对于 Windows 防火墙和基于 IPsec 的连接在 Windows Vista 中和 Windows Server 2008 中的安全规则

文章翻译 文章翻译
文章编号: 942957 - 查看本文应用于的产品
测试版信息
本文讨论了 Microsoft 产品的试用版。在本文中提供信息,作为-是,可能会有所更改,恕不另行通知。

可从 Microsoft 此测试版产品的正式的产品支持。有关如何获取对 beta 版本的支持的请参见测试版的产品文件附带的文档,或到您下载该版本的 Web 位置查看。
展开全部 | 关闭全部

本文内容

简介

本文介绍以下内容:
  • 在 Windows Vista 中的 Windows 防火墙的安全性规则
  • 对于基于 IPsec 的连接在 Windows Vista 中和 Windows Server 2008 中的安全规则
  • 如何建立 Windows Vista 和 Windows XP 或 Windows Vista 和 Windows Server 2003 之间的加密的连接

更多信息

在 Windows Vista 中新的 Windows 防火墙安全规则和 $ 新的基于 IPsec 的连接安全规则完全集成到组策略。因此,支持设置合并,并且它们将行为委托与其他组策略设置相同的方式。

在 Windows Vista 中的 Windows 防火墙的安全性规则

"Windows 防火墙具有高级安全性"Microsoft 管理控制 (MMC) 管理单元支持下列类型的安全规则。

注意从所有适用的组策略设置合并的 Windows 防火墙安全规则的列表和连接安全规则的列表。然后,按下列顺序处理这些安全规则。下面的顺序始终被实施,而不考虑的源的安全规则。
  • Windows 服务强化规则
    Windows 服务强化规则限制服务建立连接。配置服务限制的 Windows 服务只能以特定方式进行通信方式。例如对于您可以限制通过特定端口的通信。然而,在您创建防火墙规则之前, 不允许通信。
  • 连接安全规则
    连接安全规则定义何时以及如何通过使用 IPsec 功能的计算机进行身份验证。建立服务器隔离并建立域隔离使用连接安全规则。此外,连接安全规则用于强制实施网络访问保护 (NAP) 策略。
  • 验证跳过规则
    在经过身份验证跳过规则允许特定计算机进行连接,如果通过使用 IPsec 功能的其他传入规则而不考虑受保护通信。指定的计算机可以绕过传入阻止通信的规则。例如对于您可以启用远程防火墙管理从特定计算机只能由创建为计算机的经过身份验证的跳过规则。 也可以通过调用帮助台来启用远程协助的支持。
  • 阻止规则
    阻止规则明确阻止特定类型的传入通信或特定类型的传出通信。
  • 允许规则
    允许规则明确允许对于某些类型的传入通信或某些类型的传出通信。
  • 默认规则
    这样传入的默认规则阻止连接,和传出的默认规则允许为连接配置默认规则。

对于基于 IPsec 的连接在 Windows Vista 中和 Windows Server 2008 中的安全规则

以下两种类型的 IPsec 规则可应用到一台基于 Windows Vista 的计算机或一台基于 Windows Server 2008 的计算机:
  • IPsec 规则
    在 Windows 2000 和 Windows Server 2003 中,当前部署更早版本的 IPsec 规则。更早版本的 IPsec 规则由 Policyagent 服务管理。这些 IPsec 规则是 Internet 密钥交换 (IKE) 规则的支持仅基于计算机的 Kerberos 身份验证、 x.509 证书或预共享密钥身份验证。在 IPsec 策略管理 MMC 管理单元中配置这些 IPsec 规则。 IKE 基于 Policyagent 规则以相同的方式与在 Windows 2000 和 Windows Server 2003 中。尽管可以将多个策略应用于一个给定的计算机,只在最后一次应用策略是成功的。这根据"最后一编写器入选"方法。此外,IKE 策略设置不能合并。
  • 连接安全规则
    在 Windows Vista 中和 Windows Server 2008 中,才支持连接安全规则。连接安全规则由称为验证 IP (AuthIP) 的 IKE 扩展支持。AuthIP 增加了对下列身份验证机制的支持:
    • 交互式用户 Kerberos 凭据或交互用户 NTLMv2 凭据
    • 用户 x.509 证书
    • 计算机安全套接字层 (SSL) 证书
    • NAP 运行状况证书
    • 匿名身份验证 (可选的身份验证)
    您可以配置 Windows 防火墙和高级安全"管理单元的安全规则通过使用以下工具:
    • 基于域的组策略
    • "Windows 防火墙具有高级安全性"的管理单元

