您可以使用健康情況登錄授權 (HRA) 嵌入式管理單元,指定 HRA 伺服器用來與用戶端電腦通訊的安全性機制。這些設定也稱為要求原則設定,決定 HRA 伺服器使用何種非對稱金鑰演算法、雜湊演算法和加密編譯服務提供者 (CSP) 加密與用戶端電腦的通訊。如果您使用 HRA 嵌入式管理單元指定要求原則設定,HRA 伺服器只會使用這些安全性機制與用戶端電腦通訊。
重要 | |
您不需要在 HRA 伺服器上設定要求原則設定。根據預設值,具有 NAP 功能的用戶端電腦會使用互相可接受的預設安全性機制來加密通訊,以初始化與 HRA 伺服器的協商處理。除非您已經在安全的測試環境中完整測試您的要求原則設定,否則就不應該修改要求原則設定。 |
如果您在 HRA 伺服器上設定要求原則設定,則必須在您的用戶端電腦上設定相同的要求原則設定。如果您的 HRA 伺服器未設定為使用與用戶端電腦完全相同的非對稱金鑰演算法、雜湊演算法和 CSP,則您的 HRA 伺服器將無法與用戶端電腦通訊。用戶端電腦可能被視為不相容,使得網路連線受到限制。
加密編譯原則
您可以指定自訂加密編譯原則,以設定 HRA 伺服器要求原則設定。加密編譯原則設定可指定非對稱金鑰演算法、雜湊機碼演算法和加密編譯服務提供者。如需相關資訊,請參閱設定 HRA 加密編譯原則。
非對稱金鑰演算法
非對稱金鑰演算法也稱為公開金鑰演算法。非對稱演算法是用來產生與用戶端健康情況憑證要求相關的非對稱金鑰。預設值允許在 HRA 伺服器和用戶端電腦之間的通訊接受任何可用的演算法。您可以使用 HRA 嵌入式管理單元指定要允許清單中的哪些演算法,也可以修改這些演算法的最小與最大金鑰長度。
雜湊機碼演算法
雜湊機碼演算法也稱為安全雜湊演算法或雜湊函數。雜湊演算法是專為執行單向資料作業所設計,提供唯一的輸出值進行確認,但是無法用來重新建立原始資料。預設值支援使用任何雜湊演算法。您可以使用 HRA 嵌入式管理單元指定要允許清單中的哪些演算法。
加密編譯服務提供者
加密編譯服務提供者是 Windows 作業系統的硬體與軟體元件,提供一般加密編譯功能。設定要用於 HRA 的每個 CSP 都可支援使用不同的演算法、格式和金鑰加密和解密。預設設定支援使用任何 CSP。您可以使用 HRA 嵌入式管理單元指定要使用清單中的哪些 CSP。
傳輸原則
您可以指定自訂傳輸原則,以設定 HRA 伺服器要求原則設定。傳輸原則設定可指定 HTTP 用戶端使用者代理程式。如需相關資訊,請參閱設定 HRA 傳輸原則。
HTTP 用戶端使用者代理程式
HTTP 用戶端使用者代理程式是指定 HTTP/HTTPS 用戶端應用程式身分的字串,用來從 HRA 要求健康情況憑證。預設允許任何代理程式。您可以使用 HRA 嵌入式管理單元指定允許的使用者代理程式。