กฎความปลอดภัย สำหรับ Windows Firewall และเชื่อมใช้ IPsec ต่อ ใน Windows Vista และ Windows Server 2008

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 942957 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ข้อมูลรุ่น Beta
บทความนี้กล่าวถึงผลิตภัณฑ์ Microsoft ในรุ่นเบต้า ข้อมูลในบทความนี้มีให้ตามสภาพ และอาจมีการเปลี่ยนแปลงโดยไม่ต้องแจ้งให้ทราบ

ไม่มีการสนับสนุนผลิตภัณฑ์อย่างเป็นทางการจาก Microsoft สำหรับผลิตภัณฑ์รุ่นเบต้านี้ สำหรับข้อมูลเกี่ยวกับการรับการสนับสนุนสำหรับรุ่นเบต้า โปรดดูเอกสารที่รวมมากับแฟ้มผลิตภัณฑ์รุ่นเบต้า หรือตรวจสอบตำแหน่งทางเว็บที่คุณดาวน์โหลดผลิตภัณฑ์
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

บทความนี้อธิบายต่อไปนี้:
  • กฎความปลอดภัยสำหรับ Windows Firewall ใน Windows Vista
  • กฎความปลอดภัยสำหรับการเชื่อมโดย IPsec ต่อ ใน Windows Vista และ Windows Server 2008
  • วิธีการสร้างการเชื่อมต่อเข้ารหัสลับ ระหว่าง Windows Vista และ Windows XP หรือ ระหว่าง Windows Vista และ Windows Server 2003

ข้อมูลเพิ่มเติม

Windows Vista กฎการรักษาความปลอดภัยของ Windows Firewall ใหม่และกฎการรักษาความปลอดภัยที่ใช้ IPsec การเชื่อมต่อใหม่ได้อย่างสมบูรณ์รวมลงใน'นโยบายกลุ่ม' ดังนั้น การตั้งค่าการสนับสนุนผสาน และพวกเขาการมอบหมายต่อลักษณะการทำงานในลักษณะเดียวกันเป็นการตั้งค่า Group Policy อื่น ๆ

กฎความปลอดภัยสำหรับ Windows Firewall ใน Windows Vista

สแน็ปอินตัวควบคุมในการจัดการ Microsoft "Windows Firewall โดยขั้นสูง Security" (MMC) สนับสนุนชนิดต่อไปนี้ของกฎความปลอดภัย

