Sikkerhetsregler for Windows-brannmuren og for IPsec-baserte tilkoblinger i Windows Vista og i Windows Server 2008

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 942957 - Vis produkter som denne artikkelen gjelder for.
Betainformasjon
Denne artikkelen tar for seg en betaversjon av et Microsoft-produkt. Informasjonen i denne artikkelen utgis som den er. Den kan endres uten varsel og er ikke bindende for Microsoft.

Microsoft tilbyr ingen formell kundestøtte for dette betaproduktet. Hvis du vil ha informasjon om hvordan du kan få kundestøtte for en betaversjon, kan du lese dokumentasjonen som følger med betaproduktfilene. Du kan også sjekke webplasseringen der du lastet ned betaversjonen.
Vis alt | Skjul alt

På denne siden

INNLEDNING

Denne artikkelen inneholder følgende:
  • Sikkerhetsregler for Windows-brannmuren i Windows Vista
  • Sikkerhetsregler for IPsec-baserte tilkoblinger i Windows Vista og i Windows Server 2008
  • Opprette en kryptert tilkobling mellom Windows Vista og Windows XP eller mellom Windows Vista og Windows Server 2003

Mer informasjon

I Windows Vista er de nye sikkerhetsreglene for Windows-brannmuren og for IPsec-baserte tilkoblinger fullstendig integrert i gruppepolicyen. Derfor flettes innstillingene for støtte sammen, og de delegerer virkemåte på samme måte som andre gruppepolicyinnstillinger.

Sikkerhetsregler for Windows-brannmuren i Windows Vista

MMC-snapin-modulen (Microsoft Management Control) Windows-brannmur med avansert sikkerhet støtter følgende typer sikkerhetsregler.

Obs!  Listen med sikkerhetsregler for Windows-brannmuren og listen med sikkerhetsregler for tilkoblinger flettes fra alle relevante gruppepolicyinnstillinger. Deretter behandles disse sikkerhetsreglene i følgende rekkefølge. Følgende rekkefølge håndheves alltid uavhengig av kilden til sikkerhetsreglene.
  • Sikkerhetsregel for Windows-tjeneste
    Sikkerhetsregelen for Windows-tjenesten begrenser tilkoblingsmulighetene for tjenestene. Tjenestebegrensningene er konfigurert slik at Windows-tjenester kun kan kommunisere på en bestemt måte. Du kan for eksempel begrense trafikken gjennom en bestemt port. Frem til du oppretter en brannmurregel, er imidlertid trafikk ikke tillatt.
  • Sikkerhetsregel for tilkobling
    Sikkerhetsregelen for tilkobling definerer hvordan og når datamaskiner godkjennes ved hjelp av IPsec-funksjonen. Sikkerhetsreglene for tilkobling brukes til å opprette serverisolering og domeneisolering. I tillegg brukes sikkerhetsreglene for tilkoblinger til å håndheve policyen Beskyttelse av nettverkstilgang (NAP).
  • Regel for godkjent omgåelse
    Regelen for godkjent omgåelse tillater at enkelte datamaskiner kobles til hvis trafikken beskyttes ved hjelp av IPsec-funksjonen uavhengig av innkommende regler. Bestemte datamaskiner kan omgå innkommende regler som blokkerer trafikk. Du kan for eksempel aktivere ekstern brannmuradministrasjon fra bestemte datamaskiner ved kun å opprette regler for godkjent omgåelse for datamaskinene. Du kan også aktivere støtte for ekstern hjelp ved å ringe kundestøtte.
  • Blokkeringsregel
    Blokkeringsregelen blokkerer eksplisitt en bestemt type innkommende eller utgående trafikk.
  • Tillatelseregel
    Tillatelseregelen tillater eksplisitt bestemte typer innkommende eller utgående trafikk.
  • Standardregel
    Standardregelen konfigureres slik at den innkommende standardregelen blokkerer tilkoblinger, og den utgående standardregelen tillater tilkoblinger.

