Säkerhetsregler för Windows-brandväggen och IPsec-baserade anslutningar i Windows Vista och Windows Server 2008

Artikelöversättning Artikelöversättning
Artikel-id: 942957 - Visa produkter som artikeln gäller.
Betainformation
I den här artikeln diskuteras en betaversion av en Microsoft-produkt. Informationen i artikeln tillhandahålls "i befintligt skick" och kan ändras utan föregående meddelande.

Microsoft ger ingen formell produktsupport på denna betaprodukt. Information om hur du får support på en betaversion finns i dokumentationen som medföljer betaproduktfilerna eller på webbplatsen där du har hämtat versionen.
Visa alla | Dölj alla

På den här sidan

INLEDNING

I den här artikeln beskrivs följande:
  • Säkerhetsregler för Windows-brandväggen i Windows Vista
  • Säkerhetsregler för IPsec-baserade anslutningar i Windows Vista och Windows Server 2008
  • Åtgärder för att upprätta en krypterad anslutning mellan Windows Vista och Windows XP eller mellan Windows Vista och Windows Server 2003

Mer Information

I Windows Vista är de nya säkerhetsreglerna för Windows-brandväggen och IPsec-baserad anslutning helt integrerade i Grupprincip. Därför sammanfaller stödinställningarna och delegerar funktioner på samma sätt som andra grupprincipinställningar.

Säkerhetsregler för Wíndows-brandväggen i Windows Vista

MMC-snapin-modulen (Microsoft Management Control) "Windows-brandväggen med avancerad säkerhet" stöder följande typer av säkerhetsregler.

Obs! Listorna med säkerhetsregler för Windows-brandväggen och anslutningssäkerhetsregler är en sammanställning av alla tillämpliga grupprincipinställningar. Sedan behandlas dessa säkerhetsregler i följande ordning, som alltid används, oberoende av källan till säkerhetsreglerna.
  • Windows-tjänsthärdningsregeln
    Windows-tjänsthärdningsregeln begränsar möjligheterna för tjänster att upprätta anslutningar. Servicebegränsningar konfigureras på ett sådant sätt att Windows-tjänster bara kan kommunicera på ett visst sätt. Du kan till exempel begränsa trafik genom en viss port, men tills dess att du skapar en brandväggsregel tillåts inte någon trafik.
  • Anslutningssäkerhetsregel
    Anslutningssäkerhetsregler anger hur och när datorer autentiseras med hjälp av IPsec-funktionen, och används för att upprätta server- och domänisolering. Dessutom används anslutningssäkerhetsregler för att genomdriva NAP-principen (Network Access Protection).
  • Autentiserad åsidosättningsregel
    Med hjälp av den autentiserade åsidosättningsregeln kan vissa datorer vara anslutna om trafiken skyddas av IPsec-funktionen, oberoende av andra regler för inkommande trafik. Angivna datorer kan åsidosätta regler för inkommande trafik som blockerar trafik. Du kan till exempel aktivera fjärradministration av brandväggen från vissa datorer endast genom att skapa autentiserade åsidosättningsregler för datorerna, eller så kan du aktivera stöd för fjärrhjälp genom att ringa upp supportavdelningen.
  • Blockera-regel
    Blockera-regeln blockerar uttryckligen en viss typ av inkommande eller utgående trafik.
  • Tillåt-regel
    Tillåt-regeln tillåter uttryckligen vissa typer av inkommande eller utgående trafik.
  • Standardregel
    Standardregeln är konfigurerad på att sådant sätt att standardregeln för inkommande trafik blockerar anslutningar och standardregeln för utgående trafik tillåter anslutningar.

