Κανόνες ασφαλείας για το "Τείχος προστασίας των Windows" (Windows Firewall) και τις συνδέσεις που βασίζονται σε IPsec στα Windows Vista και τον Windows Server 2008

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 942957 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Πληροφορίες για την έκδοση Beta
Αυτό το άρθρο ασχολείται με την έκδοση Beta ενός προϊόντος της Microsoft. Οι πληροφορίες αυτού του άρθρου παρέχονται ως έχουν και μπορεί να αλλάξουν χωρίς προειδοποίηση.

Δεν διατίθεται επίσημη υποστήριξη προϊόντος από τη Microsoft για αυτό το προϊόν Beta. Για πληροφορίες σχετικά με τη λήψη υποστήριξης για μια έκδοση Beta, ανατρέξτε στην τεκμηρίωση που περιλαμβάνεται στα αρχεία του προϊόντος Beta ή στην τοποθεσία Web από την οποία κάνατε λήψη της συγκεκριμένης έκδοσης.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τα ακόλουθα:
  • Κανόνες ασφαλείας για το "Τείχος προστασίας των Windows" (Windows Firewall) στα Windows Vista
  • Κανόνες ασφαλείας για συνδέσεις που βασίζονται σε IPsec στα Windows Vista και τον Windows Server 2008
  • Τρόπος δημιουργίας μιας κρυπτογραφημένης σύνδεσης μεταξύ των Windows Vista και των Windows XP ή μεταξύ των Windows Vista και του Windows Server 2003

Περισσότερες πληροφορίες

Στα Windows Vista, οι νέοι κανόνες ασφαλείας για το "Τείχος προστασίας των Windows" (Windows Firewall) και τη σύνδεση που βασίζεται σε IPsec είναι πλήρως ενσωματωμένοι στην "Πολιτική ομάδας" (Group Policy). Επομένως, οι ρυθμίσεις υποστήριξης συγχωνεύονται και μεταβιβάζουν συμπεριφορά με τον τρόπο που το κάνουν και άλλες ρυθμίσεις πολιτικής ομάδας.

Κανόνες ασφαλείας για το "Τείχος προστασίας των Windows" (Windows Firewall) στα Windows Vista

Το συμπληρωματικό πρόγραμμα MMC (Microsoft Management Control) "Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" υποστηρίζει τους ακόλουθους τύπους κανόνων ασφαλείας.

Σημείωση Η λίστα κανόνων ασφαλείας του τείχους προστασίας των Windows (Windows Firewall) και η λίστα κανόνων ασφαλείας σύνδεσης συγχωνεύονται από όλες τις ισχύουσες ρυθμίσεις της πολιτικής ομάδας (Group Policy). Στη συνέχεια, αυτοί οι κανόνες ασφαλείας υποβάλλονται σε επεξεργασία με την ακόλουθη σειρά. Η ακόλουθη σειρά επιβάλλεται πάντα, ανεξάρτητα από την προέλευση των κανόνων ασφάλειας.
  • Κανόνας θωράκισης υπηρεσιών των Windows
    Ο κανόνας θωράκισης υπηρεσιών των Windows περιορίζει τη δημιουργία συνδέσεων από τις υπηρεσίες. Οι περιορισμοί υπηρεσιών διαμορφώνονται κατά τέτοιο τρόπο ώστε οι υπηρεσίες των Windows να μπορούν να επικοινωνήσουν μόνο με έναν συγκεκριμένο τρόπο. Για παράδειγμα, μπορείτε να περιορίσετε την κυκλοφορία μέσω μιας συγκεκριμένης θύρας. Ωστόσο, έως ότου δημιουργήσετε έναν κανόνα τείχους προστασίας, η κυκλοφορία δεν επιτρέπεται.
  • Κανόνας ασφαλείας σύνδεσης
    Ο κανόνας ασφάλειας σύνδεσης καθορίζει πώς και πότε οι υπολογιστές υποβάλλονται σε έλεγχο ταυτότητας με τη χρησιμοποίηση της δυνατότητας IPsec. Οι κανόνες ασφάλειας σύνδεσης χρησιμοποιούνται για τη δημιουργία κατάστασης απομόνωσης κεντρικών υπολογιστών και τομέων. Επιπλέον, οι κανόνες ασφαλείας συνδέσεων χρησιμοποιούνται για την ενίσχυση της πολιτικής NAP (Network Access Protection).
  • Επικυρωμένος κανόνας παράκαμψης
    Ο επικυρωμένος κανόνας παράκαμψης επιτρέπει σε ορισμένους υπολογιστές να συνδεθούν όταν η κυκλοφορία προστατεύεται με τη χρήση της δυνατότητας IPsec, ανεξάρτητα από άλλους εισερχόμενους κανόνες. Οι καθορισμένοι υπολογιστές μπορούν να παρακάμψουν τους εισερχόμενους κανόνες που εμποδίζουν την κυκλοφορία. Για παράδειγμα, μπορείτε να επιτρέψετε την απομακρυσμένη διαχείριση τείχους προστασίας από ορισμένους υπολογιστές μόνο με τη δημιουργία επικυρωμένων κανόνων παράκαμψης για τους υπολογιστές. Ή, μπορείτε να ενεργοποιήσετε τη δυνατότητα υποστήριξης για απομακρυσμένη βοήθεια, καλώντας το γραφείο βοήθειας (Helpdesk).
  • Κανόνας αποκλεισμού
    Ο κανόνας αποκλεισμού αποκλείει ρητά ένα συγκεκριμένο τύπο εισερχόμενης ή εξερχόμενης κυκλοφορίας.
  • Κανόνας αποδοχής
    Ο κανόνας αποδοχής επιτρέπει ρητά ορισμένους τύπους εισερχόμενης ή εξερχόμενης κυκλοφορίας.
  • Κανόνας προεπιλογής
    Ο κανόνας προεπιλογής διαμορφώνεται κατά τέτοιο τρόπο ώστε ο εισερχόμενος κανόνας προεπιλογής να αποκλείει τις συνδέσεις και ο εξερχόμενος κανόνας προεπιλογής να τις επιτρέπει.

