Eş bilgisayarda kullanıcı hesabının kimliğinin doğrulanma şeklini belirtmek için bu ayarları kullanın. Ayrıca, bilgisayarın bir bilgisayar durumu sertifikası olması gerektiğini de belirtebilirsiniz. İkinci kimlik doğrulama yöntemi, Internet Protokolü güvenliği (IPsec) anlaşmalarının ana mod aşamasının genişletilmiş modunda Kimliği Doğrulanmış IP (AuthIP) tarafından gerçekleştirilir.
Bu kimlik doğrulamasını kullanmak için birden çok yöntem belirtebilirsiniz. Yöntemler belirttiğiniz sırada denenir. Başarılı olan ilk yöntem kullanılır.
Bu iletişim kutusunda bulunan kimlik doğrulama yöntemleri hakkında daha fazla bilgi için, bkz.
Bu iletişim kutusuna ulaşmak için |
Sistem genelinde varsayılan ayarları değiştirirken:
- Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninin gezinti bölmesinde, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nı ve sonra Genel Bakış bölümünde Windows Güvenlik Duvarı Özellikleri'ni tıklatın.
- IP Ayarları sekmesini tıklatın ve sonra IPsec varsayılanları öğesinin altında Özelleştir'i tıklatın.
- Kimlik Doğrulama Yöntemi'nin altında Gelişmiş öğesini ve sonra Özelleştir'i seçin.
- İkinci kimlik doğrulama'nın altında bir yöntem seçin ve Düzenle'yi veya Ekle'yi tıklatın.
- Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninin gezinti bölmesinde, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'nı ve sonra Genel Bakış bölümünde Windows Güvenlik Duvarı Özellikleri'ni tıklatın.
Yeni bir bağlantı güvenliği kuralı oluştururken:
- Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninin gezinti bölmesinde Bağlantı Güvenliği Kuralları'nı sağ tıklatın ve Yeni Kural'ı tıklatın.
- Kural Türü sayfasında Kimlik doğrulama muafiyeti dışında herhangi bir türü seçin.
- Kimlik Doğrulama Yöntemi sayfasında Gelişmiş öğesini seçin ve sonra Özelleştir'i tıklatın.
- İkinci kimlik doğrulama'nın altında bir yöntem seçin ve Düzenle'yi veya Ekle'yi tıklatın.
- Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninin gezinti bölmesinde Bağlantı Güvenliği Kuralları'nı sağ tıklatın ve Yeni Kural'ı tıklatın.
Varolan bir güvenlik kuralını değiştirirken:
- Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşenindeki gezinti bölmesinde, Bağlantı Güvenliği Kuralları'nı tıklatın.
- Değiştirmek istediğiniz bağlantı güvenliği kuralını çift tıklatın.
- Kimlik Doğrulama sekmesini tıklatın.
- Yöntem'in altında Gelişmiş öğesini ve sonra Özelleştir'i tıklatın.
- İkinci kimlik doğrulama'nın altında bir yöntem seçin ve Düzenle'yi veya Ekle'yi tıklatın.
- Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşenindeki gezinti bölmesinde, Bağlantı Güvenliği Kuralları'nı tıklatın.
Kullanıcı (Kerberos V5)
Aynı etki alanının parçası olan veya güven ilişkisi olan ayrı bir etki alanında bulunan uzak bilgisayarda oturum açmış kullanıcının kimliğini doğrulamak için bu yöntemi kullanabilirsiniz. Oturum açmış kullanıcının etki alanı hesabı olması ve bilgisayarın da aynı ormandaki bir etki alanına katılmış olması gerekir.
Kullanıcı (NTLMv2)
NTLMv2, aynı etki alanının parçası olan veya yerel bilgisayarın etki alanıyla güven ilişkisi olan bir etki alanındaki uzak bilgisayarda oturum açmış bir kullanıcının kimliğini doğrulamanın alternatif bir yoludur. Kullanıcı hesabı ve bilgisayar, aynı ormanın parçası olan etki alanlarına katılmalıdır.
Kullanıcı sertifikası
Dış iş ortağı iletişimlerinin veya Kerberos sürüm 5 kimlik doğrulama protokolünü çalıştırmayan bilgisayarların bulunduğu durumlarda ortak anahtar sertifikası kullanın. Bunun için en az bir güvenilen kök sertifika yetkilisinin (CA) yapılandırılmış veya ağınız üzerinden erişilebilir olması ve istemci bilgisayarların ilişkilendirilmiş bir bilgisayar sertifikasına sahip olması gerekir. Bu yöntem, kullanıcılar aynı etki alanında olmadığında veya iki yönlü güven ilişkisi olmadan ayrı etki alanlarında olduklarında ve Kerberos sürüm 5 kullanılamadığında kullanışlıdır.