Säkerhetsregler för IPsec-baserade anslutningar i Windows Vista och Windows Server 2008

Följande två typer av IPsec-regler kan användas på en dator med Windows Vista eller Windows Server 2008:
  • IPsec-regler
    Tidigare IPsec-regler distribueras för närvarande i Windows 2000 och Windows Server 2003 och hanteras av Policyagent-tjänsten. Dessa IPSec-regler är IKE-regler (Internet Key Exchange) och stöder endast datorbaserad Kerberos-autentisering, x.509-certifikat eller autentisering med i förväg delad nyckel. IPSec-reglerna konfigureras i MMC-snapin-modulen "///IPsec Policy Management//IPSec Policy Management///". IKE-baserade Policyagent-regler tillämpas på samma sätt som i Windows 2000 och Windows Server 2003. Även om flera principer kan tillämpas på en viss dator fungerar bara den sista princip som tillämpas, allt enligt metoden "sista skrivare vinner". Dessutom kan IKE-principinställningar inte slås samman.
  • Anslutningssäkerhetsregler
    Anslutningssäkerhetsregler stöds bara i Windows Vista och Windows Server 2008, genom ett tillägg till IKE som kallas AuthIP (Authenticated IP) och som lägger till stöd för följande autentiseringsmekanismer:
    • Kerberos- eller NTLMv2-referenser för interaktiva användare
    • x.509-användarcertifikat
    • Dator-SSL-certifikat (Secure Sockets Layer)
    • NAP-hälsocertifikat
    • Anonym autentisering (valfri autentisering)
    Du kan konfigurera säkerhetsregler för snapin-modulen "Windows-brandväggen och avancerad säkerhet" med hjälp av följande verktyg:
    • Domänbaserad grupprincip
    • Snapin-modulen "Windows-brandväggen med avancerad säkerhet"

      Obs! Snapin-modulen "Windows-brandväggen med avancerad säkerhet" är standardplatsen för lagring av principer som du kan komma åt med kommandot wf.msc.
    • Den lokala snapin-modulen Grupprincip (Gpedit.msc)
    • Kommandot netsh advfirewall

      Obs! Kommandot netsh advfirewall pekar på samma arkiv som kommandot wf.msc.
    Som alla andra brandväggs- och grupprincipregler sammanförs anslutningssäkerhetsregler från alla tillämpliga grupprincipobjekt.

    Anslutningssäkerhetsprinciper kan konfigureras för skapande av IPsec-baserade principer som är kompatibla med klienter med IKE version 1, till exempel Microsoft Windows 2000, Windows XP och Windows Server 2003. Anslutningssäkerhetsprinciper kan även konfigureras för skapande av principer som bara stöder kommunikation mellan datorer med Windows Vista och Windows Server 2008.

    En administratör kan skapa en anslutningssäkerhetsprincip på följande sätt:
    • Administratören kan skapa en anslutningssäkerhetsprincip som bara stöder Kerberos-autentisering, x.509-användarcertifikat eller datorautentisering.

      Obs!
      • I det här fallet skapar Mpssvc-tjänsten automatiskt både AuthIP- och tidigare IKE-principer.
      • Om datorbaserad autentisering med i förväg delad nyckel anges skapas inte AuthIP-regler.
    • Administratören kan skapa en anslutningssäkerhetsprincip som kräver användarautentisering.

      Obs! I det här fallet skapas bara en AuthIP-princip för förhandlingar från Windows Vista till Windows Vista och från Windows Vista till Windows Server 2008. Detta beror på att IKE inte stöder användarautentisering.
    • Administratören kan skapa en anslutningssäkerhetsprincip där alternativ för användarautentisering läggs till i principen. Dessutom kan administratören välja alternativet Den andra autentiseringen är valfri.

      Obs! Mpssvc-tjänsten skapar både AuthIP- och tidigare IKE-principer. Valfri användarautentisering ingår i AuthIP-uppsättningen, men inte i den tidigare IKE-principen.
    • Administratören kan skapa en anslutningssäkerhetsprincip som kräver NTLM-autentisering.

      Obs! I det här fallet skapas bara en AuthIP-princip för förhandlingar från Windows Vista till Windows Vista och från Windows Vista till Windows Server 2008, eftersom IKE inte stöder NTLM-autentisering.
    • Administratören väljer "Diffie-Hellman"-algoritmen i den globala "///Main Mode Key Exchange///"-algoritmen som är inkompatibel med tidigare klienter, till exempel "Elliptic Curve Diffie-Hellman P-256"-algoritmen.

