Eş bilgisayar kimliğinin doğrulanma şeklini belirtmek için bu ayarları kullanın. Birinci kimlik doğrulama yöntemi Internet Protokolü güvenliği (IPsec) anlaşmalarının ana mod aşamasında gerçekleştirilir.

Birinci kimlik doğrulama için birden çok yöntem belirtebilirsiniz. Yöntemler belirttiğiniz sırada denenir. Başarılı olan ilk yöntem kullanılır.

Bu iletişim kutusunda bulunan kimlik doğrulama yöntemleri hakkında daha fazla bilgi için, bkz. Windows'da Desteklenen IPsec Algoritmaları ve Yöntemleri (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?linkid=129230).

Bu iletişim kutusuna ulaşmak için
  • Sistem genelinde varsayılan ayarları değiştirirken:

    1. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninden Genel Bakış alanında Windows Güvenlik Duvarı Özellikleri'ni tıklatın.

    2. IP Ayarları sekmesini tıklatın ve sonra IPsec varsayılanları öğesinin altında Özelleştir'i tıklatın.

    3. Kimlik Doğrulama Yöntemi'nin altında Gelişmiş öğesini ve sonra Özelleştir'i seçin.

    4. Birinci kimlik doğrulama'nın altında bir yöntem seçin ve Düzenle'yi veya Ekle'yi tıklatın.

  • Yeni bir bağlantı güvenliği kuralı oluştururken:

    1. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninde Bağlantı Güvenliği Kuralları'nı sağ tıklatın ve Yeni Kural'ı tıklatın.

    2. Kural Türü sayfasında Kimlik doğrulama muafiyeti dışında herhangi bir türü seçin.

    3. Kimlik Doğrulama Yöntemi sayfasında Gelişmiş öğesini seçin ve sonra Özelleştir'i tıklatın.

    4. Birinci kimlik doğrulama'nın altında bir yöntem seçin ve Düzenle'yi veya Ekle'yi tıklatın.

  • Varolan bir bağlantı güvenliği kuralını değiştirirken:

    1. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı MMC ek bileşeninde, Bağlantı Güvenliği Kuralları'nı tıklatın.

    2. Değiştirmek istediğiniz bağlantı güvenliği kuralını çift tıklatın.

    3. Kimlik Doğrulama sekmesini tıklatın.

    4. Yöntem'in altında Gelişmiş öğesini ve sonra Özelleştir'i tıklatın.

    5. Birinci kimlik doğrulama'nın altında bir yöntem seçin ve Düzenle'yi veya Ekle'yi tıklatın.

Bilgisayar (Kerberos V5)

Aynı etki alanında veya güven ilişkisi olan ayrı etki alanlarında bilgisayar hesaplarına sahip olan eş bilgisayarların kimliğini doğrulamak için bu yöntemi kullanabilirsiniz.

Bilgisayar (NTLMv2)

NTLMv2, aynı etki alanında veya güven ilişkisi olan ayrı etki alanlarında bilgisayar hesaplarına sahip olan eş bilgisayarların kimliğini doğrulamanın alternatif bir yoludur.

Bu sertifika yetkilisinden (CA) bilgisayar sertifikası

Dış iş ortağı iletişimlerinin veya Kerberos sürüm 5 kimlik doğrulama protokolünü çalıştırmayan bilgisayarların bulunduğu durumlarda ortak anahtar sertifikası kullanın. Bunun için en az bir güvenilen kök CA'nın yapılandırılmış veya ağınız üzerinden erişilebilir olması ve istemci bilgisayarların ilişkilendirilmiş bir bilgisayar sertifikasına sahip olması gerekir.

İmza algoritması

Şifreli olarak sertifikanın güvenliğini sağlamak için kullanılan imza algoritmasını belirtin.

RSA (varsayılan)

Sertifika, RSA ortak anahtar şifreleme algoritması kullanılarak imzalanırsa bu seçeneği belirleyin.

ECDSA-P256

Sertifika, 256-bit anahtar gücünde Eliptik Eğri Dijital İmza Algoritması (ECDSA) kullanılarak imzalanırsa bu seçeneği belirleyin.

ECDSA-P384

Sertifika, 384-bit anahtar gücünde ECDSA kullanılarak imzalanırsa bu seçeneği belirleyin.

Sertifika deposu türü

Sertifikanın bulunduğu depoyu tanımlayarak sertifikanın türünü belirtin.

Kök CA (varsayılan)

Sertifika bir kök CA tarafından yayımlanmışsa ve yerel bilgisayarın Güvenilen Kök Sertifika Yetkilileri sertifika deposunda depolanıyorsa bu seçeneği belirleyin.

Ara CA

Sertifika bir ara CA tarafından yayımlanmışsa ve yerel bilgisayarın Ara Sertifika Yetkililer sertifika deposunda depolanıyorsa bu seçeneği belirleyin.

