Windows Vista 和 Windows Server 2008 中的 Windows 防火牆和 IPsec 連線適用的安全性規則

文章翻譯 文章翻譯
文章編號: 942957 - 檢視此文章適用的產品。
Beta 版資訊
本文說明 Beta 版的 Microsoft 產品。本文資訊係依「現況」提供,若有變更,恕不另行通知。

Microsoft 將不會為此 Beta 版產品提供正式版的產品支援。如需有關如何取得 Beta 版支援的資訊,請參閱 Beta 版產品檔案隨附的文件,或者造訪先前下載此版本的網路位置。
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您:
  • Windows Vista 中的 Windows 防火牆適用的安全性規則
  • Windows Vista 和 Windows Server 2008 中的 IPsec 連線適用的安全性規則
  • 如何在 Windows Vista 和 Windows XP 之間或者 Windows Vista 和 Windows Server 2003 之間建立加密的連線

其他相關資訊

在 Windows Vista 中,新的「Windows 防火牆」安全性規則和 IPsec 連線安全性規則已完整地整合至「群組原則」中。因此,支援設定合併,並且委派的方式與其他群組原則設定相同。

Windows Vista 中的 Windows 防火牆適用的安全性規則

[具有進階安全性的 Windows 防火牆] Microsoft Management Control (MMC) 嵌入式管理單元支援下列類型的安全性規則。

注意 「Windows 防火牆」安全性規則的清單與連線安全性規則的清單,是合併自所有適用的群組原則設定。接著,系統會依照下列順序處理這些安全性規則。無論安全性規則的來源為何,一律強制執行下列順序。
  • Windows Service Hardening 規則
    Windows Service Hardening 規則會限制服務建立連線。服務限制是設定為 Windows Service 服務只能採取特定方式進行通訊。例如,您可以透過特定連接埠來限制流量。然而,在您建立防火牆規則之前,系統不會允許流量。
  • 連線安全性規則
    連線安全性規則會使用 IPsec 功能來定義如何及何時驗證電腦。連線安全性規則可用來建立伺服器隔離和網域隔離。此外,連線安全性規則也可用來強制執行「網路存取保護」(NAP) 原則。
  • 驗證略過規則
    如果流量受到 IPsec 功能的保護,則無論其他輸入規則為何,驗證略過規則都可讓特定電腦連線。特定電腦可以略過封鎖流量的輸入規則。例如,只要針對特定電腦建立驗證略過規則,您就可以只啟用那些電腦的遠端防火牆系統管理。或者,您可以呼叫支援人員,以取得遠端協助支援。
  • 封鎖規則
    封鎖規則會明確地封鎖特定類型的輸入流量或特定類型的輸出流量。
  • 允許規則
    允許規則會明確地允許特定類型的輸入流量或特定類型的輸出流量。
  • 預設規則
    預設規則是設定為輸入預設規則封鎖連線,而輸出預設規則允許連線。

Windows Vista 和 Windows Server 2008 中的 IPsec 連線適用的安全性規則

下列兩種 IPsec 規則可以套用至 Windows Vista 電腦或 Windows Server 2008 電腦:
  • IPsec 規則
    以前版本的 IPsec 規則目前是部署在 Windows 2000 和 Windows Server 2003 中。這些以前版本的 IPsec 規則是由 Policyagent 服務所管理。這些 IPsec 規則屬於「網際網路金鑰交換」(IKE) 規則,只支援電腦的 Kerberos 驗證、x.509 憑證或預先共用金鑰驗證。這些 IPsec 規則是在 [IPsec Policy Management] MMC 嵌入式管理單元中設定,而 IKE 的 Policyagent 規則是採用與 Windows 2000 和 Windows Server 2003 相同的方式套用。雖然特定電腦可以套用多個原則,但只有最後一個套用的原則是成功的。這是根據「最後寫入者取得優先」方法而定。此外,IKE 原則設定無法合併。
  • 連線安全性規則
    連線安全性規則僅在 Windows Vista 和 Windows Server 2008 中受到支援。連線安全性規則是由名為「已驗證網際網路通訊協定」(AuthIP) 的 IKE 延伸所支援。AuthIP 會為下列驗證機制新增支援:
    • 互動式使用者 Kerberos 認證或互動式使用者 NTLMv2 認證
    • 使用者 x.509 憑證
    • 電腦安全通訊端層 (SSL) 憑證
    • NAP 健康情況憑證
    • 匿名驗證 (選用驗證)
    您可以使用下列工具,為 [具有進階安全性的 Windows 防火牆] 嵌入式管理單元設定安全性規則:
    • 網域群組原則
    • [具有進階安全性的 Windows 防火牆] 嵌入式管理單元