      Obs!
      • I det här fallet stöds inte "Diffie-Hellman"-algoritmen av klienter med den tidigare IKE version 1. Dessutom misslyckas IKE-förhandlingarna.
      • Vi rekommenderar att du använder "Diffie-Hellman Group 2"-inställningen eftersom denna stöds av flest klienter.
      • "Diffie-Hellman Group 14"-inställningen stöds i Windows XP Service Pack 2 (SP2) och Windows Server 2003.
      • I det här fallet är den viktigaste funktionsförändringen att "Diffie-Hellman"-algoritmen vanligen inte används för AuthIP-baserade förhandlingar.
      • När Mpssvc-tjänsten skapar AuthIP-regler anger Mpssvc-tjänsten att endast "Diffie-Hellman"-algoritmen får användas vid förhandlingar från Windows Vista till Windows Vista eller från Windows Vista till Windows Server 2008, om autentiseringsmetoden för huvudläge är inställd på Anonym.
      • När Mpssvc-tjänsten skapar IKE-regler används alltid den "Diffie-Hellman"-algoritm som är specifik för den globala ///Main Mode Key Exchange///-inställningen.
      • En SSPI-delad (Security Support Provider Interface) hemlighet används för att generera nyckelmaterialet i AuthIP-utbyten där utbytet för huvudlägets nyckel inte har ett Diffie-Hellman-utbyte.

    Certifikat som används av AuthIP

    • I AuthIP används SSL-certifikat med konfigurerade inställningar för klient- eller serverautentisering. SSL-certifikat kan vara klientautentiseringscertifikat eller både klient- och serverautentiseringscertifikat.
    • Om du konstruerar principer där certifikatautentisering för Windows Vista används måste du ha certifikat som fungerar med AuthIP. Detta innebär att de certifikat som du distribuerar till klienterna måste vara SSL-certifikat med klient- eller serverautentisering. Autentiseringen beror på om du vill ha envägsautentisering eller ömsesidig autentisering. SSL-certifikaten skiljer sig från de digitala standardcertifikat som används i Windows XP eller Windows Server 2003.
    • SSL-certifikat används som standard i NAP-implementeringar.

Grupprincipbearbetning för snapin-modulen "Windows-brandväggen med avancerad säkerhet"

Anslutningssäkerhetsregler sammanställs från alla tillämpliga grupprincipobjekt. Det finns emellertid en tillhörande grupp inställningar för IPsec och AuthIP som används för hantering av icke-additiva IPsec-standardfunktioner. I denna grupp med inställningar ingår globala autentiseringsuppsättningar, snabblägesinställningar, inställningar för nyckelutbyte och ICMP-undantag (Internet Control Message Protocol).

Standarduppsättningen av anslutningssäkerhetsalternativ eller IPsec-alternativ som används från grupprincipobjektet med högst prioritet används på en klient med Windows Vista. I Windows Vista-klientens alla anslutningssäkerhetsregler med standardautentiseringsuppsättningar eller standardkrypteringsuppsättningar används exempelvis uppsättningarna från grupprincipobjektet med högst prioritet. Om du vill ha mer flexibilitet kan du använda följande alternativ:
  • För autentiseringsuppsättningar konfigurerar du autentisering med hjälp av anslutningssäkerhetsregeln i stället för standardautentisering.
  • För kryptograferingsuppsättningar för snabbläge använder du kommandot netsh för att konfigurera kryptograferingsinställningar för snabbläge för varje enskild anslutningssäkerhetsregel efter behov.
  • För kryptograferingsuppsättningar för snabbläge stöds endast en kryptograferingsuppsättning för snabbläge för varje princip. När flera kryptograferingsuppsättningar för snabbläge tas emot, används kryptograferingsuppsättningen för snabbläge från grupprincipobjektet med högst prioritet på alla anslutningssäkerhetsregler i Grupprincip. Du kan emellertid inte anpassa reglerna så att olika kryptograferingsuppsättningar för huvudläge används.
  • När du konfigurerar grupprinciper för anslutningssäkerhetsprinciper och brandväggsprinciper kan du inaktivera användning av lokala brandväggsregler och anslutningssäkerhetsregler. Därför kan endast grupprincipinställningar som är länkade till grupprincipobjekt för webbplatser, domäner eller organisationsenheter styra Windows-brandväggens funktion.
Faktabladet "Introduction to Windows Firewall with Advanced Security" för Windows Vista kan hämtas från följande Microsoft-webbplats:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Mer information om AuthIP i Windows Vista finns på följande Microsoft-webbplats:
http://technet.microsoft.com/en-us/library/bb878097.aspx
Mer information om den nya Windows-brandväggen i Windows Vista och Windows Server 2008 finns på följande Microsoft-webbplats:
http://www.microsoft.com/sverige/products/windows/xp/sp2/howto/wfw/default.aspx

