Reguły zabezpieczeń połączeń opartych na protokole IPsec w systemie Windows Vista i Windows Server 2008 i zapory systemu Windows

W tym artykule omówiono wersję beta produktu firmy Microsoft. Informacje w tym artykule są dostarczane jako-jest i mogą ulec zmianie bez powiadomienia.

Nie oficjalnej pomocy technicznej jest udostępniana przez firmę Microsoft dla tej wersji beta produktu. Aby uzyskać informacje o tym, jak otrzymać pomoc dotyczącą wersji beta zobacz dokumentację dostarczoną z plikami produktu w wersji beta lub sprawdzić w sieci Web, z której pobrano uwolnienia.

WPROWADZENIE

W tym artykule opisano następujące czynności:
  • Reguły zabezpieczeń zapory systemu Windows w systemie Windows Vista
  • Reguły zabezpieczeń połączeń opartych na protokole IPsec w systemie Windows Vista i Windows Server 2008
  • Jak ustanowić zaszyfrowanego połączenia między systemu Windows Vista i Windows XP lub Windows Vista i Windows Server 2003

Więcej informacji

W systemie Windows Vista nowych reguł zabezpieczeń zapory systemu Windows i nowej reguły zabezpieczeń połączeń opartych na protokole IPsec, są w pełni zintegrowane zasady grupy. W związku z tym ustawień obsługi scalania, a one delegować zachowanie w taki sam sposób jak inne ustawienia zasady grupy.

Reguły zabezpieczeń zapory systemu Windows w systemie Windows Vista

Przystawki "Zapora systemu Windows z zabezpieczeniami zaawansowanymi" Microsoft Management kontroli (MMC) obsługuje następujące typy reguł zabezpieczeń.

Uwaga Na liście reguł zabezpieczeń zapory systemu Windows oraz listę reguł zabezpieczeń połączeń są scalane z wszystkich odpowiednich ustawień zasady grupy. Następnie te zasady zabezpieczeń są przetwarzane w następującej kolejności. Następującej kolejności jest zawsze wymuszane, niezależnie od źródła reguły zabezpieczeń.
  • Reguła ograniczania funkcjonalności usług systemu Windows
    Reguła ograniczania funkcjonalności usług systemu Windows ogranicza usług uniemożliwia ustanowienie połączenia. Ograniczenia usługi są skonfigurowane w taki sposób, że usług systemu Windows mogą komunikować się tylko w określony sposób. Na przykład można ograniczyć ruch za pośrednictwem określonego portu. Jednakże dopóki nie zostanie utworzona reguła zapory, ruch nie jest dozwolone.
  • Reguły zabezpieczeń połączeń
    Reguła zabezpieczeń połączeń definiuje, jak i kiedy komputery są uwierzytelniane za pomocą funkcji protokołu IPsec. Reguły zabezpieczeń połączeń są używane do ustanowienia izolacji serwera i ustanowienia izolacji domeny. Ponadto reguły zabezpieczeń połączeń są używane do wymuszania zasad ochrony dostępu do sieci (NAP).
  • Obejście uwierzytelnione reguły
    Uwierzytelnione pomijanie reguła umożliwia pewność, że komputery być połączone, jeśli ruch jest chroniona za pomocą funkcji protokołu IPsec, niezależnie od innych reguł przychodzących. Określonych komputerów można pominąć przychodzących reguł blokowania ruchu. Na przykład Administracja zdalna zapory z niektórych komputerów można włączyć tylko przy tworzeniu reguł Obejście uwierzytelnione dla komputerów. Lub poprzez wywołanie Helpdesk można włączyć obsługę dla pomocy zdalnej.
  • Reguła blokowania
    Reguła blokowania blokuje jawnie typu ruchu przychodzącego lub tylko niektórych typów ruchu wychodzącego.
  • Zezwalaj na reguły
    Reguła zezwalania jawnie zezwala dla pewnych typów ruchu przychodzącego lub niektórych rodzajów ruchu wychodzącego.
  • Domyślna reguła
    Domyślna reguła jest skonfigurowany w taki sposób, że przychodzące reguły domyślnej blokuje połączenia i wychodzących domyślna reguła zezwala na połączenia.