Κανόνες ασφαλείας για συνδέσεις που βασίζονται σε IPsec στα Windows Vista και τον Windows Server 2008

Σε έναν υπολογιστή που βασίζεται στα Windows Vista ή τον Windows Server 2008 μπορούν να εφαρμοστούν οι ακόλουθοι δύο τύποι κανόνων IPsec:
  • Κανόνες IPsec
    Οι παλαιότεροι κανόνες IPsec επεκτείνονται αυτήν την περίοδο στα Windows 2000 και τον Windows Server 2003. Η διαχείριση των παλαιότερων κανόνων IPsec πραγματοποιείται από την υπηρεσία Policyagent. Αυτοί οι κανόνες IPsec είναι κανόνες IKE (Internet Key Exchange), οι οποίοι υποστηρίζουν μόνο τον έλεγχο ταυτότητας Kerberos που βασίζεται σε υπολογιστή, πιστοποιητικά x.509 ή έλεγχο ταυτότητας ήδη κοινόχρηστων κλειδιών. Αυτοί οι κανόνες IPsec ρυθμίζονται στο συμπληρωματικό πρόγραμμα MMC "Διαχείριση πολιτικής IPsec" (IPsec Policy Management). Οι κανόνες Policyagent που βασίζονται σε IKE εφαρμόζονται με τον ίδιο τρόπο όπως στα Windows 2000 και τον Windows Server 2003. Αν και μπορούν να εφαρμοστούν πολλές πολιτικές σε έναν δεδομένο υπολογιστή, μόνο η τελευταία πολιτική που εφαρμόζεται είναι επιτυχής. Αυτό είναι σύμφωνο με τη μέθοδο "η τελευταία εγγραφή κερδίζει". Επιπλέον, δεν είναι δυνατή η συγχώνευση των ρυθμίσεων πολιτικής IKE.
  • Κανόνες ασφαλείας σύνδεσης
    Οι κανόνες ασφάλειας σύνδεσης υποστηρίζονται μόνο στα Windows Vista και τον Windows Server 2008. Οι κανόνες ασφάλειας σύνδεσης υποστηρίζονται από μια επέκταση στο IKE που ονομάζεται "IP με έλεγχο ταυτότητας" (Authenticated IP - (AuthIP)). Το AuthIP προσθέτει δυνατότητες υποστήριξης για τους ακόλουθους μηχανισμούς ελέγχου ταυτότητας:
    • Πιστοποιήσεις Kerberos αλληλεπιδραστικού χρήστη ή πιστοποιήσεις NTLMv2 αλληλεπιδραστικού χρήστη
    • Πιστοποιητικά χρήστη x.509
    • Πιστοποιητικά υπολογιστή SSL (Secure Sockets Layer)
    • Πιστοποιητικά καλής κατάστασης NAP
    • Ανώνυμος έλεγχος ταυτότητας (προαιρετικός έλεγχος ταυτότητας)
    Μπορείτε να ρυθμίσετε τους κανόνες ασφαλείας για το συμπληρωματικό πρόγραμμα "Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" (Windows Firewall and Advanced Security), χρησιμοποιώντας τα ακόλουθα εργαλεία:
    • "Πολιτική ομάδας (Group Policy) που βασίζεται σε τομέα
    • Το συμπληρωματικό πρόγραμμα "Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" (Windows Firewall and Advanced Security)