หมายเหตุ:รายการของกฎความปลอดภัยของ Windows Firewall และรายชื่อของกฎความปลอดภัยการเชื่อมต่อจะผสานจากการตั้งค่า Group Policy ที่เกี่ยวข้องทั้งหมด จากนั้น กฎความปลอดภัยเหล่านี้ถูกประมวลผลในลำดับต่อไปนี้ ใช้ลำดับต่อไปนี้คือเสมอกับ คำนึงถึงต้นทางของกฎความปลอดภัย
  • กฎ hardening บริการของ windows
    กฎ hardening บริการของ Windows จำกัดบริการจากการสร้างการเชื่อมต่อ ข้อจำกัดของบริการมีการกำหนดค่าในเช่นวิธีให้บริการของ Windows สามารถสื่อสารเท่านั้นในลักษณะเฉพาะ ตัวอย่างเช่น คุณสามารถจำกัดการรับส่งข้อมูลผ่านทางพอร์ตเฉพาะ อย่างไรก็ตาม จนกว่าคุณสร้างกฎของไฟร์วอลล์ ปริมาณการใช้งานไม่ได้รับอนุญาต
  • กฎความปลอดภัยการเชื่อมต่อ
    กฎความปลอดภัยการเชื่อมต่อกำหนดวิธี และเวลาคอมพิวเตอร์จะรับรองความถูกต้อง โดยใช้ลักษณะการทำงานในการ IPsec กฎความปลอดภัยการเชื่อมต่อถูกใช้ เพื่อสร้างการแยกเซิร์ฟเวอร์ และสร้างการแยกต่างหากของโดเมน นอกจากนี้ กฎความปลอดภัยการเชื่อมต่อถูกใช้เพื่อบังคับใช้นโยบาย Network Access Protection (NAP)
  • กฎการเลี่ยงผ่าน authenticated
    การ authenticated ข้ามให้กฎบางคอมพิวเตอร์เชื่อมต่อถ้าการรับส่งข้อมูลได้รับการป้องกัน โดยใช้คุณลักษณะของ IPsec คำนึงถึงการกฎขาเข้าอื่น ๆ คอมพิวเตอร์ที่ระบุสามารถข้ามการกฎขาเข้าที่บล็อกปริมาณการใช้งาน ตัวอย่างเช่น คุณสามารถเปิดใช้งานดูแลไฟร์วอลล์ระยะไกลจากคอมพิวเตอร์ที่แน่นอน โดยการสร้างกฎการเลี่ยงผ่าน authenticated สำหรับเครื่องคอมพิวเตอร์เท่านั้น หรือ คุณสามารถใช้การสนับสนุนสำหรับความช่วยเหลือระยะไกล โดยการเรียก Helpdesk
  • กฎของบล็อก
    กฎบล็อกต่างหากบล็อกชนิดของการรับส่งข้อมูลขาเข้าหรือชนิดของการรับส่งข้อมูลขาออก
  • อนุญาตให้กฎ
    กฎอนุญาตต่างหากให้บางอย่างตัวอย่างชนิดของการรับส่งข้อมูลขาเข้าหรือบางชนิดของการรับส่งข้อมูลขาออก
  • กฎการเริ่มต้น
    มีการกำหนดค่ากฎเริ่มต้นในเช่นลักษณะที่เป็นค่าเริ่มต้นกฎขาเข้าบล็อกการเชื่อมต่อ และเริ่มต้นกฎขาออกที่อนุญาตสำหรับการเชื่อมต่อ

กฎความปลอดภัยสำหรับการเชื่อมโดย IPsec ต่อ ใน Windows Vista และ Windows Server 2008

สองชนิดต่อไปนี้ของ IPsec กฎสามารถนำไปใช้ กับคอมพิวเตอร์ที่ใช้ Windows Vista หรือคอมพิวเตอร์ที่ใช้ Windows Server 2008:
  • กฎของ ipsec
    กฎของ IPsec ก่อนหน้าจะจัดวางอยู่ ใน Windows 2000 และ Windows Server 2003 กฎของ IPsec ก่อนหน้าจะถูกจัดการ โดยบริการ Policyagent กฎเหล่านี้ IPsec คือ กฎการแลกเปลี่ยนคีย์ทางอินเทอร์เน็ต (IKE) ที่สนับสนุนเฉพาะคอมพิวเตอร์โดยใช้การตรวจสอบ Kerberos ใบรับรอง x.509 หรือตรวจสอบคีย์ที่ preshared กฎของ IPsec เหล่านี้มีการกำหนดค่าในสแน็ปอิน MMC "จัดการนโยบาย IPsec" มีใช้กฎ Policyagent ตาม IKE ในลักษณะเดียวกันใน Windows 2000 และ Windows Server 2003 แม้ว่านโยบายหลายสามารถนำไปใช้กับคอมพิวเตอร์ที่มีการกำหนด เฉพาะสุดท้ายนโยบายที่ใช้ไม่สำเร็จ นี่คือตามวิธี "ตัวเขียนชนะล่าสุด" นอกจากนี้ การตั้งค่านโยบาย IKE ไม่สามารถผสาน
  • กฎความปลอดภัยการเชื่อมต่อ
    กฎความปลอดภัยการเชื่อมต่อเฉพาะสนับสนุน ใน Windows Vista และ Windows Server 2008 กฎความปลอดภัยการเชื่อมต่อได้รับการสนับสนุน โดยส่วนขยายการ IKE ที่เรียกว่าเว็บไซต์ IP ที่รับรองความถูกต้อง (AuthIP) AuthIP เพิ่มการสนับสนุนสำหรับกลไกการรับรองความถูกต้องต่อไปนี้:
    • ข้อมูลประจำตัวของ Kerberos ผู้ใช้แบบโต้ตอบหรือข้อมูลประจำตัวของผู้ใช้แบบโต้ตอบ NTLMv2
    • ใบรับรอง x.509 ผู้ใช้
    • ใบรับรอง Secure Sockets Layer (SSL) ของคอมพิวเตอร์
    • ใบรับรองสุขภาพ nap
    • การพิสูจน์ตัวจริงแบบไม่ระบุชื่อ (ไม่ใส่ก็ได้รับรองความถูกต้อง)
    คุณสามารถตั้งค่าคอนฟิกกฎความปลอดภัยสำหรับสแนปอิน "Windows Firewall และขั้นสูง Security" โดยใช้เครื่องมือต่อไปนี้:
    • นโยบายกลุ่มโดเมน
    • สแนปอิน "Windows Firewall โดยขั้นสูง Security"