Reguły zabezpieczeń połączeń opartych na protokole IPsec w systemie Windows Vista i Windows Server 2008

Dwa rodzaje reguł IPsec mogą być stosowane do komputera z systemem Windows Vista lub do komputera z systemem Windows Server 2008:
  • Reguły protokołu IPsec
    Wcześniej zasady IPsec są aktualnie wdrożony w systemie Windows 2000 i Windows Server 2003. Wcześniej zasady IPsec są zarządzane przez usługę Agent zasad. Te zasady IPsec są reguły Internet Key Exchange (IKE), które obsługują uwierzytelnianie Kerberos komputera, certyfikaty x.509 lub uwierzytelnianie z kluczem wstępnym. Te zasady IPsec są konfigurowane w przystawce programu MMC "Zarządzanie zasadami protokołu IPsec". Reguły oparte na IKE usługi Agent zasad są stosowane w taki sam sposób, jak w systemie Windows 2000 i Windows Server 2003. Chociaż wiele zasad, mogą być stosowane do danego komputera, powiedzie się tylko ostatni zasady, która jest stosowana. To jest według metody "ostatni writer wins". Ponadto ustawienia zasad IKE nie można scalić.
  • Reguły zabezpieczeń połączeń
    Reguły zabezpieczeń połączeń są obsługiwane tylko w systemach Windows Vista i Windows Server 2008. Reguły zabezpieczeń połączeń są obsługiwane przez rozszerzenie usługi IKE, która jest wywoływana Authenticated IP (AuthIP). AuthIP dodaje obsługę następujących mechanizmów uwierzytelniania:
    • Użytkownik interakcyjny poświadczeń protokołu Kerberos lub poświadczenia użytkownika interakcyjnego uwierzytelniania NTLMv2
    • Certyfikaty x.509 użytkownika
    • Certyfikaty komputerów Secure Sockets Layer (SSL)
    • Certyfikaty kondycji ochrony dostępu do sieci
    • Anonimowe uwierzytelnianie (opcjonalne)
    Zasady bezpieczeństwa dla przystawki "Zapora systemu Windows i zaawansowanymi zabezpieczeniami" można skonfigurować za pomocą następujących narzędzi:
    • Zasady grupy opartego na domenie
    • Przystawka "Zapora systemu Windows z zabezpieczeniami zaawansowanymi"

      Uwaga Przystawka "Zapora systemu Windows z zabezpieczeniami zaawansowanymi" jest domyślną lokalizacją przechowywania dla zasad, które mogą być udostępniane za pomocą polecenia wf.msc .
    • Lokalne zasady grupy przystawki (Gpedit.msc)
    • Polecenia netsh advfirewall

      Uwaga Polecenia netsh advfirewall punktów w tym samym magazynie jako wf.msc polecenie.
    Podobnie jak inne zapory i reguł zasady grupy reguły zabezpieczeń połączeń są scalane z wszystkich odpowiednich obiektów zasady grupy.

    Aby utworzyć zasady protokołu IPsec, które są zgodne z IKE w wersji 1 na podstawie klientów, takich jak Microsoft Windows 2000, Windows XP i Windows Server 2003 można skonfigurować zasady zabezpieczeń połączeń. Zasady zabezpieczeń połączeń można również skonfigurować do tworzenia zasad, które obsługują komunikację między komputerami z systemem Windows Vista i komputerów z systemem Windows Server 2008.

    Administrator może utworzyć zasadę zabezpieczeń połączeń za pomocą następujących metod:
    • Administrator może utworzyć zasadę zabezpieczeń połączenia, który obsługuje tylko protokół Kerberos uwierzytelniania, certyfikaty x.509 użytkownika lub uwierzytelnianie komputera.

      Uwagi
      • W takim przypadku usługi Mpssvc automatycznie tworzy wcześniejszych IKE i AuthIP zasady.
      • Jeżeli określono komputer-uwierzytelnianie klucza wstępnego AuthIP zasady nie są tworzone.
    • Administrator może utworzyć zasady zabezpieczeń połączeń, która wymaga uwierzytelnienia użytkownika.