      Σημείωση Το συμπληρωματικό πρόγραμμα "Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" (Windows Firewall and Advanced Security) είναι η προεπιλεγμένη θέση αποθήκευσης των πολιτικών στις οποίες μπορείτε να αποκτήσετε πρόσβαση χρησιμοποιώντας την εντολή wf.msc.
    • Το συμπληρωματικό πρόγραμμα της τοπικής πολιτικής ομάδας (Group Policy) (Gpedit.msc)
    • Την εντολή netsh advfirewall

      Σημείωση Η εντολή netsh advfirewall παραπέμπει στον ίδιο χώρο αποθήκευσης με αυτόν της εντολής wf.msc.
    Όπως και άλλοι κανόνες τείχους προστασίας και πολιτικής ομάδας (Group Policy), η συγχώνευση των κανόνων ασφάλειας σύνδεσης γίνεται από όλα τα ισχύοντα αντικείμενα πολιτικής ομάδας (Group Policy).

    Οι πολιτικές ασφάλειας σύνδεσης μπορούν να διαμορφωθούν έτσι ώστε να δημιουργούν πολιτικές που βασίζονται στο IPsec, οι οποίες να είναι συμβατές με προγράμματα-πελάτες που βασίζονται στην έκδοση 1 του IKE, όπως τα Microsoft Windows 2000, τα Windows XP και ο Windows Server 2003. Οι πολιτικές ασφάλειας σύνδεσης μπορούν επίσης να διαμορφωθούν έτσι ώστε να δημιουργούν πολιτικές που υποστηρίζουν τις επικοινωνίες μόνο μεταξύ υπολογιστών που βασίζονται στα Windows Vista και τον Windows Server 2008.

    Ένας διαχειριστής μπορεί να δημιουργήσει μια πολιτική ασφάλειας σύνδεσης, χρησιμοποιώντας μία από τις ακόλουθες μεθόδους:
    • Ο διαχειριστής μπορεί να δημιουργήσει μια πολιτική ασφάλειας σύνδεσης που υποστηρίζει μόνο τον έλεγχο ταυτότητας Kerberos, τα πιστοποιητικά χρήστη x.509 ή τον έλεγχο ταυτότητας υπολογιστών.

      Σημειώσεις
      • Σε αυτήν την περίπτωση, η υπηρεσία Mpssvc δημιουργεί αυτόματα τόσο την πολιτική AuthIP όσο και τις παλαιότερες πολιτικές IKE.
      • Εάν έχει καθοριστεί ο έλεγχος ταυτότητας ήδη κοινόχρηστου κλειδιού που βασίζεται σε υπολογιστή, οι κανόνες AuthIP δεν δημιουργούνται.
    • Ο διαχειριστής μπορεί να δημιουργήσει μια πολιτική ασφάλειας σύνδεσης που απαιτεί έλεγχο ταυτότητας του χρήστη.

      Σημείωση Σε αυτήν την περίπτωση, δημιουργείται μόνο η πολιτική AuthIP για διαπραγματεύσεις από Windows Vista-σε-Windows Vista και από Windows Vista-σε-Windows Server 2008. Αυτό συμβαίνει επειδή το IKE δεν υποστηρίζει τον έλεγχο ταυτότητας χρήστη.
    • Ο διαχειριστής μπορεί να δημιουργήσει μια πολιτική ασφάλειας σύνδεσης στην οποία οι επιλογές ελέγχου ταυτότητας χρήστη προστίθενται στην πολιτική. Επιπλέον, ο διαχειριστής μπορεί επίσης να επιλέξει τη δυνατότητα Ο δεύτερος έλεγχος ταυτότητας είναι προαιρετικός (Second Authentication is optional).

      Σημείωση Η υπηρεσία Mpssvc δημιουργεί τόσο τις πολιτικές AuthIP όσο και τις παλαιότερες πολιτικές IKE. Ο προαιρετικός έλεγχος ταυτότητας χρήστη περιλαμβάνεται στο σύνολο AuthIP. Ο προαιρετικός έλεγχος ταυτότητας χρήστη δεν περιλαμβάνεται στην παλαιότερη πολιτική IKE.
    • Ο διαχειριστής μπορεί να δημιουργήσει μια πολιτική ασφάλειας σύνδεσης που απαιτεί έλεγχο ταυτότητας NTLM.