Yalnızca sistem durumu sertifikalarını kabul etme

Bu seçenek, bilgisayar sertifikalarının kullanımını durum sertifikaları olarak işaretlenenlerle kısıtlar. Durum sertifikaları, Ağ Erişim Koruması (NAP) dağıtımını desteklemek amacıyla bir CA tarafından yayımlanır. NAP, ağ ilkelerine uymayan bilgisayarların (örn. virüsten koruma yazılımı olmayan veya en son yazılım güncelleştirmeleri olmayan bilgisayarlar) ağınıza erişme olasılığını azaltacak şekilde durum ilkeleri tanımlayıp zorlamanıza olanak sağlar. NAP'ı uygulamak için, istemci ve sunucu bilgisayarların ikisinin de üzerinde NAP ayarlarını yapılandırmanız gerekir. Microsoft Yönetim Konsolu (MMC) ek bileşeni olan NAP İstemcisi Yönetimi, istemci bilgisayarlar üzerinde NAP ayarlarını yapılandırmanıza yardımcı olur. Daha fazla bilgi için, NAP MMC ek bileşeni Yardımı'na bakın. Bu yöntemi kullanmak için, etki alanında kurulmuş bir NAP sunucunuzun olması gerekir.

Sertifika hesap eşleştirmesini etkinleştir

IPsec sertifika hesap eşleştirmesini etkinleştirdiğinizde, Internet Anahtar Değişimi (IKE) ve Kimliği Doğrulanmış IP (AuthIP) protokolleri bir bilgisayar sertifikasını Active Directory etki alanındaki veya ormanındaki bir bilgisayar hesabıyla ilişkilendirir (eşleştirir) ve sonra bilgisayar güvenlik gruplarının listesini içeren bir erişim belirteci alır. Bu işlem, IPsec eşi tarafından sunulan sertifikanın, etki alanındaki etkin bir bilgisayara karşılık gelmesini ve sertifikanın o bilgisayar tarafından kullanılmasını sağlar.

Sertifika hesap eşleştirmesi yalnızca eşleştirmeyi gerçekleştiren bilgisayarla aynı ormanda bulunan bilgisayar hesapları için kullanılabilir. Bu, herhangi bir geçerli sertifika zincirinin kabul edilmesinden daha güçlü bir kimlik doğrulaması sağlar. Örneğin, aynı orman içindeki bilgisayarlara erişimi kısıtlamak için bu özelliği kullanabilirsiniz. Ancak sertifika hesap eşleştirmesi, belirli bir güvenilen bilgisayarın IPsec erişimine izin verileceğini garantilemez.

Sertifika hesap eşleştirmesi özellikle iş ortakları sertifikalarını Microsoft dışındaki sağlayıcılardan edindiğinde olduğu gibi, sertifikalar Active Directory Etki Alanı Hizmetleri (AD DS) dağıtımınızla tümleştirilmemiş bir ortak anahtar altyapısından (PKI) geldiğinde kullanışlıdır. Sertifikaları belirli bir kök CA'nın etki alanı bilgisayar hesabına eşleştirmek için IPsec ilkesi kimlik doğrulama yöntemini yapılandırabilirsiniz. Ayrıca bir sertifika veren CA'dan gelen tüm sertifikaları tek bir bilgisayar hesabıyla da eşleştirebilirsiniz. Böylece çok fazla ormanın bulunduğu ve her bir ormanın tek bir iç kök CA altında otomatik kayıt gerçekleştirdiği bir ortamda hangi ormanların IPsec erişimine izin verileceğini sınırlamak için IKE sertifika kimlik doğrulamasının kullanılmasına olanak sağlanır. Sertifika hesap eşleştirmesi işlemi düzgün şekilde tamamlanmazsa, kimlik doğrulama başarısız olur ve IPsec korumalı bağlantılar engellenir.

Önceden paylaşılmış anahtar (Önerilmez)

Kimlik doğrulama için önceden paylaşılmış anahtarları kullanabilirsiniz. Bu, iki kullanıcının daha önce üzerinde anlaştığı paylaşılan, gizli bir anahtardır. Önceden paylaşılan bu anahtarı kullanmak için, her iki taraf da IPsec'i el ile yapılandırmalıdır. Güvenlik anlaşması sırasında, bilgiler iletilmeden önce paylaşılmış anahtar kullanılarak şifrelenir ve alan tarafta aynı anahtar kullanılarak şifresi çözülür. Alıcı bilgilerin şifresini çözebilirse, kimlikler doğrulanmış kabul edilir.

Dikkat
  • Önceden paylaşılan anahtar yöntemi, karşılıklı kullanılabilirlik amacıyla ve IPsec standartlarına bağlı kalmak için sağlanır. Önceden paylaşılmış anahtarı yalnızca sınama amacıyla kullanmanız gerekir. Kimlik doğrulama anahtarı IPsec ilkesinde korunmayan bir durumda depolandığı için, önceden paylaşılmış anahtar kimlik doğrulamasının düzenli olarak kullanılması önerilmez.
  • Ana mod kimlik doğrulaması için önceden paylaşılan anahtar kullanılırsa, ikinci kimlik doğrulama kullanılamaz.

Ayrıca Bkz.


İçindekiler