Sikkerhedsregler for Windows Firewall og for IPsec-baserede forbindelser i Windows Vista og Windows Server 2008

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 942957 - Få vist de produkter, som denne artikel refererer til.
Betaoplysninger
I denne artikel omtales en betaversion af et Microsoft-produkt. Oplysningerne i denne artikel leveres, som de er og forefindes, og kan ændres uden varsel.

Der findes ikke formel teknisk support fra Microsoft til dette betaprodukt. Oplysninger om, hvordan du får support til en betaversion, finder du i den dokumentation, der fulgte med produktfilerne til betaversionen, eller på det websted, hvor du har hentet versionen.
Udvid alle | Skjul alle

På denne side

INTRODUKTION

I denne artikel beskrives følgende:
  • Sikkerhedsregler for Windows Firewall i Windows Vista
  • Sikkerhedsregler for IPsec-baserede forbindelser i Windows Vista og i Windows Server 2008
  • Sådan oprettes der en krypteret forbindelse mellem Windows Vista og Windows XP eller mellem Windows Vista og Windows Server 2003

Yderligere Information

I Windows Vista er de nye sikkerhedsregler for Windows Firewall og de nye sikkerhedsregler for IPsec-baserede forbindelser fuldstændigt integreret i gruppepolitikken. Supportindstillingerne er derfor flettet sammen, og de uddelegerer funktionsmåder på samme måde som andre indstillinger for gruppepolitik.

Sikkerhedsregler for Windows Firewall i Windows Vista

MMC-snap-in'en (Microsoft Management Control) Windows Firewall med avanceret sikkerhed understøtter følgende typer af sikkerhedsregler.

Bemærk! Listen over sikkerhedsregler for Windows Firewall og listen over sikkerhedsregler for forbindelser er flettet sammen fra alle gældende indstillinger for gruppepolitik. Disse sikkerhedsregler behandles derefter i følgende rækkefølge. Følgende rækkefølge gennemtvinges altid, uanset kilden til sikkerhedsreglen.
  • Hærdningsregel for Windows-tjenester
    Hærdningsreglen for Windows-tjenester begrænser tjenester i at oprette forbindelser. Begrænsninger for tjenester er konfigureret, så Windows-tjenester kun kan kommunikere på en bestemt måde. Du kan f.eks. forhindre trafik via en bestemt port. Det er dog først, når du har oprettet en firewallregel, at trafik er tilladt.
  • Sikkerhedsregel for forbindelser
    I sikkerhedsregler for forbindelser defineres, hvordan og hvornår computere godkendes ved hjælp IPsec-funktionen. Sikkerhedsregler for forbindelser bruges i forbindelse med server- og domæneisolation. Derudover bruges sikkerhedsregler for forbindelser til at gennemtvinge NAP-politikken (Network Access Protection).
  • Regel for godkendt overspringning
    Reglen for godkendt overspringning tillader, at visse computere får forbindelse, hvis trafikken er beskyttet ved hjælp af IPsec-funktionen, uanset andre regler for indgående trafik. Bestemte computere kan springe regler for indgående meddelelser, der blokerer for trafikken, over. Du kan f.eks. kun aktivere fjernadministration af firewall fra visse computere ved at oprette regler for godkendt overspringning for computerne. Du kan også aktivere understøttelse af fjernsupport ved at ringe til supportmedarbejdere.
  • Blokeringsregel
    Blokeringsreglen blokerer udtrykkeligt for en bestemt type indgående eller udgående trafik.
  • Tilladelsesregel
    Tilladelsesreglen tillader udtrykkeligt bestemte typer indgående og udgående trafik.
  • Standardregel
    Standardreglen er konfigureret, så standardreglen for indgående trafik blokerer for forbindelser, og standardreglen for udgående trafik tillader forbindelser.

