Pravidla zabezpečení pro bránu Windows Firewall a připojení pomocí protokolu IPsec v systémech Windows Vista a Windows Server 2008

Překlady článku Překlady článku
ID článku: 942957 - Produkty, které se vztahují k tomuto článku.
Informace o beta verzi
Tento článek pojednává o beta verzi produktu společnosti Microsoft. Informace v tomto článku jsou poskytovány tak, jak jsou, a mohou se změnit bez předchozího upozornění.

Společnost Microsoft neposkytuje k této beta verzi produktu žádnou oficiální podporu. Informace o možnostech získání podpory k beta verzi naleznete v dokumentaci, která je součástí souborů beta verze produktu, nebo na webu, ze kterého jste tuto verzi stáhli.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek obsahuje následující části:
  • Pravidla zabezpečení pro bránu Windows Firewall v systému Windows Vista
  • Pravidla zabezpečení pro připojení pomocí protokolu IPsec v systémech Windows Vista a Windows Server 2008
  • Navázání šifrovaného připojení mezi systémy Windows Vista a Windows XP nebo mezi systémy Windows Vista a Windows Server 2003

Další informace

V systému Windows Vista jsou nová pravidla zabezpečení pro bránu Windows Firewall a pravidla zabezpečení pro připojení pomocí protokolu IPsec plně integrována do zásad skupiny. Podpůrná nastavení se tedy sloučí a delegují chování stejným způsobem jako jiná nastavení zásad skupiny.

Pravidla zabezpečení pro bránu Windows Firewall v systému Windows Vista

Modul snap-in konzoly MMC (Microsoft Management Control) Brána Windows Firewall s rozšířeným zabezpečením podporuje následující typy pravidel zabezpečení.

Poznámka: Seznam pravidel zabezpečení brány Windows Firewall a seznam pravidel zabezpečení připojení vzniknou sloučením všech aplikovatelných nastavení zásad skupiny. Potom jsou tato pravidla zabezpečení zpracovávána v následujícím pořadí. Následující pořadí je vynuceno vždy, bez ohledu na zdroj pravidel zabezpečení.
  • Pravidlo zabezpečení služeb systému Windows
    Pravidlo zabezpečení služeb systému Windows omezuje služby při navazování připojení. Omezení služeb jsou nakonfigurována tak, že služby systému Windows mohou komunikovat pouze určitým způsobem. Například lze omezit provoz skrze určitý port. Nicméně provoz není povolen, dokud nevytvoříte pravidlo brány firewall.
  • Pravidlo zabezpečení připojení
    Pravidlo zabezpečení připojení definuje, jakým způsobem a kdy jsou počítače ověřovány pomocí protokolu IPsec. Pravidla zabezpečení připojení se používají k ustavení izolace serveru a izolace domény. Dále se používají k vynucení zásad NAP (Network Access Protection).
  • Pravidlo ověřeného přemostění
    Pravidlo ověřeného přemostění dovolí určitým počítačům připojit se, pokud je provoz chráněn protokolem IPsec, a to bez ohledu na další příchozí pravidla. Zadané počítače mohou obejít příchozí pravidla, která blokují provoz. Lze například povolit vzdálenou správu brány firewall z určitých počítačů jednoduše vytvořením pravidel ověřeného přemostění pro tyto počítače. Nebo lze povolit podporu pro vzdálenou pomoc – volání oddělení podpory.
  • Pravidlo blokování
    Pravidlo blokování explicitně blokuje určitý typ příchozího provozu nebo určitý typ odchozího provozu.
  • Pravilo povolení
    Pravidlo povolení explicitně povoluje určité typy příchozího provozu nebo určité typy odchozího provozu.
  • Výchozí pravidlo
    Výchozí pravidlo je nakonfigurováno tak, že výchozí příchozí pravidlo blokuje připojení a výchozí odchozí pravidlo povoluje připojení.

