Regras de segurança para ele e para conexões baseadas em IPsec no Windows Vista e no Windows Server 2008

Traduções deste artigo Traduções deste artigo
ID do artigo: 942957 - Exibir os produtos aos quais esse artigo se aplica.
Informações de versão beta
Este artigo descreve uma versão beta de um produto da Microsoft. As informações neste artigo são fornecidas como - é e estão sujeitas a alterações sem aviso prévio.

Nenhum suporte formal está disponível da Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída com os arquivos de produto beta ou verifique o local da Web onde você a versão foi baixada.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve o seguinte:
  • Regras de segurança para ele no Windows Vista
  • Regras de segurança para conexões baseadas em IPsec no Windows Vista e no Windows Server 2008
  • Como estabelecer uma conexão criptografada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003

Mais Informações

No Windows Vista, as regras de segurança do Firewall do Windows novas e as novas regras de segurança conexão baseada em IPsec estão totalmente integradas para a diretiva de grupo. Portanto, as configurações de suporte mesclagem e delegar o comportamento da mesma maneira como outras configurações de diretiva de grupo.

Regras de segurança para ele no Windows Vista

O snap-in controle de gerenciamento "Firewall do Windows com segurança avançada" Microsoft (MMC) dá suporte aos seguintes tipos de regras de segurança.

Observação A lista de regras de segurança do Firewall do Windows e a lista de regras de segurança de conexão são mescladas do todas as configurações aplicáveis de diretiva de grupo. Em seguida, essas regras de segurança são processadas na seguinte ordem. Ordem a seguir sempre é aplicada, independentemente da origem das regras de segurança.
  • serviço do Windows proteção regra
    A regra de proteção de serviço do Windows restringe serviços do estabelecimento de conexões. Restrições de serviço são configuradas de tal forma que os serviços do Windows somente podem se comunicar de uma maneira específica. Por exemplo, você pode restringir o tráfego através de uma porta específica. No entanto, até que você crie uma regra de firewall, tráfego não é permitido.
  • regra de segurança de conexão
    A regra de segurança de conexão define como e quando os computadores são autenticados usando o recurso de IPsec. Regras de segurança de conexão são usadas para estabelecer isolamento de servidor e estabelecer isolamento de domínio. Além disso, as regras de segurança de conexão são usadas para aplicar a diretiva (NAP).
  • autenticado Ignorar regra
    O autenticado ignora regra permite determinados computadores ser conectado se o tráfego é protegido usando o recurso IPsec independentemente de outras regras de entrada. Computadores especificados podem ignorar regras de entrada que bloqueiam o tráfego. Por exemplo, você pode ativar administração remota firewall a partir de determinados computadores criando regras de bypass autenticado para os computadores. Ou, você pode habilitar suporte para Assistência remota chamando suporte técnico.
  • regra de bloqueio
    A regra de bloqueio bloqueia explicitamente um determinado tipo de tráfego de entrada ou um determinado tipo de tráfego de saída.
  • Permitir regra
    A regra de permissão explicitamente permite para determinados tipos de tráfego de entrada ou certos tipos de tráfego de saída.
  • regra padrão
    A regra padrão é configurada de tal forma que a regra padrão entrada bloqueia conexões, e permite que a regra de saída padrão para conexões.

Regras de segurança para conexões baseadas em IPsec no Windows Vista e no Windows Server 2008

