Windows Vistan ja Windows Server 2008:n Windowsin palomuurin ja IPsec-yhteyksien tietoturvasäännöt

Tässä artikkelissa käsitellään Microsoft-tuotteen beetaversiota. Tämän artikkelin tiedot koskevat nykytilannetta, ja niihin voidaan tehdä muutoksia ilman erillistä ilmoitusta.

Tälle beetatuotteelle ei ole muodollista Microsoft-tukea. Lisätietoja beetaversion tuesta saat beetatuotetiedostojen mukana tulleista ohjeista tai mahdollisesti verkko-osoitteesta, josta latasit version.

JOHDANTO

Tässä artikkelissa kuvataan seuraavat:
 • Windows Vistan Windowsin palomuurin tietoturvasäännöt
 • Windows Vistan ja Windows Server 2008:n IPsec-yhteyksien tietoturvasäännöt
 • salatun yhteyden muodostaminen Windows Vistan ja Windows XP:n tai Windows Vistan ja Windows Server 2003:n välillä.

Enemmän tietoa

Windows Vistan uudet Windowsin palomuurin tietoturvasäännöt ja uudet IPsec-yhteyden tietoturvasäännöt on täysin integroitu ryhmäkäytäntöön. Tämän vuoksi tukiasetukset yhdistetään, ja ne delegoivat toiminnan samalla tavalla kuin muut ryhmäkäytäntöasetukset.

Windows Vistan Windowsin palomuurin tietoturvasäännöt

MMC (Microsoft Management Console) -konsolin Windowsin laajennettu palomuuri -laajennus tukee seuraavia tietoturvasääntöjen tyyppejä.

Huomautus Windowsin palomuurin tietoturvasääntöjen luettelo ja yhteyden tietoturvasääntöjen luettelo on yhdistetty kaikista käytettävissä olevista ryhmäkäytäntöasetuksista. Tämän jälkeen nämä tietoturvasäännöt käsitellään seuraavassa järjestyksessä. Seuraavaa järjestystä käytetään aina tietoturvasääntöjen lähteestä riippumatta.
 • Windowsin palveluiden tietoturvan tehostamissääntö
  Windowsin palveluiden tietoturvan tehostamissääntö estää palveluita muodostamasta yhteyksiä. Palveluiden rajoitukset on määritetty niin, että Windowsin palvelut voivat vaihtaa tietoja vain tietyllä tavalla. Voit esimerkiksi rajoittaa tietoliikenteen kulkemaan vain määritetyn portin kautta. Tietoliikennettä ei kuitenkaan sallita, ennen kuin palomuurisääntö luodaan.
 • Yhteyden tietoturvasääntö
  Yhteyden tietoturvasääntö määrittää, miten ja milloin tietokoneet todennetaan IPsec-ominaisuuden avulla. Yhteyden tietoturvasääntöjä käytetään eristämään palvelin ja toimialue. Lisäksi yhteyden tietoturvasääntöjä käytetään ottamaan verkkokäyttökäytäntö käyttöön.
 • Todennetun ohituksen sääntö
  Todennetun ohituksen sääntö antaa tiettyjen tietokoneiden olla yhteydessä, jos tietoliikenne on suojattu IPsec-ominaisuuden avulla, muista saapuvan tietoliikenteen säännöistä riippumatta. Määritetyt tietokoneet voivat ohittaa saapuvan tietoliikenteen säännöt jotka estävät tietoliikenteen. Voit esimerkiksi ottaa käyttöön palomuurin etähallinnan tietyistä tietokoneista pelkästään luomalla todennetun ohituksen sääntöjä tietokoneille. Voit myös ottaa käyttöön etätuen soittamalla tukeen.
 • Estämissääntö
  Estämissääntö estää eksplisiittisesti tietyn saapuvan tai lähtevän tietoliikenteen tyypin.
 • Sallimissääntö
  Sallimissääntö sallii eksplisiittisesti tietyt saapuvan tai lähtevän tietoliikenteen tyypit.
 • Oletussääntö
  Oletussääntö on määritetty tavalla, jossa saapuvan tietoliikenteen oletussääntö estää yhteydet ja lähtevän tietoliikenteen oletussääntö sallii yhteydet.

