Använd de här inställningarna om du vill ange sättet som peer-datorn autentiseras på. Första autentiseringen utförs under huvudlägesfasen av IPsec-förhandlingar (Internet Protocol Security).

Du måste ange flera metoder som ska användas för den första autentiseringen. Metoderna provas i den ordning du anger. Den första metod som lyckas används.

Mer information om tillgängliga autentiseringsmetoder i den här dialogrutan finns i IPsec-algoritmer och metoder som stöds i Windows (sidan kan vara på engelska) (https://go.microsoft.com/fwlink/?linkid=129230).

Så här kommer du till dialogrutan

  • Ändra systemomfattande standardinställningar:

    1. Under Översikt i snapin-modulen Windows-brandväggen med avancerad säkerhet i MMC klickar du på Egenskaper för Windows-brandväggen.

    2. Klicka på fliken IPsec-inställningar och sedan på Standardvärden för IPsec under Anpassa.

    3. Under Autentiseringsmetod väljer du Avancerat och klickar sedan på Anpassa.

    4. Under Första autentisering väljer du en metod och klickar sedan på Redigera eller Lägg till.

  • Skapa en ny anslutningssäkerhetsregel:

    1. I snapin-modulen Windows-brandväggen med avancerad säkerhet i MMC högerklickar du på Anslutningssäkerhetsregler och klickar sedan på Ny regel.

    2. På sidan Regeltyp väljer du en typ förutom Autentiseringsundantag.

    3. På sidan Autentiseringsmetod väljer du Avancerat och klickar sedan på Anpassa.

    4. Under Första autentisering väljer du en metod och klickar sedan på Redigera eller Lägg till.

  • Ändra en befintlig anslutningssäkerhetsregel:

    1. I snapin-modulen Windows-brandväggen med avancerad säkerhet i MMC klickar du på Anslutningssäkerhetsregler.

    2. Dubbelklicka på den anslutningssäkerhetsregel som du vill ändra.

    3. Klicka på fliken Autentisering.

    4. Under Metod klickar du på Avancerat och sedan på Anpassa.

    5. Under Första autentisering väljer du en metod och klickar sedan på Redigera eller Lägg till.

Dator (Kerberos V5)

Du kan använda den här metoden när du vill autentisera peer-datorer som har datorkonton i samma domän eller i olika domäner som har en förtroenderelation.

Dator (NTLMv2)

NTLMv2 är ett alternativt sätt att autentisera peer-datorer som har datorkonton i samma domän eller i olika domäner som har en förtroenderelation.

Datorcertifikat från den här certifikatutfärdaren

Använd ett offentligt nyckelcertifikat i situationer som inkluderar kommunikation med affärspartners eller datorer som inte använder autentiseringsprotokollet Kerberos version 5. Detta kräver att minst en betrodd rotcertifikatutfärdare är konfigurerad på eller tillgänglig via nätverket och att klientdatorerna har ett associerat datorcertifikat.

Signeringsalgoritm

Ange signeringsalgoritmen som används för att skydda certifikatet kryptografiskt.

RSA (standard)

Välj det här alternativet om certifikatet signeras med algoritmen för RSA-kryptering med offentliga nycklar.

ECDSA-P256

Välj det här alternativet om certifikatet signeras med ECDSA (Elliptic Curve Digital Signature Algorithm) med 256-bitars nyckelstyrka.

ECDSA-P384

Välj det här alternativet om certifikatet signeras med ECDSA med 384-bitars nyckelstyrka.

Typ av certifikatarkiv

Ange typen av certifikatarkiv genom att identifiera arkivet där certifikatet finns.

Rotcertifikatutfärdare (standard)

Välj det här alternativet om certifikatet utfärdades av en rotcertifikatutfärdare och finns sparat i certifikatarkivet Betrodda rotcertifikatutfärdare på den lokala datorn.

Mellanliggande certifikatutfärdare

Välj det här alternativet om certifikatet utfärdades av en mellanliggande certifikatutfärdare och finns sparat i certifikatarkivet Mellanliggande certifikatutfärdare på den lokala datorn.

