O IPsec é uma estrutura de normas abertas para assegurar comunicações privadas e seguras através de redes IP mediante a utilização de serviços de segurança criptográfica. A implementação do Microsoft Windows do IPSec é baseada em normas desenvolvidas pelo grupo de trabalho IPSec do IETF (Internet Engineering Task Force).
O IPsec estabelece fidedignidade e segurança entre um endereço IP de origem e um endereço IP de destino. Os únicos computadores que têm que ter conhecimento da segurança do tráfego são o computador emissor e o receptor. Cada computador processa a segurança no respectivo ponto, partindo do pressuposto de que o suporte de comunicação não é seguro. Os computadores que só encaminham dados da origem para o destino não precisam de suportar o IPsec, a não ser que seja efectuada filtragem de pacotes do tipo firewall ou conversão de endereços de rede (NAT) entre os dois computadores.
Pode utilizar o snap-in Política de Segurança IP para criar, editar e atribuir política IPsec neste computador e em computadores remotos.
 | Nota |
Esta documentação destina-se a fornecer informações suficientes para a compreensão e utilização do snap-in Política de Segurança IP. As informações sobre a concepção e implementação de política encontra-se fora do âmbito desta documentação. |
Acerca das políticas IPSec
As política IPsec são utilizadas para configurar os serviços de segurança IPsec. As políticas fornecem níveis de protecção variados para a maioria dos tipos de tráfego, na maioria das redes existentes. Pode configurar políticas IPSec para cumprir requisitos de segurança de um computador, uma unidade organizacional (OU), um domínio, um local ou uma empresa global. Pode utilizar o snap-in Políticas de Segurança IP, fornecido nesta versão do Windows para definir políticas IPsec para computadores através de objectos de Política de Grupo (para membros do domínio), no computador local ou para computadores remotos.
 | Importante |
O snap-in Política de Segurança IP pode ser utilizado para criar políticas IPsec que podem ser aplicadas em computadores que executam o Windows Vista e versões posteriores do Windows, mas este snap-in não utiliza os novos algoritmos de segurança e as outras funcionalidades novas disponíveis no Windows Vista e em versões posteriores do Windows. Para criar políticas IPsec para estes computadores, utilize o utilize o snap-in Firewall do Windows com segurança avançada. O snap-in Firewall do Windows com segurança avançada não cria políticas que possam ser aplicadas em versões anteriores do Windows. |
Uma política IPsec é composta por definições de política IPsec gerais e regras. As definições de política IPsec gerais são aplicadas, independentemente das regras configuradas. Estas definições determinam o nome da política, a respectiva descrição para fins administrativos, definições para troca de chaves e métodos de troca de chaves. Uma ou mais regras IPsec determinam os tipos de tráfego que o IPsec tem de examinar, o modo como o tráfego é tratado, como autenticar um elemento IPSec e outras definições.
Depois de criadas, as políticas podem ser aplicadas no domínio, no local, na OU e a nível local. Só pode existir uma política activa num computador de cada vez. As políticas distribuídas e aplicadas através da utilização de objectos de Política de Grupo substituem as políticas locais.
Tarefas do snap-in Política IPsec
Esta secção inclui algumas das tarefas mais comuns que poderá efectuar utilizando o snap-in Políticas de Segurança IP.
Criar uma política
A menos que esteja a criar políticas apenas num computador e no respectivo elemento IPsec, é provável que pretenda criar um conjunto de políticas IPsec adequadas ao ambiente de TI. O processo de concepção, criação e implementação de políticas pode ser complexo, dependendo do tamanho do domínio, da homogeneidade dos computadores existentes nesse domínio e de outros factores.
De uma maneira geral, o processo é o seguinte:
- Crie listas de filtros IP correspondentes aos computadores, sub-redes e condições do ambiente.
- Crie acções de filtro correspondentes ao modo como pretende que as ligações sejam autenticadas, a integridade de dados seja aplicada e os dados sejam encriptados. A acção de filtro também pode ser Bloquear ou Permitir, independentemente de outros critérios. A acção Bloquear tem prioridade sobre as outras acções.
- Crie um conjunto de políticas que correspondam aos requisitos de filtragem e acção de filtro (segurança) de que necessita.
- Em primeiro lugar, implemente políticas que utilizem as acções de filtro Permitir e Bloquear e, em seguida, monitorize o ambiente IPsec relativamente a problemas que possam requerer o ajustamento destas políticas.
- Implemente as políticas utilizando a acção de filtro Negociar Segurança com a opção de reverter para as comunicações em texto simples. Isto permite-lhe testar o funcionamento do IPsec no seu ambiente, sem interromper as comunicações.
- Assim que tiver efectuado quaisquer aperfeiçoamentos requeridos às políticas, remova a acção de rever para comunicações em texto simples onde adequado. Isto fará com que as políticas exijam autenticação e segurança antes que possa ser criada uma ligação.
- Monitorize o ambiente relativamente a comunicações que não estejam a ser efectuadas, o que poderá ser indicado por um aumento súbito na estatística Falhas de Negociação de Modo Principal.
 | Para criar uma nova política IPsec |
Clique com o botão direito do rato no nó Políticas de Segurança IP e, em seguida, clique em Criar Política de Segurança IP.
