IPsec är ett ramverk med öppna standarder som säkerställer privat, säker kommunikation över IP-nätverk genom användning av kryptografiska säkerhetstjänster. Användningen av IPSec i Microsoft Windows bygger på standarder som utvecklats av IPSec-arbetsgruppen IETF (Internet Engineering Task Force).
IPSec upprättar en betrodd och säker kommunikation mellan en käll-IP-adress och en mål-IP-adress. De enda datorer som måste känna till trafiken som skyddas är datorerna som skickar och tar emot. Varje dator hanterar säkerheten vid sin slutpunkt och antar att mediet som kommunikationen sker över inte är skyddat. Det behöver inte finnas stöd för IPSec på datorer som endast dirigerar data från källa till mål, såvida inte paketfiltrering av brandväggstyp eller nätverksadressöversättning utförs mellan de två datorerna.
Du kan använda snapin-modulen för IPSec-principer för att skapa, ändra och tilldela IPSec-principer på den här datorn och fjärrdatorer.
OBS | |
Dokumentationen är avsedd att förmedla den information som behövs för att förstå och använda snapin-modulen IPSec-principer. Information om att utforma och distribuera principer ingår inte i dokumentationen. |
Om IPSec-principer
IPSec-principer används för att konfigurera IPSec-säkerhetstjänster. Principerna ger varierande skyddsnivåer för de flesta trafiktyper i de flesta nu befintliga nätverken. Ställ in IPSec-principerna så att de tillmötesgår de krav som ställs på säkerheten i datorn, organisationsenheten, domänen, platsen eller det globala nätverket. Snapin-modulen för IPsec-principer i den här versionen av Windows kan du använda för att definiera IPsec-principer för datorer med hjälp av grupprincipobjekt (för domänmedlemmar), för den lokala datorn eller för fjärrdatorer.
Viktigt! | |
Du kan med hjälp av snapin-modulen för IPsec-principer skapa IPsec-principer åt datorer som kör Windows Vista och senare versioner av Windows, men snapin-modulen använder dock inte nya säkerhetsalgoritmer och andra nya funktioner som finns tillgängliga i Windows Vista och senare versioner av Windows. Du skapar IPsec-principer för dessa datorer med hjälp av snapin-modulen Windows-brandvägg med avancerad säkerhet. Principer som skapas med hjälp av snapin-modulen Windows-brandvägg med avancerad säkerhet kan inte användas i tidigare versioner av Windows. |
En IPSec-princip består av allmänna IPSec-principinställningar och regler. Allmänna IPSec-inställningar gäller, oavsett vilka regler som konfigureras. Dessa inställningar bestämmer principens namn, beskrivningen för administrativa syften samt inställningar och metoder för nyckelutbyte. En eller flera IPSec-regler avgör vilka typer av trafik som IPSec ska undersöka, hur trafiken behandlas, hur en IPSec-peer autentiseras och andra inställningar.
När principerna skapats kan de tillämpas på en domän, en plats, en organisationsenhet eller på lokal nivå. Endast en princip åt gången kan vara aktiv på en dator. Principer som distribueras och tillämpas med hjälp av grupprincipobjekt åsidosätter lokala principer.
Åtgärder med snapin-modulen IPSec-principer
Det här avsnittet tar upp några av de vanligaste åtgärderna som kan utföras i snapin-modulen IPSec-principer.
Skapa en princip
Du måste förmodligen skapa en uppsättning IPSec-principer till din IT-miljön, med undantag för när du bara ska skapa principer till en dator och dess IPSec-peer. Det kan vara komplicerat att utforma, skapa och distribuera principer, beroende på hur stor domänen är, hur pass likartade datorerna i domänen är och andra faktorer.
Tillvägagångssättet är vanligen följande:
- Skapa IP-filterlistor som överensstämmer med datorerna, undernäten och villkoren i miljön.
- Skapa filteråtgärder som motsvarar hur du vill att anslutningar ska autentiseras, hur dataintegritet ska uppnås och hur data ska krypteras. Filteråtgärden kan också vara av typen Blockera eller Tillåt, oberoende av andra villkor. Åtgärden Blockera gäller före andra åtgärder.
- Skapa en uppsättning principer som motsvarar kraven på filtrering och filteråtgärder (säkerhetskraven).
- Distribuera först principer som använder filteråtgärderna Tillåt och Blockera och övervaka sedan IPSec-miljön för att upptäcka problem som eventuellt kräver att principerna justeras.
- Distribuera principerna med filteråtgärden Förhandla om säkerhetsnivå, med alternativet att återgå till klartextskommunikation. Då kan du testa hur IPSec fungerar i miljön utan att avbryta kommunikationen.
- Så snart du har finjusterat principerna efter behov ska du ta bort alternativet att återgå till klartextskommunikation, om tillämpligt. Det innebär att principerna kräver autentisering och skydd innan en anslutning skapas.
- Övervaka miljön för att kontrollera om vissa kommunikationer inte genomförs, vilket kan indikeras av en plötslig ökning i statistiken över misslyckade förhandlingar om huvudläge.