      注意 [具有進階安全性的 Windows 防火牆] 嵌入式管理單元是使用 wf.msc 命令即可存取的原則的預設存放位置。
    • 本機「群組原則」嵌入式管理單元 (Gpedit.msc)
    • netsh advfirewall 命令

      注意 netsh advfirewall 命令會指向與 wf.msc 命令相同的存放區。
    與其他防火牆和群組原則規則相同,連線安全性規則是合併自所有適用的群組原則物件。

    連線安全性規則可以設定來建立與第 1 版 IKE 用戶端 (例如 Microsoft Windows 2000、Windows XP 和 Windows Server 2003) 相容的 IPsec 原則。此外,連線安全性規則也可以設定來建立只在 Windows Vista 電腦和 Windows Server 2008 電腦之間支援通訊的原則。

    系統管理員可以使用下列方法來建立連線安全性規則:
    • 系統管理員可以建立僅支援 Kerberos 驗證、使用者 x.509 憑證或電腦驗證的連線安全性規則。

      注意事項
      • 在這個情況中,Mpssvc 服務會自動建立 AuthIP 和以前版本的 IKE 原則。
      • 如果已指定電腦的預先共用金鑰驗證,就不會建立 AuthIP 規則。
    • 系統管理員可以建立需要使用者驗證的連線安全性規則。

      注意 在這個情況中,只會建立 AuthIP 原則,用於 Windows Vista 對 Windows Vista 交涉和 Windows Vista 對 Windows Server 2008 交涉。這是因為 IKE 不支援使用者驗證。
    • 系統管理員可以建立已在其中加入使用者驗證選項的連線安全性規則。此外,系統管理員還可以選取 [可選擇是否使用次要驗證] 選項。

      注意 Mpssvc 服務會建立 AuthIP 原則和以前版本的 IKE 原則。選用的使用者驗證會隨附在 AuthIP 組中。而不會隨附在以前版本的 IKE 原則中。
    • 系統管理員可以建立需要 NTLM 驗證的連線安全性規則。

      注意 在這個情況中,只會建立 AuthIP 原則,用於 Windows Vista 對 Windows Vista 交涉和 Windows Vista 對 Windows Server 2008 交涉,因為 IKE 不支援 NTLM 驗證。
    • 系統管理員可以在與以前版本的用戶端 (例如「橢圓曲線 Diffie-Hellman P-256 演算法」) 不相容的全域「主要模式金鑰交換」演算法中選取 "Diffie-Hellman" 演算法。

      注意事項
      • 在這個情況中,"Diffie-Hellman" 演算法將不會受到以前版本的第 1 版 IKE 用戶端支援。此外,IKE 交涉也不成功。
      • 我們建議您使用「Diffie-Hellman 群組 2」設定,因為用戶端廣大的範圍內都支援這個設定。
      • Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 支援「Diffie-Hellman 群組 14」設定。
      • 在這個情況中,金鑰行為變更是指 "Diffie-Hellman" 演算法並未普遍用於 AuthIP 交涉。
      • 如果主要模式驗證方法設定為 [匿名],則當 Mpssvc 服務建立 AuthIP 規則時,Mpssvc 服務會指定 Windows Vista 對 Windows Vista 交涉或 Windows Vista 對 Windows Server 2008 交涉必須只使用 "Diffie-Hellman" 演算法。
      • 當 Mpssvc 服務建立 IKE 規則時,Mpssvc 服務一律使用全域 [主要模式金鑰交換] 設定特有的 "Diffie-Hellman" 演算法。
      • 「安全性支援提供者介面」(SSPI) 共用秘密可用來在主要模式金鑰交換沒有 Diffie-Hellman 交換的 AuthIP 交換中,產生金鑰產製原料。

    AuthIP 所使用的憑證

    • AuthIP 使用 SSL 憑證,這種憑證已經設定用戶端驗證設定,或者已經設定伺服器驗證設定。SSL 憑證可以是用戶端驗證設定。或者,SSL 憑證可以同時是用戶端驗證設定和伺服器驗證設定。
    • 如果您要建構原則,以便在 Windows Vista 使用憑證驗證,則必須擁有使用 AuthIP 的憑證。也就是說,您要部署至用戶端的憑證必須是使用用戶端驗證或伺服器驗證的 SSL 憑證。驗證需視您選擇單向驗證或相互驗證而定。SSL 憑證不同於 Windows XP 或 Windows Server 2003 中使用的標準數位憑證。
    • 根據預設,SSL 憑證是透過 NAP 實作來使用。