Pravidla zabezpečení pro připojení pomocí protokolu IPsec v systémech Windows Vista a Windows Server 2008

Následující dva typy pravidel protokolu IPsec lze použít pro počítač se systémem Windows Vista nebo Windows Server 2008:
  • Pravidla protokolu IPsec
    Starší pravidla protokolu IPsec jsou v současnosti nasazená v systémech Windows 2000 a Windows Server 2003. Starší pravidla protokolu IPsec jsou spravována službou Agent zásad. Tato pravidla protokolu IPsec jsou pravidla protokolu IKE (Internet Key Exchange), která podporují pouze počítačové ověřování Kerberos, certifikáty x.509 nebo ověřování předsdíleným klíčem. Tato pravidla protokolu IPsec se konfigurují v modulu snap-in konzoly MMC Správa zásad zabezpečení protokolu IP. Pravidla Agenta zásad založená na protokolu IKE jsou uplatňována stejným způsobem jako v systémech Windows 2000 a Windows Server 2003. Ačkoli může být na daný počítač uplatněno více zásad, pouze poslední použitá zásada je úspěšná. Princip je, že platný je poslední zápis. Dále platí, že nastavení zásad protokolu IKE nelze slučovat.
  • Pravidla zabezpečení připojení
    Pravidla zabezpečení připojení jsou podporována pouze v systémech Windows Vista a Windows Server 2008. Pravidla zabezpečení připojení jsou podporována rozšířením protokolu IKE nazývaným AuthIP (Authenticated IP). Protokol AuthIP přidává podporu pro následující mechanismy ověřování:
    • interaktivně zadaná pověření uživatele pro ověřování Kerberos nebo ověřování NTLMv2;
    • uživatelské certifikáty x.509;
    • počítačové certifikáty protokolu SSL (Secure Sockets Layer);
    • certifikáty stavu NAP;
    • anonymní ověřování (volitelné ověřování).
    Pravidla zabezpečení pro modul snap-in Brána Windows Firewall a rozšířené zabezpečení lze konfigurovat pomocí následujících nástrojů:
    • zásady skupiny pro doménu;
    • modul snap-in Brána Windows Firewall s rozšířeným zabezpečením;

      Poznámka: Modul snap-in Brána Windows Firewall s rozšířeným zabezpečením je výchozí úložiště zásad, které jsou přístupné pomocí příkazu wf.msc.
    • modul snap-in Zásady skupiny místního počítače (Gpedit.msc);
    • příkaz netsh advfirewall;

      Poznámka: Příkaz netsh advfirewall odkazuje na stejné úložiště jako příkaz wf.msc.
    Pravidla zabezpečení připojení jsou sloučena ze všech platných objektů zásad skupiny (stejně jako u dalších pravidel brány firewall a pravidel zásad skupiny).

    Pravidla zabezpečení připojení lze nakonfigurovat tím způsobem, že vytvoří zásady protokolu IPsec, které budou kompatibilní s klienty protokolu IKE verze 1 (například systémy Microsoft Windows 2000, Windows XP a Windows Server 2003). Zásady zabezpečení připojení lze rovněž nakonfigurovat tak, že vytvoří zásady, které budou podporovat pouze komunikaci mezi počítači se systémy Windows Vista a Windows Server 2008.

    Správce může vytvořit zásadu zabezpečení připojení pomocí následujících metod:
    • Správce může vytvořit zásadu zabezpečení připojení, která podporuje pouze ověřování Kerberos, uživatelské certifikáty x.509 nebo ověřování počítače.

      Poznámky
      • V tomto případě služba Mpssvc vytvoří automaticky zásady protokolu AuthIP a zásady staršího protokolu IKE.
      • Pokud je zadáno ověřování předsdíleným klíčem založené na počítači, nevytvoří se pravidla protokolu AuthIP.
    • Správce může vytvořit zásadu zabezpečení připojení, která požaduje ověření uživatele.

      Poznámka: V tom případě je pro vyjednávání Windows Vista – Windows Vista a Windows Vista – Windows Server 2008 vytvořena pouze zásada protokolu AuthIP. Protokol IKE totiž nepodporuje ověřování uživatelů.
    • Správce může vytvořit zásadu zabezpečení připojení, ve které se do zásady přidají možnosti ověřování uživatelů. Správce může také vybrat možnost Druhé ověření je volitelné.

      Poznámka: Služba Mpssvc vytvoří zásady protokolu AuthIP i zásady staršího protokolu IKE. Volitelné ověřování uživatelů je zahrnuto v sadě zásad protokolu AuthIP. Volitelné ověřování uživatelů není zahrnuto do zásad staršího protokolu IKE.
    • Správce může vytvořit zásadu zabezpečení připojení, která požaduje ověřování NTLM.

      Poznámka: V tom případě je pro vyjednávání Windows Vista – Windows Vista a Windows Vista – Windows Server 2008 vytvořena pouze zásada protokolu AuthIP, protože protokol IKE nepodporuje ověřování NTLM.
    • Správce vybere v globálním algoritmu výměny klíčů hlavního režimu algoritmus Diffie-Hellman, který je nekompatibilní se staršími klienty, například algoritmus Elliptic Curve Diffie-Hellman P-256.

