Beveiligingsregels voor verbindingen op basis van IPsec in Windows Vista en Windows Server 2008 en voor Windows Firewall

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 942957 - Bekijk de producten waarop dit artikel van toepassing is.
Bèta-informatie
Dit artikel wordt een bètaversie van een Microsoft-product. De informatie in dit artikel is bedoeld als- en zonder kennisgeving worden gewijzigd.

Er is geen formele productondersteuning van Microsoft beschikbaar voor dit bètaproduct. Zie de documentatie bij bèta productbestanden voor informatie over het verkrijgen van ondersteuning voor een bètaversie of Controleer de locatie waar u de versie hebt gedownload.
Alles uitklappen | Alles samenvouwen

Op deze pagina

INLEIDING

Dit artikel beschrijft het volgende:
  • Regels voor Windows Firewall in Windows Vista
  • Beveiligingsregels voor verbindingen op basis van IPsec in Windows Vista en Windows Server 2008
  • Opzetten van een gecodeerde verbinding tussen Windows Vista en Windows XP of Windows Vista en Windows Server 2003

Meer informatie

In Windows Vista worden de nieuwe Windows Firewall beveiligingsregels en de nieuwe IPsec gebaseerde beveiligingsregels volledig geïntegreerd in Groepsbeleid. Daarom ondersteuning-instellingen samenvoegen en overdragen van gedrag op dezelfde manier als andere groepsbeleidsinstellingen.

Regels voor Windows Firewall in Windows Vista

De module MMC (Microsoft Management Control) "Windows Firewall met geavanceerde beveiligings-" ondersteunt de volgende typen regels.

OpmerkingLijst van Windows Firewall regels en de lijst van beveiligingsregels worden van alle toepasselijke groepsbeleidsinstellingen samengevoegd. Vervolgens worden deze regels in de volgende volgorde verwerkt. De volgende volgorde is altijd toegepast, ongeacht de bron van de regels.
  • Windows service hardening regel
    Windows service hardening regel beperkt services verbinding. Beperkingen van de service zijn zodanig Windows-services alleen kunnen communiceren in een bepaalde manier geconfigureerd. U kunt bijvoorbeeld verkeer via een specifieke poort beperken. Echter, totdat u een firewallregel maken verkeer is niet toegestaan.
  • Regel voor verbindingsbeveiliging
    De beveiligingsregel voor verbindingen wordt gedefinieerd hoe en wanneer computers worden geverifieerd via de IPsec-functie. Isolatie van de server tot stand brengen en domeinisolatie beveiligingsregels gebruikt. Bovendien worden beveiligingsregels afdwingen van het beleid van NAP (Network Access Protection) gebruikt.
  • Geverifieerde bypass regel
    De geverifieerde omzeilen bepaalde computers worden verbonden als het verkeer wordt beveiligd met de functie IPsec ongeacht andere regels voor binnenkomende regel kunt. Opgegeven computers kunnen binnenkomende regels die verkeer blokkeren omzeilen. U kunt bijvoorbeeld extern beheer van de Firewall vanaf bepaalde computers alleen door geverifieerde bypass regels te maken voor computers inschakelen. Of u kunt ondersteuning voor hulp op afstand inschakelen door de Helpdesk bellen.
  • Regel
    De regel blokkeert expliciet een bepaalde type binnenkomend verkeer of een bepaalde soort uitgaand verkeer.
  • Regel toestaan
    De regel voor toestaan kan expliciet voor bepaalde typen binnenkomend verkeer of bepaalde typen uitgaand verkeer.
  • Standaardregel
    De standaardregel is geconfigureerd in de standaardregel voor binnenkomende verbindingen geblokkeerd en kan de standaardregel voor uitgaande verbindingen.

Beveiligingsregels voor verbindingen op basis van IPsec in Windows Vista en Windows Server 2008

