قواعد الأمان لجدار حماية Windows والاتصالات التي تستند إلى IPsec في نظام التشغيل Windows Vista و Windows Server 2008

تتناول هذه المقالة إصداراً تجريبيا لأحد منتجات Microsoft. يتم توفير المعلومات الموجودة في هذه المقالة هي عرضه للتغيير دون إشعار.

يتوفر أي دعم منتج رسمي من Microsoft لمنتج بيتا هذا. لمزيد من المعلومات حول كيفية الحصول على دعم لإصدار بيتا، راجع الوثائق المضمنة في ملفات منتج بيتا أو قم بزيارة موقع الويب الذي قمت بتنزيل الإصدار.

مقدمة

توضح هذه المقالة ما يلي:
  • قواعد أمان جدار حماية Windows في نظام التشغيل Windows Vista
  • قواعد الأمان للاتصالات المستندة إلى IPsec في نظام التشغيل Windows Vista و Windows Server 2008
  • كيفية تأسيس اتصال مشفر بين نظام التشغيل Windows Vista ونظام التشغيل Windows XP أو بين نظام التشغيل Windows Vista و Windows Server 2003

مزيد من المعلومات

في نظام التشغيل Windows Vista، قواعد أمان جدار حماية Windows الجديد قواعد أمان الاتصال التي تستند إلى IPsec جديد يتم الإدماج الكامل وفي "نهج المجموعة". ولذلك، دمج الإعدادات الدعم، ويمكنهم تفويض السلوك بنفس الطريقة كإعدادات "نهج المجموعة" الأخرى.

قواعد أمان جدار حماية Windows في نظام التشغيل Windows Vista

الأداة الإضافية "Windows جدار حماية مع الأمان المتقدم" عنصر تحكم إدارة Microsoft (MMC) يدعم الأنواع التالية من قواعد الأمان.

ملاحظة: يتم دمج قائمة قواعد أمان جدار حماية Windows وقائمة بقواعد أمان الاتصال من كافة إعدادات "نهج المجموعة" المطبقة. وبعد ذلك، تتم معالجة قواعد الأمان هذه بالترتيب التالي. يتم دوماً فرض بالترتيب التالي، بغض النظر عن مصدر قواعد الأمان.
  • قاعدة تقوية الخدمة Windows
    تقييد القاعدة تقوية خدمة Windows خدمات من تأسيس اتصالات. يتم تكوين قيود الخدمة بطريقة الاتصال خدمات Windows يمكن فقط بطريقة معينة. على سبيل المثال، يمكنك تقييد حركة المرور من خلال منفذ محدد. ومع ذلك، حتى تقوم بإنشاء قاعدة جدار حماية، حركة المرور غير مسموح به.
  • قاعدة أمان الاتصال
    تعريف قاعدة أمان الاتصال كيف ومتى يتم مصادقة أجهزة الكمبيوتر باستخدام ميزة IPsec. يتم استخدام قواعد أمان الاتصال عزل الخادم تأسيس وإنشاء عزل المجال. بالإضافة إلى ذلك، يتم استخدام قواعد أمان الاتصال لفرض نهج حماية الوصول إلى الشبكة "(NAP).
  • قاعدة التجاوز المصادق
    المصادقة تجاوز يتيح قاعدة معينة من توصيل أجهزة الكمبيوتر في حالة حماية معدل نقل البيانات باستخدام ميزة IPsec بغض النظر عن القواعد الأخرى الواردة. يمكن لأجهزة الكمبيوتر المحددة تجاوز القواعد الواردة بحظر حركة المرور. على سبيل المثال، يمكنك تمكين إدارة جدار الحماية عن بعد من أجهزة كمبيوتر معينة فقط عن طريق إنشاء قواعد التجاوز المصادق لأجهزة الكمبيوتر. أو، يمكنك تمكين الدعم للمساعدة عن بعد عن طريق استدعاء مكتب المساعدة.
  • قاعدة حظر
    قاعدة حظر صراحة بمنع نوع معين من معدل نقل البيانات الواردة أو نوع معين من حركة المرور الصادرة.
  • تسمح القاعدة
    القاعدة السماح بشكل صريح يسمح لبعض أنواع معدل نقل البيانات الواردة أو أنواع معينة من حركة المرور الصادرة.
  • القاعدة الافتراضية
    يتم تكوين قاعدة الافتراضية بطريقة القاعدة الاحتياطية الواردة بحظر الاتصالات ويسمح لاتصالات قاعدة الافتراضية الصادرة.