      หมายเหตุ:สแนปอิน "Windows Firewall โดยขั้นสูง Security" อยู่ในสถานที่เก็บเริ่มต้นสำหรับนโยบายที่สามารถเข้าถึงได้ โดยใช้การwf.mscคำสั่ง
    • ภายในนโยบายกลุ่มสแน็ปอิน (Gpedit.msc)
    • กระบวนการnetsh advfirewallคำสั่ง

      หมายเหตุ:กระบวนการnetsh advfirewallคำสั่งชี้ไปเก็บที่เหมือนกันเป็นwf.mscคำสั่ง
    เช่นเดียวกับไฟร์วอลล์และอื่น ๆ กฎ Group Policy กฎความปลอดภัยการเชื่อมต่อจะผสานจากทั้งหมดสามารถใช้วัตถุนโยบายกลุ่ม

    คุณสามารถกำหนดค่านโยบายความปลอดภัยการเชื่อมต่อเพื่อสร้างนโยบาย IPsec ตามที่เข้ากันได้กับไคล IKE รุ่นใช้ 1 เอ็นต์ เช่น Microsoft Windows 2000, Windows XP และ Windows Server 2003 Connection security policies can also be configured to create policies that support communications only between Windows Vista-based computers and Windows Server 2008-based computers.

    An administrator can create a connection security policy by using the following methods:
    • The administrator can create a connection security policy that supports only Kerberos authentication, user x.509 certificates, or computer authentication.

      หมายเหตุ
      • In this case, the Mpssvc service automatically creates both AuthIP and earlier IKE policies.
      • If computer-based preshared key authentication is specified, AuthIP rules are not created.
    • The administrator can create a connection security policy that requires user authentication.

      หมายเหตุ:In this case, only AuthIP policy is created for Windows Vista-to-Windows Vista negotiations and for Windows Vista-to-Windows Server 2008 negotiations. This is because IKE does not support user authentication.
    • The administrator can create a connection security policy in which user authentication options are added to the policy. Additionally, the administrator can also select theSecond Authentication is optionalตัวเลือก

      หมายเหตุ:The Mpssvc service creates both AuthIP policies and earlier IKE policies. Optional user authentication is included in the AuthIP set. Optional user authentication is not included in the earlier IKE policy.
    • The administrator can create a connection security policy that requires NTLM authentication.

      หมายเหตุ:In this case, only AuthIP policy is created for Windows Vista-to-Windows Vista negotiations and for Windows Vista-to-Windows Server 2008 negotiations because IKE does not support NTLM authentication.
    • The administrator selects the "Diffie-Hellman" algorithm in the global "Main Mode Key Exchange" algorithm that is incompatible with earlier clients, such as "Elliptic Curve Diffie-Hellman P-256" algorithm.