Twee typen IPSec-regels kunnen worden toegepast op een computer met Windows Vista of Windows Server 2008 gebaseerde computer:
  • IPSec-regels
    Eerdere IPSec-regels worden momenteel geïmplementeerd in Windows 2000 en Windows Server 2003. De eerdere IPSec-regels worden beheerd door de service Policyagent. Deze IPsec-regels zijn regels alleen Kerberos-verificatie op basis van een computer, x.509-certificaten of verificatie met vooraf gedeelde sleutel ondersteunen voor IKE (Internet Key Exchange). Deze IPsec-regels zijn geconfigureerd in de MMC "Beheer van IPsec-beleid". Op basis van IKE Policyagent regels worden toegepast op dezelfde manier als in Windows 2000 en Windows Server 2003. Hoewel meerdere beleid kunnen worden toegepast op een bepaalde computer, wordt alleen het laatste beleid dat wordt toegepast is voltooid. Dit is volgens de methode 'laatste schrijver wins'. Bovendien, IKE-beleidsinstellingen niet worden samengevoegd.
  • Beveiligingsregels
    Beveiligingsregels voor verbindingen worden alleen ondersteund in Windows Vista en Windows Server 2008. Beveiligingsregels voor verbindingen worden ondersteund door een uitbreiding van IKE (AuthIP) Authenticated IP genoemd. AuthIP ondersteuning toegevoegd voor de volgende verificatiemechanismen:
    • Interactieve gebruiker Kerberos-referenties of referenties van de interactieve gebruiker NTLMv2
    • X.509-certificaten
    • Computercertificaten SSL (Secure Sockets Layer)
    • NAP-statuscertificaten
    • Anonieme verificatie (optioneel)
    Regels voor de 'Windows Firewall en geavanceerde beveiliging' kunt u configureren met de volgende hulpprogramma's:
    • Domein gebaseerd groepsbeleid
    • De module "Windows Firewall met geavanceerde beveiligings"

      OpmerkingDe module "Windows Firewall met geavanceerde beveiligings-" is de standaardopslaglocatie voor beleid dat toegankelijk is via deWF.mscopdracht.
    • De lokale-module Groepsbeleid (Gpedit.msc)
    • DeNetsh advfirewallopdracht

      OpmerkingDeNetsh advfirewallopdracht verwijst naar dezelfde locatie als deWF.mscopdracht.
    Net als andere firewall en Groepsbeleid regels beveiligingsregels van alle toepasselijke groepsbeleidobjecten samengevoegd.

    Beveiligingsbeleid verbinding kunnen maken van IPsec-beleidsregels die compatibel met IKE versie 1 gebaseerde clients, zoals Microsoft Windows 2000, Windows XP en Windows Server 2003 zijn worden geconfigureerd. Beleidsregels voor beveiliging kunnen ook worden geconfigureerd beleid ondersteuning voor communicatie tussen computers met Windows Vista en Windows Server 2008-computers alleen maken.

    Een beheerder kan een beveiligingsbeleid verbinding maken met de volgende methoden:
    • De beheerder kunt verbinding beveiligingsbeleid dat alleen Kerberos-verificatie, x.509-certificaten of verificatie ondersteunt maken.

      Notities
      • In dit geval maakt de Mpssvc-service automatisch AuthIP en eerdere IKE-beleid.
      • AuthIP regels worden niet gemaakt als vooraf gedeelde sleutel verificatie op basis van computer is opgegeven.
    • De beheerder kan een beveiligingsbeleid verbinding die gebruikersverificatie vereist maken.

      OpmerkingIn dit geval alleen AuthIP policy gemaakt voor onderhandelingen met Windows Vista naar Windows Vista en Windows Vista naar Windows Server 2008-onderhandelingen. Dit is omdat IKE geen gebruikersverificatie ondersteunt.
    • De beheerder kan een beveiligingsbeleid verbinding waarin de gebruiker verificatie-opties worden toegevoegd aan het beleid maken. Bovendien kan de beheerder ook bepalen deTweede verificatie is optioneeloptie.

      OpmerkingDe service Mpssvc maakt AuthIP beleid en eerdere IKE-beleid. Optionele gebruikersverificatie is opgenomen in de set AuthIP. Optionele verificatie is niet opgenomen in eerdere IKE-beleid.
    • De beheerder kunt verbinding beveiligingsbeleid dat NTLM-verificatie vereist maken.

      OpmerkingIn dit geval alleen AuthIP beleid gemaakt voor onderhandelingen met Windows Vista naar Windows Vista en Windows Vista naar Windows Server 2008 onderhandelingen omdat IKE biedt geen ondersteuning voor NTLM-verificatie.
    • In de globale "Main modus Key Exchange"-algoritme is niet compatibel met oudere clients, zoals "elliptische Curve Diffie-Hellman P-256" algoritme selecteert de beheerder het algoritme 'diffie-Hellman'.