No Assistente para Política de Segurança IP, clique em Seguinte.
Escreva um nome e uma descrição (opcional) para a política e clique em Seguinte.
Seleccione ou mantenha desmarcada a caixa de verificação Activar a regra de resposta predefinida e clique em Seguinte.
Nota A regra de resposta predefinida só pode ser utilizada por políticas aplicadas ao Windows XP, bem como ao Windows Server 2003 e versões anteriores. As versões posteriores do Windows não podem utilizar a regra de resposta predefinida.
Se estiver a utilizar a regra de resposta predefinida, seleccione um método de autenticação e clique em Seguinte.
Para obter mais informações sobre a regra de resposta predefinida, consulte Regras IPsec.
Deixe a caixa de verificação Editar propriedades e, em seguida, clique em Seguinte. Pode adicionar regras à política conforme necessário.
Adicionar ou alterar uma regra a uma política
| Para adicionar uma regra de política |
Clique com botão direito do rato na política IPsec e, em seguida, clique em Propriedades.
Se pretender criar a regra na caixa de diálogo de propriedades, desmarque a caixa de verificação Utilizar Assistente. Para utilizar o assistente, deixe a caixa de verificação seleccionada. Clique em Adicionar. As instruções seguintes dizem respeito à criação de uma regra utilizando a caixa de diálogo.
Na caixa de diálogo Propriedades da Nova Regra, no separador Lista de Filtros IP, seleccione a lista de filtros adequada ou clique em Adicionar para adicionar uma nova lista de filtros. Se já tiver criado listas de filtros, estas serão apresentadas na lista Listas de Filtros IP. Para obter mais informações sobre como criar e utilizar listas de filtros, consulte Listas de Filtros.
Nota Só é possível utilizar uma lista de filtros por regra.
No separador Acção do Filtro, seleccione a acção de filtro apropriada ou clique em Adicionar para adicionar uma nova acção de filtro. Para obter mais informações sobre como criar e utilizar acções de filtro, consulte Acções de Filtro.
Nota Só é possível utilizar uma acção de filtro por regra.
No separador Métodos de Autenticação, seleccione o método adequado ou clique em Adicionar para adicionar um novo método. Para obter mais informações sobre como criar e utilizar métodos de autenticação, consulte Autenticação IPsec.
Nota Pode utilizar vários métodos por regra. Os métodos são tentados pela ordem em que aparecem na lista. Se especificar a utilização de certificados, coloque-os em conjunto na lista, pela ordem em que pretende que sejam utilizados.
No separador Tipo de Ligação, seleccione o tipo de ligação a que a regra é aplicada. Para obter mais informações sobre tipos de ligação, consulte Tipo de Ligação IPsec
Se estiver a utilizar um túnel, especifique os pontos finais no separador Definições do Túnel. Por predefinição, não é utilizado nenhum túnel. Para obter mais informações sobre a utilização de túneis, consulte Definições de Túnel IPsec. As regras de túnel não podem ser espelhadas.
Quando todas as definições estiverem completas, clique em OK.
| Para alterar uma regra de política |
Clique com botão direito do rato na política IPsec e, em seguida, clique em Propriedades.
Na caixa de diálogo Propriedades da Política, seleccione a regra e, em seguida, clique em Editar.
Na caixa de diálogo Editar Propriedades da Regra, no separador Lista de Filtros IP, seleccione a lista de filtros adequada ou clique em Adicionar para adicionar uma nova lista de filtros. Para obter mais informações sobre como criar e utilizar listas de filtros, consulte Listas de Filtros.
Nota Só é possível utilizar uma lista de filtros por regra.
No separador Acção de Filtro, seleccione a acção de filtro adequada ou clique em Adicionar para adicionar uma nova lista de filtros. Para obter mais informações sobre como criar e utilizar acções de filtro, consulte Acções de Filtro.
Nota Só é possível utilizar uma acção de filtro por regra.
No separador Métodos de Autenticação, seleccione o método adequado ou clique em Adicionar para adicionar um novo método. Para obter mais informações sobre como criar e utilizar métodos de autenticação, consulte Autenticação IPsec.
Nota Pode utilizar vários métodos por regra. Os métodos são tentados pela ordem em que aparecem na lista.
No separador Tipo de Ligação, seleccione o tipo de ligação a que a regra é aplicada. Para obter mais informações sobre tipos de ligação, consulte Tipo de Ligação IPsec.
Se estiver a utilizar um túnel, especifique os pontos finais no separador Definições do Túnel. Por predefinição, não é utilizado nenhum túnel. Para obter mais informações sobre a utilização de túneis, consulte Definições de Túnel IPsec.
Quando todas as definições estiverem completas, clique em OK.
Atribuir uma política
| Para atribuir uma política a este computador |
Clique com o botão direito do rato na política e, em seguida e, clique em Atribuir.
Notas - Só pode ser atribuída uma política a um computador de cada vez. A atribuição de outra política cancela automaticamente a atribuição da política actual. A Política de Grupo do domínio pode atribuir outra política a este computador e ignorar a política local.
- Para que uma política IPsec computador-a-computador tenha êxito, tem de criar uma política espelhada no outro computador e atribuir essa política a esse computador.
- Para atribuir esta política a muitos computadores, utilize a Política de Grupo.