Os seguintes dois tipos de regras de IPsec podem ser aplicados a um computador baseado no Windows Vista ou em um computador com Windows Server 2008:
  • regras de IPsec
    As regras IPsec anteriores são implantadas no momento no Windows 2000 e no Windows Server 2003. As regras IPsec anteriores são gerenciadas pelo serviço PolicyAgent. Essas regras IPsec são regras de IKE (Internet Key Exchange) que ofereça suporte somente a autenticação Kerberos com base em computador, certificados x.509 ou autenticação de chave pré-compartilhada. Essas regras IPsec são configuradas no snap-in do MMC "Gerenciamento de diretiva IPsec". Baseada em IKE PolicyAgent regras são aplicadas da mesma maneira que no Windows 2000 e no Windows Server 2003. Embora várias diretivas podem ser aplicadas a um determinado computador, somente a última diretiva aplicada é bem-sucedida. Isso está de acordo com o método "último gravador wins". Além disso, As configurações de diretiva IKE não podem ser mescladas.
  • regras de segurança de conexão
    Somente há suporte para regras de segurança de conexão no Windows Vista e no Windows Server 2008. Regras de segurança de conexão são suportadas pela extensão do IKE é chamado de IP autenticado (AuthIP). AuthIP adiciona suporte para os seguintes mecanismos de autenticação:
    • As credenciais do usuário interativo Kerberos ou credenciais de usuário interativo NTLMv2
    • Certificados x.509 de usuário
    • Certificados de SSL (Secure Sockets Layer) do computador
    • Certificados de integridade NAP
    • Autenticação anônima (autenticação opcional)
    Você pode configurar regras de segurança para o "Windows Firewall e" snap-in segurança avançada usando as ferramentas a seguir:
    • Diretiva de grupo baseada em domínio
    • O snap-in "Firewall do Windows com segurança avançada"

      Observação O snap-in "Firewall do Windows com segurança avançada" é o local de armazenamento padrão para as diretivas que podem ser acessados usando o comando wf.msc .
    • O diretiva de grupo snap-in local (gpedit.msc)
    • O comando netsh advfirewall

      Observação O comando netsh advfirewall aponta para o mesmo armazenamento que o comando wf.msc .
    Como outro firewall e regras de diretiva de grupo, regras de segurança de conexão são mescladas de todos os objetos de diretiva de grupo aplicáveis.

    As diretivas de segurança de conexão podem ser configuradas para criar diretivas baseadas no IPsec que são compatíveis com IKE baseado em 1 clientes de versão, como Microsoft Windows 2000, Windows XP e Windows Server 2003. As diretivas de segurança de conexão também podem ser configuradas para criar diretivas que oferecem suporte a comunicações apenas entre computadores com base no Windows Vista e computadores baseados no Windows Server 2008.

    Um administrador pode criar uma diretiva de segurança de conexão usando os seguintes métodos:
    • O administrador pode criar uma diretiva de segurança de conexão que oferece suporte a apenas Kerberos autenticação, certificados x.509 de usuário ou autenticação de computador.

      anotações
      • Nesse caso, o serviço Mpssvc cria automaticamente AuthIP e IKE anterior diretivas.
      • Se o computador pré-compartilhada chave autenticação com base em for especificada, AuthIP regras não serão criadas.
    • O administrador pode criar uma diretiva de segurança de conexão que requer autenticação de usuário.

      Observação Nesse caso, somente a diretiva AuthIP é criada para negociações do Windows Vista para Windows Vista e para Windows Vista para Windows Server 2008 negociações. Isso ocorre porque o IKE não oferece suporte a autenticação do usuário.
    • O administrador pode criar uma diretiva de segurança de conexão nos quais as opções de autenticação de usuário são adicionadas à diretiva. Além disso, o administrador também pode selecionar a opção de segunda autenticação é opcional .

      Observação O serviço Mpssvc cria diretivas de AuthIP e diretivas IKE anteriores. Autenticação de usuário opcional está incluída no conjunto de AuthIP. Autenticação de usuário opcional não está incluída na diretiva IKE anterior.
    • O administrador pode criar uma diretiva de segurança de conexão que requer a autenticação NTLM.