Windows Vistan ja Windows Server 2008:n IPsec-yhteyksien tietoturvasäännöt

Seuraavat kaksi IPsec-sääntötyyppiä voidaan ottaa käyttöön Windows Vista- tai Windows Server 2008 -tietokoneessa:
 • IPsec-säännöt
  Aiemmat IPsec-säännöt on tällä hetkellä otettu käyttöön Windows 2000:ssa ja Windows Server 2003:ssa. Policyagent-palvelu huolehtii aiempien IPsec-sääntöjen hallinnasta. Nämä IPsec-säännöt ovat IKE (Internet Key Exchange) -sääntöjä, jotka tukevat vain tietokonepohjaista Kerberos-todennusta, x.509-varmenteita tai esijaetun avaimen todennusta. Nämä IPsec-säännöt on määritetty MMC-konsolin IPsec-käytännön hallintalaajennuksessa. IKE-pohjaiset Policyagent-säännöt otetaan käyttöön samalla tavalla kuin Windows 2000:ssa ja Windows Server 2003:ssa. Vaikka tietokoneessa voidaan ottaa käyttöön useita käytäntöjä, vain viimeksi käyttöön otettu käytäntö onnistuu. Tämä on on "viimeinen kirjoittaja voittaa" -menetelmän mukaista. Lisäksi IKE-käytäntöasetuksia ei voi yhdistää.
 • Yhteyden tietoturvasäännöt
  Yhteyden tietoturvasääntöjä tuetaan vain Windows Vistassa ja Windows Server 2008:ssa. IKE-laajennus nimeltä AuthUP (Authenticated IP) tukee yhteyden tietoturvasääntöjä. AuthIP lisää seuraavien todennusmekanismien tuen:
  • vuorovaikutteiset käyttäjän Kerberos-tunnistetiedot tai NTLMv2-tunnistetiedot
  • käyttäjän x.509-varmenteet
  • tietokoneen SSL (Secure Sockets Layer) -varmenteet
  • verkkokäyttökäytännön kuntovarmenteet
  • anonyymi todennus (valinnainen todennus).
  Voit määrittää Windowsin laajennettu palomuuri -laajennuksen tietoturvasäännöt seuraavien työkalujen avulla:
  • Toimialuepohjainen ryhmäkäytäntö
  • Windowsin laajennettu palomuuri -laajennus

   Huomautus Windowsin laajennettu palomuuri -laajennus on oletustallennussijainti käytännöille, joita voidaan käyttää wf.msc-komennon avulla.
  • Paikallinen Ryhmäkäytäntö-laajennus (Gpedit.msc)
  • Komento netsh advfirewall

   Huomautus Komento netsh advfirewall viittaa samaan säilöön kuin komento wf.msc.
  Kuten muut palomuuri- ja ryhmäkäytäntösäännöt, yhteyden tietoturvasäännöt yhdistetään kaikista soveltuvista ryhmäkäytäntöobjekteista.

  Yhteyden tietoturvakäytännöt voidaan määrittää luomaan IPsec-pohjaisia käytäntöjä, jotka ovat yhteensopivia IKE-versioon 1 pohjautuvien asiakkaiden (kuten Microsoft Windows 2000, Windows XP ja Windows Server 2003) kanssa. Yhteyden tietoturvakäytännöt voidaan myös määrittää luomaan käytäntöjä, jotka tukevat tietoliikennettä ainoastaan Windows Vista- ja Windows Server 2008 -tietokoneiden välillä.

  Järjestelmänvalvoja voi luoda yhteyden tietoturvakäytännön seuraavilla tavoilla:
  • Järjestelmänvalvoja voi luoda yhteyden tietoturvakäytännön, joka tukee vain Kerberos-todennusta, käyttäjän x.509-varmenteita tai tietokoneen todennusta.

   Huomautuksia
   • Tässä tapauksessa Mpssvc-palvelu luo automaattisesti sekä AuthIP-käytännöt että aiemmat IKE-käytännöt.
   • Jos tietokonepohjainen esijaetun avaimen todennus on määritetty, AuthIP-sääntöjä ei luoda.
  • Järjestelmänvalvoja voi luoda yhteyden tietoturvakäytännön, joka edellyttää käyttäjän todennuksen.