      Uwaga W takim przypadku tylko zasad modułu AuthIP jest tworzony dla systemu Windows Vista na Windows Vista negocjacji i negocjacji systemu Windows Vista na Windows Server 2008. To dlatego IKE nie obsługuje uwierzytelniania użytkownika.
    • Administrator może utworzyć zasadę zabezpieczeń połączenia, w którym opcje uwierzytelniania użytkowników są dodawane do zasad. Ponadto administrator można także wybrać opcję drugie uwierzytelnianie jest opcjonalne .

      Uwaga Ograniczanie funkcjonalności usługi Mpssvc tworzy zasady AuthIP i wcześniejszych zasady IKE. Uwierzytelniania użytkownika opcjonalnego jest zawarte w zestawie AuthIP. Uwierzytelniania użytkownika opcjonalnego nie znajduje się w starszych zasady IKE.
    • Administrator może utworzyć zasady zabezpieczeń połączeń wymagającą uwierzytelniania NTLM.

      Uwaga W takim przypadku tylko zasad modułu AuthIP jest tworzony dla systemu Windows Vista na Windows Vista negocjacji i negocjacji systemu Windows Vista na Windows Server 2008, ponieważ usługa IKE nie obsługuje uwierzytelniania NTLM.
    • Administrator wybiera algorytm "Diffie-Hellman" globalne algorytmu "Wymiany klucza trybu głównego", który jest niezgodny z starszych klientów, takich jak algorytm "Elliptic Curve Diffie-Hellmana p-256".

      Uwagi
      • W takim przypadku algorytmu "Diffie-Hellman" nie będą obsługiwane przez starszych klientów IKE w wersji 1. Ponadto negocjacji IKE kończą się niepowodzeniem.
      • Firma Microsoft zaleca, aby użyć ustawienia "Diffie-Hellman Group 2", ponieważ to ustawienie jest obsługiwane w wielu najszerszego zakresu klientów.
      • Ustawienie "Grupa Diffie'ego-Hellmana 14" jest obsługiwane w systemie Windows XP Service Pack 2 (SP2) i Windows Server 2003.
      • W tym przypadku zmienić zachowanie klawiszy jest, że algorytm "Diffie-Hellman" jest zazwyczaj nie używany dla negocjacji w AuthIP.
      • Gdy usługi Mpssvc tworzy reguły AuthIP, usługi Mpssvc Określa, że negocjacji systemu Windows Vista na Windows Vista lub Windows Vista do Windows Server 2008 negocjacji musi tylko używać algorytmu "Diffie-Hellman" Jeśli metoda uwierzytelniania trybu głównego jest ustawiona na anonimowy.
      • Gdy usługi Mpssvc tworzy IKE, usługi Mpssvc zawsze używa algorytmu "Diffie-Hellman", które są specyficzne dla globalnych ustawień Wymiany klucza trybu głównego .
      • Interfejsu dostawcy obsługi zabezpieczeń SSPI udostępniony klucz tajny jest używany do generowania materiału klucza w wymianach AuthIP, w których wymiany klucza trybu głównego nie ma wymiany Diffie-Hellmana.

    Certyfikaty, które są używane przez AuthIP

    • AuthIP używa certyfikatów SSL, które mają skonfigurowane ustawienia uwierzytelniania klienta lub skonfigurować ustawienia uwierzytelniania serwera. Certyfikaty SSL może być certyfikaty uwierzytelniania klienta. Lub certyfikaty SSL może być certyfikaty uwierzytelniania klienta i certyfikatów uwierzytelniania serwera.
    • Jeśli możesz skonstruować zasady do użycia uwierzytelniania certyfikatów dla systemu Windows Vista, musi mieć certyfikaty, które działają z modułu AuthIP. Oznacza to, że certyfikaty, które wdrażane na klientach musi być certyfikatów SSL, które używają uwierzytelniania serwera lub uwierzytelniania klienta. Uwierzytelnianie zależy od tego, czy chcesz wzajemnego uwierzytelniania lub uwierzytelnianie jednokierunkowe. Certyfikaty SSL różnią się od standardowych certyfikatów cyfrowych, które są używane w systemie Windows XP lub Windows Server 2003.
    • Domyślnie certyfikaty SSL są używane przez implementacje ochrony dostępu do sieci.