Sikkerhedsregler for IPsec-baserede forbindelser i Windows Vista og i Windows Server 2008

Følgende to typer IPsec-regler kan anvendes på en Windows Vista-baseret computer eller en Windows Server 2008-baseret computer:
  • IPsec-regler
    Tidligere IPsec-regler er aktuelt installeret under Windows 2000 og Windows Server 2003. De tidligere IPsec-regler administreres af PolicyAgent-tjenesten. Disse IPsec-regler er IKE-regler (Internet Key Exchange), der kun understøtter computerbaseret Kerberos-godkendelse, x.509-certifikater eller forhåndsdelt nøglegodkendelse. Disse IPsec-regler er konfigureret i MMC-snap-in'en til administration af IPsec-politikker. IKE-baserede PolicyAgent-regler anvendes på samme måde som i Windows 2000 og i Windows Server 2003. Selvom der kan installeres flere politikker på en bestemt computer, er det kun den senest installerede politik, der kører, som den skal. Det sker i overensstemmelse med metoden "sidste skriver vinder". Derudover kan IKE-politikindstillinger ikke flettes sammen.
  • Sikkerhedsregler for forbindelser
    Sikkerhedsregler for forbindelser understøttes kun i Windows Vista og i Windows Server 2008. Sikkerhedsregler for forbindelser understøttes af en udvidelse til IKE, der kaldes AuthIP (Authenticated IP). AuthIP tilføjer support af følgende godkendelsesmekanismer:
    • Interaktive Kerberos-legitimationsoplysninger for brugere eller interaktive NTLMv2-legitimationsoplysninger for brugere
    • x.509-certifikater for brugere
    • SSL-certifikater (Computer Secure Sockets Layer) for computere
    • NAP-tilstandscertifikater
    • Anonym godkendelse (valgfri godkendelse)
    Du kan konfigurere sikkerhedsregler for snap-in'en Windows Firewall med udvidet sikkerhed ved hjælp af følgende værktøjer:
    • Domænebaseret gruppepolitik
    • Snap-in'en Windows Firewall med avanceret sikkerhed

      Bemærk! Snap-in'en Windows Firewall med avanceret sikkerhed er standardlagerplaceringen for politikker, der kan åbnes ved hjælp af kommandoen wf.msc.
    • Den lokale snap-in Gruppepolitik (Gpedit.msc)
    • Kommandoen netsh advfirewall

      Bemærk! Kommandoen netsh advfirewall peger på samme lager som kommandoen wf.msc.
    På samme måde som andre regler for firewall og gruppepolitik flettes sikkerhedsregler sammen for forbindelser fra alle tilgængelige objekter for gruppepolitik.

    Du kan konfigurere sikkerhedspolitikker for forbindelser, hvis du vil oprette IPsec-baserede politikker, der er kompatible med klienter, som er baseret på IKE version 1, f.eks. Microsoft Windows 2000, Windows XP og Windows Server 2003. Du kan også konfigurere sikkerhedspolitikker for forbindelser, hvis du vil oprette politikker, der kun understøtter kommunikation mellem Windows Vista-baserede computere og Windows Server 2008-baserede computere.

    En administrator kan oprette en sikkerhedspolitik for forbindelser ved hjælp af følgende metoder:
    • Administratoren kan oprette en sikkerhedspolitik for forbindelser, der kun understøtter Kerberos-godkendelse, x.509-certifikater for brugere eller computergodkendelse.

      Bemærk!
      • I dette tilfælde opretter Mpssvc-tjenesten automatisk både AuthIP- og tidligere IKE-politikker.
      • Hvis der er angivet en forhåndsdelt nøglegodkendelse, oprettes der ikke AuthIP-regler.
    • Administratoren kan oprette en sikkerhedspolitik for forbindelser, der kræver brugergodkendelse.

      Bemærk! I dette tilfælde oprettes der kun en AuthIP-politik for forhandlinger mellem Windows Vista og Windows Vista og forhandlinger mellem Windows Vista og Windows Server 2008. Det skyldes, at IKE ikke understøtter brugergodkendelse.
    • Administratoren kan oprette en sikkerhedspolitik for forbindelser, hvor der føjes indstillinger for brugergodkendelse til politikken. Administratoren kan også vælge indstillingen 2. godkendelse er valgfri.

      Bemærk! Med Mpssvc-tjenesten oprettes der både AuthIP-politikker og tidligere IKE-politikker. Valgfri brugergodkendelse er medtaget i AuthIP-sættet. Valgfri brugergodkendelse er ikke medtaget i den tidligere IKE-politik.
    • Administratoren kan oprette en sikkerhedspolitik for forbindelser, der kræver NTLM-godkendelse.

      Bemærk! I dette tilfælde oprettes der kun en AuthIP-politik for forhandlinger mellem Windows Vista og Windows Vista og forhandlinger mellem Windows Vista og Windows Server 2008, fordi IKE ikke understøtter NTLM-godkendelse.
    • Administratoren vælger Diffie-Hellman-algoritmen i den globale Main Mode Key Exchange-algoritme, der ikke er kompatibel med tidligere klienter, f.eks. Elliptic Curve Diffie-Hellman P-256-algoritmen.

