Regras de segurança para o Firewall do Windows e para ligações baseadas em IPsec no Windows Vista e no Windows Server 2008

Traduções de Artigos Traduções de Artigos
Artigo: 942957 - Ver produtos para os quais este artigo se aplica.
Informações sobre o Beta
Este artigo aborda uma versão beta de um produto da Microsoft. As informações contidas neste artigo são fornecidas como está e estão sujeitas a alterações sem aviso prévio.

Não fornece suporte técnico formal está disponível a partir da Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída nos ficheiros do produto beta ou consulte a localização da Web onde o transferiu.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve o seguinte:
  • Regras de segurança para o Firewall do Windows no Windows Vista
  • Regras de segurança para ligações baseadas em IPsec no Windows Vista e no Windows Server 2008
  • Como estabelecer uma ligação encriptada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003

Mais Informação

No Windows Vista, novas regras de segurança do Firewall do Windows e as novas regras de segurança de ligação baseada em IPsec estão totalmente integradas em política de grupo. Por conseguinte, as definições de suporte de impressão em série e podem delegar o comportamento da mesma forma como outras definições de política de grupo.

Regras de segurança para o Firewall do Windows no Windows Vista

O snap-in "Firewall dos Windows com segurança avançada" controlo de gestão da Microsoft (MMC) suporta os seguintes tipos de regras de segurança.

Nota A lista de regras de segurança do Firewall do Windows e a lista de regras de segurança de ligação são intercalados de todas as definições de política de grupo aplicáveis. Em seguida, estas regras de segurança são processadas pela ordem seguinte. A seguinte ordem sempre é imposta, independentemente da origem das regras de segurança.
  • serviço do Windows reforço de regra
    A regra de protecção de serviço do Windows impede a serviços de estabelecer ligações. Restrições de serviço estão configuradas de tal forma que os serviços do Windows só podem comunicar de uma forma específica. Por exemplo, pode restringir o tráfego através de uma porta específica. No entanto, enquanto criar uma regra de firewall, tráfego não é permitido.
  • regra de segurança de ligação
    Regra de segurança de ligação define como e quando os computadores são autenticadas utilizando a funcionalidade do IPsec. Regras de segurança de ligação são utilizadas para estabelecer o isolamento de servidor e para estabelecer o isolamento de domínio. Além disso, as regras de segurança de ligação são utilizadas para aplicar a política de NAP (Network Access Protection).
  • autenticado Ignorar regra
    O autenticado Ignorar regra permite determinados computadores estar ligados se o tráfego está protegido utilizando a funcionalidade IPsec independentemente de outras regras de entrada. Computadores especificados podem ignorar regras de entrada bloquear tráfego. Por exemplo, pode activar a administração remota firewall a partir de determinados computadores criando regras de ignorar autenticado para os computadores. Ou, pode activar o suporte para assistência remota chamando técnico.
  • regra de bloqueio
    A regra de bloquear explicitamente bloqueia um determinado tipo de tráfego de entrada ou um determinado tipo de tráfego de saída.
  • Permitir regras
    A regra de permissões explicitamente permite para determinados tipos de tráfego de entrada ou de determinados tipos de tráfego de saída.
  • regra predefinida
    A regra predefinida está configurada de tal forma que a regra predefinida receber bloqueia as ligações e a regra de saída predefinida permite ligações.

Regras de segurança para ligações baseadas em IPsec no Windows Vista e no Windows Server 2008