      注意"Windows 防火墙具有高级安全性"的管理单元是可以通过使用 wf.msc 命令进行访问的策略的默认存储位置。
    • 本地组策略管理单元 (Gpedit.msc)
    • netsh advfirewall 命令

      注意netsh advfirewall 命令指向作为 wf.msc 命令相同的存储区。
    像其他的防火墙和组策略规则,连接安全规则合并从所有适用的组策略对象。

    若要创建基于 IPsec 的策略与 IKE 版本基于 1 的客户,请诸如 Microsoft Windows 2000、 Windows XP 和 Windows Server 2003 兼容的可以配置连接的安全策略。创建支持只能在基于 Windows Vista 的计算机和基于 Windows Server 2008 的计算机之间的通信的策略,也可以配置连接的安全策略。

    管理员可以通过使用以下方法来创建连接安全策略:
    • 管理员可以创建一个连接的安全策略,以支持仅 Kerberos 身份验证、 用户的 x.509 证书或计算机身份验证。

      备注
      • 在这种情况下 Mpssvc 服务会自动创建 AuthIP 和更早版本的 IKE 策略。
      • 如果指定基于计算机的预共享密钥身份验证,则不会创建 AuthIP 规则。
    • 管理员可以创建一个连接的安全策略,以要求用户身份验证。

      注意在这种情况下仅 AuthIP 策略被创建的 Windows Vista 到 Windows Vista 协商和 Windows Vista 到 Windows Server 2008 协商。这是因为 IKE 不支持用户身份验证。
    • 管理员可以创建用户身份验证选项添加到策略中的连接的安全策略。此外,管理员还可以选择 是可选的第二身份验证 选项。

      注意Mpssvc 服务创建 AuthIP 策略和更早版本的 IKE 策略。可选的用户身份验证是包括在 AuthIP 集中。在早期的 IKE 策略中未包含可选的用户身份验证。
    • 管理员可以创建连接安全策略要求 NTLM 身份验证的。

      注意在这种情况下仅 AuthIP 策略是为 Windows Vista 到 Windows Vista 协商和创建 Windows Vista 到 Windows Server 2008 协商由于 IKE 不支持 NTLM 身份验证。
    • 管理员全局与早期版本与如"椭圆曲线 diffie-hellman P-256"算法的客户端不兼容的主模式密钥交换算法中选择"diffie-hellman"算法。

      备注
      • 在这种情况下将不支持"diffie-hellman"算法,由早期版本的 IKE 版本 1 客户端。此外,IKE 协商会成功。
      • 我们建议您使用 diffie-hellman 组 2 设置,因为此设置跨广泛的客户端的支持。
      • 在 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 中支持 diffie-hellman 组 14 设置。
      • 在这种情况下此键行为更改为通常不使用"diffie-hellman"算法是基于 AuthIP 的协商。
      • Mpssvc 服务在创建 AuthIP 规则时 Mpssvc 服务指定 Windows Vista 到 Windows Vista 协商或 Windows Vista 到 Windows Server 2008 协商必须只使用"diffie-hellman"算法是否主模式身份验证方法设置为 匿名
      • 当 Mpssvc 服务创建 IKE 规则时,Mpssvc 服务始终使用特定于全局的 主模式密钥交换 设置"diffie-hellman"算法。
      • 安全支持提供程序接口 SSPI 共享机密用于生成中的主模式密钥交换没有 diffie-hellman 交换 AuthIP 交换的密钥材料。

    AuthIP 使用的证书

    • AuthIP 使用 SSL 证书的已配置的客户端身份验证设置,或具有配置的服务器身份验证设置。 SSL 证书可以是客户端身份验证证书。或 SSL 证书可以是客户端身份验证证书和服务器身份验证证书。
    • 如果构建策略,以使用证书身份验证的 Windows Vista,您必须具有与 AuthIP 一起使用的证书。 这意味着,您将部署到客户端的证书必须是使用客户端身份验证或服务器身份验证的 SSL 证书。身份验证取决于所需的单向身份验证或相互身份验证。 SSL 证书与标准的数字证书中 Windows XP 或 Windows Server 2003 中使用的不同。
    • 默认状态下,由 NAP 实现使用 SSL 证书。

