Cada regra define uma lista de métodos de autenticação. Cada método de autenticação define os requisitos do modo pelo qual as identidades são verificadas em comunicações às quais se aplica a regra associada. Os métodos são tentados por cada elemento pela ordem em que estão listados. Os dois elementos têm de ter pelo menos um método de autenticação em comum para que a comunicação não falhe. A criação de vários métodos de autenticação aumenta a hipótese de se encontrar um método comum entre dois computadores.

Nota

A ordem destes métodos também é importante porque só é tentado o primeiro método comum; se este falhar a autenticação, não será tentado mais nenhum método existente na lista, mesmo que estes métodos pudessem ter tido êxito.

Métodos de autenticação

Apenas um método de autenticação pode ser utilizado entre um par de computadores, independentemente da quantidade configurada. Se tiver várias regras que se apliquem ao mesmo par de computadores, terá de configurar a lista de métodos de autenticação nessas regras de modo a permitir que o par de computadores utilize o mesmo método. Por exemplo, se uma regra entre um par de computadores especificar apenas Kerberos para a autenticação e filtrar apenas dados TCP e se outra regra especificar apenas certificados para a autenticação e filtrar apenas dados UDP, a autenticação falhará. Os métodos de autenticação são configurados no separador Métodos de Autenticação das folhas de propriedades Editar Propriedades de Regra ou Adicionar Propriedades de Regra.

  • O protocolo de autenticação Kerberos versão 5 é a tecnologia de autenticação predefinida. Este método pode ser utilizado para quaisquer computadores que estejam a executar o protocolo de autenticação Kerberos V5 e que sejam membros do mesmo domínio ou de domínios fidedignos. Este método é útil para o isolamento de domínios utilizando a segurança do Protocolo Internet (IPsec).

  • Deve ser utilizado um certificado de chave pública em situações que incluam acesso à Internet, acesso remoto a recursos da empresa, comunicações externas com parceiros comerciais ou computadores que não utilizem o protocolo de autenticação Kerberos V5. Isto requer que tenha sido configurada, pelo menos, uma autoridade de certificação (AC) fidedigna. Esta versão do Windows suporta certificados X.509 Versão 3, incluindo certificados da AC gerados por autoridades de certificação comerciais.

  • Pode ser especificada uma chave pré-partilhada. Esta é uma chave secreta partilhada, previamente acordada entre dois utilizadores. Este procedimento é simples e não exige que o cliente execute o protocolo de autenticação Kerberos V5 ou tenha um certificado de chave pública. Ambas as partes têm de configurar manualmente o IPsec para utilizar esta chave pré-partilhada. Este é um método simples para autenticação de computadores autónomos ou de quaisquer computadores que não estejam a utilizar o protocolo de autenticação Kerberos V5. A chave pré-partilhada só é utilizada para protecção da autenticação; não é utilizada para integridade ou encriptação de dados.

Importante

A chave pré-partilhada é armazenada em texto simples, não sendo considerada um método seguro. As chaves pré-partilhadas só devem ser utilizadas para testes.

Consulte Também