Эти параметры позволяют задать, как будет выполняться проверка подлинности однорангового компьютера. Первая проверка подлинности производится в фазе согласований протокола IPsec основного режима.

Можно указать несколько методов для выполнения первой проверки подлинности. Тогда эти методы используются в порядке их перечисления. После того как любой из последовательно применяемых методов завершен успешно, проверка считается пройденной.

Дополнительные сведения о методах проверки подлинности, предоставляемых в этом диалоговом окне, см. в разделе Алгоритмы и методы протокола IPsec, поддерживаемые в разных версиях Windows (https://go.microsoft.com/fwlink/?linkid=129230).

Чтобы открыть это диалоговое окно
  • При изменении параметров по умолчанию на уровне системы:

    1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в разделе Обзор выберите пункт Свойства брандмауэра Windows.

    2. Перейдите на вкладку Параметры IPsec и в разделе Параметры IPsec по умолчанию нажмите кнопку Настроить.

    3. В разделе Метод проверки подлинности выберите Дополнительно и нажмите кнопку Настроить.

    4. В разделе Первая проверка подлинности выберите метод и нажмите кнопку Изменить или Добавить.

  • При создании нового правила безопасности подключения:

    1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.

    2. На странице Тип правила выберите любой тип, кроме Освобождение от проверки подлинности.

    3. На странице Метод проверки подлинности выберите Дополнительно и нажмите кнопку Настроить.

    4. В разделе Первая проверка подлинности выберите метод и нажмите кнопку Изменить или Добавить.

  • При изменении существующего правила безопасности:

    1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните пункт Правила безопасности подключения.

    2. Дважды щелкните правило безопасности подключения, которое необходимо изменить.

    3. Перейдите на вкладку Проверка подлинности.

    4. В разделе Метод выберите Дополнительно и нажмите кнопку Настроить.

    5. В разделе Первая проверка подлинности выберите метод и нажмите кнопку Изменить или Добавить.

Компьютер (Kerberos версии 5)

Этот метод можно использовать для проверки подлинности одноранговых компьютеров, у которых учетные записи компьютеров находятся в одном домене или в разных доменах, имеющих доверительные отношения.

Компьютер (NTLMv2)

NTLMv2 является альтернативным методом проверки подлинности одноранговых компьютеров, у которых учетные записи компьютеров находятся в одном домене или в разных доменах, имеющих доверительные отношения.

Сертификат компьютера из данного центра сертификации (ЦС)

Используйте сертификат общего ключа в сценариях взаимодействия с внешними деловыми партнерами или компьютерами, не поддерживающими протокол Kerberos V5. Для этого необходимо, чтобы был настроен или доступен по сети по крайней мере один доверенный корневой центр сертификации и чтобы клиентские компьютеры имели соответствующий сертификат компьютера.

Алгоритм подписи

Укажите алгоритм подписи для криптографической защиты сертификата.

RSA (по умолчанию)

Выберите этот параметр, если сертификат подписывается с помощью алгоритма шифрования с открытым ключом RSA.

ECDSA-P256

Выберите этот параметр, если сертификат подписывается с помощью алгоритма цифровой подписи на эллиптических кривых с 256-битным уровнем криптостойкости ключа.

ECDSA-P384

Выберите этот параметр, если сертификат подписывается с помощью алгоритма цифровой подписи на эллиптических кривых с 384-битным уровнем криптостойкости ключа.

Тих хранилища сертификата

Задайте тип сертификата путем указания хранилища, в котором он находится.

Корневой центр сертификации (по умолчанию)

Выберите этот параметр, если сертификат был выдан корневым центром сертификации и находится в хранилище сертификатов доверенных корневых ЦС локального компьютера.

Промежуточный ЦС

Выберите этот параметр, если сертификат был выдан промежуточным центром сертификации и находится в хранилище сертификатов промежуточных ЦС.