Zasady grupy przetwarzania dla przystawki "Zapora systemu Windows z zabezpieczeniami zaawansowanymi"

Reguły zabezpieczeń połączeń są scalane z wszystkich odpowiednich obiektów zasady grupy. Jednak jest to powiązana grupa ustawień protokołu IPsec i AuthIP zarządza domyślne zachowanie protokołu IPsec bez dodatku. Ta grupa ustawień zawiera zestawów globalnych uwierzytelniania, ustawienia trybu szybkiego, ustawień wymiany kluczy i zwolnienia Internet Control wiadomość Protocol (ICMP).

Domyślny zestaw opcji protokołu IPsec, które są stosowane od najwyższy priorytet obiekt zasady grupy (GPO) lub opcje zabezpieczeń połączenia powiedzie się na komputerze klienckim z systemem Windows Vista. Na przykład wszystkich reguł zabezpieczeń połączeń na komputerze klienckim z systemem Windows Vista wykorzystujące domyślne uwierzytelnianie zestawy lub zestawy kryptograficznych będzie używać zestawów z pierwszeństwo zasad grupy. Jeśli chcesz większą elastyczność, można użyć następujących opcji:
  • Dla zestawów uwierzytelniania należy skonfigurować uwierzytelnianie przy użyciu reguły zabezpieczeń połączeń, a nie przy użyciu uwierzytelniania domyślnym.
  • Dla zestawów kryptograficznego trybu szybkiego należy użyć polecenia netsh do konfigurowania ustawień kryptograficznych trybu szybkiego dla każdej reguły zabezpieczeń połączenia zgodnie z wymaganiami.
  • Dla każdej zasady zestawy kryptograficznych trybu głównego, obsługiwane są tylko jednego zestawu kryptograficznego trybu głównego. Po ustawieniu wiele trybie głównym zestawy kryptograficznych są odbierane, kryptograficznego trybu głównego z najwyższy priorytet obiektu zasad grupy zostaną zastosowane do wszystkich reguł zabezpieczeń połączeń w zasady grupy. Nie można jednak dostosować zasady do stosowania różnych zestawów kryptograficznego trybu głównego.
  • Podczas konfigurowania obiektów zasad grupy dla zasad zabezpieczeń połączeń i zasad zapory, można wyłączyć używanie lokalne reguły zapory i reguły zabezpieczeń połączeń. W związku z tym tylko ustawienia zasady grupy, które są połączone z witryny obiektów zasad grupy, obiektów zasad grupy domeny lub jednostki organizacyjnej (OU) obiektów zasad grupy, można kontrolować zachowanie zapory systemu Windows.
Aby wyświetlić w białej księdze "Wprowadzenie do Zapora systemu Windows z zaawansowanymi zabezpieczeniami" dla systemu Windows Vista, odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji na temat modułu AuthIP w systemie Windows Vista odwiedź następującą witrynę firmy Microsoft w sieci Web:Aby uzyskać więcej informacji na temat nowych Zapora systemu Windows w systemie Windows Vista i Windows Server 2008 odwiedź następującą witrynę firmy Microsoft w sieci Web:

Jak ustanowić zaszyfrowanego połączenia między systemu Windows Vista i Windows XP lub Windows Vista i Windows Server 2003