Sikkerhetsregler for IPsec-baserte tilkoblinger i Windows Vista og i Windows Server 2008

Følgende to typer IPsec-regler kan brukes på en Windows Vista-basert datamaskin eller en Windows Server 2008-basert datamaskin:
  • IPsec-regler
    Tidligere IPsec-regler distribueres for øyeblikket i Windows 2000 og i Windows Server 2003. Tidligere IPsec-regler behandles av Policyagent-tjenesten. Disse IPsec-reglene er IKE-regler (Internet Key Exchange) som kun støtter datamaskinbasert Kerberos-godkjenning, x.509-sertifikater eller godkjenning av forhåndsdelt nøkkel. Disse IPsec-reglene konfigureres i MMC-snapin-modulen IPsec Policy Management. IKE-baserte Policyagent-regler brukes på samme måte som i Windows 2000 og i Windows Server 2003. Selv om det kan brukes flere policyer på en gitt datamaskin, er det kun policyen som ble brukt sist, som lykkes. Dette er i henhold til metoden om at siste skriveenhet vinner. I tillegg kan ikke IKE-policyinnstillinger flettes.
  • Sikkerhetsregler for tilkobling
    Sikkerhetsreglene for tilkobling støttes kun i Windows Vista og i Windows Server 2008. Sikkerhetsreglene for tilkobling støttes av en filtype for IKE som heter Authenticated IP (AuthIP). AuthIP støtter følgende godkjenningsmekanismer:
    • Kerberos-påloggingsinformasjon og NTLMv2-påloggingsinformasjon for interaktive brukere
    • x.509-brukersertifikater
    • SSL-sertifikater (Secure Sockets Layer) for datamaskinen
    • NAP-helsesertifikater
    • anonym godkjenning (valgfri godkjenning)
    Du kan konfigurere sikkerhetsregler for snapin-modulen Windows-brannmuren med avansert sikkerhet ved hjelp av følgende verktøy:
    • domenebasert gruppepolicy
    • snapin-modulen Windows-brannmur med avansert sikkerhet

      Obs!  Snapin-modulen Windows-brannmur med avansert sikkerhet er standardlagringsstedet for policyer som du får tilgang til ved hjelp av wf.msc-kommandoen.
    • den lokale snapin-modulen for gruppepolicy (Gpedit.msc)
    • netsh advfirewall-kommandoen

      Obs! netsh advfirewall-kommandoen peker til samme lagringssted som wf.msc-kommandoen.
    På samme måte som andre brannmur- eller gruppepolicyregler, flettes sikkerhetsreglene fra alle relevante gruppepolicyobjekter.

    Sikkerhetspolicyene for tilkobling kan konfigureres slik at det opprettes IPsec-baserte policyer som er kompatible med IKE-versjon 1-baserte klienter, for eksempel Microsoft Windows 2000, Windows XP og Windows Server 2003. Sikkerhetspolicyene for tilkobling kan også konfigureres slik at det opprettes policyer som støtter kommunikasjon mellom kun Windows Vista-baserte datamaskiner og Windows Server 2008-baserte datamaskiner.

    En administrator kan opprette en sikkerhetspolicy for tilkobling ved hjelp av følgende metoder:
    • Administratoren kan opprette en sikkerhetspolicy for tilkobling som kun støtter Kerberos-godkjenning, x.509-brukersertifikater eller datamaskingodkjenning.

      Merknader
      • I dette tilfellet oppretter Mpssvc-tjenesten både AuthIP-policyer og tidligere IKE-policyer automatisk.
      • Hvis datamaskinbasert godkjenning av forhåndsdelt nøkkel er spesifisert, opprettes ikke AuthIP-regler.
    • Administratoren kan opprette en sikkerhetspolicy for tilkobling som krever brukergodkjenning.

      Obs!  I dette tilfellet opprettes det kun AuthIP-policy for Windows Vista-til-Windows Vista-forhandlinger og for Windows Vista-til-Windows Server 2008-forhandlinger. Dette er på grunn av at IKE ikke støtter brukergodkjenning.
    • Administratoren kan opprette en sikkerhetspolicy for tilkobling der brukergodkjenningsalternativer legges til policyen. I tillegg kan administrator også velge alternativet Andre godkjenning er valgfri.

      Obs!  Mpssvc-tjenesten oppretter både AuthIP-policyer og tidligere IKE-policyer. Valgfri brukergodkjenning er inkludert i AuthIP-settet. Valgfri brukergodkjenning er ikke inkludert i den tidligere IKE-policyen.
    • Administratoren kan opprette en sikkerhetspolicy for tilkobling som krever NTLM-godkjenning.

      Obs!  På grunn av at IKE ikke støtter NTLM-godkjenning, opprettes det i dette tilfellet kun AuthIP-policy for Windows Vista-til-Windows Vista-forhandlinger og for Windows Vista-til-Windows Server 2008-forhandlinger.
    • Administratoren velger Diffie-Hellman-algoritmen i den globale algoritmen for nøkkelutveksling i hovedmodus som ikke er kompatibel med tidligere klienter, for eksempel algoritmen Elliptic Curve Diffie-Hellman P-256.