Os seguintes dois tipos de regras IPsec podem ser aplicados a um computador baseado no Windows Vista ou a um computador baseado no Windows Server 2008:
  • regras IPsec
    Anteriores regras IPsec são actualmente implementadas no Windows 2000 e no Windows Server 2003. As regras IPsec anteriores são geridas pelo serviço PolicyAgent. Estas regras IPsec são regras de troca de chaves da Internet (IKE, Internet Key Exchange) que suporta apenas a autenticação Kerberos baseada no computador, certificados x.509 ou autenticação por chave pré-partilhada. Estas regras IPsec são configuradas no snap-in da MMC "Gestão de políticas IPsec". IKE baseadas em regras de PolicyAgent são aplicadas da mesma forma como no Windows 2000 e no Windows Server 2003. Apesar de várias políticas podem ser aplicadas a um determinado computador, apenas a última política que é aplicada é efectuada com êxito. Isto é acordo com o método de "última escritor wins". Além disso, As definições da política IKE não podem ser intercaladas.
  • regras de segurança de ligação
    Regras de segurança de ligação só são suportadas no Windows Vista e no Windows Server 2008. Regras de segurança de ligação são suportadas por uma extensão IKE é designado por autenticado por IP (IP Aut.). IP Aut. adiciona suporte para os seguintes mecanismos de autenticação:
    • Credenciais de Kerberos do utilizador interactivo ou credenciais de utilizador interactivo NTLMv2
    • Certificados x.509 de utilizador
    • Certificados de segura de sockets (SSL, Secure Sockets Layer) do computador
    • Certificados de estado de funcionamento NAP
    • Autenticação anónima (autenticação opcional)
    Pode configurar regras de segurança para o snap-in "Windows Firewall e segurança avançada" utilizando as seguintes ferramentas:
    • Política de grupo baseada no domínio
    • O snap-in "Firewall dos Windows com segurança avançada"

      Nota O snap-in "Firewall dos Windows com segurança avançada" é a localização de armazenamento predefinida para as políticas que podem ser acedidos utilizando o comando wf.msc .
    • O política de grupo snap-in local (gpedit.msc)
    • O comando netsh advfirewall

      Nota O comando netsh advfirewall aponta para o mesmo arquivo que o comando wf.msc .
    Tal como outros firewall e regras de política de grupo, regras de segurança de ligação são intercaladas a partir de todos os objectos de política de grupo aplicáveis.

    As políticas de segurança de ligação podem ser configuradas para criar políticas IPsec baseadas em que são compatíveis com IKE versão baseado em 1 clientes, tais como Microsoft Windows 2000, Windows XP e Windows Server 2003. As políticas de segurança de ligação também podem ser configuradas para criar políticas que suportam comunicações apenas entre computadores baseados no Windows Vista e computadores baseados no Windows Server 2008.

    Um administrador pode criar uma política de segurança de ligação utilizando os métodos seguintes:
    • O administrador pode criar uma política de segurança de ligação que suporta apenas Kerberos autenticação, os certificados x.509 de utilizador ou a autenticação de computador.

      notas
      • Neste caso, o serviço Mpssvc cria automaticamente AuthIP e de IKE anterior políticas.
      • Se for especificada autenticação chave pré-partilhada baseada no computador, regras de IP Aut. não são criadas.
    • O administrador pode criar uma política de segurança de ligação que requer autenticação de utilizador.

      Nota Neste caso, é criada apenas Política AuthIP para negociações do Windows Vista para Windows Vista e para Windows Vista para Windows Server 2008 negociações. Isto acontece porque IKE não suporta autenticação de utilizador.
    • O administrador pode criar uma política de segurança de ligação em que opções de autenticação de utilizador são adicionadas à política. Além disso, o administrador também pode seleccionar a opção segunda autenticação é opcional .

      Nota O serviço Mpssvc cria AuthIP políticas e políticas IKE anteriores. Autenticação de utilizador opcional incluído no conjunto de IP Aut.. Autenticação de utilizador opcional não está incluída na política IKE anterior.
    • O administrador pode criar uma política de segurança de ligação que requer autenticação NTLM.