      Bemærk!
      • I dette tilfælde understøttes Diffie-Hellman-algoritmen ikke af tidligere IKE-klienter i version 1. Derudover lykkes IKE-forhandlingerne ikke.
      • Det anbefales, at du bruger Diffie-Hellman Group 2-indstillingen, da denne indstilling understøttes af det største udvalg af klienter.
      • Diffie-Hellman Group 14-indstillingen understøttes i Windows XP SP2 (Service Pack 2) og i Windows Server 2003.
      • I dette tilfælde er den væsentligste ændring i funktionsmåden, at Diffie-Hellman-algoritmen generelt ikke bruges til AuthIP-baserede forhandlinger.
      • Når der i Mpssvc-tjenesten oprettes AuthIP-regler, angives det i Mpssvc-tjenesten, at Diffie-Hellman-algoritmen kun må bruges i forhandlinger mellem Windows Vista og Windows Vista eller forhandlinger mellem Windows Vista og Windows Server 2008, hvis godkendelsesmetoden for hovedtilstanden er angivet til Anonym.
      • Når der i Mpssvc-tjenesten oprettes IKE-regler, bruges den Diffie-Hellman-algoritme, der er specifik for den globale indstilling af Main Mode Key Exchange, altid i Mpssvc-tjenesten.
      • Der bruges en SSPI-delt hemmelighed (Security Support Provider Interface) til at oprette nøglemateriale i AuthIP-udvekslinger, hvor nøgleudvekslingen i hovedtilstand ikke har en Diffie-Hellman-udveksling.

    Certifikater, der bruges af AuthIP

    • AuthIP bruger SSL-certifikater, hvor der er konfigureret indstillinger for klientgodkendelse, eller hvor der er konfigureret indstillinger for servergodkendelse. SSL-certifikater kan være certifikater til klientgodkendelse. SSL-certifikater kan også være både certifikater til klientgodkendelse og certifikater til servergodkendelse.
    • Hvis du opretter politikker for at bruge certifikatgodkendelse til Windows Vista, skal du have certifikater, der fungerer sammen med AuthIP. Det betyder, at de certifikater, du anvender på klienterne, skal være SSL-certifikater, der bruger klientgodkendelse eller servergodkendelse. Godkendelsen afhænger af, om du ønsker envejs- eller tovejsgodkendelse. SSL-certifikaterne adskiller sig fra de digitale standardcertifikater, der bruges i Windows XP eller Windows Server 2003.
    • SSL-certifikater bruges som standard af NAP-installationer.

Behandling af gruppepolitik for snap-in'en Windows Firewall med avanceret sikkerhed

Sikkerhedsregler for forbindelser flettes sammen fra alle tilgængelige gruppepolitikobjekter. Der findes dog en relateret gruppe indstillinger for IPsec og for AuthIP, der administrerer en ikke-additiv IPsec-standardfunktionsmåde. Denne gruppe indstillinger omfatter globale godkendelsessæt, indstillinger for hurtigtilstand, indstillinger for nøgleudveksling og ICMP-undtagelser (Internet Control Message Protocol).