      Notities
      • In dit geval het algoritme 'diffie-Hellman' niet ondersteund door eerdere IKE versie 1-clients. Bovendien zijn de IKE-onderhandelingen mislukt.
      • Het is raadzaam de instelling 'Diffie-Hellman groep 2' te gebruiken, omdat deze instelling binnen de ruimste clients wordt ondersteund.
      • De instelling 'Diffie-Hellman groep 14' wordt ondersteund in Windows XP Service Pack 2 (SP2) en Windows Server 2003.
      • In dit geval is de wijziging van de werking van het algoritme 'diffie-Hellman' wordt meestal niet gebruikt voor onderhandelingen AuthIP gebaseerd.
      • Wanneer de service Mpssvc AuthIP regels maakt, geeft de service Mpssvc dat onderhandelingen met Windows Vista naar Windows Vista of Windows Vista naar Windows Server 2008 onderhandelingen alleen het algoritme 'Diffie-Hellman' gebruiken moeten als de verificatiemethode voor de hoofdmodus is ingesteldAnonieme.
      • Wanneer de service Mpssvc IKE regels maakt, gebruik de Mpssvc-service altijd van het algoritme 'diffie-Hellman' die specifiek is voor de globaleBelangrijkste modus sleuteluitwisselinginstelling.
      • SSPI Security Support Provider Interface gedeelde geheim wordt gebruikt om het sleutelmateriaal te genereren in AuthIP uitwisselingen waarin de sleuteluitwisseling Main modus geen Diffie-Hellman-uitwisseling.

    Certificaten die worden gebruikt door AuthIP

    • AuthIP gebruikt SSL-certificaten die clients verificatie-instellingen geconfigureerd of met verificatie-instellingen die zijn geconfigureerd. SSL-certificaten kan verificatie van clientcertificaten. Of SSL-certificaten kan verificatie van clientcertificaten en verificatie van servercertificaten.
    • Als u certificaatverificatie gebruiken voor Windows Vista beleid samenstellen, hebt u certificaten AuthIP werken. Dit betekent dat de certificaten voor de clients implementeren clientverificatie of serververificatie gebruikt SSL-certificaten worden. De verificatie, hangt ervan af of u eenrichtingsverificatie of wederzijdse verificatie. SSL-certificaten afwijken van de standaard digitale certificaten die worden gebruikt in Windows XP of Windows Server 2003.
    • SSL-certificaten worden gebruikt door NAP-implementaties.

Groepsbeleid wordt verwerkt voor de "Windows Firewall met geavanceerde beveiligings"

Beveiligingsregels van alle toepasselijke groepsbeleidobjecten samengevoegd. Het is echter een groep verwante instellingen voor IPsec en AuthIP standaard IPSec-gedrag van niet-additieve beheert. Deze groep instellingen bevat globale verificatie sets, snelle modus instellingen, instellingen voor sleuteluitwisseling en uitzonderingen voor ICMP (Internet Control Message Protocol).

De standaardset beveiligingsopties verbinding of IPsec-opties die de hoogste prioriteit groepsbeleidsobject (GPO) worden toegepast slagen op een Windows Vista-client. Alle regels voor verbindingsbeveiliging op de Windows Vista-client die standaard verificatie sets of sets cryptografische gebruikt gebruik bijvoorbeeld sets uit de hoogste prioriteit groepsbeleidsobject. Als u meer flexibiliteit wilt, kunt u de volgende opties:
  • Verificatie instellen voor verificatie via de beveiligingsregels in plaats van standaardverificatie via te configureren.
  • Gebruik voor de snelle modus cryptografische stelt deNetshopdracht voor de snelle modus cryptografische instellingen configureren voor elke regel voor verbindingsbeveiliging nodig.
  • Voor hoofdmodus cryptografische stelt één hoofdmodus cryptografische instellen voor elk beleid ondersteund. Wanneer meerdere sets cryptografische ontvangen hoofdmodus, cryptografische hoofdmodus vanuit de hoogste prioriteit groepsbeleidsobject instelt worden toegepast op alle beveiligingsregels in Groepsbeleid. U kunt regels gebruiken verschillende cryptografische hoofdmodus stelt echter niet aanpassen.
  • Wanneer u groepsbeleidsobjecten voor beleidsregels voor beveiliging en firewallbeleid configureert, kunt u het gebruik van lokale firewallregels en beveiligingsregels voor verbindingen uitschakelen. Daarom kunnen alleen groepsbeleidsinstellingen die zijn gekoppeld aan groepsbeleidsobjecten, groepsbeleidsobjecten domein of organisatie-eenheid (OU) groepsbeleidsobjecten site besturen Windows Firewall.
Het witboek 'Inleiding op Windows Firewall met geavanceerde beveiliging' voor Windows Vista bekijken, Bezoek de volgende Microsoft-website:
http://technet.Microsoft.com/en-us/APPCOMPAT/aa905080.aspx
Bezoek de volgende Microsoft-website voor meer informatie over AuthIP in Windows Vista:
http://technet.Microsoft.com/en-us/library/bb878097.aspx
Bezoek de volgende Microsoft-website voor meer informatie over de nieuwe Windows Firewall in Windows Vista en Windows Server 2008:
http://technet.Microsoft.com/en-us/library/bb877967.aspx