İmza algoritması
Şifreli olarak sertifikanın güvenliğini sağlamak için kullanılan imza algoritmasını belirtin.
RSA (varsayılan)
Sertifika, RSA ortak anahtar şifreleme algoritması kullanılarak imzalanırsa bu seçeneği belirleyin.
ECDSA-P256
Sertifika, 256-bit anahtar gücünde Eliptik Eğri Dijital İmza Algoritması (ECDSA) kullanılarak imzalanırsa bu seçeneği belirleyin.
ECDSA-P384
Sertifika, 256-bit anahtar gücünde ECDSA kullanılarak imzalanırsa bu seçeneği belirleyin.
Sertifika deposu türü
Sertifikanın bulunduğu depoyu tanımlayarak sertifikanın türünü belirtin.
Kök CA (varsayılan)
Sertifika bir kök CA tarafından yayımlanmışsa ve yerel bilgisayarın Güvenilen Kök Sertifika Yetkilileri sertifika deposunda depolanıyorsa bu seçeneği belirleyin.
Ara CA
Sertifika bir ara CA tarafından yayımlanmışsa ve yerel bilgisayarın Ara Sertifika Yetkililer sertifika deposunda depolanıyorsa bu seçeneği belirleyin.
Sertifika hesap eşleştirmesini etkinleştir
IPsec sertifika hesap eşleştirmesini etkinleştirdiğinizde, Internet Anahtar Değişimi (IKE) ve AuthIP protokolleri bir kullanıcı sertifikasını Active Directory etki alanındaki veya ormanındaki bir kullanıcı hesabıyla ilişkilendirir (eşleştirir) ve sonra kullanıcı güvenlik gruplarının listesini içeren bir erişim belirteci alır. Bu işlem, IPsec eşi tarafından sunulan sertifikanın, etki alanındaki etkin bir kullanıcıya karşılık gelmesini ve sertifikanın o kullanıcı tarafından kullanılmasını sağlar.
Sertifika hesap eşleştirmesi yalnızca eşleştirmeyi gerçekleştiren bilgisayarla aynı ormanda bulunan kullanıcı hesapları için kullanılabilir. Bu, herhangi bir geçerli sertifika zincirinin kabul edilmesinden daha güçlü bir kimlik doğrulaması sağlar. Örneğin, aynı orman içindeki kullanıcılara erişimi kısıtlamak için bu özelliği kullanabilirsiniz. Ancak sertifika hesap eşleştirmesi, belirli bir güvenilen kullanıcının IPsec erişimine izin verileceğini garantilemez.
Sertifika hesap eşleştirmesi özellikle iş ortakları sertifikalarını Microsoft dışındaki sağlayıcılardan edindiğinde olduğu gibi, sertifikalar Active Directory Etki Alanı Hizmetleri (AD DS) dağıtımınızla tümleştirilmemiş bir ortak anahtar altyapısından (PKI) geldiğinde kullanışlıdır. Sertifikaları belirli bir kök CA'nın etki alanı kullanıcı hesabına eşleştirmek için IPsec ilkesi kimlik doğrulama yöntemini yapılandırabilirsiniz. Ayrıca bir sertifika veren CA'dan gelen tüm sertifikaları tek bir kullanıcı hesabıyla da eşleştirebilirsiniz. Böylece çok fazla ormanın bulunduğu ve her bir ormanın tek bir iç kök CA altında otomatik kayıt gerçekleştirdiği bir ortamda hangi ormanların IPsec erişimine izin verileceğini sınırlamak için sertifika kimlik doğrulamasının kullanılmasına olanak sağlanır. Sertifika hesap eşleştirmesi işlemi düzgün şekilde tamamlanmazsa, kimlik doğrulama başarısız olur ve IPsec korumalı bağlantılar engellenir.