Så här skapar du en ny IPSec-princip |
Högerklicka på noden för IP-säkerhetsprinciper och klicka sedan på Skapa IP-säkerhetsprincip.
Klicka på Nästa i guiden IP-säkerhetsprincip.
Skriv ett namn och en beskrivning (valfritt) av principen och klicka sedan på Nästa.
Markera Aktivera standardsvarsregeln och klicka sedan på Nästa.
OBS Standardsvarsregeln kan endast användas för principer i Windows XP och Windows Server 2003 och tidigare versioner. Standardsvarsregeln kan inte användas i senare versioner av Windows.
Om du använder standardsvarsregeln ska du välja en autentiseringsmetod och sedan klicka på Nästa.
Mer information om standardsvarsregeln finns i IPSec-regler.
Låt kryssrutan Redigera egenskaper vara markerad och klicka sedan på Nästa. Du kan lägga till regler i principen efter behov.
Lägga till eller ändra en regel i en princip
Så här lägger du till en principregel |
Högerklicka på IPSec-principen och klicka sedan på Egenskaper.
Om du vill skapa regeln i dialogrutan Egenskaper ska du avmarkera kryssrutan Använd guiden. Låt kryssrutan vara markerad om du vill använda guiden. Klicka på Lägg till. Följande anvisningar beskriver hur du skapar en regel med hjälp av dialogrutan.
Välj lämplig filterlista på fliken IP-filterlista i dialogrutan Egenskaper för ny regel eller klicka på Lägg till om du vill lägga till en ny filterlista. De filterlistor som du redan har skapat visas i IP-filterlistan. Mer information om att skapa och använda filterlistor finns i Filterlistor.
OBS Du kan bara använda en filterlista per regel.
Välj lämplig filteråtgärd på fliken Filteråtgärd eller klicka på Lägg till om du vill lägga till en ny filteråtgärd. Mer information om att skapa och använda filteråtgärder finns i Filteråtgärder.
OBS Du kan bara använda en filteråtgärd per regel.
Välj lämplig metod på fliken Autentiseringsmetoder eller klicka på Lägg till om du vill lägga till en ny metod. Mer information om att skapa och använda autentiseringsmetoder finns i IPSec-autentisering.
OBS Du kan använda flera metoder per regel. Metoderna används i den ordning de visas i listan. Om du anger att certifikat används ska du samla dem i listan i den ordning du vill att de ska användas.
På fliken Anslutningstyp markerar du den anslutningstyp som den här regeln ska gälla för. Mer information om anslutningstyper finns i IPSec-anslutningstyp.
Om du använder en tunnel ska du ange slutpunkterna på fliken Tunnelinställningar. Som standard används ingen tunnel. Mer information om att använda tunnlar finns i IPSec-tunnelinställningar. Tunnelregler kan inte speglas.
Klicka på OK när du är klar med inställningarna.
Så här ändrar du en principregel |
Högerklicka på IPsec-principen och klicka sedan på Egenskaper.
Markera regeln i dialogrutan Egenskaper för princip och klicka sedan på Redigera.
Välj lämplig filterlista på fliken IP-filterlista i dialogrutan Redigera egenskaper för regel eller klicka på Lägg till om du vill lägga till en ny filterlista. Mer information om att skapa och använda filterlistor finns i Filterlistor.
OBS Du kan bara använda en filterlista per regel.
Välj lämplig filteråtgärd på fliken Filteråtgärd eller klicka på Lägg till om du vill lägga till en ny filteråtgärd. Mer information om att skapa och använda filteråtgärder finns i Filteråtgärder.
OBS Du kan bara använda en filteråtgärd per regel.
Välj lämplig metod på fliken Autentiseringsmetoder eller klicka på Lägg till om du vill lägga till en ny metod. Mer information om att skapa och använda autentiseringsmetoder finns i IPSec-autentisering.
OBS Du kan använda flera metoder per regel. Metoderna används i den ordning de visas i listan.
På fliken Anslutningstyp markerar du den anslutningstyp som den här regeln ska gälla för. Mer information om anslutningstyper finns i IPSec-anslutningstyp.
Om du använder en tunnel ska du ange slutpunkterna på fliken Tunnelinställningar. Som standard används ingen tunnel. Mer information om att använda tunnlar finns i IPSec-tunnelinställningar.
Klicka på OK när du är klar med inställningarna.
Tilldela en princip
Så här tilldelar du en princip till en dator |
Högerklicka på principen och klicka sedan på Tilldela.
Kommentarer - Endast en princip åt gången kan vara tilldelad en dator. Om en annan princip tilldelas datorn inaktiveras automatiskt den tidigare tilldelade principen. En annan princip kan tilldelas datorn av grupprincip, och då åsidosätts den lokala principen.
- För att en IPSec-princip som endast gäller mellan två datorer ska vara verkningsfull måste du skapa en speglad princip på den andra datorn och tilldela datorn principen.
- Om du vill tilldela principen till flera datorer ska du använda grupprincip.