Opzetten van een gecodeerde verbinding tussen Windows Vista en Windows XP of Windows Vista en Windows Server 2003

In Windows Server 2003 en Windows XP bestaat meestal configuratie van IPSec-beleid uit een set regels die het meeste verkeer op het netwerk en een andere set regels voor beveiligd verkeer vrijstellingen te beschermen. Een configuratie bevatten server isolatie en domeinisolatie. Uitzonderingen zijn vereist voor onbeveiligde communicatie met netwerkservers infrastructuur zoals DHCP (Dynamic Host Configuration Protocol)-servers, DNS (Domain Name System)-servers en domeincontrollers. Wanneer een computer wordt gestart, wordt de computer moet een IP-adres verkrijgen en moet kunnen gebruiken DNS om een domeincontroller te vinden. Bovendien moet de computer kunnen aanmelden bij het domein voordat de computer zichzelf verifiëren als de IPSec-peer met Kerberos-verificatie kunt starten. Andere vrijstellingen zijn te communiceren met het van netwerkknooppunten die niet IPsec kunnen vereist. In sommige gevallen zijn veel uitzonderingen moeilijker IPSec-beveiliging op een bedrijfsnetwerk te implementeren en onderhouden van het bedrijfsnetwerk periode.

In Windows Server 2008 en Windows Vista biedt IPsec een optionele gedrag te onderhandelen over IPSec-beveiliging. IPsec is ingeschakeld en een IPsec-knooppunt waarop Windows Server 2008 of Windows Vista initieert communicatie met een ander netwerkknooppunt aannemen. In dit geval zal het knooppunt IPsec proberen te communiceren zonder codering of ' wissen.' Het knooppunt probeert te onderhandelen over beveiligde communicatie in parallel. Indien de initiatiefnemende IPSec-peer een antwoord op de eerste onderhandelingen niet ontvangt, blijft de communicatie in de. Indien de initiatiefnemende IPSec-peer een antwoord op de eerste onderhandelingen ontvangt probeert, blijft de communicatie in de totdat de onderhandeling voltooid. Wanneer de onderhandeling voltooid is, ontvangt de opeenvolgende communicatie betere bescherming. De initiatiefnemende IPsec knooppunt kunt uitzoeken of het netwerkknooppunt met communiceert IPsec kunt uitvoeren. Het knooppunt initiatiefnemende IPsec werkt dan dienovereenkomstig. Dit gedrag van het IPsec-knooppunt is vanwege de optionele IPsec-gedrag. Bovendien is dit gedrag vanwege de aanbevolen configuratie die bescherming vereist voor inkomende communicatie gestart en die bescherming voor uitgaande communicatie begonnen aanvragen. Dit nieuwe gedrag heel configuratie van IPSec-beleid. De initiatiefnemende IPsec knooppunt geen bijvoorbeeld om een set vooraf gedefinieerde IPSec-filters vrijstellen van een set hosts die niet het netwerkverkeer met IPsec beveiligen. Het knooppunt initiatiefnemende IPsec probeert beveiligd verkeer en niet-beveiligd verkeer parallel. Als beveiligde communicatie mogelijk is het knooppunt initiatiefnemende IPsec onbeveiligde communicatie wordt gebruikt.