قواعد الأمان للاتصالات المستندة إلى IPsec في نظام التشغيل Windows Vista و Windows Server 2008

يمكن تطبيق النوعين التاليين من قواعد IPsec إلى جهاز كمبيوتر يستند إلى نظام التشغيل Windows Vista أو إلى جهاز كمبيوتر يستند إلى Windows Server 2008:
  • قواعد IPsec
    يتم حاليا نشر قواعد IPsec السابقة في Windows 2000 و Windows Server 2003. يتم إدارة قواعد IPsec السابقة بخدمة Policyagent. قواعد IPsec هذه هي قواعد تبادل مفتاح إنترنت (IKE) التي تدعم المستندة إلى الكمبيوتر مصادقة Kerberos أو شهادات x.509 أو مصادقة مفتاح تمت مشاركته مسبقاً. يتم تكوين قواعد IPsec هذه في الأداة الإضافية MMC "إدارة نهج IPsec". يتم تطبيق قواعد Policyagent المستندة إلى IKE بنفس الطريقة كما في Windows 2000 و Windows Server 2003. على الرغم من أنه يمكن تطبيق نهج متعددة لجهاز كمبيوتر معين، نجاح النهج الأخير الذي يتم تطبيقه. وهذا وفقا لأسلوب "آخر wins الكاتب". بالإضافة إلى ذلك، لا يمكن دمج إعدادات نهج IKE.
  • قواعد أمان الاتصال
    قواعد أمان الاتصال فقط معتمدة في نظام التشغيل Windows Vista و Windows Server 2008. ملحق لايك يسمى IP المصادق (AuthIP) تدعم قواعد أمان الاتصال. يضيف AuthIP دعما لآليات المصادقة التالية:
    • وثائق تفويض Kerberos المستخدم الحالي أو بيانات اعتماد المستخدم التفاعلي NTLMv2
    • شهادات x.509 المستخدم
    • شهادات طبقة مأخذ التوصيل الآمنة (SSL) الكمبيوتر
    • شهادات الحماية NAP
    • المصادقة المجهولة (مصادقة اختيارية)
    يمكنك تكوين قواعد الأمان للأداة الإضافية "Windows جدار الحماية والأمان المتقدم" باستخدام الأدوات التالية:
    • نهج المجموعة المستند إلى المجال
    • الأداة الإضافية "Windows جدار حماية مع الأمان المتقدم"

      ملاحظة: الأداة الإضافية "Windows جدار حماية مع الأمان المتقدم" هو موقع التخزين الافتراضي للسياسات التي يمكن الوصول إليها باستخدام الأمر wf.msc .
    • المحلي "نهج المجموعة" الأداة الإضافية (Gpedit.msc)
    • الأمر netsh advfirewall

      ملاحظة: يشير الأمر netsh advfirewall مخزن نفس الأمر wf.msc .
    مثل غيرها من جدار الحماية وقواعد "نهج المجموعة"، يتم دمج قواعد أمان الاتصال من كافة كائنات "نهج المجموعة" المطبقة.

    يمكن تكوين نهج أمان اتصال لإنشاء نهج IPsec المستند إلى متوافقة مع العملاء المستندين إلى 1 الإصدار IKE، مثل Microsoft Windows 2000 أو نظام التشغيل Windows XP أو Windows Server 2003. يمكن أيضا تكوين نهج أمان اتصال لإنشاء نهج دعم الاتصالات بين أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows Vista وأجهزة الكمبيوتر المستندة إلى Windows Server 2008 فقط.

    يمكن لمسؤول إنشاء نهج أمان اتصال باستخدام الطرق التالية:
    • إنشاء نهج أمان اتصال يدعم فقط Kerberos المصادقة شهادات x.509 المستخدم أو الكمبيوتر مصادقة المسؤول.

      ملاحظات
      • في هذه الحالة، خدمة Mpssvc تلقائياً بإنشاء AuthIP و IKE السابقة السياسات.
      • إذا تم تحديد مصادقة مفتاح تمت مشاركته مسبقاً المستندة إلى الكمبيوتر، لا يتم إنشاء قواعد AuthIP.
    • إنشاء نهج أمان اتصال تتطلب المصادقة المستخدم المسؤول.