W systemie Windows Server 2003 i Windows XP konfiguracji zasad IPsec zwykle składa się z zestawu reguł do ochrony większości ruchu w sieci i innego zestawu reguł wykluczeń ruchu chronionego. Konfiguracja może obejmować izolacji serwera i izolacji domeny. Zwolnienia są wymagane dla niechronione komunikacji z serwerami infrastruktury sieci, takich jak serwery protokołu dynamicznej konfiguracji hosta (DHCP, Dynamic Host Configuration Protocol), serwery systemu nazw domen (DNS, Domain Name System) i kontrolerów domeny. Po uruchomieniu komputera, komputer musi mieć możliwość uzyskiwania adresu IP i musi być w stanie znaleźć kontrolera domeny przy użyciu usługi DNS. Ponadto komputer musi móc zalogować się do swojej domeny, zanim komputer można rozpocząć korzystanie z uwierzytelniania Kerberos do samodzielnego uwierzytelnienia jako adres elementu równorzędnego IPsec. Inne zwolnienia są niezbędne do komunikacji z węzłami sieci, które nie rozpoznają protokołu IPsec. W niektórych przypadkach istnieje wiele wyjątków, które sprawiają, że bardziej trudne do wdrażania protokołu IPsec ochrony sieci przedsiębiorstwa i utrzymania sieci przedsiębiorstwa w czasie.

W systemie Windows Server 2008 i Windows Vista protokół IPsec zapewnia opcjonalny zachowanie do negocjowania ochrony IPsec. Załóżmy, że protokół IPsec jest włączony i że węzła protokołu IPsec, na którym jest uruchomiony system Windows Server 2008 lub Windows Vista inicjuje komunikację z innego węzła w sieci. W takim przypadku węzeł IPsec próbuje komunikować się bez szyfrowania lub "w zwykłym." Węzeł zostanie podjęta próba wynegocjowania komunikacji chronionej równolegle. Jeżeli inicjujący IPsec nie otrzyma odpowiedzi na początkowe negocjacji spróbuj, komunikat jest nadal w formie nieszyfrowanej. Jeżeli inicjujący IPsec odbiera odpowiedzi na początkowe negocjacji spróbuj, komunikacja niezabezpieczona jest kontynuowany do momentu zakończenia negocjacji. Po zakończeniu negocjacji komunikacji kolejnych otrzymywać zwiększonej ochrony. Węzeł inicjujący IPsec dowiedzieć się czy węzła sieci, który komunikuje się z wykonywanych przez protokół IPsec. Następnie odpowiednio zachowanie na inicjujący węzła protokołu IPsec. Jest to zachowanie węzła protokołu IPsec z powodu opcjonalne zachowanie protokołu IPsec. Ponadto takie zachowanie jest ze względu na zalecaną konfigurację, która wymaga ochrony dla komunikacji przychodzącej inicjowane i którego żąda ochrony dla wychodzących inicjowane komunikacji. To nowe zachowanie znacznie upraszcza konfigurację zasad zabezpieczeń IPsec. Na przykład węzeł inicjujący IPsec nie ma zbiór wstępnie zdefiniowanych filtrów IPsec, aby zwolnić zestaw hostów, które nie można włączyć ochrony ruchu w sieci przy użyciu protokołu IPsec. Węzeł inicjujący IPsec próbuje ruch chroniony i ruch niechroniony równolegle. Jeśli ochronę komunikacji nie jest możliwe, węzeł inicjujący IPsec używa komunikacja niezabezpieczona.

Nowe zachowanie negocjacji także zwiększa wydajność niechronione połączenia, które są wprowadzone do hostów. Węzła protokołu IPsec, na którym jest uruchomiony system Windows Server 2003 lub Windows XP jest skonfigurowany do żądania komunikacji chronionej, ale umożliwia komunikacja niezabezpieczona. To zachowanie węzła IPsec nazywane jest powrotem do Wyczyść. Węzeł IPsec wysyła wiadomości negocjacji i czeka na odpowiedź. Węzeł inicjujący IPsec czeka, aż do trzech sekund przed wycofaniem do wyczyść i próby komunikacja niezabezpieczona. W systemie Windows Server 2008 i Windows Vista nie ma już trzech sekund opóźnienia po opadnięciu wyczyść ponieważ komunikacja niezabezpieczona jest już w toku gdy inicjujący węzła protokołu IPsec jest oczekiwanie na odpowiedź.