      Poznámky
      • V tomto případě nebude algoritmus Diffie-Hellman podporován staršími klienty protokolu IKE verze 1. Vedle toho budou vyjednávání protokolu IKE neúspěšná.
      • Doporučujeme použít nastavení „Diffie-Hellman Group 2“, protože je podporováno nejširší škálou klientů.
      • Nastavení „Diffie-Hellman Group 14“ je podporováno v systémech Windows XP Service Pack 2 (SP2) a Windows Server 2003.
      • V tomto případě je klíčovou změnou chování to, že algoritmus Diffie-Hellman se obecně nepoužívá pro vyjednávání založená na protokolu AuthIP.
      • Při vytváření pravidel protokolu AuthIP služba Mpssvc stanoví, že vyjednávání Windows Vista – Windows Vista nebo Windows Vista – Windows Server 2008 musí používat algoritmus Diffie-Hellman pouze v případě, pokud je metoda ověřování hlavního režimu nastavena na možnost Anonymní.
      • Při vytváření pravidel protokolu IKE služba Mpssvc vždy používá algoritmus Diffie-Hellman specifický pro globální nastavení Výměna klíčů hlavního režimu.
      • Pro generování materiálu klíčů ve výměnách protokolu AuthIP, kdy výměna klíčů hlavního režimu nemá výměnu Diffie-Hellman, se používá sdílený tajný klíč rozhraní SSPI (Security Support Provider Interface).

    Certifikáty používané protokolem AuthIP

    • Protokol AuthIP používá certifikáty protokolu SSL, které mají nakonfigurovaná nastavení ověření klienta nebo nastavení ověření serveru. Certifikáty protokolu SSL mohou být certifikáty pro ověřování klientů. Nebo mohou být certifikáty protokolu SSL jednak certifikáty pro pro ověřování klientů, a zároveň i ověřovací certifikáty serverů.
    • Pokud sestavujete zásady, které používají ověřování pomocí certifikátů pro systém Windows Vista, jsou nutné certifikáty fungující s protokolem AuthIP. To znamená, že certifikáty nasazené v klientech musí být certifikáty protokolu SSL používající ověřování klientů nebo ověřování serverů. Dané ověřování záleží na tom, zda chcete mít jednosměrné ověřování nebo vzájemné ověřování. Certifikáty protokolu SSL se liší od standardních digitálních certifikátů používaných v systémech Windows XP a Windows Server 2003.
    • Certifikáty protokolu SSL jsou ve výchozím nastavení používány v implementacích NAP.

Zpracování zásad skupiny pro modul snap-in Brána Windows Firewall s rozšířeným zabezpečením

Pravidla zabezpečení připojení vzniknou sloučením všech platných objektů zásad skupiny. Existuje nicméně související skupina nastavení pro protokoly IPsec a AuthIP, která spravuje výchozí, neaditivní chování protokolu IPsec. Tato skupina nastavení zahrnuje globální sady ověřování, nastavení rychlého režimu, nastavení výměny klíčů a výjimky protokolu ICMP (Internet Control Message Protocol).

V klientovi se systémem Windows Vista budou úspěšné výchozí sada možností zabezpečení připojení nebo možnosti protokolu IPsec uplatněné z objektu zásad skupiny s nejvyšší prioritou. Například všechna pravidla zabezpečení připojení v klientovi se systémem Windows Vista, která používají výchozí sady ověřování nebo sady kryptografických nastavení, budou používat sady z objektu zásad skupiny s nejvyšší prioritou. Pokud potřebujete větší flexibilitu, můžete použít následující možnosti:
  • Nakonfigurujte ověřování pro sady ověřování pomocí pravidla nastavení zabezpečení, nikoli pomocí výchozího ověřování.
  • U sad kryptografických nastavení pro rychlý režim použijte příkaz netsh a nakonfigurujte kryptografická nastavení rychlého režimu pro každé pravidlo zabezpečení připojení podle potřeby.
  • Pro sady kryptografických nastavení hlavního režimu platí, že je podporována pouze jedna sada kryptografických nastavení hlavního režimu pro každou zásadu. Pokud je obdrženo více sad kryptografických nastavení hlavního režimu, pro všechna pravidla zabezpečení připojení v zásadách skupiny se použije sada kryptografických nastavení hlavního režimu z objektu zásad skupiny s nejvyšší prioritou. Není možné upravit pravidla, aby používala odlišné sady kryptografických nastavení hlavního režimu.
  • Při konfiguraci objektů zásad skupiny pro zásady zabezpečení připojení a zásady brány firewall lze zakázat používání místních pravidel brány firewall a pravidel zabezpečení připojení. Tudíž se pak chování brány Windows Firewall řídí pouze nastaveními zásad skupiny z objektů zásad skupiny lokality, zásad skupiny domény nebo zásad skupiny organizační jednotky.
Chcete-li si stáhnout dokument white paper pro systém Windows Vista „Introduction to Windows Firewall with Advanced Security“, navštivte následující web společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Další informace o protokolu AuthIP v systému Windows Vista naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Další informace o nové bráně Windows Firewall v systémech Windows Vista a Windows Server 2008 naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Navázání šifrovaného připojení mezi systémy Windows Vista a Windows XP nebo mezi systémy Windows Vista a Windows Server 2003