      ملاحظة: في هذه الحالة، يتم إنشاء نهج AuthIP فقط لنظام التشغيل Windows Vista Windows Vista المفاوضات وللمفاوضات Windows Vista Windows Server 2008. هذا بسبب عدم اعتماد IKE مصادقة المستخدم.
    • إنشاء نهج أمان اتصال فيها إضافة خيارات مصادقة المستخدم إلى النهج المسؤول. بالإضافة إلى ذلك، يمكنك أيضا تحديد المسؤول خيار "المصادقة الثانية" اختيارية .

      ملاحظة: إنشاء خدمة Mpssvc نهج AuthIP ونهج IKE السابقة. مصادقة المستخدم الاختيارية يتم تضمينها في مجموعة AuthIP. لا يتم تضمين مصادقة المستخدم الاختيارية في نهج IKE السابقة.
    • إنشاء نهج أمان اتصال تتطلب المصادقة NTLM المسؤول.

      ملاحظة: في هذه الحالة، نهج AuthIP فقط إنشاء نظام التشغيل Windows Vista Windows Vista مفاوضات والمفاوضات Windows Vista Windows Server 2008 ل IKE لا يدعم مصادقة NTLM.
    • يحدد المسؤول خوارزمية "Diffie-hellman" في خوارزمية "تبادل مفتاح الوضع الرئيسي" العالمية غير متوافق مع العملاء السابقة مثل خوارزمية "P-256 مجموعات Diffie-hellman المنحنى البيضاوي".

      ملاحظات
      • في هذه الحالة، لا يكون معتمداً "تعد" خوارزمية Diffie-hellman بالعملاء الأقدم من الإصدار 1 IKE. بالإضافة إلى ذلك، تفاوض IKE غير ناجحة.
      • نوصي باستخدام الإعداد "مجموعة Diffie-hellman 2" لأن يتم اعتماد هذا الإعداد عبر أوسع مجموعة من العملاء.
      • يتم دعم إعداد "مجموعة Diffie-hellman 14" في Windows XP Service Pack 2 (SP2) و Windows Server 2003.
      • في هذه الحالة، يتم تغيير سلوك مفاتيح أن خوارزمية "Diffie-hellman" لا يستخدم عادة لمفاوضات تستند إلى AuthIP.
      • عندما تنشئ الخدمة Mpssvc قواعد AuthIP، تعين الخدمة Mpssvc أن مفاوضات Windows Vista Windows Server 2008 أو Windows Vista Windows Vista مفاوضات يجب فقط استخدام خوارزمية "Diffie-hellman" إذا تم تعيين أسلوب مصادقة الوضع الرئيسي إلى مجهول.
      • عندما تنشئ الخدمة Mpssvc IKE القواعد، يستخدم خدمة Mpssvc دائماً خوارزمية "Diffie-hellman" الخاصة بالإعداد العمومي تبادل مفتاح الوضع الرئيسي .
      • يتم استخدام كلمة سر مشتركة SSPI واجهة موفر دعم الأمان لإنشاء المادة في تبادلات AuthIP فيه تبادل "مفتاح الوضع الرئيسي" لم يكن تبادل Diffie-hellman.

    الشهادات التي تستخدمها AuthIP

    • يستخدم AuthIP خدمة تصميم المواقع التي تحتوي على تكوين إعدادات مصادقة العميل أو التي تحتوي على تكوين إعدادات مصادقة الخادم. يمكن أن تكون شهادات SSL شهادات مصادقة العميل. أو يمكن أن يكون شهادات SSL شهادات مصادقة العميل وشهادات مصادقة الملقم.
    • إذا قمت بإنشاء نهج ﻻستخدام مصادقة الشهادة لنظام التشغيل Windows Vista، يجب أن يكون لديك الشهادات التي تعمل مع AuthIP. وهذا يعني أن الشهادات التي تقوم بتوزيعها إلى العملاء يجب أن تكون شهادات SSL استخدام مصادقة الملقم أو مصادقة العميل. تعتمد المصادقة على إذا ما كنت تريد مصادقة أحادية الاتجاه أو المصادقة المتبادلة. شهادات SSL تختلف الشهادات الرقمية القياسية المستخدمة في نظام التشغيل Windows XP أو Windows Server 2003.
    • بشكل افتراضي، يتم استخدام شهادات SSL بتنفيذ برنامج العمل الوطني.