Standardsættet af sikkerhedsindstillinger for forbindelser eller IPsec-indstillinger, der gælder fra gruppepolitikobjektet med højeste prioritet, lykkes på en Windows Vista-baseret klient. Alle sikkerhedsregler for forbindelser på en Windows Vista-baseret klient, der bruger standardgodkendelsessæt eller kryptografiske sæt, bruger f.eks. sættene fra gruppepolitikobjektet med højeste prioritet. Hvis du ønsker større fleksibilitet, kan du bruge følgende indstillinger:
  • Til godkendelsessæt kan du konfigurere godkendelse ved hjælp af sikkerhedsreglen for forbindelser i stedet for standardgodkendelse.
  • Til kryptografiske hurtigtilstandssæt kan du bruge kommandoen netsh til at konfigurere kryptografiske indstillinger for hurtigtilstand for de enkelte sikkerhedsregler for forbindelser efter behov.
  • Til kryptografiske hovedtilstandssæt understøttes kun ét kryptografisk hovedtilstandssæt for de enkelte politikker. Når der modtages flere kryptografiske hovedtilstandssæt, anvendes det kryptografiske hovedtilstandssæt fra gruppepolitikobjektet med højeste prioritet på alle sikkerhedsregler for forbindelser i gruppepolitikken. Men du kan ikke tilpasse regler til at bruge forskellige kryptografiske hovedtilstandssæt.
  • Når du konfigurerer gruppepolitikobjekter for sikkerhedspolitikker for forbindelser og firewallpolitikker, kan du deaktivere brugen af lokale firewallregler og sikkerhedsregler for forbindelser. Det er derfor kun indstillinger for gruppepolitik, der er knyttet til lokale gruppepolitikobjekter, domænets gruppepolitikobjekter eller afdelingens gruppepolitikobjekter, der kan styre funktionsmåden for Windows Firewall.
Du kan hente hvidbogen Introduction to Windows Firewall with Advanced Security til Windows Vista på følgende Microsoft-websted:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=da
Du kan finde flere oplysninger om AuthIP i Windows Vista på følgende Microsoft-websted:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Du kan finde flere oplysninger om den nye Windows Firewall i Windows Vista og i Windows Server 2008 på følgende Microsoft-websted:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Sådan oprettes der en krypteret forbindelse mellem Windows Vista og Windows XP eller mellem Windows Vista og Windows Server 2003

I Windows Server 2003 og i Windows XP består konfigurationen af IPsec-politikken som regel af et regelsæt, der beskytter det meste af trafikken på netværket, og et andet regelsæt til undtagelser af beskyttet trafik. En konfiguration kan omfatte serverisolation og domæneisolation. Der kræves undtagelser til ubeskyttet kommunikation med netværksinfrastrukturservere, f.eks. DHCP-servere (Dynamic Host Configuration Protocol), DNS-servere (Domain Name System) og domænecontrollere. Når en computer starter, skal computeren kunne hente en IP-adresse, og den skal kunne bruge DNS til en søge efter en domænecontroller. Derudover skal computeren kunne logge på sit eget domæne, før computeren kan gå i gang med at bruge Kerberos-godkendelse til at godkende sig selv som en IPsec-peer. Der kræves andre undtagelser for at kommunikere med netværksnoder, der ikke er IPsec-aktiveret. I visse tilfælde findes der mange undtagelser, som gør det vanskeligere at implementere IPsec-beskyttelse på et firmanetværk og at vedligeholde firmanetværket løbende.

I Windows Server 2008 og i Windows Vista gør IPsec det muligt at forhandle om IPsec-beskyttelse. Antag, at IPsec er aktiveret, og at en IPsec-node, der kører Windows Server 2008 eller Windows Vista, starter en kommunikation med en anden netværksnode. I dette tilfælde forsøger IPsec-noden at kommunikere uden kryptering eller ubeskyttet. Noden forsøger at forhandle om beskyttet kommunikation samtidig. Hvis den IPsec-peer, der starter, ikke modtager svar på det første forhandlingsforsøg, fortsætter kommunikationen ubeskyttet. Hvis den IPsec-peer, der starter, modtager et svar på det første forhandlingsforsøg, fortsætter kommunikationen i det fri, indtil forhandlingen er på plads. Når forhandlingen er fuldført, modtager efterfølgende kommunikation øget beskyttelse. Den IPsec-node, der starter, kan finde ud af, om den netværksnode, den kommunikerer med, kan udføre IPsec. Den IPsec-node, der starter, fungerer derefter i overensstemmelse hermed. Denne funktionsmåde for IPsec-noden skyldes den valgfri IPsec-funktionsmåde. Derudover skyldes denne funktionsmåde den anbefalede konfiguration, som kræver beskyttelse for indgående startet kommunikation, og som anmoder om beskyttelse for udgående startet kommunikation. Denne nye funktionsmåde gør det meget nemmere at konfigurere IPsec-politikken. Den IPsec-node, der starter, behøver f.eks. ikke at have et sæt foruddefinerede IPsec-filtre for at undtage et sæt værter, der ikke kan beskytte netværkstrafikken ved hjælp af IPsec. Den IPsec-node, der starter, forsøger at udføre både beskyttet og ubeskyttet trafik samtidig. Hvis beskyttet kommunikation ikke er muligt, bruger den IPsec-node, der starter, ubeskyttet kommunikation.