Acceptera bara hälsocertifikat

Det här alternativet begränsar användningen av datorcertifikat till de som är markerade som hälsocertifikat. Hälsocertifikat publiceras av en certifikatutfärdare med stöd av en NAP-distribution (Network Access Protection). Med NAP kan du definiera och tvinga fram hälsoprinciper så att datorer som inte följer nätverksprinciperna, t.ex. datorer utan antivirusprogram eller de som inte har de senaste programuppdateringarna, förmodligen inte kommer åt nätverket. Du måste konfigurera NAP på både server- och klientdatorer för att kunna implementera funktionen. Med hjälp av NAP-klienthantering, en snapin-modul i MMC (Microsoft Management Console), kan du konfigurera NAP-inställningar på klientdatorerna. Mer information finns i hjälpen för snapin-modulen NAP i MMC. Du måste ha en NAP-server konfigurerad i domänen för att du ska kunna använda den här metoden.

Aktivera mappning av certifikat till konto

När du aktiverar IPsec med mappningen certifikat-till-konto associerar (mappar) IKE- (Internet Key Exchange) och AuthIP-protokollen ett datorcertifikat till ett datorkonto i en Active Directory-domän eller -skog och hämtar sedan en åtkomst-token som innehåller listan med säkerhetsgrupper för datorer. Den här processen ser till att certifikatet som IPsec-motparten erbjuder motsvarar ett aktivt datorkonto i domänen och att certifikatet ska användas av den datorn.

Mappningen certifikat-till-konto kan endast användas för datorkonton som finns i samma skog som den dator som utför mappningen. Detta ger mycket starkare autentisering än att bara acceptera en giltig certifikatkedja. Du kan t.ex. använda den här funktionen för att begränsa åtkomsten till datorer som finns i samma skog. Mappningen certifikat-till-konto garanterar dock inte att en specifik betrodd dator tillåts IPsec-åtkomst.

Mappningen certifikat-till-konto är särskilt användbar om certifikaten kommer från en PKI (Public Key Infrastructure) som inte är integrerad med AD DS-distributionen (Active Directory Domain Services), t.ex. om affärspartners får sina certifikat från andra leverantörer än Microsoft. Du kan konfigurera autentiseringsmetoden för IPsec-principen för att mappa certifikat till ett domändatorkonto för en specifik rotcertifikatutfärdare. Du kan även mappa alla certifikat från en certifikatutfärdare till ett datorkonto. På så sätt kan IKE-certifikatautentiseringen användas för att begränsa vilka skogar som tillåts IPsec-åtkomst i en miljö där det finns många skogar och var och en utför automatisk registrering under en enda intern rotcertifikatutfärdare. Om mappningen certifikat-till-konto inte slutförs ordentligt misslyckas autentiseringen och IPsec-skyddade anslutningar kommer att blockeras.

I förväg delad nyckel (rekommenderas inte)

Du kan använda för-utdelade nycklar för autentisering. Detta är en delad, hemlig nyckel som två användare kommit överens om i förväg. Båda parterna måste manuellt konfigurera IPSec till att använda denna för-delade nyckel. Under säkerhetsförhandlingen krypteras informationen med hjälp av den delade nyckeln innan överföringen börjar och sedan används samma nyckel på den mottagande sidan för dekryptering. Om mottagaren kan dekryptera informationen, uppfattas identiteterna som om de är autentiserade.

Varning
  • Metoden med för-utdelade nycklar finns för att underlätta interoperabiliteten och för att ansluta till IPsec-standarden. Du bör endast använda den för-utdelade nyckeln i testsyfte. Att använda autentisering med för-utdelade nycklar regelbundet är inte att rekommendera eftersom autentiseringsnyckeln sparas på ett oskyddat sätt i IPsec-principerna.
  • Om en i förväg delad nyckel används för autentisering i huvudläget går det inte att använda en andra autentisering.

Se även

Innehåll