نهج المجموعة معالجة للأداة الإضافية "Windows جدار حماية مع الأمان المتقدم"

يتم دمج قواعد أمان الاتصال من كافة كائنات "نهج المجموعة" المطبقة. ومع ذلك، هناك مجموعة ذات صلة من إعدادات IPsec و AuthIP إدارة الافتراضي، سلوك IPsec غير مضافة. تتضمن هذه المجموعة من إعدادات المصادقة العالمية مجموعات إعدادات "الوضع السريع"، إعدادات "تبادل المفاتيح" والإعفاءات بروتوكول رسائل تحكم إنترنت (ICMP).

مجموعة افتراضية من خيارات IPsec التي يتم تطبيق كائن "نهج المجموعة" الأسبقية العليا (GPO) أو خيارات أمان الاتصال سينجح على جهاز عميل يستند إلى نظام التشغيل Windows Vista. على سبيل المثال، سيتم استخدام كافة قواعد أمان الاتصال على الكمبيوتر العميل المستند إلى نظام التشغيل Windows Vista التي تستخدم مجموعات المصادقة الافتراضية أو مجموعات التشفير المجموعات من كائن نهج المجموعة الأسبقية. إذا كنت تريد مزيد من المرونة، يمكنك استخدام الخيارات التالية:
  • لتعيين المصادقة، تكوين المصادقة باستخدام قاعدة أمان الاتصال بدلاً من استخدام المصادقة الافتراضية.
  • لتعيين التشفير "الوضع السريع"، استخدم الأمر netsh لتكوين إعدادات التشفير "الوضع السريع" لكل قاعدة أمان الاتصال كما هو مطلوب.
  • لمجموعات التشفير "الوضع الرئيسي"، يتم اعتماد مجموعة تشفير "الوضع الرئيسي" الوحيد لكل نهج. عند تعيين الوضع الرئيسي التشفير، الوضع الرئيسي عدة مجموعات التشفير التي يتم تلقيها من كائن نهج المجموعة الأسبقية العليا ستطبق على كافة قواعد أمان الاتصال في "نهج المجموعة". ومع ذلك، لا يمكنك تخصيص قواعد لاستخدام مختلف مجموعات التشفير "الوضع الرئيسي".
  • عندما تقوم بتكوين كائنات نهج المجموعة لنهج أمان الاتصال ولنهج جدار الحماية، يمكنك تعطيل استخدام قواعد جدار الحماية المحلية وقواعد أمان الاتصال. ولذلك، إعدادات "نهج المجموعة" التي تم ربطها بكائنات نهج المجموعة، كائنات نهج المجموعة في المجال أو الوحدة التنظيمية (OU) كائن نهج مجموعة الموقع التحكم سلوك جدار حماية Windows.
لعرض الورقة البيضاء "مقدمة إلى Windows جدار حماية مع الأمان المتقدم" لنظام التشغيل Windows Vista، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول AuthIP في نظام التشغيل Windows Vista، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول جدار حماية Windows الجديد في نظام التشغيل Windows Vista و Windows Server 2008، قم بزيارة موقع Microsoft التالي على الويب:

كيفية تأسيس اتصال مشفر بين نظام التشغيل Windows Vista ونظام التشغيل Windows XP أو بين نظام التشغيل Windows Vista و Windows Server 2003

