Você pode usar o snap-in Monitor de Segurança IP para exibir e monitorar as estatísticas e a diretiva relacionadas ao IPsec aplicadas a esse computador e a outros computadores. Essas informações podem ajudá-lo a resolver problemas do IPsec e testar as diretivas que está criando. Para alterar as diretivas do IPsec, use o snap-in Diretivas de Segurança do IP.

Se criar uma diretiva usando o snap-in Firewall do Windows com Segurança Avançada, você não poderá usar o snap-in Monitor de Segurança IP para exibir essas regras. Você deve usar o item de Monitoramento do snap-in Firewall do Windows com Segurança Avançada.

Anotações
  • O snap-in Monitor de Segurança IP pode ser usado para monitorar IPSec apenas em computadores que executam o Windows XP ou superior. Para monitorar o IPsec em um computador que executa o Windows 2000, use o comando ipsecmon.
  • O snap-in Diretiva de Segurança IP pode ser usado para criar diretivas IPsec aplicáveis a computadores que executam o Windows Vista®, Windows Server® 2008 e versões posteriores do Windows, mas ele não utiliza os novos algoritmos de segurança e outros recursos novos, disponíveis nas versões posteriores do Windows. Para criar diretivas IPsec que usem os algoritmos mais recentes, use o snap-in Firewall do Windows com Segurança Avançada. O snap-in Firewall do Windows com Segurança Avançada não cria diretivas que podem ser aplicadas a versões anteriores do Windows.

Monitorando tarefas

Esta é uma lista resumida das tarefas mais comuns que podem ser realizadas usando o snap-in Monitor de Segurança IP:

Adicionando um computador

Antes de poder monitorar IPsec em um computador remoto, você precisa primeiro adicionar o computador ao snap-in. É necessário ter acesso de nível de administrador ao computador remoto para adicioná-lo e monitorar IPsec.

Para adicionar um computador ao snap-in Monitor de Segurança de IP
  1. Na árvore de console, clique com o botão direito do mouse em Monitor de Segurança IP e clique em Adicionar computador.

  2. Na caixa de diálogo Adicionar Computador, clique em O seguinte computador e digite o nome do computador remoto. Ou clique em Procurar para localizá-lo na rede.

Anotações
  • Se os Serviços IPsec não tiverem sido iniciados no computador que está sendo monitorado, o ícone do servidor será exibido como um serviço que não está em execução. Para atualizar o Monitor de Segurança IP após a reinicialização dos serviços IPSec nesse computador, clique com o botão direito do mouse no computador e clique em Reconectar.
  • Em computadores que executam o Windows Server 2003 e versões posteriores, é necessário definir a chave de registro EnableRemoteMgmt como 1 no computador remoto e reiniciar o serviço IPsec. Caso contrário, você receberá uma mensagem de erro "IPsec não está sendo executado" no snap-in. A chave de registro está localizada em HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent.

Localizando um filtro específico

Há duas maneiras de localizar informações sobre um filtro específico, o que pode ser útil, por exemplo, durante a solução de problemas: é possível classificar o modo de exibição Filtros Específicos para localizar o filtro ou procurar o filtro na pasta Filtro Específico do Modo Principal ou Modo Rápido.

Para localizar um filtro na lista de filtros procurando
  1. Na pasta Filtro Específico do Modo Principal ou do Modo Rápido, clique no cabeçalho da coluna da propriedade que deseja procurar. Se você clicar no cabeçalho da coluna novamente, a lista será classificada em ordem reversa.

  2. Procure na lista para localizar o filtro.

Para encontrar um filtro específico procurando
  1. No Modo Principal ou no Modo Rápido, clique com o botão direito do mouse na pasta Filtro Específico e clique em Localizar Filtros Correspondentes.

  2. Na caixa de diálogo Localizar Filtros Correspondentes, selecione os critérios pelos quais deseja procurar e clique em Pesquisar.

    Observação

    A opção Localizar apenas a melhor correspondência localizará apenas uma correspondência, a que melhor corresponda aos critérios. Se você não visualizar o filtro que estava procurando, tente pesquisar novamente usando a opção Localizar todas as correspondências. A escolha de fonte e de destino Qualquer não procurar nenhuma fonte ou destino. Em vez disso, a escolha é usada para localizar a fonte ou destino "Qualquer", conforme listado no modo de exibição de lista Filtro Específico.

Procurando sinais de possíveis ataques

As estatísticas coletadas e exibidas pelo snap-in Monitor de Segurança IP podem ser úteis durante a procurar de possíveis ataques contra esse computador ou outros computadores adicionados ao snap-in. Essas informações estão localizadas nas pastas Estatísticas, tanto da pasta Modo Principal como da pasta Modo Rápido. Para obter mais informações sobre as estatísticas disponíveis, consulte Monitorando o Modo Principal ou Monitorando o Modo Rápido.

Exibindo associações de segurança

Uma associação de segurança (SA) é a combinação de uma chave negociada, um protocolo de segurança e a indexação de parâmetros de segurança (SPI), que em conjunto definem a segurança usada para proteger a comunicação do remetente para o receptor. Olhando as SAs deste computador, é possível determinar quais computadores têm conexões com este computador, que tipo de integridade de dados e criptografia está sendo usado para essa conexão e outras informações.

Essas informações podem ser úteis quando você está testando diretivas IPsec ou solucionando problemas de acesso.

Alterando outras configurações

É possível configurar se o snap-in atualiza automaticamente as informações que fornece. Também é possível configurar com que frequência ele atualiza essas informações e se os modos de exibição mostram endereços IP ou nomes DNS.

Para configurar a atualização automática
  1. Na pasta Monitor de Segurança IP, clique com o botão direito do mouse no nó do computador e clique em Propriedades.

  2. Na caixa de diálogo Propriedades do computador, marque a caixa de seleção Habilitar atualização automática.

  3. Para alterar a frequência com que o snap-in atualiza as informações, digite o intervalo preferido.

    Observação

    Por padrão, a atualização automática é habilitada com um intervalo de 45 segundos. A configuração da atualização automática, com muita frequência, pode levar a problemas de desempenho, especialmente quando você estiver monitorando computadores do snap-in e tiver ativado a resolução do nome DNS.

Para exibir endereços IP como nomes DNS
  1. Clique com o botão direito do mouse no nó do computador no snap-in Monitor de Segurança IP e clique em Propriedades.

  2. Na caixa de diálogo Propriedades do computador, marque a caixa de seleção Habilitar resolução de nomes DNS e clique em OK.

    Anotações
    • A resolução do nome DNS não está habilitada por padrão. Ela funciona apenas no modo de exibição Filtro Específico do Modo Rápido e no modo de exibição Associações de Segurança tanto para o Modo Principal como para o Modo Rápido.
    • A resolução do nome DNS pode afetar o desempenho se for necessário resolver muitos itens nesse modo de exibição.
    • Para resolver o nome DNS com seu endereço IP, os domínios reversos e os registros do recurso de ponteiro (PTR) adequados devem ser configurados na sua infraestrutura de DNS. Os registros do recurso PTR podem ser configurados manualmente ou por meio do uso da atualização dinâmica do DNS. Para resolver o nome NetBIOS de um computador a partir seu Endereço IP, NetBIOS sobre TCP/IP precisa estar ativado no computador.

Referências adicionais