Эти параметры позволяют задать, как на одноранговом компьютере будет выполняться проверка подлинности учетной записи пользователя. Также можно указать, что компьютер должен иметь сертификат обновления. Второй метод проверки подлинности выполняется протоколом IP с проверкой подлинности в расширенном режиме фазы согласований протокола IPsec основного режима.
Можно указать несколько методов для произведения второй проверки подлинности. Тогда эти методы используются в порядке их перечисления. После того, как любой из последовательно применяемых методов завершен успешно, проверка считается пройденной.
Дополнительные сведения о методах проверки подлинности, предоставляемых в этом диалоговом окне, см. в разделе
 | Чтобы открыть это диалоговое окно |
При изменении параметров по умолчанию на уровне системы:
- В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните Брандмауэр Windows в режиме повышенной безопасности и в разделе Обзор выберите пункт Свойства брандмауэра Windows.
- Перейдите на вкладку Параметры IPsec и в разделе Параметры IPsec по умолчанию нажмите кнопку Настроить.
- В разделе Метод проверки подлинности выберите Дополнительно и нажмите кнопку Настроить.
- В разделе Вторая проверка подлинности выберите метод и нажмите кнопку Изменить или Добавить.
- В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните Брандмауэр Windows в режиме повышенной безопасности и в разделе Обзор выберите пункт Свойства брандмауэра Windows.
При создании нового правила безопасности подключения:
- В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.
- На странице Тип правила выберите любой тип, кроме Освобождение от проверки подлинности.
- На странице Метод проверки подлинности выберите Дополнительно и нажмите кнопку Настроить.
- В разделе Вторая проверка подлинности выберите метод и нажмите кнопку Изменить или Добавить.
- В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.
При изменении существующего правила безопасности:
- В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните пункт Правила безопасности подключения.
- Дважды щелкните правило безопасности подключения, которое необходимо изменить.
- Перейдите на вкладку Проверка подлинности.
- В разделе Метод выберите Дополнительно и нажмите кнопку Настроить.
- В разделе Вторая проверка подлинности выберите метод и нажмите кнопку Изменить или Добавить.
- В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните пункт Правила безопасности подключения.
Пользователь (Kerberos версии 5)
Этот метод можно использовать для проверки подлинности пользователя, вошедшего на удаленный компьютер, который является частью одного домена, а также когда они находятся в разных доменах, имеющих доверительные отношения. Пользователь должен иметь учетную запись домена, а компьютер должен быть членом домена того же леса.
Пользователь (NTLMv2)
NTLMv2 является альтернативным способом проверки подлинности пользователя, вошедшего на удаленный компьютер в том же домене или в домене, который имеет доверительные отношения с доменом локального компьютера. Учетная запись пользователя и компьютер должны входить в домены, являющиеся частью одного леса.
Сертификат пользователя
Используйте сертификат общего ключа в сценариях взаимодействия с внешними деловыми партнерами или компьютерами, не поддерживающими протокол Kerberos V5. Для этого необходимо, чтобы был настроен или доступен по сети по крайней мере один доверенный корневой центр сертификации и чтобы клиентские компьютеры имели соответствующий сертификат компьютера. Этот метод удобен, когда пользователи находятся в различных доменах без двусторонних доверительных отношений и при этом нельзя использовать протокол Kerberos V5.
Алгоритм подписи
Укажите алгоритм подписи для криптографической защиты сертификата.
RSA (по умолчанию)
Выберите этот параметр, если сертификат подписывается с помощью алгоритма шифрования с открытым ключом RSA.
ECDSA-P256
Выберите этот параметр, если сертификат подписывается с помощью алгоритма цифровой подписи на эллиптических кривых с 256-битным уровнем криптостойкости ключа.
ECDSA-P384
Выберите этот параметр, если сертификат подписывается с помощью алгоритма цифровой подписи на эллиптических кривых с 384-битным уровнем криптостойкости ключа.
Тих хранилища сертификата
Задайте тип сертификата путем указания хранилища, в котором он находится.
Корневой центр сертификации (по умолчанию)
Выберите этот параметр, если сертификат был выдан корневым центром сертификации и находится в хранилище сертификатов доверенных корневых ЦС локального компьютера.
Промежуточный ЦС
Выберите этот параметр, если сертификат был выдан промежуточным центром сертификации и находится в хранилище сертификатов промежуточных ЦС.
Включить сопоставление сертификатов и учетных записей
Если разрешено сопоставление сертификата и учетной записи по протоколу IPsec, протокол IKE и протокол IP с проверкой подлинности сопоставляют сертификат пользователя с учетной записью пользователя в домене Active Directory или лесу и извлекают маркер доступа, содержащий список групп безопасности пользователя. Такая процедура гарантирует, что сертификат на стороне IPsec соответствует активной учетной записи пользователя в домене и что этот сертификат является именно тем сертификатом, который должен использоваться данным пользователем.