      Observação Nesse caso, somente a diretiva AuthIP é criada para negociações do Windows Vista para Windows Vista e para Windows Vista para Windows Server 2008 negociações porque IKE não oferece suporte à autenticação NTLM.
    • O administrador seleciona o algoritmo "Diffie-Hellman" no algoritmo "Troca de chave de modo principal" global que é incompatível com clientes anteriores, como "elíptica curva Diffie-Hellman P-256" algoritmo.

      anotações
      • Nesse caso, o algoritmo "Diffie-Hellman" não terão suporte por clientes de versão 1 IKE anteriores. Além disso, as negociações de IKE são malsucedidas.
      • Recomendamos que você use a configuração "Diffie-Hellman grupo 2" porque essa configuração é suportada pelo intervalo mais amplo de clientes.
      • A configuração "Diffie-Hellman Grupo 14" é suporte no Windows XP Service Pack 2 (SP2) e no Windows Server 2003.
      • Nesse caso, a alteração de comportamento das teclas é que o algoritmo "Diffie-Hellman" geralmente não é usado para negociações baseada em AuthIP.
      • Quando o serviço Mpssvc cria regras de AuthIP, o serviço Mpssvc Especifica que as negociações do Windows Vista para Windows Vista ou Windows Vista para Windows Server 2008 negociações devem somente usar o algoritmo "Diffie-Hellman" se o método de autenticação de modo principal for definido como anônimo .
      • Quando o serviço Mpssvc cria regras de IKE, o serviço Mpssvc sempre usa o algoritmo "Diffie-Hellman" que é específico para a configuração global de Troca de chaves modo principal .
      • Um segredo compartilhado de interface do provedor de suporte de segurança SSPI é usado para gerar o material de chaveamento em trocas de AuthIP em que a troca de chave de modo principal não tem uma troca Diffie-Hellman.

    Certificados que são usados por AuthIP

    • AuthIP usa certificados SSL que têm configurações de autenticação de cliente configuradas ou que têm configurações de autenticação de servidor definidas. Certificados SSL podem ser certificados de autenticação de cliente. Ou, certificados SSL podem ser tanto certificados de autenticação de cliente como certificados de autenticação de servidor.
    • Se você criar diretivas para usar autenticação de certificado para Windows Vista, você deve ter certificados que funcionam com AuthIP. Isso significa que os certificados que você implantar aos clientes precisam ser certificados SSL que usam autenticação de cliente ou servidor de autenticação. A autenticação depende de você deseja autenticação unidirecional ou autenticação mútua. Os certificados SSL diferem dos certificados digitais padrão que são usados no Windows XP ou no Windows Server 2003.
    • Por padrão, os certificados SSL são usados por implementações de NAP.

Diretiva de grupo de processamento para o snap-in "Firewall do Windows com segurança avançada"

Regras de segurança de conexão são mescladas de todos os objetos de diretiva de grupo aplicáveis. No entanto, há um grupo de configurações de IPsec e para AuthIP que gerencia padrão, o comportamento do IPsec não aditivo relacionado. Esse grupo de configurações inclui conjuntos de autenticação global, as configurações de modo rápido, configurações de troca de chaves e isenções de ICMP (Internet Control Message Protocol).

O conjunto padrão de opções de segurança de conexão ou opções de IPsec que são aplicadas do objeto de diretiva de grupo precedência mais alto (GPO) funcionará em um cliente baseado no Windows Vista. Por exemplo, todas as conexão regras de segurança no cliente baseado no Windows Vista que usam conjuntos de autenticação padrão ou conjuntos de criptografia usará os conjuntos de maior precedência GPO. Se você desejar mais flexibilidade, você pode usar as seguintes opções:
  • Para conjuntos de autenticação, configure a autenticação, usando a regra de segurança de conexão em vez de usando a autenticação padrão.
  • Para conjuntos de criptografia do modo rápido, use o comando netsh para definir configurações de criptografia de modo rápido para cada regra de segurança de conexão conforme necessário.
  • Para conjuntos de criptografia do modo principal, somente um conjunto de criptografia do modo principal é suportado para cada diretiva. Quando o modo principal vários conjuntos de criptografia são recebidos, o modo principal de criptografia definido de maior precedência GPO será aplicado a todas as regras de segurança de conexão na diretiva de grupo. No entanto, você não pode personalizar as regras para usar diferentes conjuntos de criptografia do modo principal.
  • Quando você configurar GPOs para diretivas de segurança de conexão e para as diretivas de firewall, você pode desativar uso de regras de firewall locais e regras de segurança de conexão. Portanto, apenas configurações de diretiva de grupo vinculados a GPOs, GPOs do domínio ou unidade organizacional (OU) GPOs do site podem controlar o comportamento do Firewall do Windows.
Para exibir o white paper "Introdução ao Windows Firewall com segurança avançada" para o Windows Vista, visite o seguinte site da Microsoft:
http://technet.microsoft.com/en-us/appcompat/aa905080.aspx
Para obter mais informações sobre AuthIP no Windows Vista, visite o seguinte site:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Para obter mais informações sobre o novo Firewall do Windows no Windows Vista e no Windows Server 2008, visite o seguinte site:
http://technet.microsoft.com/en-us/library/bb877967.aspx