      Merknader
      • I dette tilfellet støttes ikke Diffie-Hellman-algoritmen av tidligere IKE-versjon 1-klienter. I tillegg lykkes ikke IKE-forhandlingene.
      • Vi anbefaler at du bruker innstillingen Diffie-Hellman Group 2, fordi denne innstillingen støttes av flest klienter.
      • Innstillingen Diffie-Hellman Group 14 støttes i Windows XP Service Pack 2 (SP2) og Windows Server 2003.
      • I dette tilfellet er hovedforskjellen for virkemåten at Diffie-Hellman-algoritmen generelt sett ikke brukes for AuthIP-baserte forhandlinger.
      • Når Mpssvc-tjenesten oppretter AuthIP-regler, spesifiserer Mpssvc-tjenesten at Windows Vista-til-Windows Vista-forhandlinger eller Windows Vista-til-Windows Server 2008-forhandlinger kun kan bruke Diffie-Hellman-algoritmen hvis godkjenningsmetoden for hovedmodusen er angitt til Anonym.
      • Når Mpssvc-tjenesten oppretter IKE-regler, bruker Mpssvc-tjenesten alltid den Diffie-Hellman-algoritmen som er spesifikk for den globale innstillingen for nøkkelutveksling i hovedmodus.
      • En SSPI-delt (Security Support Provider Interface) hemmelighet brukes til å generere nøkkelmateriale i AuthIP-utvekslinger der nøkkelutvekslingen i hovedmodus ikke har en Diffie-Hellman-utveksling.

    Sertifikater som brukes av AuthIP

    • AuthIP bruker SSL-sertifikater som har konfigurerte klientgodkjenningsinnstillinger eller servergodkjenningsinnstillinger. SSL-sertifikater kan være klientgodkjenningssertifikater. SSL-sertifikater kan også være både klientgodkjenningssertifikater eller servergodkjenningssertifikater.
    • Hvis du oppretter policyer som skal bruke sertifikatgodkjenning for Windows Vista, må du ha sertifikater som fungerer med AuthIP. Dette betyr at sertifikatet du distribuerer til klientene, må være SSL-sertifikater som bruker klientgodkjenning eller servergodkjenning. Godkjenningen er avhengig av om du ønsker enveisgodkjenning eller gjensidig godkjenning. SSL-sertifikatene er annerledes enn de digitale standardsertifikatene som brukes i Windows XP eller Windows Server 2003.
    • Som standard brukes SSL-sertifikater av NAP-implementeringer.

Gruppepolicybehandling for snapin-modulen Windows-brannmur med avansert sikkerhet

Sikkerhetsreglene for tilkobling flettes fra alle relevante gruppepolicyobjekter. Det finnes imidlertid en beslektet gruppe innstillinger for IPsec og for AuthIP som behandler standardisert, ikke-additiv IPsec-oppførsel. Denne gruppen med innstillinger omfatter globale godkjenningssett, hurtigmodusinnstillinger, nøkkelutvekslingsinnstillinger og ICMP-fritak (Internet Control Message Protocol).

Standardsettet for sikkerhetsalternativer for tilkobling eller IPsec-alternativer som brukes fra gruppepolicyobjektet (GPO) med høyest prioritet, vil lykkes på en Windows Vista-basert klient. For eksempel vil alle sikkerhetsregler for tilkobling på den Windows Vista-baserte klienten som bruker standardgodkjenningssettene eller kryptografisk sett, bruke settene fra GPOen med høyest prioritet. Hvis du ønsker mer fleksibilitet, kan du bruke følgende alternativer:
  • For godkjenningssett konfigurerer du godkjenningen ved hjelp av sikkerhetsregelen for tilkobling i stedet for ved hjelp av standardgodkjenning.
  • For kryptografiske sett for hurtigmodus bruker du netsh-kommandoen til å konfigurere de kryptografiske hurtigmodusinnstillingene for hver sikkerhetsregel for tilkobling etter behov.
  • For kryptografiske sett for hovedmodusen støttes kun ett kryptografisk sett for hovedmodusen for hver policy. Når det mottas flere kryptografiske sett for hovedmodusen, brukes det kryptografiske settet for hovedmodusen som ble tatt fra GPOen med høyest prioritet, for alle sikkerhetsregler for tilkobling i gruppepolicy. Du kan imidlertid ikke tilpasse reglene slik at de bruker forskjellige kryptografiske sett for hovedmodusen.
  • Når du konfigurerer GPOer for sikkerhetsregler for tilkobling og for brannmurer, kan du deaktivere bruken av lokale brannmurregler og sikkerhetsregler for tilkobling. Derfor kan kun gruppepolicyinnstillinger som er koblet til GPOer for et webområde, domene eller organisasjonsenhet (OU), styre virkemåten for Windows-brannmuren.
Hvis du vil laste ned hvitboka Introduction to Windows Firewall with Advanced Security for Windows Vista, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Hvis du vil ha mer informasjon om AuthIP i Windows Vista, kan du gå til følgende Microsoft-webområde:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Hvis du vil ha mer informasjon om den nye Windows-brannmuren i Windows Vista og i Windows Server 2008, kan du gå til følgende Microsoft-webområde:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Etablere en kryptert tilkobling mellom Windows Vista og Windows XP eller mellom Windows Vista og Windows Server 2003