      Nota Neste caso, é criada apenas Política AuthIP para negociações do Windows Vista para Windows Vista e para Windows Vista para Windows Server 2008 negociações porque IKE não suporta a autenticação NTLM.
    • O administrador selecciona o algoritmo de "Diffie-Hellman" no "Modo principal Key Exchange" algoritmo global que é incompatível com os clientes anteriores, tais como "elíptica curva Diffie-Hellman P-256" algoritmo.

      notas
      • Neste caso, o algoritmo de "Diffie-Hellman" não será suportado por clientes com versões 1 IKE anteriores. Além disso, as negociações IKE estão sem êxito.
      • Recomendamos que utilize a definição "Diffie-Hellman Grupo 2" porque esta definição é suportada entre o intervalo maior de clientes.
      • A definição "Diffie-Hellman Grupo 14" é suportada no Windows XP Service Pack 2 (SP2) e no Windows Server 2003.
      • Neste caso, a alteração de comportamento das teclas é que o algoritmo de "Diffie-Hellman" geralmente não é utilizado para as negociações com base em IP Aut..
      • Quando o serviço Mpssvc cria regras AuthIP, serviço Mpssvc Especifica que as negociações do Windows Vista para Windows Vista ou o Windows Vista para Windows Server 2008 negociações tem apenas utilizar algoritmo "Diffie-Hellman" Se o método de autenticação de modo principal estiver definido como anónimo .
      • Quando o serviço Mpssvc cria IKE regras, o serviço Mpssvc utiliza sempre o algoritmo de "Diffie-Hellman" específica para a definição de Troca de chaves de modo principal global.
      • Um segredo partilhado SSPI Security Support Provider Interface é utilizado para gerar o material de trocas de IP Aut. em que a troca de chaves de modo principal não tem uma troca Diffie-Hellman.

    Certificados que são utilizados por IP Aut.

    • IP Aut. utiliza certificados SSL que têm definições de autenticação de cliente configuradas ou que têm definições de autenticação do servidor configuradas. Certificados SSL podem ser certificados de autenticação de cliente. Ou, certificados de SSL podem ser tanto certificados de autenticação de cliente como certificados de autenticação de servidor.
    • Se criar políticas a utilizar autenticação de certificados para Windows Vista, tem de ter certificados que funcionam com IP Aut.. Isto significa que os certificados que implementam aos clientes de acesso tem de certificados de SSL que utilizem autenticação de cliente ou autenticação de servidor. A autenticação depende se pretende que a autenticação unidireccional ou autenticação mútua. Os certificados SSL diferem padrão certificados digitais são utilizados no Windows XP ou no Windows Server 2003.
    • Por predefinição, são utilizados certificados SSL por implementações da NAP.

Política de grupo processamento para o snap-in "Firewall dos Windows com segurança avançada"

Regras de segurança de ligação são intercaladas a partir de todos os objectos de política de grupo aplicáveis. No entanto, existe um grupo relacionado das definições de IPsec e AuthIP gere predefinição, o comportamento de IPsec não aditivos. Este grupo de definições inclui conjuntos de autenticação global, definições de modo rápido, definições de troca de chaves e excepções de ICMP (Internet Control Message Protocol).

O conjunto predefinido de opções de segurança de ligação ou opções de IPsec aplicadas ao objecto de política grupo precedência (GPO, Group Policy Object) mais elevado de terá êxito num cliente baseado no Windows Vista. Por exemplo, todas as ligação segurança regras no cliente baseado no Windows Vista que utilizam conjuntos de autenticação predefinidos ou conjuntos de criptografia utilizarão os conjuntos da precedência mais elevada GPO, Group Policy Object. Se pretender mais flexibilidade, pode utilizar as seguintes opções:
  • Para conjuntos de autenticação, configure a autenticação utilizando a regra de segurança de ligação em vez de autenticação predefinido.
  • Para conjuntos de criptografia de modo rápido, utilize o comando netsh para configurar as definições criptográficas modo rápido para cada regra de segurança de ligação conforme necessário.
  • Para os conjuntos de criptografia de modo principal, apenas um conjunto de criptografia de modo principal é suportado para cada política. Quando definir vários modo principal conjuntos criptográficos são recebidos, de modo principal criptográficos da precedência mais elevada GPO, Group Policy Object será aplicada a todas as regras de segurança de ligação na política de grupo. No entanto, não é possível personalizar as regras para utilizar diferentes conjuntos de criptografia de modo principal.
  • Quando configura o GPO para as políticas de segurança de ligação e políticas de firewall, pode desactivar a utilização de regras de firewall locais e regras de segurança de ligação. Por conseguinte, apenas as definições de política de grupo estão ligadas a GPOs, GPOs do domínio ou GPOs de unidade organizacional (UO) do site podem controlam o comportamento do Firewall do Windows.
Para ver a documentação técnica "Introdução ao Windows Firewall com segurança avançada" para o Windows Vista, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/appcompat/aa905080.aspx
Para obter mais informações sobre AuthIP no Windows Vista, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Para obter mais informações sobre o novo Firewall do Windows no Windows Vista e no Windows Server 2008, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Como estabelecer uma ligação encriptada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003