      Σημείωση Σε αυτήν την περίπτωση, δημιουργείται μόνο η πολιτική AuthIP για διαπραγματεύσεις από Windows Vista-σε-Windows Vista και από Windows Vista-σε-Windows Server 2008., επειδή το IKE δεν υποστηρίζει τον έλεγχο ταυτότητας NTLM.
    • Ο διαχειριστής επιλέγει τον αλγόριθμο "Diffie-Hellman" από τον καθολικό αλγόριθμο "Βασική ρύθμιση ανταλλαγής κλειδιών" (Main Mode Key Exchange), ο οποίος δεν είναι συμβατός με παλαιότερα προγράμματα-πελάτες, όπως τον αλγόριθμο "Elliptic Curve Diffie-Hellman P-256".

      Σημειώσεις
      • Σε αυτήν την περίπτωση, ο αλγόριθμος "Diffie-Hellman" δεν μπορεί να υποστηριχθεί από παλαιότερα προγράμματα-πελάτες IKE έκδοσης 1. Επιπλέον, οι διαπραγματεύσεις IKE δεν ολοκληρώνονται με επιτυχία.
      • Συνιστούμε να χρησιμοποιείτε τη ρύθμιση "Diffie-Hellman Group 2", επειδή αυτή η ρύθμιση υποστηρίζεται από τα περισσότερα προγράμματα-πελάτες.
      • Η ρύθμιση "Diffie-Hellman Group 14" υποστηρίζεται στο Windows XP Service Pack 2 (SP2) και τον Windows Server 2003.
      • Σε αυτήν την περίπτωση, η βασική αλλαγή της συμπεριφοράς είναι ότι ο αλγόριθμός "Diffie-Hellman" δεν χρησιμοποιείται συνήθως για διαπραγματεύσεις που βασίζονται σε πολιτική AuthIP.
      • Όταν η υπηρεσία Mpssvc δημιουργήσει κανόνες AuthIP, καθορίζει ότι οι διαπραγματεύσεις από Windows Vista-σε-Windows Vista ή από Windows Vista-σε-Windows Server 2008 πρέπει να χρησιμοποιούν μόνο τον αλγόριθμο "Diffie-Hellman", στην περίπτωση που ως κύρια λειτουργία ελέγχου ταυτότητας έχει οριστεί η Anonymous.
      • Όταν η υπηρεσία Mpssvc δημιουργήσει κανόνες IKE, τότε χρησιμοποιεί πάντοτε τον αλγόριθμο "Diffie-Hellman", ο οποίος αφορά τη συγκεκριμένη καθολική ρύθμιση Βασική ρύθμιση ανταλλαγής κλειδιών (Main Mode Key Exchange).
      • Χρησιμοποιείται ένα μυστικό στοιχείο κοινόχρηστου SSPI (Security Support Provider Interface) για τη δημιουργία του υλικού κλειδιών σε ανταλλαγές AuthIP, στις οποίες η βασική ρύθμιση ανταλλαγής κλειδιών δεν έχει δυνατότητα ανταλλαγής Diffie-Hellman.

    Πιστοποιητικά που χρησιμοποιούνται από το AuthIP

    • Το AuthIP χρησιμοποιεί πιστοποιητικά SSL, στα οποία έχουν γίνει ρυθμίσεις παραμέτρων ελέγχου ταυτότητας για υπολογιστή-πελάτη ή διακομιστή. Τα πιστοποιητικά SSL μπορεί να είναι πιστοποιητικά ελέγχου ταυτότητας υπολογιστή-πελάτη. Ή, τα πιστοποιητικά SSL μπορεί να είναι ταυτόχρονα πιστοποιητικά ελέγχου ταυτότητας υπολογιστή-πελάτη και διακομιστή.
    • Εάν δημιουργείτε πολιτικές με σκοπό τη χρήση ελέγχου ταυτότητας πιστοποιητικών για τα Windows Vista, πρέπει να διαθέτετε πιστοποιητικά που λειτουργούν με την πολιτική AuthIP. Αυτό σημαίνει ότι τα πιστοποιητικά που αναπτύσσετε στους υπολογιστές-πελάτες πρέπει να είναι πιστοποιητικά SSL που χρησιμοποιούν έλεγχο ταυτότητας υπολογιστή-πελάτη ή διακομιστή. Ο έλεγχος ταυτότητας εξαρτάται από την επιθυμία σας για μονόδρομο ή αμφίδρομο έλεγχο ταυτότητας. Τα πιστοποιητικά SSL διαφέρουν από τα τυπικά ψηφιακά πιστοποιητικά, τα οποία χρησιμοποιούνται στα Windows XP ή τον Windows Server 2003.
    • Από προεπιλογή, τα πιστοποιητικά SSL χρησιμοποιούνται από εφαρμογές NAP.