   Huomautus Tässä tapauksessa Windows Vista -tietokoneiden välillä sekä Windows Vista -tietokoneen ja Windows Server 2008 -tietokoneen välillä tehtäville neuvotteluille luodaan vain AuthIP-käytäntö. Tämä johtuu siitä, että IKE ei tue käyttäjän todennusta.
  • Järjestelmänvalvoja voi luoda yhteyden tietoturvakäytännön, jossa käyttäjän todennusasetukset lisätään käytäntöön. Lisäksi järjestelmänvalvoja voi valita Toinen todennus on valinnainen -asetuksen.

   Huomautus Mpssvc-palvelu luo sekä AuthIP-käytännöt että aiemmat IKE-käytännöt. AuthIP-joukkoon sisältyy valinnainen käyttäjän todennus. Valinnainen käyttäjän todennus ei sisälly aiempaan IKE-käytäntöön.
  • Järjestelmänvalvoja voi luoda yhteyden tietoturvakäytännön, joka edellyttää NTLM-todennuksen.

   Huomautus Tässä tapauksessa Windows Vista -tietokoneiden välillä sekä Windows Vista -tietokoneen ja Windows Server 2008 -tietokoneen välillä tehtäville neuvotteluille luodaan vain AuthIP-käytäntö, sillä IKE ei tue NTLM-todennusta.
  • Järjestelmänvalvoja valitsee Diffie-Hellman-algoritmin yleisessä päätilan avainten vaihtoasetuksen algoritmissa, joka ei ole yhteensopiva aiempien asiakkaiden kanssa. Tällainen algoritmi voi olla Elliptic Curve Diffie-Hellman P-256 -algoritmi.

   Huomautuksia
   • Tässä tapauksessa aiemmat IKE-version 1:n asiakkaat eivät tue Diffie-Hellman-algoritmia. Lisäksi IKE-neuvottelut epäonnistuvat.
   • Microsoft suosittelee, että käytät Diffie-Hellman-ryhmä 2 -asetusta, koska kyseistä asetusta tuetaan laajimmassa joukossa asiakkaita.
   • Diffie-Hellman-ryhmä 14 -asetusta tuetaan Windows XP Service Pack 2:ssa (SP2) ja Windows Server 2003:ssa.
   • Tässä tapauksessa tärkein toiminnan muutos on se, että Diffie-Hellman-algoritmia ei yleensä käytetä AuthIP-pohjaisissa neuvotteluissa.
   • Kun Mpssvc-palvelu luo AuthIP-säännöt, Mpssvc-palvelu määrittää, että Windows Vista -tietokoneiden välisten neuvotteluiden tai Windows Vista -tietokoneen ja Windows Server 2008 -tietokoneen välisten neuvotteluiden on käytettävä Diffie-Hellman-algoritmia vain silloin, kun päätilan todennusmenetelmäksi on asetettu Anonyymi.
   • Kun Mpssvc-palvelu luo IKE-sääntöjä, Mpssvc-palvelu käyttää aina Diffie-Hellman-algoritmia, joka liittyy päätilan avainten vaihtoasetukseen.
   • Suojaustuen tarjoajan käyttöliittymän (SSPI eli Security Support Provider Interface) jaettua salaisuutta käytetään luomaan avainmateriaali AuthIP-vaihdoissa, joissa päätilan avainten vaihdolla ei ole Diffie-Hellman-vaihtoa.

  AuthIP:n käyttämät varmenteet

  • AuthIP käyttää SSL-varmenteita, joilla on määritettynä asiakkaan tai palvelimen todennusasetukset. SSL-varmenteet voivat olla asiakastodennuksen varmenteita. SSL-varmenteet voivat vaihtoehtoisesti olla myös sekä asiakastodennuksen että palvelintodennuksen varmenteita.
  • Jos muodostat käytännöt käyttämään varmennetodennusta Windows Vistalle, sinulla on oltava varmenteet, jotka toimivat AuthIP:n kanssa. Tämä tarkoittaa sitä, että asiakkaille käyttöönotettujen varmenteiden on oltava SSL-varmenteita, jotka käyttävät asiakas- tai palvelintodennusta. Todennus määräytyy sen mukaan, käytetäänkö yksisuuntaista todennusta vai molemminpuolista todennusta. SSL-varmenteet ovat erilaisia kuin Windows XP:ssä tai Windows Server 2003:ssa käytettävät tavalliset digitaaliset varmenteet.
  • Oletusarvon mukaan SSL-varmenteita käytetään verkkokäyttökäytäntöjen toteutuksissa.