V systémech Windows Server 2003 a Windows XP se konfigurace zásad protokolu IPsec obvykle skládá z jedné sady pravidel, která chrání většinu provozu v sítí, a jiné sady pravidel pro výjimky chráněného provozu. Konfigurace mohou zahrnovat izolaci serveru a izolaci domény. Výjimky jsou požadovány pro nechráněnou komunikaci se servery síťové infrastruktury, například servery DHCP (Dynamic Host Configuration Protocol), servery DNS (Domain Name System) a řadiči domény. Počítač musí mít při spuštění možnost získat adresu IP a musí být schopen používat službu DNS, aby mohl najít řadič domény. Dále musí být počítač schopen přihlásit se do domény, než může začít používat ověřování Kerberos, aby mohl ověřovat sebe jako partnera protokolu IPsec. Další výjimky jsou nutné pro komunikaci se síťovými uzly, které nemohou komunikovat pomocí protokolu IPsec. Velké množství výjimek někdy znesnadňuje nasazení ochrany protokolem IPsec v rozlehlé síti a údržbu této rozlehlé sítě.

V systémech Windows Server 2008 a Windows Vista nabízí protokol IPsec volitelné chování pro vyjednání ochrany protokolem IPsec. Předpokládejme, že je povolen protokol IPsec a uzel protokolu IPsec používající systém Windows Server 2008 nebo Windows Vista zahájí komunikaci s dalším síťovým uzlem. V tom případě se uzel protokolu IPsec pokusí komunikovat bez šifrování, bez ochrany. Přitom se uzel paralelně pokusí vyjednat chráněnou komunikaci. Pokud partner protokolu IPsec, který zahájil komunikaci, neobdrží odpověď na úvodní pokus o vyjednávání, komunikace pokračuje v nešifrované (nechráněné) formě. Pokud partner protokolu IPsec, který zahájil komunikaci, obdrží odpověď na úvodní pokus o vyjednávání, pokračuje komunikace v nešifrované formě do dokončení vyjednávání. Následná komunikace po dokončení vyjednávání získá vyšší úroveň ochrany. Uzel protokolu IPsec zahajující komunikaci tak může zjistit, zda síťový uzel, se kterým komunikuje, může komunikovat pomocí protokolu IPsec. Pak se zachová podle toho, co zjistil. Toto chování uzlu protokolu IPsec je výsledkem zmíněného volitelného chování protokolu IPsec. Dále je důvodem tohoto chování doporučená konfigurace, která požaduje ochranu pro příchozí zahájené komunikace a zkouší vyžádat si ochranu pro odchozí zahájené komunikace. Toto nové chování výrazně zjednodušuje konfiguraci zásad protokolu IPsec. Například uzel protokolu IPsec zahajující komunikaci nemusí mít sadu předem definovaných filtrů protokolu IPsec, které budou definovat jako výjimku sadu hostitelů, kteří nemohou chránit síťovou komunikaci pomocí protokolu IPsec. Uzel protokolu IPsec zahajující komunikaci zkouší paralelně chráněnou i nechráněnou komunikaci. Pokud chráněná komunikace není možná, zahajující uzel protokolu IPsec používá nechráněnou komunikaci.

Nové chování vyjednávání rovněž zvyšuje výkon nechráněných připojení k hostitelům. Uzel protokolu IPsec používající systém Windows Server 2003 nebo Windows XP je nakonfigurovaný tak, že požádá o chráněnou komunikaci, ale umožní i nechráněnou komunikaci. Toto chování uzlu protokolu IPsec se označuje jako ústup či návrat k nechráněné komunikaci. Uzel protokolu IPsec odešle vyjednávací zprávy a čeká na odpověď. Zahajující uzel protokolu IPsec čeká až tři sekundy, pak ustoupí ze svého požadavku a zkusí navázat nechráněnou komunikaci. V systému Windows Server 2008 a Windows Vista již není toto třísekundové zpoždění před návratem k nechráněné komunikaci, protože během čekání na odpověď tato nechráněná komunikace již probíhá.

