Du kan använda snapin-modulen IPSec-övervakaren för att visa och övervaka IPSec-relaterad statistik och den IPSec-princip som tillämpas på den aktuella datorn och andra datorer. Den här informationen kan vara till hjälp när du ska felsöka IPSec och testa principerna som du skapar. Du ändrar IPSec-principer med hjälp av snapin-modulen för IPSec-principer.

Om du skapar en princip med snapin-modulen Windows-brandvägg med avancerad säkerhet kan du inte visa reglerna för den med snapin-modulen IPSec-övervakaren. Du måste använda övervakningsobjektet i snapin-modulen Windows-brandvägg med avancerad säkerhet.

Kommentarer
  • Snapin-modulen IPSec-övervakaren kan bara användas för att övervaka IPSec på datorer som kör Windows XP eller senare versioner. Om du vill övervaka IPsec på en dator som kör Windows 2000 använder du kommandot ipsecmon.
  • Du kan med hjälp av snapin-modulen för IPsec-principer skapa IPsec-principer åt datorer som kör Windows Vista®, Windows Server® 2008 och senare versioner av Windows, men snapin-modulen använder dock inte nya säkerhetsalgoritmer eller andra nya funktioner som finns tillgängliga i senare versioner. Du skapar IPsec-principer med de nyare algoritmerna med hjälp av snapin-modulen Windows-brandvägg med avancerad säkerhet. Principer som skapas med hjälp av snapin-modulen Windows-brandvägg med avancerad säkerhet kan inte användas i tidigare versioner av Windows.

Övervaka aktiviteter

Här följer en kort lista över de vanligaste åtgärderna som du kan utföra med snapin-modulen IPSec-principer:

Lägga till en dator

För att kunna övervaka IPSec på en fjärrdator måste du lägga till datorn i snapin-modulen. Du måste ha administratörsåtkomst till fjärrdatorn för att kunna lägga till den och övervaka IPSec.

Lägga till en dator till snapin-modulen IPSec-övervakaren
  1. Högerklicka på Övervakare för IP-säkerhet och klicka sedan på Lägg till dator i konsolträdet.

  2. Klicka på Följande dator i dialogrutan Lägg till dator och skriv sedan namnet på fjärrdatorn. Alternativt kan du klicka på Bläddra för att hitta den i nätverket.

Kommentarer
  • Om IPSec-tjänster inte har startats på datorn som övervakas visas serverns ikon som en stoppad tjänst. Du uppdaterar Övervakare för IP-säkerhet efter att IPSec-tjänsterna på datorn ifråga har startats om genom att högerklicka på datorn och klicka på Återanslut.
  • På datorer med Windows Server 2003 och senare måste du ge registernyckeln EnableRemoteMgmt värdet 1 på fjärrdatorn och starta om IPSec-tjänsten. I annat fall får du ett felmeddelande om att IPSec-tjänsten inte körs i snapin-modulen. Registernyckeln finns i HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent.

Söka efter ett specifikt filter

Du kan hitta information om ett specifikt filter på två sätt. Det kan vara till hjälp t.ex. vid felsökning. Du kan sortera vyn Specifika filter och på så sätt hitta filtret, eller söka efter filtret i mappen Specifika filter för antingen huvudläge eller snabbläge.

Bläddra efter ett filter i filterlistan
  1. Klicka på kolumnrubriken för den egenskap du vill bläddra igenom i mappen Specifika filter i antingen mappen Huvudläge eller Snabbläge. Om du klickar på kolumnrubriken en gång till sorteras listan i omvänd ordning.

  2. Bläddra igenom listan efter filtret.

Hitta ett specifikt filter genom att söka efter det
  1. Högerklicka på mappen Specifika filter i antingen mappen Huvudläge eller Snabbläge och klicka sedan på Sök efter matchande filter.

  2. Välj sökvillkor i dialogrutan Sök efter matchande filter och klicka sedan på Sök.

    OBS

    Med alternativet Sök endast efter den bästa matchningen får du bara en matchning, den som bäst motsvarar sökvillkoren. Om du inte hittar rätt filter kan du göra en ny sökning med alternativet Sök efter alla matchningar. Med alternativet Alla för källa eller mål söks det inte efter någon källa eller något mål. Alternativet används för att hitta källan eller målet "Alla" i listvyn Specifika filter.

Leta efter tecken på eventuella attacker

Den statistik som samlas in och visas av snapin-modulen IPSec-övervakaren kan komma till användning när du ska leta efter möjliga attacker mot den här datorn eller andra datorer som har lagts till i snapin-modulen. Informationen finns i mappen Statistik i mapparna Huvudläge och Snabbläge. Mer information om tillgänglig statistik finns i Övervaka huvudläget och Övervaka snabbläget.

Visa säkerhetsassociationer

En säkerhetsassociation (SA) består av en kombination av förhandlade nycklar, säkerhetsprotokoll och säkerhetsparameterindex (SPI) vilka alla tillsammans definierar den säkerhet som används för att skydda kommunikationen från avsändaren till mottagaren. Genom att studera datorns säkerhetsassociationer kan du avgöra vilka datorer som har anslutningar till datorn, vilken typ av dataintegritet och kryptering som används för anslutningarna samt få annan information.

Informationen kan vara till hjälp när du ska testa IPSec-principer och felsöka åtkomstrelaterade problem.

Ändra andra inställningar

Du kan konfigurera snapin-modulen så att den automatiskt uppdaterar den information som tillhandahålls. Du kan även ställa in hur ofta informationen ska uppdateras och om IP-adresser och DNS-namn ska visas i vyerna.

Konfigurera automatisk uppdatering
  1. Högerklicka på datorns nod i mappen Övervakare för IP-säkerhet och klicka sedan på Egenskaper.

  2. Markera kryssrutan Aktivera automatisk uppdatering i dialogrutan Egenskaper för datorn.

  3. Skriv önskat intervall för att ändra med vilken frekvens snapin-modulen uppdaterar informationen.

    OBS

    Den automatiska uppdateringen genomförs som standard med ett intervall på 45 sekunder. Det kan uppstå prestandaproblem om uppdateringen sker med alltför korta intervall, i synnerhet om du övervakar flera datorer från snapin-modulen och du har aktiverat DNS-namnmatchning.

Visa IP-adresser som DNS-namn
  1. Högerklicka på datorns nod i snapin-modulen IPSec-övervakaren och klicka sedan på Egenskaper.

  2. Markera kryssrutan Aktivera DNS-namnmatchning i dialogrutan Egenskaper för datorn och klicka sedan på OK.

    Kommentarer
    • DNS-namnmatchning är inte aktiverat som standard. Matchningen fungerar endast i vyn Specifika filter för snabbläget och i vyn Säkerhetsassociationer för huvudläget och snabbläget.
    • DNS-namnmatchning kan påverka prestanda om många poster ska matchas i denna vy.
    • Om du vill matcha DNS-namnet från dess IP-adress, måste de relevanta omvända domänerna och PTR-posterna vara konfigurerade i din DNS-infrastruktur. PTR-resursposter kan konfigureras manuellt eller med hjälp av dynamisk DNS-uppdatering. Om du vill matcha NetBIOS-datornamnet för en dator från dess IP-adress, måste NetBIOS över TCP/IP vara aktiverat på datorn.

Ytterligare referenser