Επεξεργασία πολιτικής ομάδας για το συμπληρωματικό πρόγραμμα "Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" (Windows Firewall and Advanced Security)

Η συγχώνευση των κανόνων ασφάλειας σύνδεσης γίνεται από όλα τα ισχύοντα αντικείμενα πολιτικής ομάδας (Group Policy). Εντούτοις, υπάρχει μια σχετική ομάδα ρυθμίσεων για IPsec και AuthIP που διαχειρίζεται την προεπιλεγμένη, μη προσθετική συμπεριφορά IPsec. Αυτή η ομάδα ρυθμίσεων περιλαμβάνει καθολικά σύνολα ελέγχου ταυτότητας, ρυθμίσεις Quick Mode, ρυθμίσεις Key Exchange και εξαιρέσεις ICMP (Internet Control Message Protocol).

Το προεπιλεγμένο σύνολο επιλογών ασφάλειας σύνδεσης ή επιλογών IPsec που εφαρμόζονται από το αντικείμενο πολιτικής ομάδας (GPO) υψηλότερης προτεραιότητας θα εφαρμοστεί με επιτυχία σε έναν υπολογιστή-πελάτη με Windows Vista. Για παράδειγμα, όλοι οι κανόνες ασφάλειας σύνδεσης του υπολογιστή-πελάτη με Windows Vista που χρησιμοποιούν προεπιλεγμένα σύνολα ελέγχου ταυτότητας ή σύνολα κρυπτογράφησης, θα χρησιμοποιήσουν τα σύνολα από το GPO με την υψηλότερη προτεραιότητα. Εάν θέλετε μεγαλύτερη ευελιξία, μπορείτε να χρησιμοποιήσετε τις ακόλουθες επιλογές:
  • Για τα σύνολα ελέγχου ταυτότητας, ρυθμίστε τις παραμέτρους του ελέγχου ταυτότητας, χρησιμοποιώντας τον κανόνα ασφάλειας σύνδεσης αντί για τον προεπιλεγμένο έλεγχο ταυτότητας.
  • Για τα σύνολα κρυπτογράφησης Quick Mode, χρησιμοποιήστε την εντολή netsh για να ρυθμίσετε τις παραμέτρους των κρυπτογραφικών ρυθμίσεων Quick Mode για κάθε κανόνα ασφάλειας σύνδεσης, όπως απαιτείται.
  • Για τα σύνολα κρυπτογράφησης Main Mode, υποστηρίζεται μόνο ένα σύνολο κρυπτογράφησης Main Mode για κάθε πολιτική. Όταν λαμβάνονται πολλά σύνολα κρυπτογράφησης Main Mode, θα εφαρμοστεί το σύνολο κρυπτογράφησης Main Mode από το GPO με την υψηλότερη προτεραιότητα, σε όλους τους κανόνες ασφάλειας σύνδεσης στην "Πολιτική ομάδας" (Group Policy). Ωστόσο, δεν μπορείτε να προσαρμόσετε τους κανόνες ώστε να χρησιμοποιούν διαφορετικά σύνολα κρυπτογράφησης Main Mode.
  • Όταν ρυθμίζετε GPO για πολιτικές ασφάλειας σύνδεσης και για πολιτικές τείχους προστασίας, μπορείτε να απενεργοποιήσετε τη χρήση τοπικών κανόνων τείχους προστασίας και κανόνων ασφάλειας σύνδεσης. Επομένως, μόνο οι ρυθμίσεις πολιτικής ομάδας (Group Policy) που είναι συνδεδεμένες με GPO τοποθεσιών, τομέων ή οργανικών μονάδων (OU) έχουν τη δυνατότητα ελέγχου της συμπεριφοράς του τείχους προστασίας των Windows (Windows Firewall).
Για να κάνετε λήψη της λευκής βίβλου "Εισαγωγή στο Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" (Introduction to Windows Firewall with Advanced Security) για τα Windows Vista, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Για περισσότερες πληροφορίες σχετικά με το AuthIP στα Windows Vista, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://technet.microsoft.com/en-us/library/bb878097.aspx
Για περισσότερες πληροφορίες σχετικά με το νέο "Τείχος προστασίας των Windows" (Windows Firewall) στα Windows Vista και τον Windows Server 2008, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://technet.microsoft.com/en-us/library/bb877967.aspx