Bilgisayar durumu sertifikası
Yalnızca belirtilen CA'dan gelen ve Ağ Erişim Koruması (NAP) durum sertifikası olarak işaretlenen bir sertifikayı sunan bilgisayarın bu bağlantı güvenliği kuralını kullanarak kimlik doğrulaması yapabileceğini belirtmek için bu seçeneği kullanın. NAP, ağ ilkelerine uymayan bilgisayarların (örn. virüsten koruma yazılımı olmayan veya en son yazılım güncelleştirmeleri olmayan bilgisayarlar) ağınıza erişme olasılığını azaltacak şekilde durum ilkeleri tanımlayıp zorlamanıza olanak sağlar. NAP'ı uygulamak için, istemci ve sunucu bilgisayarların ikisinin de üzerinde NAP ayarlarını yapılandırmanız gerekir. Daha fazla bilgi için, NAP MMC ek bileşeni Yardımı'na bakın. Bu yöntemi kullanmak için, etki alanında kurulmuş bir NAP sunucunuzun olması gerekir.
İmza algoritması
Şifreli olarak sertifikanın güvenliğini sağlamak için kullanılan imza algoritmasını belirtin.
RSA (varsayılan)
Sertifika, RSA ortak anahtar şifreleme algoritması kullanılarak imzalanırsa bu seçeneği belirleyin.
ECDSA-P256
Sertifika, 256-bit anahtar gücünde Eliptik Eğri Dijital İmza Algoritması (ECDSA) kullanılarak imzalanırsa bu seçeneği belirleyin.
ECDSA-P384
Sertifika, 384-bit anahtar gücünde ECDSA kullanılarak imzalanırsa bu seçeneği belirleyin.
Sertifika deposu türü
Sertifikanın bulunduğu depoyu tanımlayarak sertifikanın türünü belirtin.
Kök CA (varsayılan)
Sertifika bir kök CA tarafından yayımlanmışsa ve yerel bilgisayarın Güvenilen Kök Sertifika Yetkilileri sertifika deposunda depolanıyorsa bu seçeneği belirleyin.
Ara CA
Sertifika bir ara CA tarafından yayımlanmışsa ve yerel bilgisayarın Ara Sertifika Yetkililer sertifika deposunda depolanıyorsa bu seçeneği belirleyin.
Sertifika hesap eşleştirmesini etkinleştir
IPsec sertifika hesap eşleştirmesini etkinleştirdiğinizde, IKE ve AuthIP protokolleri bir sertifikayı Active Directory etki alanındaki veya ormanındaki bir kullanıcı ya da bilgisayar hesabıyla ilişkilendirir (eşleştirir) ve sonra güvenlik gruplarının listesini içeren bir erişim belirteci alır. Bu işlem, IPsec eşi tarafından sunulan sertifikanın, etki alanındaki etkin bir bilgisayara veya kullanıcıya karşılık gelmesini ve sertifikanın o hesap tarafından kullanılmasını sağlar.
Sertifika hesap eşleştirmesi yalnızca eşleştirmeyi gerçekleştiren bilgisayarla aynı ormanda bulunan hesaplar için kullanılabilir. Bu, herhangi bir geçerli sertifika zincirinin kabul edilmesinden daha güçlü bir kimlik doğrulaması sağlar. Örneğin, aynı orman içindeki hesaplara erişimi kısıtlamak için bu özelliği kullanabilirsiniz. Ancak sertifika hesap eşleştirmesi, belirli bir güvenilen hesabın IPsec erişimine izin verileceğini garantilemez.
Sertifika hesap eşleştirmesi özellikle iş ortakları sertifikalarını Microsoft dışındaki sertifika sağlayıcılarından edindiğinde olduğu gibi, sertifikalar AD DS dağıtımınızla tümleştirilmemiş bir PKI'dan geldiğinde kullanışlıdır. Sertifikaları belirli bir kök CA'nın etki alanı hesabına eşleştirmek için IPsec ilkesi kimlik doğrulama yöntemini yapılandırabilirsiniz. Ayrıca bir sertifika veren CA'dan gelen tüm sertifikaları tek bir bilgisayar veya kullanıcı hesabıyla da eşleştirebilirsiniz. Böylece çok fazla ormanın bulunduğu ve her bir ormanın tek bir iç kök CA altında otomatik kayıt gerçekleştirdiği bir ortamda hangi ormanların IPsec erişimine izin verileceğini sınırlamak için IKE sertifika kimlik doğrulamasının kullanılmasına olanak sağlanır. Sertifika hesap eşleştirmesi işlemi düzgün şekilde tamamlanmazsa, kimlik doğrulama başarısız olur ve IPsec korumalı bağlantılar engellenir.