      หมายเหตุ
      • In this case, the "Diffie-Hellman" algorithm will not be supported by earlier IKE version 1 clients. Additionally, the IKE negotiations are unsuccessful.
      • We recommend that you use the "Diffie-Hellman Group 2" setting because this setting is supported across the broadest range of clients.
      • The "Diffie-Hellman Group 14" setting is supported in Windows XP Service Pack 2 (SP2) and in Windows Server 2003.
      • In this case, the key behavior change is that the "Diffie-Hellman" algorithm is generally not used for AuthIP-based negotiations.
      • When the Mpssvc service creates AuthIP rules, the Mpssvc service specifies that Windows Vista-to-Windows Vista negotiations or Windows Vista-to-Windows Server 2008 negotiations must only use the "Diffie-Hellman" algorithm if the main mode authentication method is set toไม่ระบุชื่อ.
      • When the Mpssvc service creates IKE rules, the Mpssvc service always uses the "Diffie-Hellman" algorithm that is specific to the globalMain Mode Key Exchangeการตั้งค่า
      • A Security Support Provider Interface (SSPI)-shared secret is used to generate the keying material in AuthIP exchanges in which the Main Mode Key exchange does not have a Diffie-Hellman exchange.

    Certificates that are used by AuthIP

    • AuthIP ใช้ใบรับรอง SSL ที่มีการตั้งค่าการรับรองความถูกต้องไคลเอนต์กำหนดค่าไว้ หรือที่มีการตั้งค่าการรับรองความถูกต้องเซิร์ฟเวอร์กำหนดค่า ใบรับรอง ssl สามารถมีใบรับรองการรับรองความถูกต้องของไคลเอ็นต์ หรือ ใบรับรอง SSL อาจเป็นใบรับรองการรับรองความถูกต้องของไคลเอ็นต์และเซิร์ฟเวอร์ใบรับรองการรับรองความถูกต้อง
    • ถ้าคุณสร้างนโยบายการใช้ใบรับรองการรับรองความถูกต้องสำหรับ Windows Vista คุณต้องมีใบรับรองที่ทำงานกับ AuthIP ซึ่งหมายความ ว่า ใบรับรองที่คุณปรับใช้ไปยังไคลเอนต์จำเป็นต้องเป็นใบรับรอง SSL ที่ใช้การรับรองความถูกต้องของไคลเอ็นต์หรือเซิร์ฟเวอร์การรับรองความถูกต้อง การรับรองความถูกต้องขึ้นอยู่กับว่าคุณต้องการรับรองความถูกต้องเดียว(one-way)หรือ mutual การรับรองความถูกต้อง ใบรับรอง SSL ที่แตกต่างจากใบรับรองแบบดิจิทัลมาตรฐานที่ใช้ ใน Windows XP หรือ Windows Server 2003
    • โดยค่าเริ่มต้น ใบรับรอง SSL จะถูกใช้ โดย NAP implementations

นโยบายกลุ่มกำลังประมวลผลสำหรับสแนปอิน "Windows Firewall โดยขั้นสูง Security"

กฎความปลอดภัยการเชื่อมต่อจะผสานจากทั้งหมดสามารถใช้วัตถุนโยบายกลุ่ม อย่างไรก็ตาม คือกลุ่มของการตั้งค่า สำหรับ IPsec และ AuthIP ที่จัดการการเริ่มต้น การทำงานของ IPsec ไม่ additive ที่เกี่ยวข้อง กลุ่มนี้การตั้งค่ารวมชุดการรับรองความถูกต้องสากล โหมดรวดเร็วตั้งค่า การตั้งค่าการแลกเปลี่ยนคีย์ และ exemptions โพรโทคอลข้อความตัวควบคุมของอินเทอร์เน็ต (ICMP)