Så här upprättar du en krypterad anslutning mellan Windows Vista och Windows XP eller mellan Windows Vista och Windows Server 2003

I Windows Server 2003 och Windows XP består IPsec-principkonfigurationen vanligen av en uppsättning regler som skyddar det mesta av trafiken i nätverket och en annan uppsättning regler för skyddade trafikundantag. En konfiguration kan innehålla server- och domänisolering. Undantag krävs för oskyddad kommunikation med nätverksinfrastrukturservrar som DHCP-servrar (Dynamic Host Configuration Protocol), DNS-servrar (Domain Name System) och domänkontrollanter. När en dator startar måste den kunna erhålla en IP-adress och kunna använda DNS för att hitta en domänkontrollant. Dessutom måste datorn kunna logga in på sin domän innan Kerberos-autentisering kan börja användas på datorn för att denna ska autentisera sig som en IPsec-peer-dator. Andra undantag krävs för kommunikation med nätverksnoder utan IPsec-funktion. I vissa fall finns det många undantag som gör det svårt att distribuera IPsec-skydd i ett företagsnätverk och underhålla företagsnätverket.

I Windows Server 2008 och Windows Vista ger IPsec en valfri möjlighet att förhandla IPsec-skydd. Låt oss anta att IPsec är aktiverat och att en IPsec-nod där Windows Server 2008 eller Windows Vista körs börjar kommunicera med en annan nätverksnod. I detta fall försöker IPsec-noden att kommunicera utan kryptering, eller "i klartext". Noden försöker förhandla skyddad kommunikation parallellt. Om den initierande IPsec-peer-datorn inte får något svar på det inledande förhandlingsförsöket fortsätter kommunikationen i klartext. Om den initierande IPsec-peer-datorn får ett svar på det inledande förhandlingsförsöket fortsätter kommunikationen i klartext tills förhandlingen har slutförts. När förhandlingen är klar får följande kommunikation ökat skydd. Den initierande IPsec-noden kan ta reda på om nätverksnoden som den kommunicerar med klarar IPsec. Sedan fungerar den initierande IPsec-noden i enlighet med detta. Denna funktion hos IPsec-noden beror på den valfria IPsec-funktionen. Dessutom beror IPsec-nodens funktion på den rekommenderade konfigurationen, som kräver skydd för inkommande initierad kommunikation och för utgående initierad kommunikation. Denna nya funktion förenklar IPsec-principkonfigurationen betydligt. Den initierande IPsec-noden behöver till exempel inte ha en uppsättning i förväg definierade IPsec-filter för att undanta en uppsättning värdar som inte kan skydda nätverkstrafik med hjälp av IPsec. Den initierande IPsec-noden försöker både med skyddad trafik och med oskyddad trafik parallellt. Om skyddad kommunikation inte är möjlig använder den initierande IPsec-noden oskyddad kommunikation.

