Utilize estas definições para especificar a forma como o computador numa rede ponto-a-ponto é autenticado. O método de primeira autenticação é efectuado durante a fase de modo principal das negociações IPsec (Internet Protocol security).
Pode especificar vários métodos a utilizar para a primeira autenticação. Os métodos são tentados pela ordem que especificar. É utilizado o primeiro método tentado com êxito.
Para mais informações sobre os métodos de autenticação disponíveis nesta caixa de diálogo, consulte o tópico sobre os
 | Para aceder a esta caixa de diálogo |
Ao modificar as predefinições de todo o sistema:
- No snap-in da MMC da Firewall do Windows com segurança avançada, em Descrição Geral clique em Propriedades da Firewall do Windows.
- Clique no separador Definições de IPsec e, em Predefinições de IPsec, clique em Personalizar.
- Em Método de Autenticação, seleccione Avançado e clique em Personalizar.
- Em Primeira autenticação, seleccione um método e clique em Editar ou Adicionar.
- No snap-in da MMC da Firewall do Windows com segurança avançada, em Descrição Geral clique em Propriedades da Firewall do Windows.
Ao criar uma nova regra de segurança de ligação:
- No snap-in da MMC do Firewall do Windows com segurança avançada, clique com o botão direito do rato em Regras de Segurança de Ligação e, em seguida, clique em Nova Regra.
- Na página Tipo de Regra, seleccione qualquer tipo excepto Isenção de autenticação.
- Na página Método de Autenticação, seleccione Avançado e clique em Personalizar.
- Em Primeira autenticação, seleccione um método e clique em Editar ou Adicionar.
- No snap-in da MMC do Firewall do Windows com segurança avançada, clique com o botão direito do rato em Regras de Segurança de Ligação e, em seguida, clique em Nova Regra.
Ao modificar uma regra de segurança de ligação existente:
- No snap-in da MMC do Firewall do Windows com segurança avançada, clique em Regras de Segurança de Ligação.
- Faça duplo clique na regra de segurança de ligação que pretende modificar.
- Clique no separador Autenticação.
- Em Método, clique em Avançado e clique em Personalizar.
- Em Primeira autenticação, seleccione um método e clique em Editar ou Adicionar.
- No snap-in da MMC do Firewall do Windows com segurança avançada, clique em Regras de Segurança de Ligação.
Computador (Kerberos V5)
Pode utilizar este método para autenticar computadores numa rede ponto-a-ponto que tenham contas de computador no mesmo domínio ou em domínios separados que partilhem uma relação de fidedignidade.
Computador (NTLMv2)
NTLMv2 é uma forma alternativa de autenticar computadores numa rede ponto-a-ponto que tenham contas de computador no mesmo domínio ou em domínios separados que partilhem uma relação de fidedignidade.
Certificado do computador para esta autoridade de certificação (AC)
Utilize um certificado de chave pública em situações que incluam comunicações externas com parceiros comerciais ou computadores que não utilizem o protocolo de autenticação Kerberos versão 5. Isso requer que pelo menos uma AC de raiz fidedigna esteja configurada na rede ou seja acessível através desta, e que os computadores cliente tenham um certificado de computador associado.
Algoritmo de assinatura
Especifica o algoritmo de assinatura utilizado para proteger criptograficamente o certificado.
RSA (predefinição)
Seleccione esta opção se o certificado for assinado utilizando o algoritmo de criptografia de chave pública RSA.
ECDSA-P256
Seleccione esta opção se o certificado for assinado utilizando o algoritmo Elliptic Curve Digital Signature Algorithm (ECDSA) com força de chave de 256 bits.
ECDSA-P384
Seleccione esta opção se o certificado for assinado utilizando o algoritmo ECDSA com força de chave de 384 bits.
Tipo de arquivo de certificados
Especifica o tipo de certificado identificando o arquivo em que o certificado se encontra localizado.
AC de Raiz (predefinição)
Seleccione esta opção se o certificado tiver sido emitido por uma AC de raiz e for armazenado no arquivo de certificados Autoridades de Certificação de Raiz Fidedigna do computador local.
AC Intermédia
Seleccione esta opção se o certificado tiver sido emitido por uma AC intermédia e for armazenado no arquivo de certificados Autoridades de Certificação Intermediárias do computador local.
Aceitar apenas certificados de estado de funcionamento
Esta opção limita a utilização de certificados de computador aos certificados marcados como certificados de estado de funcionamento. Os certificados de estado de funcionamento são publicados por uma AC para suportar uma implementação de Protecção de Acesso à Rede (NAP). A NAP permite definir e impor políticas de estado de funcionamento para reduzir a probabilidade de acesso à rede de computadores que não cumpram as políticas de rede, tais como computadores sem software antivírus ou sem as actualizações de software mais recentes. Para implementar a NAP, tem de configurar as definições de NAP nos computadores cliente e de servidor. A Gestão de Clientes NAP, um snap-in da MMC (Microsoft Management Console), ajuda a configurar definições de NAP nos computadores cliente. Para mais informações, consulte o snap-in MMC NAP na Ajuda. Para utilizar este método, tem de ter um servidor NAP configurado no domínio.
Activar mapeamento certificado/conta
Quando activa o mapeamento certificado/conta de IPsec, os protocolos IKE (Internet Key Exchange) e AuthIP (Authenticated IP) associam (mapeiam) um certificado de computador a uma conta de computador no domínio ou floresta do Active Directory, obtendo em seguida um token de acesso, que inclui a lista de grupos de segurança do computador. Este processo garante que o certificado oferecido pelo elemento do IPsec corresponde a uma conta de computador activa no domínio, e que o certificado é o que deve ser utilizado por esse computador.
O mapeamento certificado/conta só pode ser utilizado para contas de computador que se encontrem na mesma floresta que o computador que efectua o mapeamento. Fornece uma autenticação muito mais segura do que a simples aceitação de qualquer cadeia de certificados válida. Por exemplo, pode utilizar esta capacidade para limitar o acesso a computadores que se encontrem na mesma floresta. Contudo, o mapeamento certificado/conta não garante que esteja a ser concedido acesso IPsec a um computador fidedigno específico.
O mapeamento certificado/conta é especialmente útil se os certificados provierem de uma infra-estrutura de chave pública (PKI) que não esteja integrada com a sua implementação dos Serviços de Domínio do Active Directory (AD DS), como no caso de os parceiros comerciais obterem os respectivos certificados de outros fornecedores que não a Microsoft. É possível configurar o método de autenticação da política IPsec para mapear certificados para uma conta de computador do domínio para uma AC de raiz específica. Também é possível mapear todos os certificados de uma AC emissora para uma conta de computador. Isso permite que a autenticação de certificados IKE seja utilizada para limitar as florestas a que é permitido acesso IPsec num ambiente em que existam muitas florestas e em que cada uma execute a inscrição automática sob uma única AC de raiz interna. Se o processo de mapeamento certificado/conta não for correctamente concluído, a autenticação falhará e as ligações protegidas por IPsec serão bloqueadas.
Chave pré-partilhada (não recomendado)
Pode utilizar chaves pré-partilhadas para autenticação. Trata-se de uma chave secreta partilhada, previamente acordada entre dois utilizadores. Ambas as partes têm configurar manualmente o IPsec para utilizar esta chave pré-partilhada. Durante a negociação de segurança, as informações são encriptadas com a chave partilhada antes da transmissão e desencriptadas com a mesma chave na extremidade receptora. Se o receptor conseguir desencriptar as informações, as identidades serão consideradas como tendo sido autenticadas.
 | Atenção |
|