Den nye funktionsmåde for forhandlinger forbedrer også ydeevnen for ubeskyttede forbindelser, der er oprettet til værter. En IPsec-node, der kører Windows Server 2003 eller Windows XP, er konfigureret til at anmode om beskyttet kommunikation, men aktiverer ubeskyttet kommunikation. Det er kendt, at denne funktionsmåde for IPsec-noden går tilbage til klartekst. IPsec-noden sender forhandlingsmeddelelser og venter på et svar. Den IPsec-node, der starter, venter i op til tre sekunder, før den går tilbage til klartekst og forsøger at udføre ubeskyttet kommunikation. I Windows Server 2008 og i Windows Vista er der ikke længere en forsinkelse på tre sekunder, når noden går tilbage til klartekst, da ubeskyttet kommunikation allerede er i gang, når den IPsec-node, der starter, venter på et svar.

Du kan finde flere oplysninger om serverisolation og domæneisolation på følgende Microsoft-websted:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Nøglepunkter, når der skal oprettes en krypteret forbindelse mellem Windows Vista og Windows XP eller mellem Windows Vista og Windows Server 2003

  • Hvis du kun aktiverer en krypteret forbindelse i Windows Vista, forhandler Windows Vista kun med alle andre klienter på IPsec-niveau. Dette omfatter Windows XP-baserede klienter.
  • Windows XP eller Windows Server 2003 forhandler som standard ikke på IPsec-niveau. Vi skal derfor tildele en IPsec-regel i Windows XP eller i Windows Server 2003 for at oprette en krypteret forbindelse mellem Windows Vista og Windows XP eller mellem Windows Vista og Windows Server 2003.
  • Hvis indstillingen Tillad kun sikre forbindelser er valgt, forhandler Windows Vista som standard ved hjælp af krypteringsmetoden AES-128 og krypteringsmetoden 3DES. Krypteringsmetoden AES-128 understøttes ikke i Windows XP. Krypteringsmetoden 3DES understøttes i Windows XP og i Windows Server 2003.
  • Hvis IPsec er aktiveret i Windows XP eller i Windows Server 2003, forhandler IPsec som standard ved hjælp af krypteringsmetoden 3DES.
Hvis du vil oprette en krypteret forbindelse mellem en Windows Vista-baseret computer og en Windows XP-baseret computer ved hjælp af snap-in'en Windows Firewall med avanceret sikkerhed, skal du følge disse trin:
  1. Klik på Start
    Skjul billedetUdvid billedet
    Knappen Start
    på den Windows Vista-baserede computer, skriv firewall i boksen Start søgning, og klik derefter på Windows Firewall med avanceret sikkerhed på listen Programmer.
  2. Klik på Indgående regler i konsoltræet.
  3. Dobbeltklik på Fjernskrivebord (TCP-In) på listen over indgående regler, og klik derefter på fanen Generelt.
  4. Klik på Tillad kun sikre forbindelser i området Handling, marker afkrydsningsfeltet Kræv kryptering, og klik derefter på OK.
  5. Klik på Regler for forbindelsessikkerhed i konsoltræet, og klik derefter på Ny regel i menuen Handling.
  6. Klik på Isolation, og klik derefter på Næste.
  7. Klik på Kræv godkendelse for ind- og udgående forbindelser, og klik derefter på Næste.
  8. Klik på Standard, og klik derefter på Næste.
  9. Marker følgende afkrydsningsfelter, og klik derefter på Næste:
    • Domæne
    • Privat
    • Offentlig
  10. Skriv navnet på reglen i boksen Navn, angiv evt. en beskrivelse af reglen i boksen Beskrivelse (valgfri), og klik derefter på Udfør.
  11. Klik på Afslut i menuen Filer.
  12. På den Windows XP-baserede computer skal du klikke på Start, klikke på Kør, skrive secpol.msc og derefter klikke på OK.
  13. Højreklik på IP-sikkerhedspolitikker på den lokale computer i konsoltræet, og klik derefter på Opret IP-sikkerhedspolitik.
  14. Klik på Næste, og følg derefter vejledningen i guiden IP-sikkerhedspolitik for at oprette IP-sikkerhedspolitikken. Brug standardindstillingerne til at oprette denne politik.
  15. Højreklik på Ny IP-sikkerhedspolitik, og klik derefter på Tildel.
  16. Klik på Afslut i menuen Filer.

Egenskaber

Artikel-id: 942957 - Seneste redigering: 25. april 2008 - Redigering: 1.3
Oplysningerne i denne artikel gælder:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Nøgleord: 
kbexpertiseadvanced kbhowto kbinfo KB942957

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com