Den nya förhandlingsfunktionen förbättrar även funktionen hos oskyddade anslutningar till värdar. En IPsec-nod där Windows Server 2003 eller Windows XP körs är konfigurerad att begära skyddad kommunikation men möjliggör oskyddad kommunikation. Detta kan kallas återgång till klartext. IPsec-noden skickar förhandlingsmeddelanden och väntar på ett svar. Den initierande IPsec-noden väntar upp till tre sekunder innan den återgår till klartext och försöker med oskyddad kommunikation. I Windows Server 2008 och Windows Vista dröjer det inte längre tre sekunder innan återgång till klartext sker, eftersom kommunikation i klartext redan pågår när den initierande IPsec-noden väntar på ett svar.

Mer information om server- och domänisolering finns på följande Microsoft-webbplats:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Nyckelpunkter vid upprättande av en krypterad anslutning mellan Windows Vista och Windows XP eller mellan Windows Vista och Windows Server 2003

  • Om du bara aktiverar en krypterad anslutning i Windows Vista förhandlar Windows Vista bara på IPsec-nivå med alla övriga klienter, även sådana med Windows XP.
  • Windows XP och Windows Server 2003 förhandlar som standard inte på IPsec-nivå. Därför måste vi tilldela en IPsec-regel i Windows XP och Windows Server 2003 för att upprätta en krypterad anslutning mellan Windows Vista och Windows XP eller mellan Windows Vista och Windows Server 2003.
  • Om alternativet Tillåt endast skyddade anslutningar är markerat förhandlar Windows Vista som standard med hjälp av krypteringsmetoderna AES-128 och 3DES. AES-128 stöds inte i Windows XP. 3DES stöds i Windows XP och Windows Server 2003.
  • Om IPsec är aktiverat i Windows XP eller Windows Server 2003 förhandlar IPsec som standard med hjälp av krypteringsmetoden 3DES.
Så här upprättar du en krypterad anslutning mellan en dator med Windows Vista och en dator med Windows XP med hjälp av snapin-modulen "Windows-brandväggen med avancerad säkerhet":
  1. Gör följande på en dator med Windows Vista: klicka på Start
    Dölj bildenVisa bilden
    Start-knappen
    , skriv brandvägg i rutan Påbörja sökning och klicka på Windows-brandväggen med avancerad säkerhet i listan Program.
  2. Klicka på Regler för inkommande trafik i konsolträdet.
  3. I listan med regler för inkommande trafik dubbelklickar du på Fjärrskrivbord (TCP-in) och klickar sedan på fliken Allmänt.
  4. I området Åtgärd gör du följande: klicka på Tillåt endast skyddade anslutningar, markera kryssrutan Kräv kryptering och klicka på OK.
  5. Klicka på Anslutningssäkerhetsregler i konsolträdet och sedan på Ny regelÅtgärder-menyn.
  6. Klicka på Isolering och sedan på Nästa.
  7. Klicka på Begär autentisering för inkommande och utgående anslutningar och sedan på Nästa.
  8. Klicka på Standard och sedan på Nästa.
  9. Markera följande kryssrutor och klicka på Nästa:
    • Domän
    • Privat
    • Publik
  10. Skriv regelns namn i rutan Namn och en beskrivning i rutan Beskrivning (valfritt) om du vill det och klicka på Slutför.
  11. Klicka på AvslutaArkiv-menyn.
  12. Gör följande på en dator med Windows XP: klicka på Start, Kör, skriv secpol.msc och klicka på OK.
  13. Högerklicka på IP-säkerhetsprinciper - Lokal dator och klicka sedan på Skapa IP-säkerhetsprincip.
  14. Klicka på Nästa, och följ sedan instruktionerna i guiden IP-säkerhetsprincip för att skapa IP-säkerhetsprincipen. Använd standardinställningarna för att skapa denna princip.
  15. Högerklicka på Ny IP-säkerhetsprincip och klicka på Tilldela.
  16. Klicka på AvslutaArkiv-menyn.

Egenskaper

Artikel-id: 942957 - Senaste granskning: den 25 april 2008 - Revision: 1.3
Informationen i denna artikel gäller:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Nyckelord: 
kbexpertiseadvanced kbhowto kbinfo KB942957

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com