No Windows Server 2003 e no Windows XP, configuração da política IPsec consiste normalmente um conjunto de regras para proteger a maior parte do tráfego na rede e outro conjunto de regras para excepções de tráfego protegido. Uma configuração pode incluir o isolamento de servidor e isolamento de domínio. Excepções são necessárias para comunicações não protegidas com servidores de infra-estrutura de rede tais como servidores DHCP (Dynamic Host Configuration Protocol), servidores de sistema de nomes de domínio (DNS, Domain Name System) e controladores de domínio. Quando um computador é iniciado, o computador tem de conseguir obter um endereço IP e tem de conseguir utilizar o DNS para localizar um controlador de domínio. Além disso, o computador tem de conseguir iniciar sessão no respectivo domínio antes do computador pode começar a utilizar a autenticação Kerberos para se autenticar como um elemento IPsec. Outras excepções são necessários para comunicar connosco de rede que não suportem IPsec. Em alguns casos, existem várias excepções que torna mais difícil para implementar a protecção IPsec numa rede empresarial e para manter a rede da empresa ao longo do tempo.

No Windows Server 2008 e no Windows Vista, o IPsec fornece um comportamento opcional para negociar protecção IPsec. Suponha que o IPsec está activado e um nó de IPsec com o Windows Server 2008 ou Windows Vista inicia comunicações com outro nó de rede. Neste caso, o nó de IPsec irá tentar comunicar sem encriptação ou "desmarque." O nó irá tentar negociar a comunicação protegida em paralelo. Se o peer de IPsec emitiu não receber uma resposta à tentativa de negociação inicial, a comunicação continua do limpar. Se o peer de IPsec emitiu recebe uma resposta para a tentativa de negociação inicial, a comunicação do limpar continua até que a negociação é concluída. Quando a negociação estiver concluída, comunicações sucessivas recebem protecção melhorada. O nó de IPsec emitiu possível saber se o nó de rede que comunica com pode efectuar IPsec. Em seguida, o nó de IPsec emitiu funciona em conformidade. Este comportamento do nó IPsec é devido ao comportamento opcional de IPsec. Além disso, este comportamento é da configuração recomendada que requer protecção para receber comunicações iniciadas e que pede protecção para iniciadas comunicações de saída. Este novo comportamento simplifica significativamente a configuração da política IPsec. Por exemplo, o nó de IPsec emitiu não tem de ter um conjunto de filtros IPsec predefinidos para excluir um conjunto de anfitriões que não é possível proteger tráfego de rede, utilizando IPsec. O nó de IPsec emitiu tenta o tráfego protegido e tráfego não protegido em paralelo. Se a comunicação protegida não for possível, o nó de IPsec emitiu utiliza comunicações não protegidas.