[具有進階安全性的 Windows 防火牆] 嵌入式管理單元的群組原則處理

連線安全性規則是合併自所有適用的群組原則設定。然而,IPsec 和 AuthIP 有個相關的設定群組,用來管理預設、非附加的 IPsec 行為。這個設定群組包含全域驗證組、「快速模式」設定、「金鑰交換」設定,以及「網際網路控制訊息通訊協定」(ICMP) 豁免。

對於從最高優先順序的群組原則物件 (GPO) 套用而來的連線安全性選項或 IPsec 選項的預設組,會在 Windows Vista 用戶端上成功執行。例如,Windows Vista 用戶端上所有使用預設驗證組或密碼編譯組的連線安全性規則,將會使用來自最高優先順序 GPO 的組合。如果您想要多點彈性,可以使用下列選項:
  • 對於驗證組,請使用連線安全性規則來設定驗證,而不要使用預設驗證。
  • 對於快速模式密碼編譯組,請使用 netsh 命令,視需要為每個連線安全性規則設定快速模式密碼編譯組設定。
  • 對於主要模式密碼編譯組,每個原則只支援一個主要模式密碼編譯組。當收到多個主要模式密碼編譯組時,來自最高優先順序 GPO 的主要模式密碼編譯組將會套用至「群組原則」中的所有連線安全性規則。不過,您無法自訂規則,以使用不同的主要模式密碼編譯組。
  • 當您設定連線安全性原則和防火牆原則的 GPO 時,可以停用本機防火牆規則和連線安全性規則。因此,只有連結至站台 GPO、網域 GPO 或組織單位 (OU) GPO 的群組原則設定可以控制「Windows 防火牆」行為。
如果要下載適用於 Windows Vista 的《簡介具有進階安全性的 Windows 防火牆》白皮書 (英文),請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
如需有關 Windows Vista AuthIP 的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/library/bb878069(en-us).aspx
如需有關 Windows Vista 和 Windows Server 2008 中全新「Windows 防火牆」的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/library/bb877967(en-us).aspx

如何在 Windows Vista 和 Windows XP 之間或者 Windows Vista 和 Windows Server 2003 之間建立加密的連線

在 Windows Server 2003 和 Windows XP 中,IPsec 原則設定通常包含一組用來保護網路上大部分流量的規則,以及另一組用於受保護的流量豁免的規則。設定可能包括伺服器隔離和網域隔離。對於與網路基礎結構伺服器 (例如動態主機設定通訊協定 (DHCP) 伺服器、網域名稱系統 (DNS) 伺服器和網域控制站) 的不受保護通訊,會需要用到豁免。當電腦啟動時,電腦必須能夠取得 IP 位址,並且必須可以使用 DNS 來尋找網域控制站。此外,電腦還必須能夠登入它的網域,才能開始使用 Kerberos 驗證,以 IPsec 對等的身分驗證它自己。與沒有 IPsec 的網路節點通訊時,需要用到其他豁免。某些情況中會有許多例外,使得電腦更加難以在企業網路上部署 IPsec 保護措施,以及更加難以在經過一段時間之後維護企業網路。

在 Windows Server 2008 和 Windows Vista 中,IPsec 提供選用的行為以交涉 IPsec 保護措施。假設 IPsec 已啟用,並且執行 Windows Server 2008 或 Windows Vista 的 IPsec 節點會初始化與其他網路節點的通訊。在這個情況中,IPsec 節點將會嘗試在沒有加密或「以純文字形式」的情況下進行通訊。此節點將會同時嘗試交涉受保護的通訊。如果初始的 IPsec 對等沒有得到初始交涉嘗試的回應,通訊就會以純文字形式進行。如果初始的 IPsec 對等得到初始交涉嘗試的回應,通訊就會以純文字形式進行,直到交涉完成為止。當交涉完成時,後續的通訊就會得到加強的保護。初始的 IPsec 節點可以查明與它通訊的網路節點是否可以執行 IPsec。然後,初始的 IPsec 節點就會照著執行。IPsec 節點的這個行為是由於 IPsec 選用行為的緣故。此外,這個行為也是因為建議的設定所造成,此建議設定會要求為輸入初始通訊提供保護,並為輸出初始通訊提供保護。這個新行為會大大地簡化 IPsec 原則設定。例如,初始的 IPsec 節點不一定得具有一組預先定義的 IPsec 篩選器,才能豁免一組無法使用 IPsec 保護網路流量的主機。初始的 IPsec 節點會同時嘗試受保護的流量和不受保護的流量。如果受保護的通訊不成功,初始的 IPsec 節點就會使用不受保護的流量。

