使用這個設定,指定對等電腦的驗證方式。在網際網路通訊協定安全性 (IPsec) 交涉的主要模式階段期間,會執行「主要驗證」方法。

可以指定多重方法以提供主要驗證使用。依您指定的順序來嘗試這些方法。使用第一個成功的方法。

如需這個對話方塊提供的驗證方法詳細資訊,請參閱 Windows 支援的 IPsec 演算法與方法 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=129230)。

開啟這個對話方塊
  • 修改全系統預設值時:

    1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元的 [概觀] 中按一下 [Windows 防火牆內容]

    2. 按一下 [IPsec 設定] 索引標籤,然後按一下 [IPsec 預設值] 之下的 [自訂]

    3. [驗證方法] 中,選取 [進階],然後按一下 [自訂]

    4. [主要驗證] 之下選取方法,然後按一下 [編輯][新增]

  • 建立新連線安全性規則時:

    1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元中的 [連線安全性規則] 上按一下滑鼠右鍵,然後按一下 [新增規則]

    2. [規則類型] 頁面上選取任何類型,但不包括 [豁免驗證 ]

    3. [驗證方法] 頁面上,選取 [進階],然後按一下 [自訂]

    4. [主要驗證] 之下選取方法,然後按一下 [編輯][新增]

  • 修改現有的連線安全性規則時:

    1. 在具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元中,按一下 [連線安全性規則]

    2. 按兩下要修改的連線安全性規則。

    3. 按一下 [驗證] 索引標籤。

    4. [方法] 中,按一下 [進階],然後按一下 [自訂]

    5. [主要驗證] 之下選取方法,然後按一下 [編輯][新增]

電腦 (Kerberos V5)

可以使用此方法來驗證相同網域或有信任關係之其他網域中擁有電腦帳戶的對等電腦。

電腦 (NTLMv2)

NTLMv2 是一種替代方法,可以驗證在相同網域或有信任關係之其他網域中擁有電腦帳戶的對等電腦。

來自此憑證授權單位 (CA) 的電腦憑證

當情況涉及外部商業合作夥伴通訊,或電腦不是執行 Kerberos 版本 5 驗證通訊協定時,請使用公開金鑰憑證。這樣需要至少設定一個信任的根 CA,或者可以透過網路存取,而且用戶端電腦具有關聯的電腦憑證。

簽署演算法

指定以加密編譯方式保護憑證時所使用的簽署演算法。

RSA (預設)

如果使用 RSA 公開金鑰加密編譯演算法簽署憑證時,請選取這個選項。

ECDSA-P256

如果使用具備 256 位元金鑰強度的橢圓曲線數位簽章演算法 (ECDSA) 來簽署憑證時,請選取這個選項。

ECDSA-P384

如果使用具備 384 金鑰強度的 ECDSA來簽署憑證時,請選取這個選項。

憑證存放區類型

識別憑證所在的存放區,以指定憑證的類型。

根 CA (預設)

如果憑證是由根 CA 所發出,而且儲存在本機電腦的「受信任的根憑證授權單位」憑證存放區,請選取這個選項。

中繼 CA

如果憑證是由中繼 CA 所發出,而且儲存在本機電腦的「中繼憑證授權」憑證存放區,請選取這個選項。

僅接受健康情況憑證

這個選項會規定只能使用標示成健康情況憑證的電腦憑證。健康情況憑證是由支援網路存取保護 (NAP) 部署的 CA 所發行的。NAP 可以讓您定義以及強制執行健康原則,如此不符合網路原則的電腦 (例如沒有防毒軟體的電腦或沒有最新更新的電腦),就比較不可能存取您的網路。若要執行 NAP,就需要設定伺服器和用戶端電腦的 NAP 設定。NAP 用戶端管理是一個 Microsoft Management Console (MMC) 嵌入式管理單元,可協助您設定用戶端電腦的 NAP 設定。如需相關資訊,請參閱「NAP MMC 嵌入式管理單元」說明。若要使用此方法,至少必須在網域中設定一個 NAP 伺服器。

啟用帳戶對應憑證

啟用 IPsec 憑證對帳戶對應時,網際網路金鑰交換 (IKE) 與已驗證網際網路通訊協定 (AuthIP) 會將電腦憑證與 Active Directory 網域或樹系的電腦帳戶建立關聯 (對應),然後抓取存取權杖 (包含電腦安全性群組清單)。這種程序可以確定 IPsec 對等所提供的憑證,會對應至網域中的作用中電腦帳戶,並確定該憑證就是該電腦應使用的憑證。

電腦帳戶與執行對應的電腦必須位於相同樹系,才能使用憑證對帳戶對應。這樣提供的驗證,會比只接受任何有效憑證鏈結更為嚴格。例如,您可以使用這個功能,限制只有相同樹系中的電腦才可存取。不過,憑證對帳戶對應無法確定特定信任的電腦是否允許 IPsec 存取。

如果憑證是來自未整合至 Active Directory 網域服務 (AD DS) 部署的公開金鑰基礎結構 (PKI) (例如,商業合作夥伴不是從 Microsoft 提供者取得憑證),則憑證對帳戶對應就十分有用。您可以設定 IPsec 原則驗證方法,將憑證對應至特定根 CA 的網域電腦帳戶。您也可以將來自一個簽發 CA 的所有憑證,對應至一個電腦帳戶。如此一來,當環境中存在多個樹系,而且每一個憑藉單一內部根 CA 來執行自動註冊時,就可以允許使用 IKE 憑證驗證來限制哪些樹系可以允許 IPsec 存取。如果憑證對帳戶對應處理未正確完成,則驗證會失敗,而且會封鎖 IPsec 保護的連線。

預先共用金鑰 (不建議使用)

可以使用預先共用金鑰來驗證。這是兩位使用者事先同意的共用秘密金鑰。雙方必須手動設定 IPsec,以使用該預先共用金鑰。在安全性交涉期間,會先使用共用金鑰來加密資料,然後才會傳輸並在接收端使用相同金鑰來解密資訊。如果接收者可以解密此資訊,則其識別身分會被視為已驗證。

注意
  • 預先共用金鑰方法是為了提供操作性且符合 IPSec 標準。您應該僅以預先共用金鑰做為測試之用。由於預先共用金鑰驗證以未保護狀態儲存在 IPsec 原則中,因此不建議在一般情況下使用此驗證金鑰。
  • 當預先共用金鑰用於主要模式驗證時,就無法使用次要驗證。

請參閱


目錄