Aby uzyskać więcej informacji o izolacji serwera i izolacji domeny odwiedź następującą witrynę firmy Microsoft w sieci Web:

Najważniejsze kwestie podczas ustanawiania zaszyfrowanego połączenia między systemu Windows Vista i Windows XP lub Windows Vista i Windows Server 2003

  • Jeśli zostanie włączone tylko zaszyfrowanego połączenia w systemie Windows Vista, Windows Vista negocjuje tylko na poziomie protokołu IPsec z innymi klientami. Obejmuje to klienci z systemem Windows XP.
  • Domyślnie system Windows XP lub Windows Server 2003 nie negocjują na poziomie protokołu IPsec. W związku z tym musimy przypisać reguły IPsec w systemie Windows XP lub Windows Server 2003 może ustanowić zaszyfrowanego połączenia między systemu Windows Vista i Windows XP lub Windows Vista i Windows Server 2003.
  • Domyślnie jeśli zaznaczono opcję Zezwalaj tylko na bezpieczne połączenia negocjuje systemu Windows Vista przy użyciu metody szyfrowania AES-128 i metody szyfrowania 3DES. Metoda szyfrowania AES-128 nie jest obsługiwana w systemie Windows XP. Metoda szyfrowania 3DES jest obsługiwana w systemie Windows XP i Windows Server 2003.
  • Domyślnie jeśli protokół IPsec jest włączony w systemie Windows XP lub Windows Server 2003 protokół IPsec będzie negocjować przy użyciu metody szyfrowania 3DES.
Aby ustanowić zaszyfrowanego połączenia między komputerem z systemem Windows Vista i komputera z systemem Windows XP za pomocą przystawki "Zapora systemu Windows z zabezpieczeniami zaawansowanymi", wykonaj następujące kroki:
  1. Na komputerze z systemem Windows Vista kliknij przycisk Startthe Start button , w polu Rozpocznij wyszukiwanie wpisz zapory , a następnie kliknij Zapora systemu Windows z zabezpieczeniami zaawansowanymi na liście Programy .
  2. W drzewie konsoli kliknij pozycję Reguły ruchu przychodzącego.
  3. Na liście reguły ruchu przychodzącego kliknij dwukrotnie Pulpit zdalny (ruch przychodzący TCP), a następnie kliknij kartę Ogólne .
  4. W obszarze działania kliknij Zezwalaj tylko na bezpieczne połączenia, kliknij, aby zaznaczyć pole wyboru Wymagaj szyfrowania , a następnie kliknij przycisk OK.
  5. W drzewie konsoli kliknij pozycję Reguły zabezpieczeń połączeń, a następnie w menu Akcja kliknij polecenie Nowa reguła .
  6. Kliknij izolacji, a następnie kliknij przycisk Dalej.
  7. Kliknij opcję Wymagaj uwierzytelniania połączeń przychodzących i wychodzących, a następnie kliknij przycisk Dalej.
  8. Kliknij przycisk domyślne, a następnie kliknij przycisk Dalej.
  9. Kliknij, aby zaznaczyć następujące pola wyboru, a następnie kliknij przycisk Dalej:
    • Domeny
    • Prywatny
    • Publiczne
  10. Wpisz nazwę reguły w polu Nazwa , wpisz opis reguły w polu Opis (opcjonalnie) Jeśli, a następnie kliknij przycisk Zakończ.
  11. W menu Plik kliknij polecenie Zakończ.
  12. Na komputerze z systemem Windows XP kliknij przycisk Start, kliknij polecenie Uruchom, wpisz secpol.msc, a następnie kliknij przycisk OK.
  13. W drzewie konsoli kliknij prawym przyciskiem myszy Zasady zabezpieczeń IP na komputerze lokalnym, a następnie kliknij polecenie Utwórz zasadę zabezpieczeń IP.
  14. Kliknij przycisk Dalej, a następnie postępuj zgodnie z instrukcjami Kreatora zasad zabezpieczeń IP do utworzenia zasady zabezpieczeń IP. W celu utworzenia takiej zasady należy użyć wartości domyślnych.
  15. Nowe zasady zabezpieczeń IPkliknij prawym przyciskiem myszy, a następnie kliknij przycisk Przydziel.
  16. W menu Plik kliknij polecenie Zakończ.
Właściwości

Identyfikator artykułu: 942957 — ostatni przegląd: 17.02.2017 — zmiana: 1

Opinia