Utilize estas definições para especificar a forma como a conta de utilizador no computador numa rede ponto-a-ponto é autenticada. Também pode especificar que o computador tem de ter um certificado de estado de funcionamento do computador. O método de segunda autenticação é executado por AuthIP (Authenticated IP) num modo expandido da fase de modo principal de negociações de segurança IPsec.
Pode especificar vários métodos a utilizar para esta autenticação. Os métodos são tentados pela ordem que especificar. É utilizado o primeiro método tentado com êxito.
Para mais informações sobre os métodos de autenticação disponíveis nesta caixa de diálogo, consulte o
Para aceder a esta caixa de diálogo |
Ao modificar as predefinições a nível do sistema:
- No snap-in Firewall do Windows com segurança avançada da MMC, no painel de navegação, clique em Firewall do Windows com Segurança Avançada e, em Descrição Geral, clique em Propriedades da Firewall do Windows.
- Clique no separador Definições de IPsec e, em Predefinições IPsec, clique em Personalizar.
- Em Método de Autenticação, seleccione Avançadas e clique em Personalizar.
- Em Segunda autenticação, seleccione um método e clique em Editar ou Adicionar.
- No snap-in Firewall do Windows com segurança avançada da MMC, no painel de navegação, clique em Firewall do Windows com Segurança Avançada e, em Descrição Geral, clique em Propriedades da Firewall do Windows.
Ao criar uma nova regra de segurança de ligação:
- No snap-in Firewall do Windows com segurança avançada da MMC, no painel de navegação, clique com o botão direito do rato em Regras de Segurança de Ligação e clique em Nova Regra.
- Na página Tipo de Regra, seleccione qualquer tipo excepto Isenção de autenticação.
- Na página Método de Autenticação, seleccione Avançadas e clique em Personalizar.
- Em Segunda autenticação, seleccione um método e clique em Editar ou Adicionar.
- No snap-in Firewall do Windows com segurança avançada da MMC, no painel de navegação, clique com o botão direito do rato em Regras de Segurança de Ligação e clique em Nova Regra.
Ao modificar uma regra de segurança existente:
- No snap-in Firewall do Windows com segurança avançada da MMC, no painel de navegação, clique em Regras de Segurança de Ligação.
- Faça duplo clique na regra de segurança de ligação que pretende modificar.
- Clique no separador Autenticação.
- Em Método, clique em Avançadas e clique em Personalizar.
- Em Segunda autenticação, seleccione um método e clique em Editar ou Adicionar.
- No snap-in Firewall do Windows com segurança avançada da MMC, no painel de navegação, clique em Regras de Segurança de Ligação.
Utilizador (Kerberos V5)
Pode utilizar este método para autenticar um utilizador com sessão iniciada num computador remoto que faz parte do mesmo domínio ou que está em domínios separados que partilham uma relação de fidedignidade. O utilizador com sessão iniciada tem de ter uma conta de domínio, e tem de ter sido efectuada a adesão do computador a um domínio na mesma floresta.
Utilizador (NTLMv2)
NTLMv2 consiste numa forma alternativa de autenticar um utilizador com sessão iniciada num computador remoto que faz parte do mesmo domínio ou que está num domínio que tem uma relação de fidedignidade com o domínio do computador local. Tem de ter sido efectuada a adesão da conta de utilizador e do computador a domínios que façam parte da mesma floresta.
Certificado de utilizador
Utilize um certificado de chave pública em situações que incluam comunicações entre parceiros de negócios externos ou computadores que não estejam a executar a versão 5 do protocolo de autenticação Kerberos. Tal requer que pelo menos uma autoridade de certificação (AC) de raiz fidedigna esteja configurada na rede ou seja acessível através da rede, e que os computadores clientes tenham um certificado de computador associado. Este método é útil quando os utilizadores não fazem parte do mesmo domínio ou estão em domínios separados que não partilham uma relação de fidedignidade bidireccional, e não é utilizada a versão 5 de Kerberos.
Algoritmo de assinatura
Especifique o algoritmo de assinatura utilizado para protecção criptográfica do certificado.
RSA (predefinição)
Seleccione esta opção se o certificado estiver assinado com um algoritmo de criptografia de chave pública RSA.
ECDSA-P256
Seleccione esta opção se o certificado estiver assinado com um algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm) com segurança de chave de 256 bits.
ECDSA-P384
Seleccione esta opção se o certificado estiver assinado com um algoritmo ECDSA com segurança de chave de 256 bits.
Tipo de arquivo de certificados
Especifique o tipo de certificado identificando o arquivo no qual o certificado está localizado.
AC de Raiz (predefinição)
Seleccione esta opção se o certificado tiver sido emitido por uma AC de raiz e estiver armazenado no arquivo de certificados Autoridades de Certificação de Raiz Fidedigna do computador local.
AC Intermédia
Seleccione esta opção se o certificado tiver sido emitido por uma AC intermédia e estiver armazenado no arquivo de certificados Autoridades de Certificação Intermédias do computador local.
Activar mapeamento certificado/conta
Quando o mapeamento certificado/conta IPsec é activado, os protocolos IKE (Internet Key Exchange) e AuthIP associam (mapeiam) um certificado de utilizador a uma conta de utilizador num domínio ou floresta do Active Directory, obtendo depois um token de acesso, o qual inclui a lista de grupos de segurança de utilizador. Este processo garante que o certificado oferecido pelo elemento IPsec corresponde a uma conta de utilizador activa no domínio, e que o certificado deve ser utilizado por esse utilizador.