I Windows Server 2003 og i Windows XP består vanligvis konfigureringen av IPsec-policyen av et sett med regler som beskytter det meste av trafikken på nettverket, og et annet sett med regler med fritak fra trafikken som beskyttes. En konfigurasjon kan inkludere serverisolasjon og domeneinsolasjon. Fritak kreves for ubeskyttet kommunikasjon med nettverksinfrastrukturservere, for eksempel DHCP-servere (Dynamic Host Configuration Protocol), DNS-servere (Domain Name System) og domenekontrollere. Når en datamaskin starter opp, må datamaskinen kunne hente en IP-adresse og bruke DNS for å finne en domenekontroller. I tillegg må datamaskinen kunne logge på tilhørende domene før datamaskin kan begynne å bruke Kerberos-godkjenning for å godkjennes som en IPsec-node. Andre fritak kreves for å kunne kommunisere med nettverksnoder som ikke er IPsec-mottakelige. I noen tilfeller finnes det flere fritak som gjør det vanskeligere å distribuere IPsec-beskyttelse på et bedriftsnettverk og å opprettholde bedriftsnettverket over tid.

I Windows Server 2008 og i Windows Vista gir IPsec en valgfri virkemåte for forhandling av IPsec-beskyttelse. Anta at IPsec er aktivert, og at en IPsec-node som kjører Windows Server 2008 eller Windows Vista, oppretter kommunikasjon med en annen nettverksnode. I dette tilfellet vil IPsec-noden prøve å kommunisere uten kryptering, eller såkalt åpent. Parallelt vil noden prøve å forhandle beskyttet kommunikasjon. Hvis IPsec-noden som prøver å opprette kommunikasjon, ikke mottar respons på det første forhandlingsforsøket, fortsetter kommunikasjonen åpent. Hvis IPsec-noden som prøver å opprette kommunikasjon, mottar respons på det første forhandlingsforsøket, fortsetter kommunikasjonen åpent til forhandlingen er fullført. Når forhandlingen er fullført, mottar flere kommunikasjoner økt beskyttelse. IPsec-noden som prøver å opprette kommunikasjon, kan finne ut om nettverksnoden den kommuniserer med, kan utføre IPsec. IPsec-noden som prøver å opprette kommunikasjon, fungerer deretter i henhold til dette. Denne virkemåten for IPsec-noden oppstår på grunn av den valgfrie virkemåten for IPsec. I tillegg eksisterer denne virkemåten på grunn av den anbefalte konfigurasjonen som krever beskyttelse for innkommende etablerte kommunikasjoner, og som ber om beskyttelse for utgående etablerte kommunikasjoner. Denne nye virkemåten forenkler i stor grad policykonfigureringen av IPsec. For eksempel må ikke IPsec-noden som prøver å opprette kommunikasjon, ha et sett med forhåndsdefinerte IPsec-filtre for å frita et sett med verter som ikke kan bekytte nettverkstrafikken ved hjelp av IPsec. IPsec-noden som prøver å opprette kommunikasjon, prøver både beskyttet trafikk og ubeskyttet trafikk samtidig. Hvis beskyttet kommunikasjon ikke er mulig, bruker IPsec-noden som prøver å opprette kommunikasjon, ubeskyttet kommunikasjon.