การตั้งค่าเริ่มต้นของตัวเลือกความปลอดภัยการเชื่อมต่อหรือตัวเลือกของ IPsec ที่ประยุกต์ใช้จากการสูงสุดก่อนหน้า Group Policy object (GPO) จะสำเร็จในไคลเอนต์ที่ใช้ Windows Vista ตัวอย่างเช่น เชื่อมต่อความปลอดภัยกฎทั้งหมดในไคลเอนต์ที่ใช้ Windows Vista ที่ใช้เริ่มต้นชุดการรับรองความถูกต้องหรือการตั้งค่าการเข้ารหัสลับจะใช้การตั้งค่าจากน้ำหนักสูงสุดวัตถุนโยบายกลุ่ม ถ้าคุณต้องการเพิ่มความยืดหยุ่นได้ คุณสามารถใช้ตัวเลือกต่อไปนี้:
  • สำหรับชุดการรับรองความถูกต้อง กำหนดค่าการรับรองความถูกต้อง โดยใช้กฎความปลอดภัยการเชื่อมต่อแทนโดยใช้การรับรองความถูกต้องเป็นค่าเริ่มต้น
  • สำหรับเซ็ตเข้ารหัสลับของโหมดรวดเร็ว ใช้netshคำสั่งเพื่อกำหนดค่าเข้ารหัสลับของโหมดรวดเร็วสำหรับแต่ละกฎความปลอดภัยการเชื่อมต่อตามที่จำเป็น
  • สำหรับเซ็ตเข้ารหัสลับของโหมดหลัก ชุดการเข้ารหัสลับของโหมดหลักเดียวเท่านั้นสนับสนุนสำหรับแต่ละกรมธรรม์ เมื่อโหมดหลักหลายที่ได้รับการตั้งค่าการเข้ารหัสลับ โหมดหลักเข้ารหัสลับมาจากน้ำหนักสูงสุด GPO จะใช้กับกฎความปลอดภัยการเชื่อมต่อทั้งหมดในนโยบายกลุ่ม อย่างไรก็ตาม คุณไม่สามารถกำหนดกฎการใช้ชุดการเข้ารหัสลับของโหมดหลักอื่น
  • เมื่อคุณกำหนดค่า gpo สำหรับนโยบายความปลอดภัยการเชื่อมต่อ และนโยบายไฟร์วอลล์ คุณสามารถปิดใช้งานการใช้กฎของไฟร์วอลล์ภายในและกฎความปลอดภัยการเชื่อมต่อ ดังนั้น ตั้งเฉพาะค่า Group Policy ที่เชื่อมโยงไปยังไซต์ gpo, gpo โดเมน หรือหน่วยองค์กร (OU) gpo สามารถควบคุมลักษณะการทำงานของไฟร์วอลล์ Windows
เมื่อต้องการดูเอกสารทางเทคนิคของ "รู้จักกับ Windows Firewall โดยขั้นสูง Security" สำหรับ Windows Vista แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet.microsoft.com/en-us/appcompat/aa905080.aspx
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ AuthIP ใน Windows Vista แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet.microsoft.com/en-us/library/bb878097.aspx
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับใหม่ Windows Firewall ใน Windows Vista และ Windows Server 2008 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet.microsoft.com/en-us/library/bb877967.aspx

วิธีการสร้างการเชื่อมต่อเข้ารหัสลับ ระหว่าง Windows Vista และ Windows XP หรือ ระหว่าง Windows Vista และ Windows Server 2003

