JAK: Wyłączanie automatycznych zasad L2TP/IPSec

Streszczenie

W tym artykule opisano krok po kroku, jak wyłączyć automatyczne zasady protokołu L2TP (Layer Two Tunneling Protocol) z zabezpieczeniami IPSec (Internet Protocol security).

Usługa Routing i dostęp zdalny w systemie Windows 2000 obsługuje protokół L2TP z zabezpieczeniami IPSec (L2TP/IPSec). Implementacja protokołu L2TP/IPSec stosowana przez firmę Microsoft jest w pełni zgodna ze standardami RFC i zapewnia najwyższy poziom bezpieczeństwa połączeń wirtualnych sieci prywatnych (Virtual Private Network, VPN). Obecnie rolę komputera klienckiego VPN korzystającego z protokołu L2TP/IPSec mogą pełnić tylko komputery z systemem Windows 2000, Windows XP i niektórymi systemami operacyjnymi producentów niezależnych.

System Windows 2000 automatycznie tworzy zasady IPSec, jeśli ustanowione zostanie łącze sieci VPN obsługiwane przez protokół L2TP/IPSec. Zasady IPSec wymagają zainstalowania certyfikatów komputera zarówno na serwerze usługi Routing i dostęp zdalny obsługującym sieci VPN, jak i na kliencie VPN. Certyfikaty można uzyskać z serwera certyfikatów firmy Microsoft albo od producenta niezależnego.

Administrator zabezpieczeń może uznać, że konieczne jest wyłączenie domyślnych automatycznych zasad L2TP/IPSec ze względu na brak infrastruktury kluczy publicznych (PKI, Public Key Infrastructure). Celowe może być także wyłączenie zasad IPSec na potrzeby testowania. W razie wyłączenia zasad można ustanowić czyste tunele L2TP. Jednak tunele takie nie są zabezpieczone, ponieważ zabezpieczenia tuneli zapewnia protokół IPSec.

Po wyłączeniu automatycznych zasad L2TP/IPSec istnieje możliwość użycia wstępnie udostępnionego klucza w celu utworzenia łączy sieci VPN typu brama-brama. Firma Microsoft zaleca stosowanie kluczy wstępnie udostępnionych wyłącznie do testowania. Oprogramowanie firmy Microsoft nie obsługuje użycia kluczy wstępnie udostępnionych w środowiskach produkcyjnych.

Aby uzyskać dodatkowe informacje na temat użycia klucza wstępnie udostępnionego do skonfigurowania zasad IPSec, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

240262 Jak skonfigurować połączenie L2TP/IPSec przy użyciu uwierzytelniania opartego na kluczu wstępnym

Jak wyłączyć automatyczne zasady L2TP/IPSec

  1. Uruchom Edytor Rejestru (Regedt32.exe).
  2. Odszukaj następujący klucz Rejestru i kliknij go:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Kliknij polecenie Dodaj wartość w menu Edycja.
  4. Wpisz prohibitipsec w polu Nazwa wartości, kliknij typ REG_DWORD w polu Typ danych, a następnie kliknij przycisk OK.
  5. Wpisz wartość 1 w polu Dane, a następnie kliknij przycisk OK.
  6. Zamknij Edytor rejestru, a następnie ponownie uruchom komputer.

Rozwiązywanie problemów

W przypadku ustawienia wartości ProhibIpSec na 1 serwer sieci VPN, na którym jest uruchomiona usługa Routing i dostęp zdalny, nie tworzy filtru w celu zastosowania certyfikatów do uwierzytelniania IPSec. Serwer sieci VPN z uruchomioną usługą Routing i dostęp zdalny używa lokalnych zasad IPSec albo zasad IPSec usługi Active Directory. Można skonfigurować zasady IPSec na lokalnym serwerze sieci VPN z usługą Routing i dostęp zdalny albo użyć zasad grupy w celu wypchnięcia zasad IPSec na serwery sieci VPN z usługą Routing i dostęp zdalny.

Właściwości

Identyfikator artykułu: 310109 — ostatni przegląd: 24.06.2003 — zmiana: 1

Opinia