组策略处理"Windows 防火墙具有高级安全性"的管理单元

连接安全规则合并从所有适用的组策略对象。 但是,没有相关的一组用于 IPsec 和 AuthIP 管理默认,非附加 IPsec 行为的设置。 此组的设置包括全局身份验证集、 快速模式设置、 密钥交换设置以及 Internet 控制消息协议 (ICMP) 免除项。

在基于 Windows Vista 的客户端上,默认的连接安全选项或从最高的优先级组策略对象 (GPO) 应用的 IPsec 选项集将会成功。 例如对于所有连接安全规则在基于 Windows Vista 的客户端上都使用默认身份验证集或 $ 加密设置,将都使用从最高优先级的 GPO 设置。 您是否更大的灵活性,您可以使用以下选项:
  • 对于身份验证集配置使用连接安全规则,而不是使用默认身份验证的身份验证。
  • 为快速模式加密的集,请使用以根据需要配置为每个连接安全规则的快速模式加密设置的 netsh 命令。
  • 对于主模式加密集,只能有一个主模式加密集支持的每个策略。 接收到加密的集的多个主模式、 加密主模式从最高优先级的 GPO 的设置时将应用于在组策略中的所有连接安全规则。 但是,不能自定义要使用不同的主模式加密集规则。
  • 用于连接的安全策略和防火墙策略配置 gpo 时, 您可以禁止使用本地防火墙规则和连接安全规则。因此,仅链接到站点 gpo、 域 gpo 或组织单位 (OU) gpo 的组策略设置可以控制 Windows 防火墙的行为。
若要查看"简介到 Windows 防火墙具有高级安全性"空白纸张的 Windows Vista,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/appcompat/aa905080.aspx
在 Windows Vista 中 AuthIP 有关的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/bb878097.aspx
有关新的 Windows 防火墙在 Windows Vista 中和 Windows Server 2008 中的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/bb877967.aspx

如何建立 Windows Vista 和 Windows XP 或 Windows Vista 和 Windows Server 2003 之间的加密的连接

在 Windows Server 2003 中和在 Windows XP 中,IPsec 策略配置通常包含一套规则,以保护在网络上通信的大多数和 $ 另一组用于受保护的通信免除项的规则。一个配置可能包括服务器隔离和域隔离。免除项所需的与网络基础结构服务器 (例如动态主机配置协议 (DHCP) 服务器、 域名系统 (DNS) 服务器和域控制器不受保护的通信。将启动计算机时计算机必须能够获取 IP 地址,并且必须能够使用 DNS 来查找域控制器。此外,计算机必须能够登录到其域才能在计算机使用 Kerberos 身份验证来自行进行身份验证作为 IPsec 对等端就可以开始。其他免除项才能与不支持 IPsec 的网络节点进行通信。在某些种情况下有很多例外情况,使其部署在企业网络上的 IPsec 保护和维护企业网络,随着时间的推移变得更加困难。

Windows Server 2008 中和在 Windows Vista 中,IPsec 提供了一个协商 IPsec 保护的可选行为。假定启用了 IPsec,且正在运行 Windows Server 2008 或 Windows Vista 的 IPsec 节点启动与另一个网络节点的通信。在这种情况下将尝试进行通信不加密,或"以明文"IPsec 节点。该节点会尝试协商受保护的通信以并行方式。如果发起的 IPsec 对等方未接收到最初协商尝试的响应,通信将继续以明文。如果发起的 IPsec 对等方接收到最初协商尝试的响应,完成协商之前,将继续以明文通信。完成在协商时连续通信收到增强的保护。 发起的 IPsec 节点可以找出它与相互通信的网络节点是否可以执行 IPsec。然后相应地行为发起的 IPsec 节点。IPsec 节点的此行为是因为 IPsec 可选行为。此外,此行为是因为它要求对传入启动通信的保护以及该请求对传出启动的通信的保护建议的配置。这种新行为极大地简化了 IPsec 策略配置。例如对于发起的 IPsec 节点没有要有一组预定义 IPsec 筛选器若要使一组不能通过使用 IPsec 保护网络通信的主机。发起的 IPsec 节点会尝试受保护的通信和未受保护的通信以并行方式。如果无法实现受保护的通信发起的 IPsec 节点使用未受保护的通信。