Τρόπος δημιουργίας μιας κρυπτογραφημένης σύνδεσης μεταξύ των Windows Vista και των Windows XP ή μεταξύ των Windows Vista και του Windows Server 2003

Στον Windows Server 2003 και τα Windows XP, η ρύθμιση παραμέτρων πολιτικής IPsec αποτελείται συνήθως από ένα σύνολο κανόνων με σκοπό την προστασία του μεγαλύτερου μέρους της κυκλοφορίας στο δίκτυο και ενός άλλου συνόλου κανόνων για εξαιρέσεις προστατευόμενης κυκλοφορίας. Μια ρύθμιση παραμέτρων μπορεί να περιλαμβάνει απομόνωση του διακομιστή και του τομέα. Οι εξαιρέσεις απαιτούνται για μη προστατευόμενη κυκλοφορία με διακομιστές υποδομής δικτύου, όπως οι διακομιστές DHCP (Dynamic Host Configuration Protocol), οι διακομιστές DNS (Domain Name System) και οι ελεγκτές τομέα. Όταν ξεκινά ένας υπολογιστής, πρέπει να είναι σε θέση να αποκτήσει μια διεύθυνση IP και να είναι επίσης σε θέση να χρησιμοποιήσει το DNS για να βρει έναν ελεγκτή τομέα. Επιπλέον, ο υπολογιστής πρέπει να είναι σε θέση να συνδεθεί με τον τομέα του για να μπορέσει να ξεκινήσει να χρησιμοποιεί τον έλεγχο ταυτότητας Kerberos προκειμένου να υποβληθεί ο ίδιος σε έλεγχο ταυτότητας ως ομότιμος IPsec. Για επικοινωνία με τους κόμβους δικτύου που δεν έχουν δυνατότητα IPsec απαιτούνται άλλες εξαιρέσεις. Σε ορισμένες περιπτώσεις, υπάρχουν πολλές εξαιρέσεις που κάνουν δυσκολότερη την επέκταση της προστασίας IPsec σε ένα επιχειρηματικό δίκτυο και τη συντήρηση του επιχειρηματικού δικτύου στη διάρκεια του χρόνου.

Στον Windows Server 2008 και στα Windows Vista, η πολιτική IPsec παρέχει μια προαιρετική συμπεριφορά για τη διαπραγμάτευση της προστασίας IPsec. Ας υποθέσουμε ότι η πολιτική IPsec είναι ενεργοποιημένη και ότι ένας κόμβος IPsec που χρησιμοποιεί Windows Server 2008 ή Windows Vista ξεκινά να επικοινωνεί με έναν άλλο κόμβο δικτύου. Σε αυτήν την περίπτωση, ο κόμβος IPsec θα επιχειρήσει να επικοινωνήσει χωρίς κρυπτογράφηση ή "φανερά." Ο κόμβος θα προσπαθήσει παράλληλα να διαπραγματευτεί την προστατευμένη επικοινωνία. Εάν ο ομότιμος IPsec έναρξης δεν λαμβάνει απάντηση στην αρχική προσπάθεια διαπραγμάτευσης, η επικοινωνία συνεχίζεται στα φανερά. Εάν ο ομότιμος IPsec έναρξης λάβει απάντηση στην αρχική προσπάθεια διαπραγμάτευσης, η εμφανής επικοινωνία συνεχίζεται έως ότου ολοκληρωθεί η διαπραγμάτευση. Μόλις ολοκληρωθεί η διαπραγμάτευση, οι επόμενες επικοινωνίες θα εκτελούνται με αυξημένη προστασία. Ο κόμβος IPsec έναρξης είναι σε θέση να διαπιστώσει αν ο κόμβος δικτύου με τον οποίο επικοινωνεί έχει τη δυνατότητα εκτέλεσης πολιτικής IPsec. Στη συνέχεια, ο κόμβος IPsec έναρξης συμπεριφέρεται ανάλογα. Αυτή η συμπεριφορά του κόμβου IPsec παρουσιάζεται εξαιτίας της προαιρετικής συμπεριφοράς του IPsec. Επιπλέον, αυτή η συμπεριφορά παρουσιάζεται λόγω της προτεινόμενης ρύθμισης παραμέτρων, η οποία απαιτεί προστασία για τις εισερχόμενες επικοινωνίες έναρξης και ζητά επίσης προστασία για τις εξερχόμενες επικοινωνίες έναρξης. Αυτή η νέα συμπεριφορά απλοποιεί σε μεγάλο βαθμό τη ρύθμιση παραμέτρων πολιτικής IPsec. Για παράδειγμα, ο κόμβος IPsec έναρξης δεν είναι απαραίτητο να έχει ένα σύνολο προκαθορισμένων φίλτρων IPsec για την εξαίρεση ενός συνόλου κεντρικών υπολογιστών που δεν μπορούν να προστατεύσουν την κυκλοφορία δικτύου με τη χρησιμοποίηση της πολιτικής IPsec. Ο κόμβος IPsec έναρξης δοκιμάζει παράλληλα τη χρήση προστατευμένης και μη προστατευμένης κυκλοφορίας. Εάν δεν είναι δυνατή η εφαρμογή προστατευμένης επικοινωνίας, ο κόμβος IPsec έναρξης χρησιμοποιεί μη προστατευμένη επικοινωνία.