Windowsin laajennettu palomuuri -laajennuksen ryhmäkäytäntökäsittely

Yhteyden tietoturvasäännöt yhdistetään kaikista soveltuvista ryhmäkäytäntöobjekteista. IPsecille ja AuthIP:lle on kuitenkin olemassa liittyvä asetusryhmä, joka huolehtii oletusarvon mukaisesta, ei-lisäävästä IPsec-toiminnasta. Tämä asetusryhmä sisältää yleisiä todennusjoukkoja, pikatilan asetuksia, avaintenvaihdon asetuksia ja ICMP (Internet Control Message Protocol) -poikkeuksia.

Yhteyden tietoturva-asetusten tai IPsec-asetusten oletusjoukon, jota käytetään ensin käsiteltäväksi määritetystä ryhmäkäytäntöobjektista, käyttäminen onnistuu Windows Vista -asiakkaassa. Esimerkiksi kaikki oletustodennusjoukkoja tai kryptografisia joukkoja käyttävät Windows Vista -asiakkaan yhteyden tietoturvasäännöt käyttävät ensin käsiteltäväksi määritetyn ryhmäkäytäntöobjektin joukkoja. Voit lisätä joustavuutta seuraavien asetusten avulla:
 • Jos kyseessä on todennusjoukko, määritä todennus käyttämällä yhteyden tietoturvasääntöä oletustodennuksen sijaan.
 • Jos kyseessä ovat pikatilan kryptografiset joukot, määritä kullekin yhteyden tietoturvasäännölle pikatilan kryptografiset asetukset netsh-komennon avulla tarvittaessa.
 • Jos kyseessä ovat päätilan kryptografiset joukot, kullekin käytännölle tuetaan vain yhtä päätilan kryptografista joukkoa. Kun vastaanotetaan useita päätilan kryptografisia joukkoja, ensin käsiteltäväksi määritetyn ryhmäkäytäntöobjektin päätilan kryptografista joukkoa käytetään kaikille ryhmäkäytännön yhteyden tietoturvasäännöille. Et kuitenkaan pysty mukauttamaan sääntöjä käyttämään eri päätilan kryptografisia joukkoja.
 • Kun määrität ryhmäkäytäntöobjektit yhteyden tietoturvakäytännöille ja palomuurikäytännöille, voit poistaa käytöstä paikallisten palomuurisääntöjen ja yhteyden tietoturvasääntöjen käyttämisen. Tämän vuoksi vain sivuston, toimialueen tai organisaatioyksikön ryhmäkäytäntöobjekteihin liittyviä ryhmäkäytäntöasetukset voivat ohjata Windowsin palomuurin toimintaa.
Voit ladata Windows Vistan Introduction to Windows Firewall with Advanced Security -asiakirjan seuraavasta Microsoftin verkkosivustosta:Lisätietoja Windows Vistan AuthIP:stä on seuraavassa Microsoftin verkkosivustossa:Lisätietoja Windows Vistan ja Windows Server 2008:n uudesta Windowsin palomuurista on seuraavassa Microsoftin verkkosivustossa:

Salatun yhteyden muodostaminen Windows Vistan ja Windows XP:n tai Windows Vistan ja Windows Server 2003:n välillä