ใน Windows Server 2003 และ ใน Windows XP ตั้งค่าคอนฟิกนโยบาย IPsec มักจะมีชุดของกฎการป้องกันมากที่สุดของการรับส่งข้อมูลบนเครือข่ายและชุดกฎสำหรับการรับส่งข้อมูลที่ได้รับการป้องกัน exemptions อื่น การกำหนดค่าอาจรวมถึงแยกเซิร์ฟเวอร์และแยกต่างหากของโดเมน exemptions จำเป็นสำหรับการสื่อสารกับเซิร์ฟเวอร์โครงสร้างพื้นฐานของเครือข่ายเช่นแบบไดนามิก Host Configuration Protocol (DHCP) เซิร์ฟเวอร์ เซิร์ฟเวอร์ของระบบชื่อโดเมน (DNS) และตัวควบคุมโดเมนที่ไม่มีการป้องกัน เมื่อคอมพิวเตอร์เริ่มทำงาน คอมพิวเตอร์ต้องสามารถขอรับ ip แอดเดรส และต้องสามารถเข้าใช้ DNS ในการค้นหาตัวควบคุมโดเมน นอกจากนี้ คอมพิวเตอร์ต้องสามารถเข้าสู่ระบบโดเมนนั้นก่อนที่คอมพิวเตอร์สามารถเริ่มการใช้การรับรองความถูกต้องของ Kerberos ในการรับรองความถูกต้องเองเป็นเพียร์ IPsec exemptions อื่นจำเป็นต่อการสื่อสารกับโหนเครือข่ายที่ไม่สามารถ IPsec ในบางกรณี ไม่มีข้อยกเว้นมากมายที่ทำให้ยากมากขึ้น เพื่อป้องกัน IPsec บนเครือข่ายขององค์กรในการปรับใช้ และ เพื่อรักษาเครือข่ายขององค์กรเมื่อเวลาผ่านไป

ใน Windows Server 2008 และ ใน Windows Vista, IPsec แสดงลักษณะการทำงานเป็นตัวเลือกการเจรจาป้องกัน IPsec สมมติว่า IPsec จะเปิดใช้งาน และการให้มีโหน IPsec ที่ใช้ Windows Server 2008 หรือ Windows Vista เริ่มการสื่อสารกับโหนเครือข่ายอื่น ในกรณีนี้ โหน IPsec จะพยายามสื่อสาร โดยไม่มีการเข้ารหัสลับ หรือ "การ ล้างกล่อง โหนจะพยายามเจรจาการสื่อสารที่ได้รับการป้องกันไปพร้อม ๆ กัน If the initiating IPsec peer does not receive a response to the initial negotiation try, the communication continues in the clear. If the initiating IPsec peer receives a response to the initial negotiation try, the communication in the clear continues until the negotiation is completed. When the negotiation is complete, successive communications receive increased protection. The initiating IPsec node can find out whether the network node that it communicates with can perform IPsec. The initiating IPsec node then behaves accordingly. This behavior of the IPsec node is because of the IPsec optional behavior. Additionally, this behavior is because of the recommended configuration which requires protection for incoming initiated communications and which requests protection for outgoing initiated communications. This new behavior greatly simplifies IPsec policy configuration. For example, the initiating IPsec node does not have to have a set of predefined IPsec filters to exempt a set of hosts that cannot protect network traffic by using IPsec. The initiating IPsec node tries both protected traffic and unprotected traffic in parallel. If protected communication is not possible, the initiating IPsec node uses unprotected communication.

The new negotiation behavior also improves the performance of unprotected connections that are made to hosts. An IPsec node that is running Windows Server 2003 or Windows XP is configured to request protected communications, but enables unprotected communications. This IPsec node behavior is known as fallback to clear. The IPsec node sends negotiation messages and waits for a response. The initiating IPsec node waits up to three seconds before falling back to clear and trying unprotected communications. In Windows Server 2008 and in Windows Vista, there is no longer a three second delay when falling back to clear because communications in the clear are already in progress when the initiating IPsec node is waiting for a response.