Сопоставление сертификатов с учетными записями разрешается только для тех учетных записей пользователей, которые находятся в том же лесу, что и компьютер, выполняющий сопоставление. Это обеспечивает большую безопасность проверки подлинности, чем просто принятие любых допустимых цепочек сертификатов. Эту возможность можно использовать, например, чтобы разрешить доступ только тем пользователям, которые находятся в одном лесу. Однако сопоставление сертификатов с учетными записями не гарантирует, что данному доверенному пользователю разрешается доступ по протоколу IPsec.
Сопоставление сертификатов с учетными записями особенно полезно, если сертификаты поступают из инфраструктуры публичного ключа (PKI), которая не интегрирована с развертыванием доменных служб Active Directory (AD DS), например, когда деловые партнеры получают сертификаты от сторонних поставщиков. При сопоставлении сертификатов с учетной записью пользователя домена можно настроить метод проверки подлинности политики IPsec для указанного корневого ЦС. Также можно сопоставлять все сертификаты, выдаваемые данным ЦС, с одной учетной записью пользователя. Это позволяет использовать проверку подлинности сертификата для ограничения лесов, в которых разрешен доступ по протоколу IPsec, в среде с множеством лесов, каждый из которых выполняет автоматическую регистрацию с единственным внутренним корневым ЦС. Если процедура сопоставления сертификатов с учетными записями не завершается успешно, проверка подлинности не выполнится и IPsec-защищенные подключения будут заблокированы.
Компьютерный сертификат обновлений
Используйте этот параметр, чтобы указать, что только один компьютер, который предоставляет из определенного ЦС сертификат, помеченный как сертификат работоспособности NAP, может выполнять проверку подлинности с помощью этого правила безопасности подключения. Служба защиты доступа к сети (NAP) помогает определять и применять политики работоспособности, чтобы обеспечить минимальную вероятность доступа в сеть компьютерам, не отвечающим сетевым политикам (например, компьютерам без антивирусных программ или на которых не установлены последние обновления программного обеспечения). Чтобы использовать NAP, необходимо настроить параметры NAP как на сервере, так и на клиентском компьютере. Для получения дополнительной информации обратитесь к справке по оснастке NAP. Для использования этого метода требуется по крайней мере один настроенный сервер NAP в домене.
Алгоритм подписи
Укажите алгоритм подписи для криптографической защиты сертификата.
RSA (по умолчанию)
Выберите этот параметр, если сертификат подписывается с помощью алгоритма шифрования с открытым ключом RSA.
ECDSA-P256
Выберите этот параметр, если сертификат подписывается с помощью алгоритма цифровой подписи на эллиптических кривых с 256-битным уровнем криптостойкости ключа.
ECDSA-P384
Выберите этот параметр, если сертификат подписывается с помощью алгоритма цифровой подписи на эллиптических кривых с 384-битным уровнем криптостойкости ключа.
Тих хранилища сертификата
Задайте тип сертификата путем указания хранилища, в котором он находится.
Корневой центр сертификации (по умолчанию)
Выберите этот параметр, если сертификат был выдан корневым центром сертификации и находится в хранилище сертификатов доверенных корневых ЦС локального компьютера.
Промежуточный ЦС
Выберите этот параметр, если сертификат был выдан промежуточным центром сертификации и находится в хранилище сертификатов промежуточных ЦС.
Включить сопоставление сертификатов и учетных записей
Если включено сопоставление сертификата и учетной записи для доступа по протоколу IPsec, протокол IKE и протокол IP с проверкой подлинности сопоставляют сертификат пользователя с учетной записью пользователя в домене Active Directory или лесу и извлекают маркер доступа, содержащий список групп безопасности. Такая процедура гарантирует, что сертификат на стороне IPsec соответствует активной учетной записи пользователя или компьютера в домене и что этот сертификат является именно тем сертификатом, который должен использоваться данной учетной записью.
Сопоставление сертификатов с учетными записями может использоваться только для тех учетных записей, которые находятся в том же лесу, что и компьютер, выполняющий сопоставление. Это обеспечивает большую безопасность проверки подлинности, чем просто принятие любых допустимых цепочек сертификатов. Эту возможность можно использовать, например, для ограничения прав доступа учетных записей, которые находятся в одном лесу. Однако сопоставление сертификатов с учетными записями не гарантирует, что данной доверенной учетной записи разрешается доступ по протоколу IPsec.
Сопоставление сертификатов с учетными записями особенно полезно, если сертификаты поступают из инфраструктуры публичного ключа (PKI), которая не интегрирована с развертыванием доменных служб Active Directory (AD DS), например, когда деловые партнеры получают сертификаты от сторонних поставщиков. При сопоставлении сертификатов с учетной записью домена можно настроить метод проверки подлинности политики IPsec для указанного корневого ЦС. Также можно сопоставить все сертификаты, выдаваемые данным ЦС, с одной учетной записью пользователя или компьютера. Это позволяет использовать проверку подлинности сертификата IKE для ограничения лесов, в которых разрешен доступ по протоколу IPsec в среде с множеством лесов, каждый из которых выполняет автоматическую регистрацию с единственным внутренним корневым ЦС. Если процедура сопоставления сертификатов с учетными записями не завершается успешно, проверка подлинности не выполнится и IPsec-защищенные подключения будут заблокированы.