في Windows Server 2003 ونظام التشغيل Windows XP، تكوين نهج IPsec يتكون عادة من مجموعة من القواعد لحماية مجموعة أخرى من القواعد لحركة مرور محمية إعفاءات ومعظم حركة المرور على شبكة الاتصال. قد تتضمن تكوين عزل الخادم وعزل المجال. استثناءات مطلوبة من أجل الاتصال غير المحمية بخوادم البنية الأساسية للشبكة مثل ملقمات نظام اسم المجال (DNS) وبروتوكول تكوين المضيف الحيوي (DHCP) ملقمات وحدات التحكم بالمجال. عند بدء تشغيل كمبيوتر، يجب أن يكون قادراً على الحصول على عنوان IP الكمبيوتر ويجب أن تكون قادراً على استخدام DNS العثور على وحدة تحكم مجال. بالإضافة إلى ذلك، يجب أن يكون الكمبيوتر قادراً على تسجيل الدخول إلى المجال الخاص به قبل بدء تشغيل جهاز الكمبيوتر لاستخدام مصادقة Kerberos للمصادقة على نفسه نظير IPsec. استثناءات أخرى مطلوبة للاتصال بعقد شبكة الاتصال التي لا تعتمد ipsec. في بعض الحالات، هناك العديد من الاستثناءات التي تتزايد صعوبة نشر حماية IPsec على شبكة مؤسسة والحفاظ على شبكة المؤسسة مع مرور الوقت.

في Windows Server 2008 و Windows Vista, يوفر IPsec على سلوك اختيارية للتفاوض بشأن حماية IPsec. افترض أنه تم تمكين IPsec وأن وجود عقده IPsec الذي يقوم بتشغيل نظام التشغيل Windows Vista أو Windows Server 2008 بدء الاتصال بعقدة أخرى على شبكة الاتصال. في هذه الحالة، سيحاول عقده IPsec إلى الاتصال بدون تشفير أو "بدون تشفير." سيحاول العقدة مفاوضة الاتصالات المحمية في نفس الوقت. إذا لم يستلم نظير IPsec البدء استجابة للمفاوضات الأولية حاول، متابعة الاتصال بدون تشفير. إذا تلقي نظير IPsec البدء استجابة لمحاولة التفاوض الأولى، يستمر الاتصال بدون تشفير حتى يتم إكمال المفاوضات. عند اكتمال المفاوضات، تلقي الرسائل المتعاقبة مزيدا من الحماية. يمكنك معرفة ما إذا كان يمكن تنفيذ عقده الشبكة أنه يتصل ب IPsec عقده IPsec البدء. عقده IPsec البدء ثم تتصرف وفقا لذلك. يعتبر هذا السلوك عقده IPsec بسبب سلوك IPsec اختيارية. بالإضافة إلى ذلك، يعتبر هذا السلوك بسبب التكوين المستحسن الذي يتطلب حماية للاتصالات الواردة التي تم بدؤها وطلبات الحماية لبدء الاتصالات الصادرة. يبسط هذا السلوك الجديد إلى حد كبير تكوين نهج IPsec. على سبيل المثال، ليس لديه عقده IPsec البدء أن يحصل على مجموعة من عوامل تصفية IPsec المعرفة مسبقاً استثناء مجموعة من المضيفين الذين لا حماية نقل بيانات الشبكة بواسطة IPsec. عقده IPsec البدء يحاول كل حركة مرور محمية وحركة مرور غير محمية في نفس الوقت. إذا لم يكن ممكناً الاتصال المحمية، عقده IPsec البدء يستخدم الاتصال غير محمية.

سلوك التفاوض الجديد أيضا يعمل على تحسين أداء الاتصالات غير المحمية التي يتم إجراؤها على الأجهزة المضيفة. تكوين طلب الاتصالات المحمية نقطة IPsec الذي يقوم بتشغيل Windows Server 2003 أو نظام التشغيل Windows XP، ولكن تمكين اتصالات غير محمية. يعرف هذا السلوك عقده IPsec كاحتياطي لمسح. إرسال رسائل التفاوض عقده IPsec وينتظر استجابة. عقده IPsec البدء ينتظر ثلاث ثوان قبل الرجوع إلى مسح ومحاولة الاتصالات غير محمية. في Windows Server 2008 و Windows Vista، لم يعد هناك تأخير ثاني ثلاثة عند الرجوع إلى مسح للاتصالات في الواضحة بالفعل في التقدم عندما يتم عقده IPsec البدء في انتظار استجابة.