De nieuwe onderhandeling gedrag ook verbetert de prestaties van onbeveiligde verbindingen die hosts. Een IPsec-knooppunt waarop Windows Server 2003 of Windows XP is geconfigureerd voor het beveiligde communicatie, maar kunt onbeveiligde communicatie. Dit IPSec-knooppunt wordt genoemd fallback wissen. Het knooppunt IPSec-onderhandelingsberichten verzonden en wacht op een antwoord. De initiatiefnemende IPsec knooppunt wacht drie seconden voordat vallen terug uit en probeert onbeveiligde communicatie. In Windows Server 2008 en Windows Vista is niet langer drie tweede vertraging wanneer terug vallen omdat in de communicatie al uitgevoerd worden wanneer de initiatiefnemende IPsec knooppunt op een reactie wacht uit.

Bezoek de volgende Microsoft-website voor meer informatie over server isolatie en domeinisolatie:
http://technet.Microsoft.com/en-us/Network/bb545651.aspx

Sleutel verwijst in het maken van een gecodeerde verbinding tussen Windows Vista en Windows XP of Windows Vista en Windows Server 2003

  • Als u alleen een gecodeerde verbinding in Windows Vista inschakelt, onderhandelt over Windows Vista op het niveau van IPsec met andere clients. Dit geldt ook voor clients met Windows XP.
  • Standaard onderhandelt Windows XP of Windows Server 2003 niet IPSec-niveau. Daarom hebben we het toewijzen van een IPSec-regel in Windows XP of Windows Server 2003 naar een gecodeerde verbinding tussen Windows Vista en Windows XP of Windows Vista en Windows Server 2003.
  • Standaard als deAlleen beveiligde verbindingen toestaanis ingeschakeld, onderhandelt Windows Vista met behulp van de versleutelingsmethode AES 128 en de methode 3DES-codering. De versleutelingsmethode AES 128 wordt niet ondersteund in Windows XP. De methode 3DES-codering wordt ondersteund in Windows XP en Windows Server 2003.
  • Standaard als IPsec is ingeschakeld in Windows XP of Windows Server 2003 onderhandelt IPsec met de methode 3DES-codering.
Een gecodeerde verbinding tussen een computer met Windows Vista en Windows XP gebaseerde computer instellen met behulp van de module "Windows Firewall met geavanceerde beveiligings-", als volgt:
  1. Klik op de Windows Vista-computerStart
    Deze afbeelding samenvouwenDeze afbeelding uitklappen
    de knop Start
    , typFirewallin deStart zoekenvak en klik vervolgens opWindows Firewall met geavanceerde beveiligingin deProgramma 'slijst.
  2. Klik in de consolestructuur opRegels voor binnenkomende verbindingen.
  3. Dubbelklik in de lijst met regels voor binnenkomende verbindingenExtern bureaublad (TCP-In), en klik vervolgens op deAlgemeentabblad.
  4. In deActiegebied, klikt u opAlleen beveiligde verbindingen toestaan, selecteer deCodering vereisenen klik vervolgens opOK.
  5. Klik in de consolestructuur opBeveiligingsregels, en klik vervolgens opNieuwe regelop deActiemenu.
  6. Klik opIsolatie, en klik vervolgens opVolgende.
  7. Klik opVerificatie voor binnenkomende en uitgaande verbindingen vereisen, en klik vervolgens opVolgende.
  8. Klik opStandaard, en klik vervolgens opVolgende.
  9. Schakel de volgende selectievakjes in en klik opVolgende:
    • Domein
    • Particulier
    • Publiek
  10. Typ de naam van de regel in deNaamTyp de beschrijving van de regel in deBeschrijving (optioneel)Als u wilt gebruiken en klik vervolgens opVoltooien.
  11. Op deBestandmenu, klik opAfsluiten.
  12. Klik op de Windows XP-computerStart, klik opUitvoeren, typsecpol.msc, en klik vervolgens opOK.
  13. In de consolestructuur met de rechtermuisknopIP-beveiligingsbeleid op lokale Computer, en klik vervolgens opIP-beveiligingsbeleid maken.
  14. Klik opVolgende, en volg de instructies in de Wizard IP-beveiligingsbeleid maken van IP-beveiligingsbeleid. Gebruik de standaardinstellingen om dit beleid te maken.
  15. Klik met de rechtermuisknopNieuwe IP-beveiligingsbeleid, en klik vervolgens opToewijzen.
  16. Op deBestandmenu, klik opAfsluiten.

Eigenschappen

Artikel ID: 942957 - Laatste beoordeling: zaterdag 19 maart 2011 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Trefwoorden: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB942957 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:942957

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com