For more information about server isolation and about domain isolation, visit the following Microsoft Web site:
http://technet.microsoft.com/en-us/network/bb545651.aspx

Key points in establishing an encrypted connection between Windows Vista and Windows XP or between Windows Vista and Windows Server 2003

  • If you only enable an encrypted connection in Windows Vista, Windows Vista negotiates only at the IPsec level with all other clients. This includes Windows XP-based clients.
  • By default, Windows XP or Windows Server 2003 does not negotiate at the IPsec level. Therefore, we have to assign an IPsec rule in Windows XP or in Windows Server 2003 to establish an encrypted connection between Windows Vista and Windows XP or between Windows Vista and Windows Server 2003.
  • โดยค่าเริ่มต้น หากการAllow only secure connectionsoption is selected, Windows Vista negotiates by using the AES-128 encryption method and the 3DES encryption method. The AES-128 encryption method is not supported in Windows XP. The 3DES encryption method is supported in Windows XP and in Windows Server 2003.
  • By default, if IPsec is enabled in Windows XP or in Windows Server 2003, IPsec will negotiate by using the 3DES encryption method.
To establish an encrypted connection between a Windows Vista-based computer and a Windows XP-based computer by using the "Windows Firewall with Advanced Security" snap-in, follow these steps:
  1. On the Windows Vista-based computer, clickเริ่มการทำงาน
    ยุบรูปภาพนี้ขยายรูปภาพนี้
    ปุ่ม'เริ่ม'
    ประเภท:firewallในการเริ่มการค้นหากล่อง แล้วคลิกWindows Firewall with Advanced Securityในการโปรแกรมรายการ
  2. ในคอนโซลทรี คลิกInbound Rules.
  3. In the list of Inbound Rules, double-clickRemote Desktop (TCP-In)แล้ว คลิกการทั่วไปแท็บ
  4. ในการการทำงาน (Action)พื้นที่ คลิกAllow only secure connectionsคลิกเพื่อเลือกนั้นRequire encryptionกล่องกาเครื่องหมาย และจากนั้น คลิกตกลง.
  5. ในคอนโซลทรี คลิกConnection Security Rulesแล้ว คลิกNew Ruleในการการทำงาน (Action)เมนู
  6. คลิกแยกต่างหากแล้ว คลิกถัดไป.
  7. คลิกRequire authentication for inbound and outbound connectionsแล้ว คลิกถัดไป.
  8. คลิกค่าเริ่มต้นแล้ว คลิกถัดไป.
  9. คลิกเพื่อเลือกกล่องกาเครื่องหมายต่อไปนี้ และคลิกถัดไป:
    • โดเมน
    • ส่วนตัว
    • สาธารณะ
  10. พิมพ์ชื่อของกฎในนั้นชื่อ:กล่อง พิมพ์คำอธิบายของกฎในนั้นคำอธิบาย (ใส่หรือไม่ใส่ก็ได้):กล่องถ้าคุณต้อง และคลิกเสร็จสิ้น.
  11. ในการแฟ้ม:เมนู คลิกexit.
  12. บนคอมพิวเตอร์ที่ใช้ Windows XP คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:secpol.mscแล้ว คลิกตกลง.
  13. คลิกขวาในคอนโซลทรีนโยบายการรักษาความปลอดภัยของ ip บนคอมพิวเตอร์เฉพาะที่แล้ว คลิกสร้างนโยบายการรักษาความปลอดภัยของ IP.
  14. คลิกถัดไปจากนั้น ทำตามคำแนะนำในตัวช่วยสร้างนโยบายการรักษาความปลอดภัย IP เพื่อสร้างนโยบายการรักษาความปลอดภัยของ IP ใช้การตั้งค่าเริ่มต้นการสร้างนโยบายนี้
  15. คลิกขวานโยบายการรักษาความปลอดภัยของ IP ใหม่แล้ว คลิกกำหนด.
  16. ในการแฟ้ม:เมนู คลิกexit.

คุณสมบัติ

หมายเลขบทความ (Article ID): 942957 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Keywords: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB942957 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:942957

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com