新的交涉行為也改善了連至主機、不受保護之連線的效能。執行 Windows Server 2003 或 Windows XP 的 IPsec 節點可以設定來要求受保護的通訊,但卻會啟用不受保護的通訊。這個 IPsec 節點行為即為應清除的後援。IPsec 節點會傳送交涉訊息並等候回應。初始的 IPsec 節點最多會等待三秒,之後才清除後援並嘗試不受保護的通訊。在 Windows Server 2008 和 Windows Vista 中,當清除後援時,將不再有三秒鐘的延遲,因為在初始的 IPsec 節點等候回應時,以純文字形式的通訊已在進行中。

如需有關伺服器隔離與網域隔離的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/network/bb545651(en-us).aspx

在 Windows Vista 和 Windows XP 之間或者 Windows Vista 和 Windows Server 2003 之間建立加密連線的要點

  • 如果您只在 Windows Vista 啟用加密連線,Windows Vista 就只會在 IPsec 層級與所有其他用戶端交涉,其中包括 Windows XP 用戶端。
  • 根據預設,Windows XP 或 Windows Server 2003 不會在 IPsec 層級交涉。因此,我們必須在 Windows XP 或 Windows Server 2003 中指派 IPsec 規則,才能在 Windows Vista 和 Windows XP 之間或者 Windows Vista 和 Windows Server 2003 之間建立加密的連線。
  • 根據預設,如果已選取 [僅允許安全連線] 選項,透過使用 AES-128 加密方法和 3DES 加密方法,Windows Vista 就會進行交涉。Windows XP 不支援 AES-128 加密方法。Windows XP 和 Windows Server 2003 支援 3DES 加密方法。
  • 根據預設,如果 Windows XP 或 Windows Server 2003 中已啟用 IPsec,透過使用 3DES 加密方法,IPsec 就會進行交涉。
如果要使用 [具有進階安全性的 Windows 防火牆] 嵌入式管理單元,在 Windows Vista 電腦和 Windows XP 電腦之間建立加密連線,請依照下列步驟執行:
  1. 在 Windows Vista 電腦上,請按一下 [開始]
    摺疊此圖像展開此圖像
    [開始] 按鈕
    ,在 [開始搜尋] 方塊中輸入防火牆,然後按一下 [程式集] 清單中的 [具有進階安全性的 Windows 防火牆]
  2. 在主控台樹狀目錄中,按一下 [輸入規則]
  3. 在 [輸入規則] 的清單中,按兩下 [遠端桌面 (TCP-In)],然後按一下 [一般] 索引標籤。
  4. [執行] 區域中,按一下 [僅允許安全連線],按一下以選取 [需要加密] 核取方塊,然後按一下 [確定]
  5. 在主控台樹狀目錄中,按一下 [連線安全性規則],然後按一下 [執行] 功能表上的 [新增規則]
  6. 按一下 [隔離],然後按一下 [下一步]
  7. 按一下 [需要對輸入及輸出連線執行驗證],然後按一下 [下一步]
  8. 按一下 [預設],然後按一下 [下一步]
  9. 按一下以選取下列核取方塊,然後按一下 [下一步]
    • 網域
    • 私人
    • 公用
  10. [名稱] 方塊中輸入規則的名稱,在 [描述 (可省略)] 方塊中輸入規則的描述 (如果您要的話),然後按一下 [完成]
  11. [檔案] 功能表上,按一下 [結束]
  12. 在 Windows XP 電腦上,請按一下 [開始],按一下 [執行],輸入 secpol.msc,然後按一下 [確定]
  13. 在主控台樹狀目錄中,用滑鼠右鍵按一下 [在本機電腦上的 IP 安全性原則],然後按一下 [建立 IP 安全性原則]
  14. 按一下 [下一步],然後依照 [IP 安全性原則精靈] 中的指示執行,以建立 IP 安全性原則。請使用預設設定來建立這個原則。
  15. 用滑鼠右鍵按一下 [新增 IP 安全性原則],然後按一下 [指派]
  16. [檔案] 功能表上,按一下 [結束]

屬性

文章編號: 942957 - 上次校閱: 2008年2月20日 - 版次: 1.2
這篇文章中的資訊適用於:
  • Windows Vista 旗艦版
  • Windows Vista 商用進階版
  • Windows Vista 商用入門版
  • Windows Vista 家用進階版
  • Windows Vista 家用入門版
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
關鍵字:?
kbexpertiseadvanced kbhowto kbinfo KB942957
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com