Como estabelecer uma conexão criptografada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003

No Windows Server 2003 e no Windows XP, configuração da diretiva IPsec normalmente consiste de um conjunto de regras para proteger a maior parte do tráfego na rede e outro conjunto de regras para isenções de tráfego protegido. Uma configuração pode incluir isolamento de servidor e isolamento de domínio. Isolamentos são necessários para comunicação desprotegida com servidores de infra-estrutura de rede como servidores DHCP (Dynamic Host Configuration Protocol), servidores de nome de domínio (DNS) e controladores de domínio. Quando um computador é iniciado, o computador deve ser capaz de obter um endereço IP e deve ser capaz de usar o DNS para localizar um controlador de domínio. Além disso, o computador precisa poder fazer logon no seu domínio antes que o computador possa começar a usar a autenticação Kerberos para autenticar-se como um ponto IPsec. Outras exceções são necessárias para se comunicar conosco de rede que não são compatíveis com IPsec. Em alguns casos, há muitas exceções que tornam mais difícil para implantar proteção de IPsec em uma rede corporativa e para manter a rede corporativa ao longo do tempo.

No Windows Server 2008 e no Windows Vista, o IPsec fornece um comportamento opcional para negociar a proteção IPsec. Suponha que o IPsec está ativado e um nó IPsec que está executando o Windows Server 2008 ou o Windows Vista inicia a comunicação com outro nó de rede. Nesse caso, o nó IPsec tentará se comunicar sem criptografia ou "em Limpar." O nó tentará negociar a comunicação protegida em paralelo. Se o ponto IPsec de início não receber uma resposta para tentar negociação inicial, a comunicação continuará criptografado. Se o ponto IPsec de início receber uma resposta para tentar negociação inicial, a comunicação de modo transparente continua até que a negociação é concluída. Quando a negociação é concluída, comunicações sucessivas recebe maior proteção. O nó IPsec de início pode descobrir se o nó da rede que ele se comunica com pode executar IPsec. O nó IPsec de início, em seguida, se comporta da mesma forma. Esse comportamento do nó IPsec é devido ao comportamento opcional do IPsec. Além disso, esse comportamento é devido a configuração recomendada que exige a proteção para comunicações de entrada iniciadas e que solicitações de proteção para comunicações iniciadas de modo de saída. Esse novo comportamento simplifica muito a configuração da diretiva IPsec. Por exemplo, o nó IPsec de início não precisa ter um conjunto de filtros IPsec predefinidos para isolar um conjunto de hosts que não é possível proteger o tráfego de rede usando IPsec. O nó IPsec de início tenta tráfego protegido e o tráfego não protegido em paralelo. Se a comunicação protegida não é possível, o nó IPsec iniciando usa comunicação desprotegida.