Принимать только сертификаты обновления

Этот параметр ограничивает используемые сертификаты компьютеров теми, которые помечены как сертификаты работоспособности. Сертификаты работоспособности публикуются центром сертификации для поддержки развертывания защиты доступа к сети (NAP). Служба защиты доступа к сети (NAP) помогает определять и применять политики работоспособности, чтобы обеспечить минимальную вероятность доступа в сеть компьютерам, не отвечающим сетевым политикам (например, компьютерам без антивирусных программ или на которых не установлены последние обновления программного обеспечения). Чтобы использовать NAP, необходимо настроить параметры NAP как на сервере, так и на клиентском компьютере. Оснастка консоли управления MMC «Управление клиентами NAP» позволяет настроить параметры NAP на клиентских компьютерах. Для получения дополнительной информации обратитесь к справке по оснастке NAP. Чтобы использовать этот метод, вы должны иметь по крайней мере один настроенный сервер NAP в домене.

Разрешение сопоставления сертификатов с учетными записями

Если разрешено сопоставление сертификата и учетной записи для доступа по протоколу IPsec, протокол IKE и протокол IP с проверкой подлинности сопоставляют сертификат компьютера с учетной записью компьютера в домене Active Directory или лесу и извлекают маркер доступа, содержащий список групп безопасности компьютера. Такая процедура гарантирует, что сертификат на стороне IPsec соответствует активной учетной записи компьютера в домене и что этот сертификат является именно тем сертификатом, который должен использоваться данным компьютером.

Сопоставление сертификатов с учетными записями может использоваться только для тех учетных записей компьютеров, которые находятся в том же лесу, что и компьютер, выполняющий сопоставление. Это обеспечивает большую безопасность проверки подлинности, чем просто принятие любых допустимых цепочек сертификатов. Эту возможность можно использовать, например, для ограничения прав доступа компьютеров, которые находятся в одном лесу. Однако сопоставление сертификатов с учетными записями не гарантирует, что данному доверенному компьютеру разрешается доступ по протоколу IPsec.

Сопоставление сертификатов с учетными записями особенно полезно, если сертификаты поступают из инфраструктуры публичного ключа (PKI), которая не интегрирована с развертыванием доменных служб Active Directory (AD DS), например, когда деловые партнеры получают сертификаты от сторонних поставщиков. При сопоставлении сертификатов с учетной записью компьютера домена можно настроить метод проверки подлинности политики IPsec для указанного корневого ЦС. Также можно сопоставлять все сертификаты, выдаваемые данным ЦС, с одной учетной записью компьютера. Это позволяет использовать проверку подлинности сертификата IKE для ограничения лесов, в которых разрешен доступ по протоколу IPsec в среде с множеством лесов, каждый из которых выполняет автоматическую регистрацию с единственным внутренним корневым ЦС. Если процедура сопоставления сертификатов с учетными записями не завершается успешно, проверка подлинности не выполнится и IPsec-защищенные подключения будут заблокированы.

Предварительный ключ (не рекомендуется)

IPSec может использовать предварительные общие ключи для проверки подлинности. Это общий секретный ключ, заранее согласованный двумя пользователями. Обе стороны должны вручную настроить IPSec на использование предварительного ключа. Во время согласования безопасности отправитель перед отправкой зашифровывает данные с помощью общего ключа, а получатель расшифровывает их с помощью того же ключа. Если получатель смог расшифровать данные, подлинность учетных данных считается проверенной.

Внимание!
  • Методология предварительных общих ключей предоставлена для обеспечения возможности взаимодействия с использованием стандартов IPSec. Предварительный общий ключ должен использоваться только в целях тестирования. Часто использовать проверку подлинности с помощью предварительного общего ключа не рекомендуется, поскольку ключ проверки подлинности хранится (в незащищенном состоянии) в политике IPSec.
  • Если предварительный ключ используется для проверки подлинности в основном режиме, то вторая проверка подлинности не может быть использована.

См. также


Содержание