O mapeamento certificado/conta só pode ser utilizado para contas de utilizador que estejam na mesma floresta que o computador que está a efectuar o mapeamento. Isto fornece uma autenticação muito mais segura do que simplesmente aceitar qualquer cadeia de certificados válida. Por exemplo, é possível utilizar esta capacidade para restringir o acesso a utilizadores que estejam na mesma floresta. Contudo, o mapeamento certificado/conta não garante que é permitido acesso IPsec a um utilizador fidedigno específico.
O mapeamento certificado/conta é especialmente útil se os certificados forem de uma infra-estrutura de chaves públicas (PKI) que não esteja integrada na implementação dos Serviços de Domínio do Active Directory (AD DS) do utilizador, tal como se os parceiros de negócio obtiverem os certificados deles junto de fornecedores que não sejam da Microsoft. É possível configurar o método de autenticação de políticas IPsec para mapear certificados para uma conta de utilizador de domínio de uma AC de raiz específica. É também possível mapear todos os certificados de uma AC emissora para uma conta de utilizador. Tal permite que a autenticação de certificados seja utilizada para limitar quais as florestas que têm permissão de acesso IPsec num ambiente onde existam muitas florestas e cada uma efectue inscrições automáticas sob uma única AC de raiz interna. Se o processo de mapeamento certificado/conta não for concluído correctamente, a autenticação irá falhar e as ligações protegidas por IPsec serão bloqueadas.
Certificado de estado de funcionamento do computador
Utilize esta opção para especificar que apenas um computador que apresente um certificado da AC específica e que esteja assinalado como um certificado de estado de funcionamento de Protecção de Acesso à Rede (NAP) pode efectuar a autenticação utilizando esta regra de segurança de ligação. A NAP permite-lhe definir e impor políticas de estado de funcionamento para que computadores que não cumpram políticas de rede (tais como computadores sem software antivírus ou computadores que não tenham as actualizações de software mais recentes) tenham menos probabilidade de aceder à rede. Para implementar a NAP, tem de configurar as definições de NAP nos computadores cliente e de servidor. Para mais informações, consulte a Ajuda do snap-in NAP da MMC. Para utilizar este método, tem de ter um servidor NAP configurado no domínio.
Algoritmo de assinatura
Especifique o algoritmo de assinatura utilizado para protecção criptográfica do certificado.
RSA (predefinição)
Seleccione esta opção se o certificado estiver assinado com um algoritmo de criptografia de chave pública RSA.
ECDSA-P256
Seleccione esta opção se o certificado estiver assinado com um algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm) com segurança de chave de 256 bits.
ECDSA-P384
Seleccione esta opção se o certificado estiver assinado com um algoritmo ECDSA com segurança de chave de 384 bits.
Tipo de arquivo de certificados
Especifique o tipo de certificado identificando o arquivo no qual o certificado está localizado.
AC de Raiz (predefinição)
Seleccione esta opção se o certificado tiver sido emitido por uma AC de raiz e estiver armazenado no arquivo de certificados Autoridades de Certificação de Raiz Fidedigna do computador local.
AC Intermédia
Seleccione esta opção se o certificado tiver sido emitido por uma AC intermédia e estiver armazenado no arquivo de certificados Autoridades de Certificação Intermédias do computador local.
Activar mapeamento certificado/conta
Quando o mapeamento certificado/conta IPsec é activado, os protocolos IKE e AuthIP associam (mapeiam) um certificado a uma conta de utilizador ou de computador num domínio ou floresta do Active Directory, obtendo depois um token de acesso, o qual inclui a lista de grupos de segurança. Este processo garante que o certificado oferecido pelo elemento IPsec corresponde a uma conta de utilizador ou de computador activa no domínio, e que o certificado deve ser utilizado por essa conta.
O mapeamento certificado/conta só pode ser utilizado para contas que estejam na mesma floresta que o computador que está a efectuar o mapeamento. Isto fornece uma autenticação muito mais segura do que simplesmente aceitar qualquer cadeia de certificados válida. Por exemplo, é possível utilizar esta capacidade para restringir o acesso a contas que estejam na mesma floresta. Contudo, o mapeamento certificado/conta não garante que é permitido acesso IPsec a uma conta fidedigna específica.
O mapeamento certificado/conta é especialmente útil se os certificados forem de um PKI que não esteja integrado na implementação do AD DS do utilizador, tal como se os parceiros de negócio obtiverem os certificados deles junto de fornecedores de certificados que não sejam da Microsoft. É possível configurar o método de autenticação de políticas IPsec para mapear certificados para uma conta de domínio de uma AC de raiz específica. É também possível mapear todos os certificados de uma AC emissora para uma conta de computador ou utilizador. Tal permite que a autenticação de certificados IKE seja utilizada para limitar quais as florestas que têm permissão de acesso IPsec num ambiente onde existam muitas florestas e cada uma efectue inscrições automáticas sob uma única AC de raiz interna. Se o processo de mapeamento certificado/conta não for concluído correctamente, a autenticação irá falhar e as ligações protegidas por IPsec serão bloqueadas.