Windows Server 2003:n ja Windows XP:n IPsec-käytäntömääritys muodostuu yleensä joukosta sääntöjä, jotka on tarkoitettu suojaamaan suurin osa verkon tietoliikenteestä, ja toisesta joukosta sääntöjä, jotka koskevat suojatun tietoliikenteen poikkeuksia. Määritykset saattavat sisältää palvelimen ja toimialueen eristyksen. Poikkeuksia tarvitaan suojaamattomalle tietoliikenteelle verkkoinfrastruktuuripalvelinten (kuten DHCP (Dynamic Host Configuration Protocol) -palvelinten, DNS (Domain Name System) -palvelinten ja toimialueen ohjauskoneiden) kanssa. Kun tietokone käynnistyy, sen on pystyttävä hankkimaan IP-osoite ja käyttämään DNS:ää toimialueen ohjauskoneen löytämiseksi. Lisäksi tietokoneen on pystyttävä kirjautumaan toimialueelleen, ennen kuin se voi aloittaa Kerberos-todennuksen käytön ja todentamaan itsensä IPsec-vertaiseksi. Muita poikkeuksia vaaditaan tietoliikenteeseen sellaisten verkkosolmujen kanssa, jotka eivät tue IPseciä. Joissakin tapauksissa on olemassa useita poikkeuksia, jotka vaikeuttavat IPsec-suojauksen käyttöönottoa yrityksen verkossa ja verkon ylläpitoa pitkällä aikavälillä.

Windows Server 2008:ssa ja Windows Vistassa IPsec tarjoaa valinnaisen toiminnon IPsec-suojauksen neuvottelemiseen. Oletetaan, että IPsec on otettu käyttöön ja Windows Server 2008:aa tai Windows Vistaa käyttävä IPsec-solmu aloittaa tietoliikenteen toisen verkkosolmun kanssa. Tässä tapauksessa IPsec-yrittää vaihtaa tietoja ilman salausta. Solmu yrittää samanaikaisesti neuvotella suojatun tietoliikenteen. Jos aloittava IPsec-vertaiskone ei saa vastausta ensimmäiseen neuvotteluyritykseen, tietoliikenne jatkuu suojaamattomana. Jos aloittava IPsec-vertaiskone saa vastauksen ensimmäiseen neuvotteluyritykseen, suojaamaton tietoliikenne jatkuu, kunnes neuvottelu on suoritettu loppuun. Kun neuvottelu on suoritettu loppuun, sen jälkeinen tietoliikenne suojataan aiempaa paremmin. Aloittava IPsec-solmu voi selvittää, pystyykö verkkosolmu, jonka kanssa se viestii, käyttämään IPseciä. Sen jälkeen aloittava IPsec-solmu toimii tilanteen mukaan. IPsec-solmun toiminta on valinnaisen IPsec-toiminnan mukainen. Lisäksi toiminta aiheutuu suositellusta määrityksestä, joka edellyttää suojauksen aloitetulle saapuvalle tietoliikenteelle ja pyytää suojauksen aloitetulle lähtevälle tietoliikenteelle. Tämä uusi toiminta yksinkertaistaa IPsec-käytännön määrittämistä huomattavasti. Aloittavalla IPsec-solmulla ei esimerkiksi tarvitse olla joukkoa valmiiksi määritettyjä IPsec-suodattimia tekemään poikkeus sellaisten isäntien kohdalla, jotka eivät pysty suojaamaan verkkotietoliikennettä IPsecin avulla. Aloittava IPsec-solmu yrittää samanaikaisesti sekä suojattua että suojaamatonta tietoliikennettä. Jos suojattu tietoliikenne ei onnistu, aloittava IPsec-solmu käyttää suojaamatonta tietoliikennettä.

Uusi neuvottelutoiminta myös parantaa isäntiin muodostettujen suojaamattomien yhteyksien suorituskykyä. Windows Server 2003:a tai Windows XP:tä käyttävä IPsec-solmu on määritetty pyytämään suojattua tietoliikennettä, mutta se tukee suojaamatonta tietoliikennettä ja pystyy palaamaan käyttämään sitä. IPsec-solmu lähettää neuvottelusanomia ja odottaa vastausta. Aloittava IPsec-solmu odottaa enintään kolme sekuntia, ennen kuin se palaa yrittämään käyttää suojaamatonta tietoliikennettä. Windows Server 2008:ssa ja Windows Vistassa ei enää ole kolmen sekunnin viivettä palaamisessa, koska suojaamaton tietoliikenne on jo meneillään, kun aloittava IPsec-solmu odottaa vastausta.

