estejam dentro da mesma floresta. No entanto, o certificado para mapeamento de conta não garante que uma conta confiável específica tenha permissão de acesso ao IPsec.
O certificado para mapeamento de conta é especialmente útil se os certificados forem provenientes de uma PKI não integrada a sua implantação do AD DS, como se os parceiros comerciais obtiverem seus certificados de fornecedores não-Microsoft. Você pode configurar o método de autenticação de política do IPsec para mapear certificados em uma conta de domínio para uma CA raiz específica. Você também pode mapear todos os certificados de uma CA de emissão para um computador ou uma conta de usuário. Isso permite que a autenticação de certificado IKE seja usada para limitar quais florestas têm permissão de acesso do IPsec em um ambiente no qual muitas florestas existem e cada uma executa o registro automático sob uma CA raiz interna única. Se o processo de certificado para mapeamento de conta não for concluído apropriadamente, a autenticação falhará e as conexões protegidas por IPsec serão bloqueadas.