Η νέα συμπεριφορά διαπραγμάτευσης βελτιώνει επίσης την απόδοση των μη προστατευμένων συνδέσεων που πραγματοποιούνται στους κεντρικούς υπολογιστές. Ένας κόμβος IPsec που χρησιμοποιεί Windows Server 2003 ή Windows XP είναι ρυθμισμένος ώστε να ζητά προστατευμένες επικοινωνίες, αλλά ενεργοποιεί μη προστατευμένες επικοινωνίες. Αυτή η συμπεριφορά του κόμβου IPsec είναι γνωστή ως επιστροφή σε φανερή επικοινωνία. Ο κόμβος IPsec αποστέλλει μηνύματα διαπραγμάτευσης και αναμένει απάντηση. Ο κόμβος IPsec έναρξης αναμένει έως και τρία δευτερόλεπτα προτού επιστρέψει σε φανερή επικοινωνία και επιχειρήσει τη διενέργεια μη προστατευμένων επικοινωνιών. Στον Windows Server 2008 και στα Windows Vista, δεν υπάρχει πλέον καθυστέρηση τριών δευτερολέπτων κατά την επιστροφή σε φανερή επικοινωνία, επειδή οι φανερές επικοινωνίες βρίσκονται ήδη σε εξέλιξη όταν ο κόμβος IPsec έναρξης αναμένει απάντηση.

Για περισσότερες πληροφορίες σχετικά με την απομόνωση διακομιστή και τομέα, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://technet.microsoft.com/en-us/network/bb545651.aspx

Βασικά σημεία για την εγκατάσταση μιας κρυπτογραφημένης σύνδεσης μεταξύ των Windows Vista και των Windows XP ή μεταξύ των Windows Vista και του Windows Server 2003