Lisätietoja palvelimen ja toimialueen eristämisestä on seuraavassa Microsoftin verkkosivustossa:

Tärkeimmät seikat salatun yhteyden muodostamisessa Windows Vistan ja Windows XP:n tai Windows Vistan ja Windows Server 2003:n välillä

 • Jos otat käyttöön vain salatun yhteyden Windows Vistassa, Windows Vista neuvottelee vain IPsec-tasolla muiden asiakkaiden kanssa. Niitä ovat esimerkiksi Windows XP -asiakkaat.
 • Oletusarvon mukaan Windows XP ja Windows Server 2003 eivät neuvottele IPsec-tasolla. Tämän vuoksi IPsec-sääntö on määritettävä Windows XP:ssä tai Windows Server 2003:ssa, jotta salattu yhteys muodostetaan Windows Vista- ja Windows XP -tietokoneen tai Windows Vista- ja Windows Server 2003 -tietokoneen välille.
 • Oletusarvon mukaan, jos Salli vain suojatut yhteydet -vaihtoehto on valittuna, Windows Vista neuvottelee käyttäen AES-128- ja 3DES-salausmenetelmää. Windows XP ei tue AES-128-salausmenetelmää. Windows XP ja Windows Server 2003 tukevat 3DES-salausmenetelmää.
 • Oletusarvon mukaan, jos IPsec on otettu käyttöön Windows XP:ssä tai Windows Server 2003:ssa, IPsec neuvottelee käyttämällä 3DES-salausmenetelmää.
Jos haluat muodostaa salatun yhteyden Windows Vista -tietokoneen ja Windows XP -tietokoneen välille käyttämällä Windowsin laajennettu palomuuri -laajennusta, toimi seuraavasti:
 1. Napsauta Windows Vista -tietokoneessa Käynnistä-painikettaKäynnistä-painike , kirjoita Aloita haku -ruutuun palomuuri ja valitse sitten Ohjelmat-luettelossa Windowsin laajennettu palomuuri.
 2. Valitse konsolipuussa Saapuvan liikenteen säännöt.
 3. Kaksoisnapsauta saapuvan liikenteen sääntöjen luettelossa Etätyöpöytä (saapuva TCP) ja valitse sitten Yleiset-välilehti.
 4. Valitse Toiminto-alueella Salli vain suojatut yhteydet, valitse Edellytä salausta -valintaruutu ja valitse sitten OK.
 5. Valitse konsolipuussa Yhteyden suojaussäännöt ja valitse sitten Toiminto-valikosta Uusi sääntö.
 6. Valitse Eristys ja valitse sitten Seuraava.
 7. Valitse Vaadi todennus tuleville ja lähteville yhteyksille ja valitse sitten Seuraava.
 8. Valitse Oletus ja valitse sitten Seuraava.
 9. Valitse seuraavat valintaruudut ja valitse sitten Seuraava:
  • Toimialue
  • Yksityinen
  • Julkinen.
 10. Kirjoita säännön nimi Nimi-ruutuun ja halutessasi kuvaus Kuvaus (valinnainen) -ruutuun. Valitse sitten Valmis.
 11. Valitse Tiedosto-valikosta Lopeta.
 12. Napsauta Windows XP -tietokoneen Käynnistä-painiketta, valitse Suorita, kirjoita secpol.msc ja valitse sitten OK.
 13. Napsauta konsolipuussa hiiren kakkospainikkeella IP-suojauskäytännöt kohteessa Paikallinen tietokone -kohtaa ja valitse sitten Luo IP-suojauskäytäntö.
 14. Valitse Seuraava ja luo IP-suojauskäytäntö noudattamalla sitten ohjatun IP-suojauskäytännön määrittämisen ohjeita. Luo tämä käytäntö käyttämällä oletusasetuksia.
 15. Napsauta hiiren kakkospainikkeella Uusi IP-suojauskäytäntö ja valitse sitten Määritä.
 16. Valitse Tiedosto-valikosta Lopeta.
Ominaisuudet

Artikkelin tunnus: 942957 – Viimeisin tarkistus: 22.4.2008 – Versio: 1

Palaute