لمزيد من المعلومات حول عزل الخادم وعزل المجال، قم بزيارة موقع Microsoft التالي على الويب:

نقاط أساسية في تأسيس اتصال مشفر بين نظام التشغيل Windows Vista ونظام التشغيل Windows XP أو بين نظام التشغيل Windows Vista و Windows Server 2003

  • إذا قمت بتمكين اتصال مشفر في نظام التشغيل Windows Vista فقط، تفاوض حول نظام التشغيل Windows Vista فقط في مستوى IPsec مع عملاء آخرين. ويشمل ذلك الأجهزة العميلة المستندة إلى نظام التشغيل Windows XP.
  • بشكل افتراضي، يقوم نظام التشغيل Windows XP أو Windows Server 2003 التفاوض على مستوى IPsec. ولذلك، يجب تعيين قاعدة IPsec في نظام التشغيل Windows XP أو في Windows Server 2003 لتأسيس اتصال مشفر بين نظام التشغيل Windows Vista ونظام التشغيل Windows XP أو بين نظام التشغيل Windows Vista و Windows Server 2003.
  • بشكل افتراضي، إذا تم تحديد الخيار السماح بالاتصالات الآمنة فقط ، يتفاوض نظام التشغيل Windows Vista باستخدام أسلوب التشفير 128 الخدمات المعمارية والهندسية وأسلوب التشفير 3DES. أسلوب التشفير AES 128 غير معتمد في نظام التشغيل Windows XP. أسلوب التشفير 3DES معتمد في نظام التشغيل Windows XP و Windows Server 2003.
  • بشكل افتراضي، إذا تم تمكين IPsec في نظام التشغيل Windows XP أو Windows Server 2003، سيتم التفاوض IPsec باستخدام أسلوب التشفير 3DES.
لتأسيس اتصال مشفر بين جهاز كمبيوتر يستند إلى نظام التشغيل Windows Vista وجهاز كمبيوتر يستند إلى نظام التشغيل Windows XP باستخدام الأداة الإضافية "Windows جدار حماية مع الأمان المتقدم"، اتبع الخطوات التالية:
  1. على كمبيوتر يستند إلى نظام التشغيل Windows Vista، انقر فوق ابدأthe Start button واكتب جدار حماية في المربع بدء البحث ، وثم انقر فوق جدار حماية Windows مع "الأمان المتقدم" في قائمة البرامج .
  2. في شجرة وحدة التحكم، انقر فوق القواعد الواردة.
  3. في قائمة "القواعد الواردة"، انقر نقراً مزدوجاً فوق سطح المكتب البعيد (TCP في)، ومن ثم انقر فوق علامة التبويب عام .
  4. في مساحة العمل ، انقر فوق السماح بالاتصالات الآمنة فقط، انقر لتحديد خانة الاختيار مطلوب تشفير ، وثم انقر فوق موافق.
  5. في شجرة وحدة التحكم، انقر فوق قواعد أمان الاتصال، ومن ثم انقر فوق " قاعدة جديدة " في القائمة إجراء .
  6. انقر فوق العزل، ومن ثم انقر فوق التالي.
  7. انقر فوق طلب المصادقة للاتصالات الواردة والصادرة، ومن ثم انقر فوق التالي.
  8. انقر فوق افتراضي، ومن ثم انقر فوق التالي.
  9. انقر لتحديد خانات الاختيار التالية ومن ثم انقر فوق التالي:
    • المجال
    • القطاع الخاص
    • العام
  10. اكتب اسم القاعدة في المربع الاسم ، اكتب وصف القاعدة في المربع الوصف (اختياري) إذا كنت تريد، ومن ثم انقر فوق إنهاء.
  11. في القائمة ملف ، انقر فوق " إنهاء".
  12. على كمبيوتر يستند إلى نظام التشغيل Windows XP، انقر فوق ابدأ، ثم انقر فوق تشغيل، اكتب secpol.msc، وثم انقر فوق موافق.
  13. في شجرة وحدة التحكم، انقر نقراً مزدوجاً فوق نهج أمان IP على "كمبيوتر محلي"، ومن ثم انقر فوق إنشاء نهج أمان IP.
  14. انقر فوق التالي، واتبع الإرشادات في معالج نهج أمان IP لإنشاء نهج أمان IP. استخدام الإعدادات الافتراضية لإنشاء هذا النهج.
  15. انقر نقراً مزدوجاً فوق نهج أمان IP الجديد، ومن ثم انقر فوق تعيين.
  16. في القائمة ملف ، انقر فوق " إنهاء".
خصائص

رقم الموضوع: 942957 - آخر مراجعة: 14‏/01‏/2017 - المراجعة: 1

تعليقات