  • Εάν έχετε ενεργοποιήσει μόνο μια κρυπτογραφημένη σύνδεση στα Windows Vista, τα Windows Vista διαπραγματεύονται μόνο στο επίπεδο IPsec με όλους τους άλλους υπολογιστές-πελάτες. Σε αυτούς περιλαμβάνονται οι υπολογιστές-πελάτες που βασίζονται στα Windows XP.
  • Από προεπιλογή, τα Windows XP ή ο Windows Server 2003 δεν διαπραγματεύονται στο επίπεδο IPsec. Επομένως, πρέπει να εκχωρήσουμε έναν κανόνα IPsec στα Windows XP ή τον Windows Server 2003 για τη δημιουργία μιας κρυπτογραφημένης σύνδεσης μεταξύ των Windows Vista και των Windows XP ή μεταξύ των Windows Vista και του Windows Server 2003.
  • Από προεπιλογή, εάν επιλεγεί η δυνατότητα Να επιτρέπονται μόνο οι ασφαλείς συνδέσεις (Allow only secure connections), τα Windows Vista διαπραγματεύονται χρησιμοποιώντας τις μεθόδους κρυπτογράφησης AES-128 και 3DES. Η μέθοδος κρυπτογράφησης AES-128 δεν υποστηρίζεται στα Windows XP. Η μέθοδος κρυπτογράφησης 3DES υποστηρίζεται στα Windows XP και τον Windows Server 2003.
  • Από προεπιλογή, όταν είναι ενεργοποιημένη η πολιτική IPsec στα Windows XP ή τον Windows Server 2003, η IPsec θα διαπραγματευτεί χρησιμοποιώντας τη μέθοδο κρυπτογράφησης 3DES.
Για να δημιουργήσετε μια κρυπτογραφημένη σύνδεση μεταξύ ενός υπολογιστή που βασίζεται στα Windows Vista και ενός υπολογιστή που βασίζεται στα Windows XP, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα "Τείχος προστασίας των Windows με πρόσθετη ασφάλεια" (Windows Firewall and Advanced Security), ακολουθήστε τα εξής βήματα:
  1. Στον υπολογιστή που βασίζεται στα Windows Vista, κάντε κλικ στο κουμπί Έναρξη (Start)
    Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
    Κουμπί "Έναρξη" (Start)
    , πληκτρολογήστε firewall στο πλαίσιο Έναρξη αναζήτησης (Start Search) και, στη συνέχεια, κάντε κλικ στην επιλογή Τείχος προστασίας των Windows με πρόσθετη ασφάλεια (Windows Firewall and Advanced Security) της λίστας Προγράμματα (Programs).
  2. Στη δομή κονσόλας, κάντε κλικ στο στοιχείο Κανόνες εισερχόμενων (Inbound Rules).
  3. Στη λίστα "Κανόνες εισερχόμενων" (Inbound Rules), κάντε διπλό κλικ στην επιλογή Απομακρυσμένη επιφάνεια εργασίας (TCP-In) (Remote Desktop (TCP-In)) και, στη συνέχεια, κάντε κλικ στην καρτέλα Γενικά (General).
  4. Στην περιοχή Ενέργεια (Action), κάντε κλικ στην επιλογή Να επιτρέπονται μόνο οι ασφαλείς συνδέσεις (Allow only secure connections), κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Απαιτείται κρυπτογράφηση (Require encryption) και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  5. Στο δέντρο κονσόλας, κάντε κλικ στην επιλογή Κανόνες ασφάλειας συνδέσεων (Connection Security Rules) και, στη συνέχεια, κάντε κλικ στην εντολή Δημιουργία κανόνα (New Rule) του μενού Ενέργεια (Action).
  6. Κάντε κλικ στο κουμπί Απομόνωση (Isolation) και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
  7. Κάντε κλικ στην επιλογή Απαίτηση ελέγχου ταυτότητας για εισερχόμενες και εξερχόμενες συνδέσεις (Require authentication for inbound and outbound connections) και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο (Next).
  8. Κάντε κλικ στο στοιχείο Προεπιλογή (Default) και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
  9. Κάντε κλικ για να επιλέξετε τα ακόλουθα πλαίσια ελέγχου και κατόπιν κάντε κλικ στο κουμπί Επόμενο (Next).
    • Τομέας (Domain)
    • Απόρρητο (Private)
    • Δημόσιο (Public)
  10. Πληκτρολογήστε το όνομα του κανόνα στο πλαίσιο Όνομα (Name), πληκτρολογήστε την περιγραφή του κανόνα στο πλαίσιο Περιγραφή (προαιρετικό) (Description (optional)) εάν θέλετε και, στη συνέχεια, κάντε κλικ στο κουμπί Τέλος (Finish).
  11. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Έξοδος (Exit).
  12. Στον υπολογιστή που βασίζεται στα Windows XP, κάντε κλικ στο μενού Έναρξη (Start), έπειτα κάντε κλικ στην επιλογή Εκτέλεση (Run), πληκτρολογήστε secpol.msc και κατόπιν κάντε κλικ στο κουμπί OK.
  13. Στο δέντρο κονσόλας, κάντε δεξιό κλικ στην επιλογή Πολιτικές ασφαλείας IP στον τοπικό υπολογιστή (IP Security Policies on Local Computer) και, στη συνέχεια, κάντε κλικ στην επιλογή Δημιουργία πολιτικής ασφαλείας IP (Create IP Security Policy).
  14. Κάντε κλικ στο κουμπί Επόμενο (Next) και, στη συνέχεια, ακολουθήστε τις οδηγίες οδηγού πολιτικής ασφαλείας IP (IP Security Policy Wizard) για να δημιουργήσετε την πολιτική ασφαλείας IP. Χρησιμοποιήστε τις προεπιλεγμένες ρυθμίσεις για να δημιουργήσετε αυτήν την πολιτική.
  15. Κάντε δεξιό κλικ στην επιλογή Νέα πολιτική ασφαλείας IP (New IP Security Policy) και, στη συνέχεια, κάντε κλικ στην εντολή Εκχώρηση (Assign).
  16. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Έξοδος (Exit).

Ιδιότητες

Αναγν. άρθρου: 942957 - Τελευταία αναθεώρηση: Τετάρτη, 9 Απριλίου 2008 - Αναθεώρηση: 1.3
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Λέξεις-κλειδιά: 
kbexpertiseadvanced kbhowto kbinfo KB942957

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com