新的协商行为还提高了对主机所做的未受保护连接的性能。正在运行 Windows Server 2003 或 Windows XP 的 IPsec 节点被配置为请求受保护的通信,但允许未受保护的通信。此 IPsec 节点行为称为回退到使用明文。IPsec 节点发送协商消息,并等待响应。发起的 IPsec 节点一直等待,最多三秒钟回退到使用明文并尝试不受保护的通信之前。Windows Server 2008 中和在 Windows Vista 中,不再三秒延迟时,会回退到使用明文因为以明文的通信已正在进行时发起的 IPsec 节点正在等待响应。

有关服务器隔离以及域隔离的详细信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/network/bb545651.aspx

要点在建立 Windows Vista 和 Windows XP 或 Windows Vista 和 Windows Server 2003 之间的加密的连接

  • 如果只启用在 Windows Vista 中的加密的连接,Windows Vista 协商仅在与所有其他客户端 IPsec 级别。这包括基于 Windows XP 的客户端。
  • 默认状态下,Windows XP 或 Windows Server 2003 不会不协商 IPsec 级别。因此,我们必须指派 IPsec 规则在 Windows XP 中或建立 Windows Vista 和 Windows XP 或 Windows Vista 和 Windows Server 2003 之间的加密的连接的 Windows Server 2003 中。
  • 默认状态下,如果选择了 允许仅安全连接 选项,则 Windows Vista 协商使用 AES 128 加密方法和 3DES 加密方法。在 Windows XP 中不支持 AES 128 加密方法。在 Windows XP 和 Windows Server 2003 中支持 3DES 加密方法。
  • 默认状态下,如果在 Windows XP 中或 Windows Server 2003 中, 启用 IPsec,则 IPsec 将通过使用 3DES 加密方法协商。
通过使用"Windows 防火墙具有高级安全性"管理单元中建立一台基于 Windows Vista 的计算机和基于 Windows XP 的计算机之间的加密的连接,请按照下列步骤操作:
  1. 基于 Windows Vista 的计算机上单击
    收起这个图片展开这个图片
    the Start button
    中的 开始、 在 开始搜索 框中键入 防火墙,然后单击 程序 列表中的 具有高级安全性的 Windows 防火墙
  2. 在控制台树中单击 入站规则
  3. 在入站规则的列表,双击 (TCP 中) 的远程桌面,然后单击 常规 选项卡。
  4. 操作 区域中单击 允许仅安全连接、 单击以选中 要求加密 复选框,然后单击 确定
  5. 在控制台树中单击 连接安全规则,然后在 操作 菜单上单击 新建规则
  6. 单击 隔离,然后单击 下一步
  7. 单击 要求对入站和出站连接进行身份验证,然后单击 下一步
  8. 单击 默认,然后单击 下一步
  9. 单击以选中下面的复选框,然后单击 下一步
    • 专用
    • 公用
  10. 名称 框中键入该规则的名称,在 说明 (可选) 框中键入规则的说明,如果您想,然后单击 完成
  11. 文件 菜单上单击 退出
  12. 在基于 Windows XP 的计算机上单击 开始、 单击 运行、 键入 secpol.msc,然后单击 确定
  13. 在控制台树中用鼠标右键单击 本地计算机上的 IP 安全策略,然后单击 创建 IP 安全策略
  14. 单击 下一步,然后按照说明在 IP 安全策略向导创建 IP 安全策略。若要创建此策略,请使用默认设置。
  15. 右键单击 新 IP 安全策略,,再单击 分配
  16. 文件 菜单上单击 退出

属性

文章编号: 942957 - 最后修改: 2007年10月26日 - 修订: 1.5
这篇文章中的信息适用于:
  • Windows Vista Ultimate
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Home Premium
  • Windows Vista Home Basic
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
关键字:?
kbmt kbexpertiseadvanced kbhowto kbinfo KB942957 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 942957
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com