Den nye forhandlingsvirkemåten forbedrer også ytelsen for ubeskyttede tilkoblinger som utføres hos vertene. En IPsec-node som kjører Windows Server 2003 eller Windows XP, konfigureres til å be om beskyttede kommunikasjoner, men åpner for ubeskyttede kommunikasjoner. Denne virkemåten for IPsec-noden er kjent som åpen reserveløsning. IPsec-noden sender forhandlingsmeldinger og venter på svar. IPsec-noden som prøver å opprette kommunikasjon, venter i opptil tre sekunder før den velger den åpne reserveløsningen og prøver ubeskyttede kommunikasjoner. I Windows Server 2008 og i Windows Vista finner det ikke lenger en tre sekunders forsinkelse før åpen reserveløsning velges, fordi åpen kommunikasjon har allerede startet når IPsec-noden som prøver å opprette kommunikasjon, venter på svar.

Hvis du vil ha mer informasjon om serverisolering og domeneisolering, kan du gå til følgende Microsoft-webområde:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Hovedelementene ved oppretting av en kryptert tilkobling mellom Windows Vista og Windows XP eller mellom Windows Vista og Windows Server 2003

  • Hvis du bare aktiverer en kryptert tilkobling i Windows Vista, forhandler Windows Vista kun på IPsec-nivået med alle andre klienter. Dette inkluderer Windows XP-baserte klienter.
  • Som standard forhandler ikke Windows XP eller Windows Server 2003 på IPsec-nivå. Derfor må vi tildele en IPsec-regel i Windows XP eller i Windows Server 2003 for å etablere en kryptert tilkobling mellom Windows Vista og Windows XP eller mellom Windows Vista og Windows Server 2003.
  • Hvis alternativet Tillat bare sikre tilkoblinger er valgt, forhandler Windows Vista som standard ved hjelp av AES-128-krypteringsmetoden og 3DES-krypteringsmetoden. AES-128-krypteringsmetoden støttes ikke i Windows XP. 3DES-krypteringsmetoden støttes i Windows XP og i Windows Server 2003.
  • Hvis IPsec er aktivert i Windows XP eller Windows Server 2003, forhandler IPsec som standard ved hjelp av 3DES-krypteringsmetoden.
Hvis du vil opprette en kryptert tilkobling mellom en Windows Vista-basert datamaskin og en Windows XP-basert datamaskin ved hjelp av snapin-modulen Windows-brannmur med avansert sikkerhet, kan du gjøre følgende:
  1. Klikk Start
    Skjul dette bildetVis dette bildet
    startknapp
    på den Windows Vista-baserte datamaskinen, skriv inn firewall i Start søk-boksen, og klikk deretter Windows-brannmur med avansert sikkerhet i Programmer-listen.
  2. Klikk Innkommende regler i konsolltreet.
  3. I listen Innkommende regler dobbeltklikker du Eksternt skrivebord (TCP-In), og deretter klikker du Generelt-kategorien.
  4. Klikk Tillat bare sikre tilkoblinger i Handling-området, merk av for Kryptering påkrevd, og klikk deretter OK.
  5. Klikk Sikkerhetsregler for tilkobling i konsolltreet, og klikk deretter Ny regelHandling-menyen.
  6. Klikk Isolasjon, og klikk deretter Neste.
  7. Klikk Krev godkjenning for innkommende og utgående tilkoblinger, og klikk deretter Neste.
  8. Klikk Standard, og klikk deretter Neste.
  9. Klikk for å merke av i følgende avmerkingsbokser, og klikk deretter Neste:
    • Domene
    • Privat
    • Felles
  10. Skriv navnet på regelen i Navn-boksen, skriv beskrivelsen av regelen i boksen Beskrivelse (valgfritt) hvis du ønsker det, og klikk deretter Fullfør.
  11. Klikk AvsluttFil-menyen.
  12. Hvis du bruker en Windows XP-basert datamaskin, kan du klikke Start, Kjør, skrive inn secpol.msc og deretter klikke OK.
  13. Høyreklikk IP-sikkerhetspolicyer på Lokal datamaskin i konsolltreet, og klikk deretter Opprett IP-sikkerhetspolicy.
  14. Klikk Neste, og følg deretter instruksjonene i veiviseren for IP-sikkerhetspolicyer på Lokal datamaskin for å opprette IP-sikkerhetspolicyen. Bruk standardinnstillingene for å opprette denne policyen.
  15. Høyreklikk Ny IP-sikkerhetspolicy, og klikk deretter Tilordne.
  16. Klikk AvsluttFil-menyen.

Egenskaper

Artikkel-ID: 942957 - Forrige gjennomgang: 25. april 2008 - Gjennomgang: 1.3
Informasjonen i denne artikkelen gjelder:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Nøkkelord: 
kbexpertiseadvanced kbhowto kbinfo KB942957

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com