O novo comportamento de negociação também melhora o desempenho de conexões desprotegidas que são feitas para hosts. Um nó IPsec que está executando o Windows Server 2003 ou o Windows XP está configurado para solicitar comunicações protegidas, mas permite comunicações desprotegidas. Esse comportamento de nó IPsec é conhecido como fallback para limpar. O nó IPsec envia mensagens de negociação e aguarda uma resposta. O nó IPsec iniciando espera até três segundos antes de voltando para limpar e tentar comunicações desprotegidas. No Windows Server 2008 e no Windows Vista, não é mais um atraso de segundo três quando voltando para limpar porque comunicações de modo transparente já estão em andamento quando o nó IPsec de início está aguardando uma resposta.

Para obter mais informações sobre isolamento de servidor e sobre isolamento de domínio, visite o seguinte site:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Pontos-chave do estabelecimento de uma conexão criptografada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003

  • Se você habilitar apenas uma conexão criptografada no Windows Vista, Windows Vista negocia somente no nível do IPsec com todos os outros clientes. Isso inclui clientes baseados no Windows XP.
  • Por padrão, Windows XP ou Windows Server 2003 não negocia no nível do IPsec. Portanto, temos que atribuir uma regra de IPsec no Windows XP ou no Windows Server 2003 para estabelecer uma conexão criptografada entre o Windows Vista e Windows XP ou entre o Windows Vista e Windows Server 2003.
  • Por padrão, se a opção Permitir conexões apenas seguras é selecionada, o Windows Vista negocia usando o método de criptografia AES-128 e o método de criptografia 3DES. O método de criptografia AES-128 não tem suporte no Windows XP. O método de criptografia 3DES tem suporte no Windows XP e no Windows Server 2003.
  • Por padrão, se o IPsec estiver habilitado no Windows XP ou no Windows Server 2003, irá negociar IPsec usando o método de criptografia 3DES.
Para estabelecer uma conexão criptografada entre um computador baseado no Windows Vista e um computador baseado no Windows XP usando o snap-in "Firewall do Windows com segurança avançada", execute estas etapas:
  1. No computador baseado no Windows Vista, clique
    Recolher esta imagemExpandir esta imagem
    the Start button
    Iniciar , digite firewall na caixa Iniciar procura e, em seguida, clique em Firewall do Windows com segurança avançada na lista programas .
  2. Na árvore de console, clique em Regras de entrada .
  3. Na lista de regras de entrada, clique duas vezes em Área de trabalho remota (TCP-Entrada) e, em seguida, clique na guia Geral .
  4. Na área de ação , clique em Permitir conexões apenas seguros , clique em para marcar a caixa de seleção Exigir criptografia e, em seguida, clique em OK .
  5. Na árvore de console, clique em Regras de segurança de conexão e clique em Nova regra no menu ação .
  6. Clique em isolamento e, em seguida, clique em Avançar .
  7. Clique em exigir autenticação para conexões de entrada e de saída e, em seguida, clique em Avançar .
  8. Clique em padrão e, em seguida, clique em Avançar .
  9. Clique para selecionar as seguintes caixas de seleção e, em seguida, clique em Avançar :
    • domínio
    • particular
    • pública
  10. Digite o nome da regra na caixa nome , digite a descrição da regra na caixa Descrição (opcional) se desejar e, em seguida, clique em Concluir .
  11. No menu arquivo , clique em Sair .
  12. No computador baseado no Windows XP, clique em Iniciar , clique em Executar , digite secpol.msc e, em seguida, clique em OK .
  13. Na árvore de console, clique com o botão direito do mouse em Diretivas de segurança IP em computador local e, em seguida, clique em Criar diretiva de segurança IP .
  14. Clique em Avançar e, em seguida, siga as instruções no Assistente de diretiva de segurança IP para criar a diretiva de segurança IP. Use as configurações padrão para criar esta diretiva.
  15. Clique Nova diretiva de segurança IP com o botão direito do mouse e, em seguida, clique em atribuir .
  16. No menu arquivo , clique em Sair .

Propriedades

ID do artigo: 942957 - Última revisão: sexta-feira, 26 de outubro de 2007 - Revisão: 1.5
A informação contida neste artigo aplica-se a:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB942957 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 942957

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com