O novo comportamento de negociação também melhora o desempenho de ligações não protegidas efectuadas para anfitriões. Um nó de IPsec com o Windows Server 2003 ou Windows XP está configurado para pedir comunicações protegidas, mas permite comunicações não protegidas. Este comportamento de nó de IPsec é conhecido como reversão para limpar. O nó de IPsec envia mensagens de negociação e aguarda uma resposta. O nó de IPsec emitiu aguarda três segundos antes de descer novamente para limpar e a tentativa de comunicações não protegidas. No Windows Server 2008 e no Windows Vista, já não existe um atraso segundo três quando descer novamente para desmarcar porque as comunicações do limpar são já em curso quando o nó de IPsec emitiu aguarda uma resposta.

Para mais informações sobre o isolamento de servidor e sobre o isolamento de domínio, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Pontos-chave estabelecer uma ligação encriptada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003

  • Se activar apenas uma ligação encriptada no Windows Vista, Windows Vista negoceia apenas ao nível do IPsec com todos os outros clientes. Isto inclui clientes baseados no Windows XP.
  • Por predefinição, o Windows XP ou Windows Server 2003 não negocia ao nível do IPsec. Assim, temos de atribuir uma regra IPsec no Windows XP ou no Windows Server 2003 para estabelecer uma ligação encriptada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003.
  • Por predefinição, se estiver seleccionada a opção de Permitir ligações apenas seguras , Windows Vista negoceia utilizando o método de encriptação AES-128 e o método de encriptação 3DES. O método de encriptação AES-128 não é suportado no Windows XP. O método de encriptação 3DES é suportado no Windows XP e no Windows Server 2003.
  • Por predefinição, se o IPsec estiver activado no Windows XP ou no Windows Server 2003, irá negociar IPsec utilizando o método de encriptação 3DES.
Para estabelecer uma ligação encriptada entre um computador baseado no Windows Vista e um computador baseado no Windows XP utilizando o snap-in "Firewall dos Windows com segurança avançada", siga estes passos:
  1. Num computador baseado no Windows Vista, clique em Iniciar
    Reduzir esta imagemExpandir esta imagem
    the Start button
    , escreva firewall na caixa Iniciar procura e, em seguida, clique em Firewall do Windows com segurança avançada na lista de programas .
  2. Na árvore da consola, clique em Regras de entrada .
  3. Na lista de regras de entrada, faça duplo clique em Ambiente de trabalho remoto (entrada de TCP) e, em seguida, clique no separador Geral .
  4. Na área acção , clique em Permitir ligações apenas seguras , clique para seleccionar a caixa de verificação Exigir encriptação e, em seguida, clique em OK .
  5. Na árvore da consola, clique em Regras de segurança de ligação e, em seguida, clique em Nova regra no menu acção .
  6. Faça clique sobre o isolamento e, em seguida, clique em seguinte .
  7. Clique em Pedir autenticação para ligações de entrada e saída e, em seguida, clique em seguinte .
  8. Clique em predefinição e, em seguida, clique em seguinte .
  9. Clique para seleccionar as caixas de verificação seguintes e, em seguida, clique em seguinte :
    • domínio
    • privada
    • pública
  10. Escreva o nome da regra na caixa nome , escreva a descrição da regra na caixa Descrição (opcional) se pretender e, em seguida, clique em Concluir .
  11. No menu ficheiro , clique em Sair .
  12. Num computador baseado no Windows XP, clique em Iniciar , clique em Executar , escreva secpol.msc e, em seguida, clique em OK .
  13. Na árvore da consola, clique com o botão direito do rato em Políticas de segurança IP em computador local e, em seguida, clique em Criar política de segurança IP .
  14. Clique em seguinte e, em seguida, siga as instruções do Assistente para política de segurança IP para criar a política de segurança IP. Utilize as predefinições para criar esta política.
  15. Clique com o botão direito do rato em Nova política de segurança IP e, em seguida, clique em atribuir .
  16. No menu ficheiro , clique em Sair .

Propriedades

Artigo: 942957 - Última revisão: 26 de outubro de 2007 - Revisão: 1.5
A informação contida neste artigo aplica-se a:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB942957 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 942957

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com