Další informace o izolaci serveru a izolaci domény naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Klíčové faktory navázání šifrovaného připojení mezi systémy Windows Vista a Windows XP nebo mezi systémy Windows Vista a Windows Server 2003

  • Pokud v systému Windows Vista povolíte pouze šifrované připojení, systém Windows Vista vyjednává se všemi dalšími klienty pouze na dané úrovni protokolu IPsec. To zahrnuje i klienty se systémem Windows XP.
  • Systémy Windows XP a Windows Server 2003 ve výchozím nastavení nevyjednávají na dané úrovni protokolu IPsec. Je tedy nutné v systému Windows XP nebo Windows Server 2003 přidělit pravidlo protokolu IPsec, aby bylo možné navázat šifrované připojení mezi systémy Windows Vista a Windows XP nebo mezi systémy Windows Vista a Windows Server 2003.
  • Ve výchozím nastavení systém Windows Vista, pokud je zvolena možnost Povolit pouze zabezpečená připojení, vyjednává s použitím metod šifrování AES-128 a 3DES. Metoda šifrování AES-128 není podporována v systému Windows XP. Metoda šifrování 3DES je podporována v systémech Windows XP a Windows Server 2003.
  • Ve výchozím nastavení, pokud je v systémech Windows XP nebo Windows Server 2003 povolen protokol IPsec, bude protokol IPsec vyjednávat pomocí metody šifrování 3DES.
Chcete-li navázat šifrované připojení mezi počítačem se systémem Windows Vista a počítačem se systémem Windows XP pomocí modulu snap-in Brána Windows Firewall s rozšířeným zabezpečením, postupujte takto:
  1. V počítači se systémem Windows Vista klepněte na tlačítko Start
    Zmenšit tento obrázekZvětšit tento obrázek
    Tlačítko Start
    , do pole Zahájit hledání zadejte řetězec firewall a potom v seznamu Programy klepnete na položku Brána Windows Firewall s vyspělým zabezpečením.
  2. Ve stromové struktuře konzoly klepněte na položku Příchozí pravidla.
  3. V seznamu Příchozí pravidla poklepejte na položku Vzdálená plocha (TCP-In) a potom klepněte na kartu Obecné.
  4. Ve skupinovém rámečku Akce klepněte na přepínač Povolit pouze zabezpečená připojení, zaškrtněte políčko Požadovat šifrování a klepněte na tlačítko OK.
  5. Ve stromové struktuře konzoly klepněte na položku Pravidla zabezpečení připojení a potom klepněte v nabídce Akce na příkaz Nové pravidlo.
  6. Klepněte na přepínač Izolace a potom na tlačítko Další.
  7. Klepněte na přepínač Požadovat ověření pro příchozí i odchozí připojení a klepněte na tlačítko Další.
  8. Klepněte na přepínač Výchozí a potom na tlačítko Další.
  9. Zaškrtněte následující políčka a potom klepněte na tlačítko Další:
    • Doména
    • Privátní
    • Veřejný
  10. Do pole Název zadejte název pravidla. Pokud chcete, do pole Popis (nepovinné) zadejte popis. Klepněte na tlačítko Dokončit.
  11. V nabídce Soubor klepněte na příkaz Konec.
  12. V počítači se systémem Windows XP klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte secpol.msc a klepněte na tlačítko OK.
  13. Ve stromové struktuře konzoly klepněte pravým tlačítkem myši na položku Zásady zabezpečení protokolu IP – Místní počítač a poté klepněte na příkaz Vytvořit zásadu zabezpečení protokolu IP.
  14. Klepněte na tlačítko Další a potom podle pokynů Průvodce zásadami zabezpečení protokolu IP vytvořte zásadu zabezpečení protokolu IP. Tuto zásadu vytvořte s výchozími nastaveními.
  15. Klepněte pravým tlačítkem myši na položku Nová zásada zabezpečení protokolu IP a klepněte na příkaz Přidělit.
  16. V nabídce Soubor klepněte na příkaz Konec.

Vlastnosti

ID článku: 942957 - Poslední aktualizace: 19. března 2008 - Revize: 1.3
Informace v tomto článku jsou určeny pro produkt:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Klíčová slova: 
kbexpertiseadvanced kbhowto kbinfo KB942957

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com